Kvalifikované eIDAS certifikáty v nabídce SSLmarketu

17. 6. 2019 | Jindřich Zechmeister

Do nabídky SSLmarketu byly konečně přidány dlouho očekávané kvalifikované certifikáty a služby, které splňují nařízení eIDAS. Kromě něj máme i certifikáty vhodné pro platební systémy a Směrnici o platebním styku (PSD2). Pojďme si připomenout co jsou kvalifikované certifikáty, jaké druhy elektronických podpisů známe a pro co jsou určeny. Dozvíte se též více o nových produktech v naší nabídce.

Logo EU Trust mark pro kvalifikované služby poskytující důvěru

Elektronické podpisy a jejich terminologie

Nařízení eIDAS v roce 2016 změnilo českou legislativu o elektronickém podpisu včetně terminologie. Pojďme si tedy zrekapitulovat základní pojmy, které nařízení zavedlo.

Hlavní dva termíny používané pro elektronický podpis jsou zaručený a kvalifikovaný. Zaručený elektronický podpis je v podstatě jakýkoliv digitální, avšak aby byl "použitelný" dle nařízení eIDAS, musí být založený na kvalifikovaném certifikátu. Tedy podpis musí použít certifikát splňující nařízení eIDAS, jinak je pouze zaručený (bez přívlastku) a tím je jakýkoliv digitální elektronický podpis dle PKI standardu X.509.

Kvalifikovaný podpis je podpis s nejvyšší důvěryhodností, který musí být uložen na tokenu či čipové kartě (tzv. kvalifikovaném prostředku, viz další odstavec).

Legislativa také pracuje s termíny elektronický podpis a pečeť. Rozdíl je velice jednoduchý - elektronický podpis používá fyzická osoba, zatímco pečeť (dříve v naší legislativě "značka") je určena pro právnickou osobu (či její stroj, např. při automatizaci podepisování). Díky tomu se liší i význam podpisu těchto dvou certifikátů, ale legislativní aspekty ponechám v tomto článku stranou.

Aby se terminologie ještě více pletla, tak český adaptační zákon č. 297/2016 Sb. pracuje s termínem uznávaný elektronický podpis, který označuje jak kvalifikovaný podpis, tak i ten zaručený založený na kvalifikovaném certifikátu. Uznávaný elektronický podpis je tedy jakási legislativní zkratka, která však není vzhledem k jeho předchozí historii a změně významu vůbec šťastná.

Samotný termín elektronický podpis bez přívlastku, terminologií Jiřího Peterky "prostý", může být jakýkoliv podpis v digitální podobě - například naskenovaný podpis na papíře (či obrázek nebo cokoliv jiného, co osoba používá jako podpis). Takový podpis však není zaručený, protože nepracuje s kryptografií a tedy není možné zaručit jeho původ. Termín "elektronický podpis" (bez přívlastku) se může plést s obecným digitálním podpisem (PKI), proto je nanejvýš vhodné držet se přesné terminologie, kterou stanovilo nařízení.

Elektronický podpis s nejvyšší důvěryhodností

Nejdůvěryhodnější osobní certifikát se nazývá kvalifikovaný, podpis vytvořený tímto certifikátem má právní účinek rovnocenný vlastnoručnímu podpisu a k podpisu musí být použit token či čipová karta, kde jsou klíče uloženy. Takovému vybavení se říká kvalifikované prostředky pro vytváření elektronických podpisů (QSCD - Qualified Signature Creation Device). Bez použití kvalifikovaného prostředku by byl podpis pouze zaručený, založený na kvalifikovaném certifikátu, což znamená nižší důvěryhodnost.

Fyzické a právnické osoby však mají při komunikaci s veřejnou správou v ČR na vybranou, zdali kvalifikovaný prostředek použít, či nikoliv (na rozdíl od tzv. veřejnoprávních podepisujících, kteří musí používat výhradně kvalifikovaný podpis a tedy i QSCD).

