Projekt Veřejná správa online
Veřejná správa online
Příloha časopisu
Časopis Obec a finance
Nové informační technologie
ve veřejné správě
Veřejná správa online

Certifikační autorita I.CA

Ročník: 2000, Číslo: 3, Rubrika: Zajímavosti

Současný vývoj výpočetní techniky nás posunul do elektronického věku. Bez počítače, kterým provádíme většinu kontaktů s okolním světem, si to již neumíme představit. Proč posílat objednávku, či materiál z jednání poštou, když to jde elektronicky levněji a rychleji? Proč svolávat kolegy na schůzku telefonicky, trávit tím mnoho času, když elektronicky je to hotové stiskem několika tlačítek? Ano, proč. Tyto otázky byly jistě jedním z nejsilnějších motivů pro nákup vašeho počítače, zajištění přístupu na Internet a zřízení e-mailové schránky.

Zamysleli jste se však také nad tím, že zasílání jakýchkoliv důvěrných informací, ať zápisů z jednání, závazných objednávek, či v časech budoucích daňového přiznání, prostřednictvím Internetu bez zabezpečení je jako kdybyste toto vše napsali na pohlednici a poslali to poštou! Ano, není to jen jakési strašení, je to realita dnešního života. Běžná, např. e-mailová zpráva je při přenosu sítí Internet "volně k mání" téměř pro kohokoliv, kdo má zájem ji odchytit a přečíst, v horším případě upravit a zaslat adresátovi v jiném znění, či se dokonce za odesilatele vydávat a zasílat zprávy jeho jménem.

Zřejmě největším problémem dnešní elektronické komunikace je neadresnost. V osobním styku je identifikace relativně snadná. "Dobrý den, já jsem..., zde je můj průkaz totožnosti". Elektronicky je to obtížnější, avšak jde to.

Třetím čtením v poslanecké sněmovně prošel zákon o elektronickém podpisu, který určuje a legalizuje cestu k takovému řešení. A nejen to, dokonce ve vyjmenovaných případech staví elektronický dokument opatřený bezpečnostními atributy do stejné úrovně k podepsanému papírovému dokumentu. Jediným reálně použitelným a v blízké budoucnosti i jediným obecně použitelným zákonným prostředkem pro takovou bezpečnou výměnu informací bude digitální podpis, nebo chcete-li zaručený elektronický podpis. Nezbytnou podmínkou pro tvorbu digitálního podpisu je certifikát vydaný důvěryhodnou certifikační autoritou.

Díky certifikátům získají komunikující strany především jistotu identity partnera. Certifikáty umožňují ověření totožnosti uživatelů ještě předtím, než je jim umožněn přístup k důvěrným nebo placeným informacím. Certifikát je elektronickou obdobou průkazu totožnosti, obsahuje dokonce i podobné údaje, navíc však především jednoznačně svazuje fyzickou totožnost s totožností elektronickou.

Certifikační autorita I.CA byla uvedena do provozu 1. listopadu 1997 čímž se stala první veřejnou komerční Certifikační autoritou na území ČR a do současnosti vydala již více než 60 000 certifikátů. To představuje přibližně 20 000 lidí a organizací, které certifikáty I.CA dnes běžně používají pro zabezpečenou komunikaci. Ověření informací o klientovi, zejména přijímání žádostí o certifikáty a jejich předávání je při tomto počtu klientů technicky i organizačně velmi náročné, a proto I.CA využívá systém tzv. Registračních autorit. Tyto instituce ověřují identitu žadatele a svým podpisem stvrzují pravdivost údajů uvedených na žádosti o certifikát.

V současnosti I.CA provozuje čtrnáct veřejných Registračních autorit, pět mobilních Registračních autorit a v blízké budoucnosti připravuje zprovoznění dalších řádově 200 veřejných Registračních autorit.

Při vydávání prvotního certifikátu musí klient navštívit podatelnu - Registrační autoritu. Registrační autorita je plně odpovědná za ověření totožnosti podatele žádosti o certifikát. Zákazník obdrží certifikát ve formátech, které jsou snadno použitelné v e-mailovém programu nebo prohlížeči WWW stránek.

