IT Systems 6/2019 | Nařízení eIDAS a český Zákon o službách vytvářejících důvěru pro elektronické transakce přinesly nové možnosti právního jednání v elektronické podobě a otevřely tak prostor pro vyšší míru digitalizace běžně vykonávaných procesů, kde svou klíčovou roli sehrávají elektronické dokumenty a vyjadřování vůle prostřednictvím elektronických podpisů.

Vzdálené elektronické podepisování je jedním z trendů na poli služeb vytvářejících důvěru. Jeho principy a technologie zjednodušují a optimalizují procesy podepisování elektronických dokumentů. Uživatelé dostávají do ruky nástroje, které jim vysoce bezpečným, rychlým a jednoduchým způsobem dovolují vytvářet elektronické podpisy s využitím širokého spektra zařízení od osobních PC po chytré mobilní telefony.

Definice vzdáleného podepisování

Produktem vzdáleného podepisování je elektronický podpis založený na asymetrické kryptografii, jejíž počátky použití se datují do 70. let minulého století a její principy se od té doby nezměnily. Jeho základem je tedy soukromý klíč a certifikát s identifikačními údaji (a dalšími atributy) majitele klíčů.

Pro důvěryhodnost elektronického podpisu je nutné, aby byla zajištěna bezpečnost a nezcizitelnost soukromého klíče, pomocí kterého je podpis vytvořen. Standardně jsou proto soukromé klíče ukládány na bezpečná hardwarové zařízení, což sebou ale nese řadu komplikací při jejich využití.

Pro laika disponujícího takovýmto zařízením, například v podobě čipové karty / tokenu, je to poměrně komplikovaná záležitost. Musí totiž znát řadu technik a postupů, které se týkají jak operací s jeho certifikáty, tak samotného podepisování. Musí být vybaven příslušným hardwarem a softwarem, který mu dovolí s čipovou kartou / tokenem pracovat. Vyvstávají problémy při nutnosti použití elektronického podpisu v moderních internetových prohlížečích, které dnes „odmítají“ podporovat kryptografická rozhraní implementovaná v operačních systémech. Tím se elektronické podepisování konvenčním způsobem, tedy kartou nebo tokenem, stává velice obtížně použitelným.

Naproti tomu stojí moderní způsob využívající centrální podepisovací služby, obstarávající veškeré technikálie spojené s elektronickým podepisováním, čímž je pro uživatele zajištěn podobný user-experience, jaký známe z internetového bankovnictví.

Souhrnně je možné vzdálený podpis definovat jako způsob elektronického podepisování, který při dodržení legislativních, technických a bezpečnostních požadavků přináší značné zjednodušení podepisování na straně uživatele.

Princip fungování vzdáleného podepisování

Prvním krokem je vybudování infrastruktury umožňující vytvářet elektronické podpisy centralizovaně. Klíčovými prvky jsou zejména Hardware Security Module (HSM), plnící roli správce kryptografických klíčů v módu QSCD (Qualified Signature Creation Device), a centrální služba podepisování (Signature provider), která provádí správu identit a jejich párování s podpisovými klíči, zajišťuje komunikaci s HSM a samotné vytvoření elektronického podpisu a jeho vložení do dokumentu. Ještě před tím, než se vzdálené podepisování začne používat, je potřeba, aby byly v HSM vygenerovány podpisové klíče a k nim kvalifikovanou autoritou vydány příslušné kvalifikované certifikáty (ve schématu níže krok 0).

Dále pak proces vzdáleného podepisování probíhá následujícím způsobem. Přihlášený uživatel, pracující se svou aplikací (krok 1), dává pokyn k vytvoření elektronického podpisu (krok 2). To se typicky děje kliknutí na nějaký ovládací prvek v uživatelském rozhraní dané aplikace. Daná aplikace tento požadavek přesměruje na centrální podepisovací službu, společně s dokumentem, který má být podepsán, a identitou přihlášeného uživatele (krok 3). Centrální podepisovací služba vyzve uživatele, aby některou z nakonfigurovaných metod vícefaktorové autentizace potvrdil vytvoření požadavku na vytvoření jeho elektronického podpisu (kroky 4 a 5). Centrální služba na základě tohoto potvrzení aktivuje podpisový klíč v HSM a vyžádá si HSM vytvoření elektronického podpisu tímto aktivovaným klíčem (krok 5). HSM vytvoří elektronický podpis a předá ho zpět centrální podepisovací službě (krok 6 a 7). Centrální podepisovací služba pak vloží vytvořený elektronický podpis do dokumentu, jehož elektronické podepsání bylo vyžádáno a takto zkompletovaný dokument předá zpět žádající aplikace, respektive uživateli, který vytvoření elektronického podpisu požadoval.

Společnost SEFIRA nabízí kompletní realizaci projektu vzdáleného elektronického podepisování od nasazení a konfigurace centrální podepisovací služby, zajištění, instalace a konfigurace HSM, asistence při integraci s okolními systémy až po podporu provozu HSM v režimu QSCD ve spolupráci s kvalifikovaným poskytovatelem certifikačních služeb. Dále nabízí i další produkty, které řeší zejména problematiku důvěryhodnosti elektronických dokumentů, tzn. pečetění, validace a archivace a s tím související konzultace.

Michal Hanzal | Solution Consultant společnosti SEFIRA
Článek vyšel v časopisu IT Systems (6/2019)