Elektronický podpis
Představ si, že podepisuješ smlouvu na papíře. Podepisuješ ji vlastnoručně, čímž potvrzuješ, že s obsahem souhlasíš. Jak ale podepsat digitální dokument, aby byl stejně důvěryhodný jako papírový originál?
Elektronický podpis je digitální alternativa klasického vlastnoručního podpisu. Používá se k ověření totožnosti podepisující osoby a ke garanci neměnnosti podepsaného dokumentu.
Potvrzuje totožnost podepisující osoby, zaručuje, že dokumenty nebyl změněn (pokud se v něm byť jen jediné písmeno upraví, podpis se stane neplatným) a je právně závazný (v určitých úrovních).
Ale nestačí jen obrázek podpisu. Možná jsi už někdy viděl, že lidé do dokumentu jednoduše vloží naskenovaný obrázek svého podpisu. To ale není skutečný elektronický podpis, protože takový obrázek může kdokoliv snadno zkopírovat nebo podvrhnout. Skutečný elektronický podpis musí být kryptograficky zabezpečený a neoddělitelně spojený s podepsaným dokumentem.
Princip vytvoření
Elektronický podpis je matematicky odvozený kód, který se váže ke konkrétnímu dokumentu. Není to tedy pouhý „obrázek podpisu“, ale sofistikovaný kryptografický proces založený na asymetrické kryptografii.
Elektronický podpis se vytváří pomocí dvojice klíčů – soukromého a veřejného.
- Z dokumentu se vypočítá jeho otisk (hash),
- Otisk dokumentu se zašifruje soukromým klíčem podepisující osoby
- Výsledkem je elektronický podpis, který se připojí k dokumentu,
- Příjemce si může podpis ověřit – pomocí veřejného klíče podepisujícího.
Když někdo dokument obdrží, může ověřit autenticitu podpisu tím, že zjistí, kdo dokument podepsal nebo zkontroluje, zda dokument nebyl změněn od doby podpisu.
Hash funkce
Abychom mohli podepisovat digitální dokumenty, musíme nejprve vytvořit jejich otisk – tomu říkáme hash.
Hash je krátký unikátní řetězec znaků, který se vypočítá z dokumentu pomocí tzv. hashovací funkce. Každý dokument má svůj jedinečný hash – i malá změna dokumentu způsobí úplně jiný hash. Hashování je jednosměrný proces – nelze z hashe zpětně rekonstruovat původní dokument.
Například: „Lukáš Pospíšil podepsal smlouvu.“ může mít SHA-256 hash: A7F3D5C891B679834…
Pokud bychom text změnili třeba jen o jedno písmeno: „Lukáš Pospíšil nepodepsal smlouvu“, nový hash bude: F98D3A2B76C4E591…
Vidíš ten rozdíl? I když jsme přidali jen dvě písmena, celý hash je úplně jiný.
Proto hashování zajišťuje, že jakákoli úprava dokumentu po podpisu bude okamžitě odhalena.
Použití hash při tvorbě
Představ si, že podepisuješ digitální dokument. Místo podepisování celého souboru (který může být velký) podepíšeš pouze jeho hash.
Je to rychlejší (hash je krátký, dobře se šifruje), dokument zůstává čitelným (podpis nezasahuje do jeho obsahuje), zajišťuje neměnnost (změna zneplatní podpis).
Při podepisování dokumentu vypočítáme hash dokumentu -> hash zašifrujeme soukromý klíčem podepisující osoby -> výsledek připojíme k dokumentu jako elektronický podpis.
Příjemce si sám spočítá hash přijatého dokumentu -> odemkne podpis veřejným klíčem podepisujícího a získá originální hash -> porovná oba hashe – pokud se shodují, dokument je pravý a nepozměněný.
Zdroj obrázku: https://www.itnetwork.cz/elektronicky-podpis/elektronicke-podpisy-ucel-a-vyuziti
Použití v praxi
Elektronický podpis se stal běžnou součástí digitální komunikace a je využíván v mnoha oblastech, kde je potřeba potvrdit totožnost, autenticitu dokumentu a jeho neměnnost.
Podepisování smluv a dokumentů
Firmy, úřady i jednotlivci dnes podepisují smlouvy elektronicky – například při nástupu do nové práce, při podepisování obchodních smluv nebo při uzavírání pojistky online.
Umožňuje rychlé a bezpečné podepsání dokumentu odkudkoliv, bez nutnosti tisku a fyzického podpisu, dokument je po podpisu právně závazný, pokud je opatřen kvalifikovaným elektronickým podpisem, zabrání jakýmkoliv úpravám – pokud by někdo změnil obsah smlouvy po podpisu, podpis přestane být platný.
Například pracovní smlouva mezi firmou a zaměstnancem se podepíše elektronicky pomocí kvalifikovaného certifikátu -> dokument je okamžitě platný a firma ho může rovnou archivovat nebo odeslat na úřady.
Zdroj obrázku: https://www.itnetwork.cz/elektronicky-podpis/elektronicke-podpisy-ucel-a-vyuziti
Elektronicky podepsané e-maily (S/MIME, PGP)
Slouží k ověření odesílatele e-mailu a zabránění podvrženým zprávám.
Chrání před phishingovými útoky – příjemce si může ověřit, že e-mail skutečně pochází od daného odesílatele, zajišťuje, že obsah e-mailu nebyl po cestě změněn, mají u odesílatele ikonku důvěryhodnosti (např. v Outlooku či Gmailu).
Banky a státní úřady často podepisují e-maily elektronickým podpisem, aby si byl příjemce jistý, že informace jsou pravé a ne podvržené.
Zdroj obrázku: https://www.ssls.cz/digitalni-podpis-outlook.html
Komunikace se státní správou
Úřady dnes umožňují elektronické podání žádostí a dokumentů, které je ekvivalentem papírového dokumentu s vlastnoručním podpisem.
Datové schránky – každý podnikatel a firma je povinna komunikovat s úřady přes datovou schránku, kde je každá odeslaná zpráva podepsána elektronicky – není nutno dokument navíc opatřovat elektronickým podpisem – stačí pouhé odeslání ze schránky odesílatele.
Podpis pomocí eObčanky – při komunikaci s úřady lze také použít občanský průkaz s čipem, který obsahuje kvalifikovaný elektronický podpis.
Například – podnikatel může přes datovou schránku podat daňové přiznání, které je automaticky považováno za podepsané a platné.
Zdroj obrázku: https://www.itnetwork.cz/elektronicky-podpis/elektronicke-podpisy-kvalifikovany-podpis-a-norma-eidas
Online bankovnictví
Banky využívají elektronický podpis při potvrzení plateb, smluv a přihlašování.
Bankovní identita umožňuje podepisovat elektronické dokumenty v různých službách (např. uzavření pojistky online). Digitálně podepsané transakce jsou bezpečné a nelze je zfalšovat, podpis plateb kartou (3D Secure) je vlastně elektronický podpis transakce.
Například – když platíš online kartou, potvrzuješ platbu biometrickým podpisem (otisk prstu, Face ID) nebo SMS kódem – to je elektronický podpis, který potvrzuje, že platbu provedl oprávněný uživatel.
Metody ověření pravosti
Elektronický podpis sám o sobě není k ničemu, pokud nelze ověřit jeho pravost. Ověření musí zajistit, že:
- podpis opravdu vytvořila konkrétní osoba (autenticita),
- dokument nebyl změněn po podpisu (integrita),
- podpis je platný a nebyl zneplatněn (validace certifikátu)
Hash a veřejný klíč
Při ověřování elektronického podpisu se použije veřejný klíč podepisujícího k ověření hash hodnoty dokumentu
Ověřující strana (např. úřad, banka) získá veřejný klíč podepisujícího -> z dokumentu si sama vypočítá hash (stejnou hashovací funkcí, která byla použita při podpisu) -> pomocí veřejného klíče dešifruje hash, který byl v podpisu (tento hash vytvořil podepisující při podpisu dokumentu).
Pokud jsou stejné -> dokument je pravý a nebyl změněn, pokud různé -> dokument byl změněn a podpis je neplatný.
