Průvodce výběrem S/MIME certifikátu pro podpis e-mailu či dokumentů

16. 3. 2021 | Jindřich Zechmeister

Rozhodujícím kritériem při výběru S/MIME certifikátu je jeho účel použití, což čtenáře jistě nepřekvapí. Tento článek vznikl za účelem snazší orientace v naší nabídce.

Pojďme v krátkosti zrekapitulovat, co je přesně úkolem elektronického podpisu.

  1. Integrita (neměnnost)
  2. Autenticita (pravost)
  3. Nepopiratelnost
  4. Časové razítko

Zpráva opatřená elektronickým podpisem uživatele pochází prokazatelně od majitele odpovídajícího klíče a jeho identitu můžeme zjistit z údajů obsažených v certifikátu (viz níže). Nepopiratelný je také čas podepsání a pokud je podpis platný, tak nikdo zprávu nezměnil (jinak by podpis zneplatnil).

Důležité je nezaměňovat pojmy podepsaný e-mail a zašifrovaný e-mail. První termín popisuje e-mail, který je svým odesilatelem podepsán kvůli splnění výše uvedených tří cílů. Rozhodně nesleduje cíl zabezpečení obsahu zprávy proti třetí osobě. To umožní jedině šifrování.

Potřebuji podepisovat e-maily

Pokud potřebujete využívat elektronický podpis, tak vám plně dostačuje takzvaný “zaručený” podpis. Ten splňuje výše uvedené cíle elektronického podpisu a v závislosti na svém typu přidává autentizaci uživatele.

V naší nabídce najdete dva snadno dostupné produkty pro elektronický podpis – DigiCert Class 1 a Class 2. Liší se informacemi vloženými do certifikátu – Class 1 obsahuje pouze váš e-mail, ale Class 2 certifikát obsahuje také informace o vaší organizaci a může obsahovat i vaše jméno. Oba tyto certifikáty můžete získat do minuty a začít podepisovat.

Certifikáty jsou důvěryhodné ve všech e-mailových a kancelářských programech (kromě Adobe Readeru). Nenahradí však kvalifikovaný podpis, která má nezastupitelnou právní roli.

Potřebuji nahradit vlastnoruční podpis

Potřebujete-li elektronickým certifikátem prokazovat identitu, tak vám zřejmě nebude zaručený elektronický podpis stačit (záleží na požadavcích druhé strany, ale nelze to předpokládat). Pro styk s veřejnou správou a související úkony (například podání daňového přiznání, podpis smluv) je vždy nutný kvalifikovaný podpis.

Kvalifikovaný podpis lze chápat jako nejvyšší typ podpisu s nejvyšší důvěryhodností; obecně ho lze považovat za ekvivalent podpisu vlastnoručního. Stejně tak na něj pohlíží právo.

Nevýhodou kvalifikovaného podpisu je nutnost mít certifikát na kvalifikovaném prostředku (QSCD – například token), jinak podpis není kvalifikovaný. Bezpečnost použití certifikátu je sice vysoká, ale hůře se používá.

V naší nabídce máme kvalifikované certifikáty a pečetě QuoVadis, ale tato CA je vhodná spíše pro zahraniční zákazníky.

V českém prostředí doporučujeme pro komunikaci s veřejnou správnou kvalifikované certifikáty českých CA, které česká veřejná správa většinou vyžaduje (bez ohledu na eIDAS). S certifikátem zahraniční CA v době psaní článku jistě narazíte na problémy, nevýhodou je též dlouhý proces získání certifikátu a nutnost použití tokenu.

Potřebuji podepisovat dokumenty – konkrétně PDF

Adobe Acrobat je nejrozšířenějším prohlížečem PDF souborů, a kromě jiných pokročilých funkcí umožňuje i digitálně podepisovat dokumenty. Aby byl podpis důvěryhodný, tak musí splňovat určitá kritéria.

Pro tento účel má Adobe důvěryhodný seznam poskytovatelů důvěryhodných služeb AATL. Ten zajišťuje důvěryhodnost podpisů vybraných CA v tomto programu.

V naší nabídce najdete certifikáty DigiCert označené jako „AATL“ a s nimi máte jistotu, že PDF soubory budou podepsány důvěryhodně. Počítejte však s certifikátem na tokenu.

Pokud CA vydávající podpisový certifikát nesplňuje technické předpoklady Adobe (umístění na tokenu) a není na seznamu AATL, tak je podpis takový certifikátem označen (dost odpudivě) jako neplatný, což nechcete, byť je to politické rozhodnutí a ne kryptografické.

Druhou variantou pro podepisování PDF důvěryhodným digitálním podpisem je certifikát důvěryhodný dle seznamu EUTL, což je seznam podobný AATL, ale původem od EU. Na něm jsou uvedeny zejména certifikační autority vydávající kvalifikované certifikáty dle nařízení EIDAS, takže z naší nabídky splňují podmínky EUTL kvalifikované a zaručené certifikáty od QuoVadis.

Potřebuji podepisovat jiné dokumenty než PDF

Pro podepisování běžných dokumentů či PDF bez standardu AATL můžete využít jakýkoliv S/MIME certifikát. Klidně i nejlevnější Class 1 a Class 2 certifikáty od DigiCertu. Příjemce takového dokumentu uvidí tři atributy elektronického podpisu – doklad, že dokument nebyl od podepsání změněn, identitu odesilatele a nepopiratelnost toho, který klíč dokument podepsal. Můžete také využít certifikáty Document Signing na tokenu, které jsou lépe chráněny proti zneužití, ale jsou dražší a jejich získání trvá zhruba dva týdny.

Pokud si přesto nevíte s výběrem rady, kontaktujte naši podporu.

Zdroje:

AATL Trust list - https://helpx.adobe.com/cz/acrobat/kb/approved-trust-list1.html

EUTL Trust list - https://helpx.adobe.com/cz/document-cloud/kb/european-union-trust-lists.html


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz