Elektronický podpis

jak to funguje ?

MUDr.Zdeněk Hřib

Využití elektronického podpisu

• Vedení zdravotnické dokumentace výhradně v elektronické formě

• Komunikace s pojišťovnami (portály)

• Komunikace se státní správou (MPSV, MZ, ÚZIS, IPVZ …)

• ePreskripce

• eNeschopenka

• eGovernment

Podpis musí být

• možné spojit s jednoznačně určenou osobou, která jej jako jediná mohla vytvořit = identifikace, autentizace, nepopiratelnost

• schopen garantovat, že dokument nebyl od podpisu změněn = integrita

• s časovým údajem podepsaným důvěryhodnou třetí stranou – tzv.časové razítko - může garantovat existenci dokumentu v určitém čase

Nezaručený elektronický podpis

Šifrování

• Symetrické šifrování

• Asymetrické šifrování

• Kontrolní součet

Symetrické šifrování

• Již staří římané – Caesarova šifra

• U elektronického podpisu se nepoužívá

• Klíč je stejný pro šifrování i dešifrování

text

klíč

algoritmusšifrovanýtext

sumtirogla

klíč

text

Asymetrické šifrování

• Komplikovaná matematika

• Jeden klíč pro šifrování a druhý pro dešifrování a klíče nelze jeden od druhého odvodit

text

privátníklíč

algoritmusšifrovanýtext

sumtirogla

veřejnýklíč

text

Kontrolní součet (hash)

• Zjednodušeně: přiřaďte každému písmenu v abecedě číslo, pak vezměte nějaký text, vyměňte jeho písmena za čísla a „sečtěte jej“

• Krátký extrakt z původního dokumentu• U konkrétního dokumentu vždy stejný = jsou-li dva

dokumenty shodné, jsou shodné i jejich hashe• Sebemenší změna dokumentu → změna hashe• Nelze z něj odvodit zpět původní dokument• viz http://tools.wackomenace.co.uk/md5

texthash

Elektronický podpis za scénou

Co je certifikát ?• Certifikát vydává

certifikační autorita po ověření totožnosti žadatele o certifikát

• CA potvrzuje svým elektronickým podpisem, že určitý veřejný klíč patří určité osobě a jeho platnost od-do

Certifikát vs klíče vs podpis

• Před vydáním certifikátu je nutné, aby si uživatel vytvořil svůj privátní a veřejný klíč

• Certifikát je určen ke zveřejnění– Možnost prohlížení vydaných certifikátů na webu CA– Často jsou přílohou dokumentů, které jsou podepsány

držitelem certifikátu

• Privátní klíč je určen k utajení• Elektronický podpis vznikne zašifrováním

kontrolního součtu z dat privátním klíčem

Certifikační autority v ČR

• Neakreditované– THAWTE (www.thawte.com)– Czech Certification Authority spol. s r.o. (

www.czechca.cz)– Komerční banka (https://www.mojebanka.cz)– …

• Akreditované– I.CA (www.ica.cz) – PostSignum = Česká pošta (www.postsignum.cz) – eIdentity = MD KEY (www.eidentity.cz)

Zneplatnění certifikátu

• CA vydává periodicky seznam zneplatněných certifikátů (CRL)

• Certifikát lze zneplatnit po telefonu při znalosti „hesla pro zneplatnění“ – uvedeno ve smlouvě s CA

• Zneplatnit certifikát je nutné ihned při zjištění, že privátní klíč se mohl dostat do rukou někomu jinému

• Zneplatněný certifikát již nelze nikdy použít – je nutné vydat nový

Podepsaný e-mail

• Přes web jen u www.e-mail.cz • Uživatel napíše e-mail• Uživatel ho elektronicky podepíše = Outlook vypočítá

hash z textu e-mailu, zašifruje hash privátním klíčem,výsledek připojí k e-mailu stejně jako digitální certifikát od CA

• Příjemce obdrží e-mail• Příjemce si ověří elektronický podpis = Outlook

zkontroluje, zdali CA je v jeho seznamu důvěryhodných CA, ověří podpis certifikátu, dešifruje hash veřejným klíčem z certifikátu a porovná výsledek s hashem, který Outlook opět vypočítá z textu e-mailu, pokud souhlasí, je vše v pořádku

Výhody elektronického podpisu

• ověřit pravost může kdokoliv• za žádných okolností se nedá zfalšovat• lze přímo určit odesilatele zprávy• je neoddělitelný od dokumentu (na rozdíl od

fyzického podpisu - ten můžeme vystřihnout a přilepit jinam nebo před něj dopsat jakýkoli text)

• poznáme, pokud je zpráva během přenosu změněna

• certifikáty umožňují šifrování zpráv

Čipové karty

• Bezpečné úložiště pro privátní klíč

• Varianty– Obyčejná čtečka– USB token– Čtečka s PINovou klávesnicí