Doba platnosti certifikátů takto vydaných je omezená a je uvedena v každém certifikátu. Tato veličina je velmi důležitá především z pohledu bezpečnosti. Běžné certifikáty jsou proto vydávány s platností 6 měsíců. Během této doby je v případě potřeby možné zrušit platnost certifikátu. I v tomto bodě je patrná shoda s běžným občanským průkazem.

Při vydávání následného certifikátu před vypršením platnosti předchozího certifikátu není již nutná přítomnost na registrační autoritě I.CA. Je nutno pouze poslat, za pomoci platného certifikátu, elektronicky podepsanou žádost o vydání následného certifikátu ve standardizované elektronické podobě. Tato procedura je v praxi velice jednoduchá.

Zrušený certifikát je zařazen do seznamu zneplatněných certifikátu (CRL). Seznam zneplatněných certifikátů je tedy jakási černá listina, na které jsou uvedeny neplatné certifikáty. Tento seznam je obdobou případu seznamu zrušených kreditních karet.

A k čemu jsou vlastně certifikáty Certifikační autority I.CA využívány v praxi? Je to především pro:

  • Bezpečnou komunikaci po nechráněných sítích

Základní softwarové produkty určené pro Internet (servery, prohlížeče, poštovní programy) již v sobě obsahují prostředky pro instalaci a využívání certifikátů pro tyto účely, takže využívání certifikátů vydávaných I.CA, které jednoznačně identifikují vzájemně komunikující partnery, není náročná.

  • Zajištění přístupu na www servery, obchodování prostřednictvím Internetu

V internetových aplikacích většinou nestačí omezit přístup klientů na server, ale potřebujeme také informaci, který klient právě přistupuje, abychom mohli s touto informací pracovat. Například ve virtuálním obchodním domě můžeme některým klientům poskytnout slevu na zboží, takže program, který vybírá z databáze údaje o zboží, automaticky sníží jeho cenu o zadané procento, pokud byl spuštěn právě klientem, pro kterého je určitá sleva nastavena. Tento problém certifikáty I.CA také umožňují řešit. Přístup klienta z internetové sítě na WWW server pak může být realizován několika způsoby:

  • Anonymní přístup – klient nemusí mít certifikát, takže na serveru nelze zjistit kdo na něj přistupuje.
  • Přístup s certifikátem vydaným I.CA – na serveru je nastaveno, že server I.CA uznává a klient musí mít certifikát vydaný I.CA, aby mu byl umožněn přístup na server.
  • Přístup s konkrétním certifikátem dané osoby – na server může přistoupit pouze klient s certifikátem, jehož identifikační číslo je uvedeno v databázi serveru, tj., pouze konkrétní osoba.
  • Komplexní řešení IS s využitím bezpečné komunikace na bázi internetových technologií

Komplexní řešení IS představuje tvorbu projektů pro zákazníky, kteří mají zájem o řešení na klíč. Na základě konzultací vzniká projekt se zajištěním vývoje aplikace, řešením vydávání certifikátů, bezpečnostní politikou apod.

Jistě největším a nejznámějším řešením využívajícím certifikáty I.CA je Homebanking IPB, který poskytuje svým klientům IPB, a. s.

Klient Homebankingu komunikuje s IPB, a. s., prostřednictvím internetové sítě a má takto přístup jednak k veřejným informacím, které banka zveřejňuje na svých WWW stránkách (např. informace o bance, nabídka produktů, ceník, úrokové sazby, rozbory a analýzy, kurzovní lístek apod.), jednak prostřednictvím certifikátu I.CA, kterým prokazuje svou totožnost, k důvěrným informacím, týkajících se pouze daného klienta (pasivní operace - např. výpis z účtu, podané platební nebo inkasní příkazy, zaregistrované služby, podpisová práva apod.).