Pokud obdržíš elektronicky podepsanou smlouvu, PDF čtečka (např. Adobe Acrobat) ti ihned ukáže, zda je podpis platný a dokument nebyl změněn.
Zdroj obrázku: http://www.tzijk.hys.cz/clanky/elektronicky-podpis
PKI
Označení infrastruktury pro distribuci a správu (tvorbu, využití a zneplatnění) veřejných klíčů a digitálních certifikátů. PKI umožňuje pomocí přenosu důvěry používat cizí veřejné klíče a důvěřovat tak původu zpráv nebo elektronickým podpisům bez nutnosti individuální kontroly klíčů a jejich vztahu k identitě druhé strany.
Aby bylo možné ověřit, že veřejný klíč skutečně patří dané osobě, používají se certifikáty vydané certifikační autoritou (CA).
Certifikát obsahuje veřejný klíč podepisujícího a je podepsán certifikační autoritou -> webový prohlížeč, e-mailový klient nebo PDF čtečka ověří, zda byl certifikát vydán důvěryhodnou CA -> pokud je podpis podepsán certifikátem vydaným důvěryhodnou autoritou, je platný. Pokud ne, dostaneš varování.
Součásti PKI:
- Certifikační autorita (CA) – ukládá, vydává a podepisuje certifikáty,
- Registrační autorita (RA) – ověřuje identitu žadatelů,
- Centrální adresář – bezpečné místo pro ukládání a indexaci klíčů.
Pomocí PKI tedy můžeme zajistit
- integritu zpráv – zpráva nebyla změněna (od vytvoření podpisu, zašifrování)
- nepopíratelnost – doložení původce zprávy (např. pomocí elektronického podpisu)
- důvěrnost – nemožnost odposlechu při přenosu zpráv (pomocí šifrování)
Zdroj obrázku: https://cs.wikipedia.org/wiki/PKI
Platnost
Každý certifikát má omezenou platnost a může být zneplatněn před uplynutím doby platnosti.
Pokud firma odvolá certifikát svého zaměstnance (např. po ukončení pracovního poměru), jeho elektronický podpis se stane neplatným. Každý, kdo ověřuje podpis, dostane informaci, že certifikát byl odvolán.
Existují dva základní způsoby, jak ověřit, zda certifikát nebyl zneplatněn:
- CRL (Certificate Revocation List) – seznam zneplatněných certifikátů, který pravidelně zveřejňuje certifikační autorita. Je ale třeba jej neustále aktualizovat a stahovat.
- OCSP (Online Certificate Status Protocol) – online dotaz na server autority, který okamžitě ověří stav certifikátu. Tento způsob je rychlejší a používanější, např. při ověřování v PDF čtečkách nebo e-mailových klientech.
Zdroj obrázku: https://www.researchgate.net/figure/CRL-and-OCSP-certificate-revocation-mechanisms_fig1_372690084
Způsoby ověřování důvěry
Aby bylo možné elektronický podpis považovat za důvěryhodný, je nutné ověřit pravost veřejného klíče podepisující osoby. Existují dva hlavní způsoby, jak ověření důvěry zajistit
Certifikační autorita – hierarchická struktura
Tento způsob ověřování spoléhá na důvěryhodnou třetí stranu – tzv. certifikační autoritu (CA). Uživatelé i organizace věří, že CA vydává certifikáty pouze po řádném ověření totožnosti a že tyto certifikáty budou správně chráněny proti zneužití nebo krádeži.
CA digitálně podepisuje certifikáty svým soukromým klíčem, čímž potvrzuje, že veřejný klíč v certifikátu skutečně patří dané osobě nebo organizaci. Pokud důvěřujeme certifikační autoritě, důvěřujeme i klíčům, které vydala.
Certifikační autorita může využívat tzv. registrační autoritu (RA) – ta ověřuje totožnost žadatele o certifikát. RA může být součástí CA, nebo fungovat samostatně.
Celý tento model tvoří základ PKI (Public Key Infrastructure) – hierarchického systému důvěry používaného například ve státní správě, bankách, nebo při podepisování PDF dokumentů.
Síť důvěry – distribuovaný systém
Alternativou k centrálním autoritám je tzv. síť důvěry (Web of Trust). Tato metoda nevyužívá jednu autoritu, ale umožňuje, aby si uživatelé navzájem podepisovali své veřejné klíče.
Každý uživatel si nastaví své vlastní podmínky důvěry – například: „Budu důvěřovat klíčům, které podepsali alespoň dva lidé, kterým důvěřuji.“
V tomto modelu si každý může vytvořit vlastní certifikát a sám ho podepsat (tzv. self-signed certificate). Takový přístup je běžný například u PGP/GPG, což jsou nástroje pro šifrování a podepisování e-mailů.
Distribuce klíčů pro ověření platnosti
Aby bylo možné elektronický podpis ověřit, je nutné získat správný veřejný klíč podepisujícího. K tomu slouží certifikační autority (CA), které vydávají digitální certifikáty obsahující veřejné klíče.
Veřejné klíče lze distribuovat třemi způsoby:
- Přímé sdílení – podepisující může příjemci přímo poslat svůj veřejný klíč. Nevýhoda? Příjemce nemá jistotu, že klíč je pravý.
- Certifikát podepsaný CA – certifikační autorita ověří totožnost žadatele a vydá mu certifikát. Příjemce pak důvěřuje CA a ví, že veřejný klíč je pravý.
- Hierarchická PKI infrastruktura – organizace a vládní instituce mají vlastní stromovou strukturu důvěry, kde se certifikáty podepisují nadřazenou autoritou.
Banky a úřady vydávají certifikáty pro ověření identity zaměstnanců, takže veřejné klíče jsou vždy ověřené a spolehlivé
Úrovně elektronického podpisu dle legislativy.
Elektronický podpis v České republice vychází z nařízení eIDAS (EU 910/2014) a má tři úrovně zabezpečení. Každá úroveň má jiný právní status a odlišné využití v praxi.
Kvalifikovaný elektronický podpis je právně uznávaný napříč celou EU, stejně jako vlastnoruční podpis na papíře. Například – pokud český podnikatel podepíše dokument kvalifikovaným podpisem, bude tento dokument platný i ve Francii, Německu nebo Polsku. To usnadňuje přeshraniční komunikaci, podávání žádostí nebo uzavírání smluv v rámci celé Evropské unie.
| Typ podpisu | Úroveň zabezpečení | Použití |
| Jednoduchý elektronický podpis | Nejnižší úroveň | E-mailové podpisy, běžné dokumenty |
| Zaručený elektronický podpis | Vyšší úroveň, vázaný na identitu podepisujícího | Dokumenty ve firmách, smlouvy |
| Kvalifikovaný elektronický podpis | Nejvyšší úroveň, právně ekvivalentní vlastnoručnímu podpisu | Soudy, úřady, banky, právní dokumenty |
Jednoduchý elektronický podpis
Jedná se o nejzákladnější formu elektronického podpisu, který nemá žádné zvláštní technické požadavky. Může jít o naskenovaný podpis, zaškrtnutí políčka na webu, kliknutí na „Souhlasím“ nebo prosté napsání jména do e-mailu.
Může být snadno zfalšován a není platný pro smlouvy.
Zaručený elektronický podpis
Jedná se o podpis, který je pevně svázán s identitou podepisujícího. Musí být vytvořen pomocí osobního digitálního certifikátu, který může být self-signed.
Lze ho uložit na USB token nebo do počítače.
Využívá se k podepisování smluv mezi firmami a zaměstnanci nebo pro firemní komunikaci s důvěryhodností vyšší než běžný e-mail.
Není ekvivalentní vlastnoručnímu podpisu podle zákona, ale jeho platnost je silnější než jednoduchý podpis.
Uznávaný elektronický podpis
Jedná se o podpis, který je pevně svázán s identitou podepisujícího. Musí být vytvořen pomocí kvalifikované digitálního certifikátu, který vydává důvěryhodná certifikační autorita.
Lze ho uložit na USB token nebo do počítače.
Využívá se k podepisování smluv mezi firmami a zaměstnanci nebo pro firemní komunikaci s důvěryhodností vyšší než běžný e-mail.
Není ekvivalentní vlastnoručnímu podpisu podle zákona, ale jeho platnost je silnější než jednoduchý podpis.
Kvalifikovaný elektronický podpis
Nejsilnější typ elektronického podpisu, který je plně právně závazný a nahrazuje klasický vlastnoruční podpis.
Musí být vytvořen pomocí kvalifikovaného digitálního certifikátu, který vydává důvěryhodná certifikační autorita.
Součástí požadavků je také použití tzv. kvalifikovaného prostředku pro vytváření elektronického podpisu (QSCD). Jde o certifikované zařízení, které zajišťuje, že soukromý klíč nikdy neopustí fyzické médium (např. token nebo čipovou kartu). Například: USB token od certifikační autority PostSignum je považován za QSCD, protože podpis provádí přímo na zařízení a klíč nelze zkopírovat. To zajišťuje maximální bezpečnost elektronického podpisu.
Certifikát se ukládá na USB token, čipovou kartu nebo občanský průkaz s čipem
Pokud tedy potřebujeme právně závazný podpis, kvalifikovaný elektronický podpis je jediná plně uznávaná varianta podle české legislativy.
Zdroj obrázku: https://www.earchiv.cz/b25/b0216001.php3
Kvalifikovaný osobní a kvalifikovaný komerční certifikát
Elektronické podpisy využívají digitální certifikáty, které ověřují identitu podepisujícího a zaručují pravost podpisu. V rámci legislativy EU a ČR (nařízení eIDAS) se dělí na osobní a komerční.
Osobní
Kvalifikovaný osobní certifikát slouží ke generování kvalifikovaného elektronického podpisu, který je právně rovnocenný vlastnoručnímu podpisu.
Žadatel musí osobně doložit svou totožnost (např. občanským průkazem), certifikát se vydává na bezpečné zařízení (např. USB token) a podpis musí být vytvářen kvalifikovaným prostředkem (QSCD).
Například – podnikatel chce elektronicky podepsat smlouvu s jinou firmou. Použije kvalifikovaný osobní certifikát, takže podpis má stejnou právní sílu jako vlastnoruční podpis na papírové smlouvě.
Komerční
Tento certifikát je vydáván právnickým osobám (firmám, úřadům, organizacím) a slouží k elektronickému podepisování firemních dokumentů, přihlášení do systémů státní správy…
Žádost podává statutární zástupce firmy, certifikát se vydává na bezpečné zařízení (např. USB token) a podpis musí být vytvářen kvalifikovaným prostředkem (QSCD).
Například – účetní firma podává za klienty daňová přiznání elektronicky. K ověření pravosti používá kvalifikovaný komerční certifikát, který potvrzuje identitu firmy a zaručuje pravost podání.
Certifikační autority v ČR
Certifikační autorita (CA) je organizace, která ověřuje totožnost žadatelů a vydává jim elektronické certifikáty. Vydává certifikáty pro elektronické podpisy, které zaručují pravost a integritu dokumentů. Zajišťuje správu, revokaci a obnovu certifikátů.
Hlavní certifikační autority v České republice:
- PostSignum (Česká pošta) – nejrozšířenější v ČR pro běžné i kvalifikované podpisy.
- I.CA (První certifikační autorita) – používá se pro firemní a státní sektor.
- eIdentity – nabízí služby pro jednotlivce i firmy.
- Bankovní identita – nový způsob ověřování, který umožňuje využívat elektronickou identitu pro podpisy.
Pokud chce podnikatel získat kvalifikovaný elektronický podpis, může si ho nechat vystavit například u PostSignum nebo I.CA.
Hardwarové prostředky
Elektronický podpis lze uložit a používat softwarově (souborový certifikát) nebo hardwarově (fyzické zařízení). Hardwarová řešení přinášejí vyšší bezpečnost, protože soukromý klíč nikdy neopustí zařízení.
Token
Speciální USB zařízení, které uchovává soukromý klíč a umožňuje podepisování dokumentů bez kopírování klíče do počítače.
Slouží jako ochrana proti zcizení klíče – k použití je nutné zadat PIN kód.