Kvalifikovaný podpis s nejvyšší důvěryhodností tedy můžete používat k právním úkonům, podepisování dokumentů, nebo ke komunikaci s veřejnou správou, která ho musí uznat v celé Evropské unii. Článek 25 nařízení v bodu 3 dále říká, že Kvalifikovaný elektronický podpis založený na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaný elektronický podpis ve všech ostatních členských státech.

Uznávání není jedinou výhodou kvalifikovaných podpisů. "Kvalifikované podepisování" je díky uložení na tokenu výrazně bezpečnější, než u certifikátů prostě uložených v PC. Bez kvalifikovaného prostředku máte pouze "zaručený elektronický podpis, založený na kvalifikovaném certifikátu“, ale nemáte "kvalifikovaný podpis"; uložením certifikátu mimo kvalifikovaný prostředek též umožňujete jeho krádež a zneužití.

Je důležité si uvědomit, že pokud privátní klíč k certifikátu nevznikne na kvalifikovaném prostředku, tak podpis certifikátem (s odpovídajícím veřejným klíčem) nebude nikdy kvalifikovaný; a to ani kdybyste klíče na kvalifikovaný prostředek naimportovali.

Certifikáty pro specifické účely

Zatím jsme se dotkli osobních certifikátů, ale v naší nabídce jsou i specifické produkty, které eIDAS nově vytvořil a slouží pro konkrétní účely. Je jim kvalifikovaný TLS/SSL certifikát (QWAC) a kvalifikovaný certifikát pro elektronické pečeti (QSealC). Oba tyto certifikáty potřebují banky a poskytovatelé platebních služeb pro zabezpečení transakcí a pro soulad s evropským nařízením PSD2.

Seznámení s těmito dvěma typy certifikátů jsou věnovány články Co jsou QWAC certifikáty? a Představujeme certifikáty pro PSD.

Pokud máte zájem o kvalifikovaný certifikát, tak nás neváhejte kontaktovat zákaznickou podporu SSLmarketu, nebo pište na eidas(at)sslmarket.cz. Krátce po uvedení QWAC certifikátů bude nabídka doplněna i o ostatní kvalifikované produkty certifikační autority QuoVadis.

Jednotlivé typy certifikátů v nabídce SSLmarketu

V článku jsme zrekapitulovali nomenklaturu digitálních certifikátů tak, jak ji definuje nařízení eIDAS. Nyní je vhodné přiřadit jednotlivým typům certifikátů ekvivalent v naší nabídce**.

Kvalifikovaný certifikát pro kvalifikovaný podpis (příp. zaručený podpis, založený na kvalifikovaném certifikátu): produkty QuoVadis Qualified

Kvalifikovaný certifikát pro elektronickou pečeť: QuoVadis QSealC

Kvalifikovaný certifikát pro autentizaci internetových stránek: QuoVadis QWAC

Osobní certifikáty pro zaručený podpis: S/MIME certifikáty DigiCert, produkty QuoVadis Advanced+

Kvalifikované certifikáty vhodné pro PSD2: QWAC certifikát, QSealC certifikát

Kvalifikovaná časová razítka: QuoVadis Timestamp

Nyní by již nemělo být pochyb o tom, který certifikát odpovídá danému typu dle nařízení. Zájemcům o kvalifikované či osobní certifikáty stačí zkontrolovat požadavky na typ certifikátu a pak příslušnou variantu produktu snadno najdou na našem webu.

** Odkazy na konkrétní produktové stránky budou do článku doplněny po jejich zveřejnění na webu SSLmarket.cz.

Zdroje a více informací:

  1. Jiří Peterka: Elektronické podpisy: v září skončí výjimka, budou úředníci připraveni? Dostupná na Lupa.cz.
  2. Jiří Peterka: Seriál eIDAS, elektronické podpisy a služby vytvářející důvěru. Dostupné na Lupa.cz.
  3. Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES. Dostupné na eur-lex.europa.eu.
  4. Zákon č. 297/2016 Sb.; Zákon o službách vytvářejících důvěru pro elektronické transakce. Dostupné ve Sbírce zákonů.
  5. Jiří Průša: Nařízení eIDAS přehledně a srozumitelně. Dostupné na nic.cz.

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz