Kvalifikované eIDAS certifikáty v nabídce SSLmarketu
17. 6. 2019 | Jindřich Zechmeister
Do nabídky SSLmarketu byly konečně přidány dlouho očekávané kvalifikované certifikáty a služby, které splňují nařízení eIDAS. Kromě něj máme i certifikáty vhodné pro platební systémy a Směrnici o platebním styku (PSD2). Pojďme si připomenout co jsou kvalifikované certifikáty, jaké druhy elektronických podpisů známe a pro co jsou určeny. Dozvíte se též více o nových produktech v naší nabídce.
Elektronické podpisy a jejich terminologie
Nařízení eIDAS v roce 2016 změnilo českou legislativu o elektronickém podpisu včetně terminologie. Pojďme si tedy zrekapitulovat základní pojmy, které nařízení zavedlo.
Hlavní dva termíny používané pro elektronický podpis jsou zaručený a kvalifikovaný. Zaručený elektronický podpis je v podstatě jakýkoliv digitální, avšak aby byl "použitelný" dle nařízení eIDAS, musí být založený na kvalifikovaném certifikátu. Tedy podpis musí použít certifikát splňující nařízení eIDAS, jinak je pouze zaručený (bez přívlastku) a tím je jakýkoliv digitální elektronický podpis dle PKI standardu X.509.
Kvalifikovaný podpis je podpis s nejvyšší důvěryhodností, který musí být uložen na tokenu či čipové kartě (tzv. kvalifikovaném prostředku, viz další odstavec).
Legislativa také pracuje s termíny elektronický podpis a pečeť. Rozdíl je velice jednoduchý - elektronický podpis používá fyzická osoba, zatímco pečeť (dříve v naší legislativě "značka") je určena pro právnickou osobu (či její stroj, např. při automatizaci podepisování). Díky tomu se liší i význam podpisu těchto dvou certifikátů, ale legislativní aspekty ponechám v tomto článku stranou.
Aby se terminologie ještě více pletla, tak český adaptační zákon č. 297/2016 Sb. pracuje s termínem uznávaný elektronický podpis, který označuje jak kvalifikovaný podpis, tak i ten zaručený založený na kvalifikovaném certifikátu. Uznávaný elektronický podpis je tedy jakási legislativní zkratka, která však není vzhledem k jeho předchozí historii a změně významu vůbec šťastná.
Samotný termín elektronický podpis bez přívlastku, terminologií Jiřího Peterky "prostý", může být jakýkoliv podpis v digitální podobě - například naskenovaný podpis na papíře (či obrázek nebo cokoliv jiného, co osoba používá jako podpis). Takový podpis však není zaručený, protože nepracuje s kryptografií a tedy není možné zaručit jeho původ. Termín "elektronický podpis" (bez přívlastku) se může plést s obecným digitálním podpisem (PKI), proto je nanejvýš vhodné držet se přesné terminologie, kterou stanovilo nařízení.
Elektronický podpis s nejvyšší důvěryhodností
Nejdůvěryhodnější osobní certifikát se nazývá kvalifikovaný, podpis vytvořený tímto certifikátem má právní účinek rovnocenný vlastnoručnímu podpisu a k podpisu musí být použit token či čipová karta, kde jsou klíče uloženy. Takovému vybavení se říká kvalifikované prostředky pro vytváření elektronických podpisů (QSCD - Qualified Signature Creation Device). Bez použití kvalifikovaného prostředku by byl podpis pouze zaručený, založený na kvalifikovaném certifikátu, což znamená nižší důvěryhodnost.
Fyzické a právnické osoby však mají při komunikaci s veřejnou správou v ČR na vybranou, zdali kvalifikovaný prostředek použít, či nikoliv (na rozdíl od tzv. veřejnoprávních podepisujících, kteří musí používat výhradně kvalifikovaný podpis a tedy i QSCD).