Pro zadávání platebních a inkasních příkazů (aktivní operace) má klient k dispozici aplikaci, která realizuje zabezpečení celé komunikace prostřednictvím certifikátů I.CA, kterými jsou realizovány základní atributy komunikační bezpečnosti, tedy důvěrnost, integrita a neodmítnutelnost odpovědnosti.

Jako další projekt lze uvést projekt společnosti RM-Systém a.s. I-zákazník, který umožňuje klientům RM-Systému obchodovat na tomto trhu s cennými papíry prostřednictvím sítě Internet. Kromě komerčních společností jsou certifikáty I.CA využívány i v oblasti státní správy a samosprávy, např. projekt ARES pro Ministerstvo financí ČR.

Jak tedy certifikát I.CA získat? Postup je opět obdobou získání občanského průkazu. Stejně tak jako pro získání občanského průkazu musíte navštívit příslušný úřad a předložit doklady k ověření Vaší totožnosti, i zde Vás čekají tyto kroky:

  1. Vytvoření žádosti o certifikát I.CA

  • Každý žadatel o certifikát I.CA si nejprve sám na svém počítači připraví elektronickou žádost o certifikát. Vždy je třeba, aby žádost byla vytvořena na Vašem počítači, protože při tvorbě této žádosti vzniká velmi důležitá část, která představuje Vaši elektronickou totožnost a bude následně použita bezpečné zasílání zpráv.
  • Navštivte naši stránku http://www.ica.cz a v oddíle "certifikáty" najdete "žádost o certifikát", kterou použijete pro vytvoření žádosti.
  1. Příprava identifikačních dat

  • Žadatel o certifikát shromáždí podle požadavků I.CA osobní identifikační materiály nutné pro vydání certifikátu, jako je občanský průkaz, resp. pas, výpis z obchodního rejstříku a podobně.
  • Povinné doklady definuje Řád I.CA, který naleznete na http://www.ica.cz. Pokud máte zájem o osobní certifikát, postačí Vám občanský průkaz nebo pas.
  1. Předání žádosti o certifikát I.CA prostřednictvím Registrační autority

  • Žadatel předá na Registrační autoritě data nutná pro vydání certifikátu spolu s doklady o jejich pravosti.
  • Navštivte některou z veřejných Registračních autorit uvedenou v oddíle "kontakty" na http://www.ica.cz s daty, resp. disketou a s doklady pro ověření Vaší totožnosti.
  1. Ověření informací

  • Registrační autorita provede kontrolu informací uvedených v žádosti o certifikát I.CA dle předložených dokladů totožnosti. Dále si na příslušných místech ověří, že může vydat žadateli certifikát I.CA.
  1. Tvorba certifikátu I.CA

  • Certifikační autorita I.CA vytvoří Certifikát I.CA obecně použitelný ve Vašich komunikačních prostředcích a zabezpečí jej tak, aby ho nebylo možno již modifikovat.
  1. Předání certifikátu I.CA

  • Podle dohody je certifikát I.CA žadateli předán v elektronické podobě (disketa) a zaslán na e-mailovou adresu.

Po absolvování těchto kroků můžete směle vykročit do realizace bezpečné komunikace. I když celá problematika vypadá složitě, její realizace je zpravidla otázkou stisku jednoho tlačítka.

Pokud máte zájem jen "zkusit, zda to funguje", postačí, pokud si na http://www.ica.cz požádáte o testovací certifikát I.CA, který platí pouze 14 dní. Obdržíte ho za několik málo sekund po jeho odeslání na Vaši e-mailovou adresu a můžete začít.

Kontaktní spojení a další informace:

PVT, a. s.,Certifikační autorita I.CA, Kovanecká 30, 190 00 Praha 9
Tel.: +420-02-66198510, fax: +420/02/66 19 86 22
e-mail: oper@ica.cz, http://www.ica.cz

Napište nám

Veřejná správa online, příloha časopisu Obec a finance
© 2024 Triada, spol. s r. o., webmaster@triada.cz
Zpět na titulní stranu