Právníci, účetní a úředníci používají USB tokeny pro podepisování smluv a podání na úřady.
Zdroj obrázku: https://www.itnetwork.cz/elektronicky-podpis/vybaveni-pro-ziskani-kvalifikovaneho-elektronickeho-podpisu
Čipové karty
Plastová karta s integrovaným čipem, který obsahuje elektronický certifikát a umožňuje bezpečné přihlášení i podepisování.
Funguje podobně jako bankovní karta – k jejímu použití je třeba čtečka čipových karet a zadání PIN kódu.
Kvalifikované certifikáty vydávané PostSignum nebo I.CA lze uložit na čipovou kartu
Zdroj obrázku: https://www.itnetwork.cz/elektronicky-podpis/elektronicke-podpisy-nastavujeme-eobcanku
Mobilní telefon
Namísto fyzického zařízení lze elektronický podpis uložit v cloudu nebo v mobilní aplikaci.
Uživatel se identifikuje pomocí biometrie (otisk prstu, Face ID) nebo dvoufaktorové autentizace (SMS kód, mobilní aplikace).
Bankovní identita umožňuje podepisování dokumentů přes mobilní aplikaci bez nutnosti tokenu nebo čipové karty.
Elektronická pečeť
Vedle elektronického podpisu existuje ještě tzv. elektronická pečeť, která se používá hlavně organizacemi, tedy firmami, úřady nebo školami.
Zatímco elektronický podpis slouží k tomu, aby potvrdil identitu konkrétní osoby (např. paní Novákové, která dokument podepsala), elektronická pečeť slouží k tomu, aby strojově potvrzovala původ a integritu dokumentu jménem organizace.
K čemu slouží?
- Automatické podepisování hromadných dokumentů (např. faktur, výpisů, potvrzení)
- Zaručuje původ dokumentu (pochází od organizace, ne z cizího zdroje)
- Zabraňuje změně dokumentu po vytvoření – jakákoliv změna „rozbije“ pečeť
Například – Škola potřebuje odeslat všem žákům elektronické vysvědčení. Nechce, aby každé vysvědčení podepisoval ředitel ručně. Pomocí systému (např. Bakaláři) škola automaticky vystaví dokumenty a připojí elektronickou pečeť školy. Rodiče pak vědí, že dokument skutečně pochází od školy a nebyl po cestě změněn.
Elektronická pečeť vzniká podobně jako elektronický podpis – dokument se zahashuje, hash se zašifruje soukromým klíčem organizace a připojí k dokumentu. Příjemce ověří veřejným klíčem organizace, že dokument je pravý a nezměněný.
Elektronická pečeť nenahrazuje podpis konkrétní osoby, proto ji nelze použít v situacích, kdy zákon vyžaduje, aby dokument podepsala konkrétní fyzická osoba (např. soudce, starosta, ředitel). Ale tam, kde stačí potvrzení, že dokument pochází od organizace, je rychlá, bezpečná a vhodná.
Prezentace
11-Elektronicky-podpisZdroje
Seznam zdrojů
ŠEDIVÝ, Libor. Operační systémy IV. ročník: Učební text. Městská střední odborná škola Klobouky u Brna, 2023.
ŠEDIVÝ, Libor. Operační systémy IV. ročník: Prezentace. Městská střední odborná škola Klobouky u Brna, 2023.
PASEKA, Jan. Kryptografie. Online. Brno: Masarykova univerzita, 2018. Dostupné také z: https://is.muni.cz/el/sci/jaro2018/M0170/um/um/PREDLAwideboc_nfbjkgjs.pdf.
JEŽEK, Jakub. Kryptografické metody. Online, Bakalářská práce. Brno: AMBIS, 2009. Dostupné také z: https://is.ambis.cz/th/zoant/1.pdf.
OULEHLA, Milan a JAŠEK, Roman. Moderní kryptografie: průvodce světem šifrování. [Praha]: IFP Publishing, 2017. ISBN 978-80-87383-67-4.
BURDA, Karel. Aplikovaná kryptografie. Brno: Vutium, 2013. ISBN 978-80-214-4612-0.