Kvalifikovaný podpis s nejvyšší důvěryhodností tedy můžete používat k právním úkonům, podepisování dokumentů, nebo ke komunikaci s veřejnou správou, která ho musí uznat v celé Evropské unii. Článek 25 nařízení v bodu 3 dále říká, že Kvalifikovaný elektronický podpis založený na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaný elektronický podpis ve všech ostatních členských státech.
Uznávání není jedinou výhodou kvalifikovaných podpisů. "Kvalifikované podepisování" je díky uložení na tokenu výrazně bezpečnější, než u certifikátů prostě uložených v PC. Bez kvalifikovaného prostředku máte pouze "zaručený elektronický podpis, založený na kvalifikovaném certifikátu“, ale nemáte "kvalifikovaný podpis"; uložením certifikátu mimo kvalifikovaný prostředek též umožňujete jeho krádež a zneužití.
Je důležité si uvědomit, že pokud privátní klíč k certifikátu nevznikne na kvalifikovaném prostředku, tak podpis certifikátem (s odpovídajícím veřejným klíčem) nebude nikdy kvalifikovaný; a to ani kdybyste klíče na kvalifikovaný prostředek naimportovali.
Certifikáty pro specifické účely
Zatím jsme se dotkli osobních certifikátů, ale v naší nabídce jsou i specifické produkty, které eIDAS nově vytvořil a slouží pro konkrétní účely. Je jim kvalifikovaný TLS/SSL certifikát (QWAC) a kvalifikovaný certifikát pro elektronické pečeti (QSealC). Oba tyto certifikáty potřebují banky a poskytovatelé platebních služeb pro zabezpečení transakcí a pro soulad s evropským nařízením PSD2.
Seznámení s těmito dvěma typy certifikátů jsou věnovány články Co jsou QWAC certifikáty? a Představujeme certifikáty pro PSD.
Pokud máte zájem o kvalifikovaný certifikát, tak nás neváhejte kontaktovat zákaznickou podporu SSLmarketu, nebo pište na eidas(at)sslmarket.cz. Krátce po uvedení QWAC certifikátů bude nabídka doplněna i o ostatní kvalifikované produkty certifikační autority QuoVadis.
Jednotlivé typy certifikátů v nabídce SSLmarketu
V článku jsme zrekapitulovali nomenklaturu digitálních certifikátů tak, jak ji definuje nařízení eIDAS. Nyní je vhodné přiřadit jednotlivým typům certifikátů ekvivalent v naší nabídce**.
Kvalifikovaný certifikát pro kvalifikovaný podpis (příp. zaručený podpis, založený na kvalifikovaném certifikátu): produkty QuoVadis Qualified
Kvalifikovaný certifikát pro elektronickou pečeť: QuoVadis QSealC
Kvalifikovaný certifikát pro autentizaci internetových stránek: QuoVadis QWAC
Osobní certifikáty pro zaručený podpis: S/MIME certifikáty DigiCert, produkty QuoVadis Advanced+
Kvalifikované certifikáty vhodné pro PSD2: QWAC certifikát, QSealC certifikát
Kvalifikovaná časová razítka: QuoVadis Timestamp
Nyní by již nemělo být pochyb o tom, který certifikát odpovídá danému typu dle nařízení. Zájemcům o kvalifikované či osobní certifikáty stačí zkontrolovat požadavky na typ certifikátu a pak příslušnou variantu produktu snadno najdou na našem webu.
** Odkazy na konkrétní produktové stránky budou do článku doplněny po jejich zveřejnění na webu SSLmarket.cz.
Zdroje a více informací:
- Jiří Peterka: Elektronické podpisy: v září skončí výjimka, budou úředníci připraveni? Dostupná na Lupa.cz.
- Jiří Peterka: Seriál eIDAS, elektronické podpisy a služby vytvářející důvěru. Dostupné na Lupa.cz.
- Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES. Dostupné na eur-lex.europa.eu.
- Zákon č. 297/2016 Sb.; Zákon o službách vytvářejících důvěru pro elektronické transakce. Dostupné ve Sbírce zákonů.
- Jiří Průša: Nařízení eIDAS přehledně a srozumitelně. Dostupné na nic.cz.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz