Elektronický podpis – má dnes ještě uplatnění?

V době cloudových služeb a chytrých telefonů může elektronický podpis působit jako relikt minulosti. Jenže právě dnes hraje zásadní roli – chrání vaši identitu, zajišťuje integritu komunikace a přináší právní jistotu do digitálního světa. Zjistěte, proč se bez něj stále (a možná ještě víc) neobejdete. V článku se podíváme, kde všude dává smysl, jaké má formy a proč by ho měl mít nejen podnikatel, ale i běžný uživatel.

Hlavní funkce elektronického podpisu

Elektronický podpis má dvě hlavní funkce – důvěryhodné podepisování dokumentů ověřenou identitou a podepisování e-mailů.

1. Podpis dokumentů
   Elektronický podpis založený na kvalifikovaném certifikátu má stejnou váhu jako vlastnoruční podpis. Díky legislativě a PKI se výrazně ulehčila práce s digitálními dokumenty – ať už uzavírání smluv, nebo podání veřejné správě.
2. Podpis e-mailu
   Podepsaný e-mail s platným podpisem zaručuje, že zpráva nebyla od podepsání změněna. Funguje na principu podpisu otisku zprávy (hash). Pokud by se ve zprávě od podpisu něco změnilo, tak se podpis stane neplatným, na což bude uživatel upozorněn.

Typy certifikátů pro elektronický podpis

Pro elektronický podpis potřebujete digitální certifikát vydaný pro vaši osobu – a to buď kvalifikovaný, pokud jím chcete uzavírat právní akty, nebo pro pokročilý podpis (advanced electronic signature), který poslouží technicky stejně, ale nebude uznáván jako vlastnoruční (kvalifikovaný). Hlavní rozdíl mezi těmito dvěma je v uložení certifikátu – zatímco certifikát pro pokročilý (advanced) podpis můžete mít uložený jakkoliv v počítači, certifikát pro kvalifikovaný podpis musí být uložen na kvalifikovaném prostředku, jinak nebude mít tuto úroveň důvěryhodnosti. Takovým prostředkem je například token, nebo čipová karta; podpis je pak chráněn zadáním hesla či PINu.

Oba termíny pro osobní certifikát a podpis vyplývají z právní regulace a nařízení eIDAS a určují typ důvěryhodnosti elektronického podpisu. X.509 certifikát pro pokročilý (dříve zaručený) podpis se v komerční sféře nazývá jednoduše S/MIME (podle standardu) či osobní, někdy i jako komerční.

Má význam si podpis zařídit?

Pokud pracujete s dokumenty a potřebujete uzavírat smlouvy, nebo se třeba přihlašovat do veřejných zakázek, kvalifikovaný certifikát je pro vás vhodný a ušetří čas.

Je též nutnost pro OSVČ a jednatele firem, protože ti potřebuji dávat podání v elektronické formě neustále.

Běžný občan si vystačí pro elektronická podání (daňové přiznání) s Datovou schránkou a pro práci mu stačí osobní S/MIME certifikát a elektronický podpis.

Elektronický podpis je zbraň proti phishingu

Podvodné maily se bohužel staly součástí našich životů a denně musíme odolávat pokusům o krádež přihlašovacích údajů, či zneužití platebních karet. Protože e-mail umožňuje uvést jako odesilatele úplně cokoliv, začal se brzy zneužívat k podvržení identity. 

Současné e-mailové služby jsou “ověřeny” řadou bezpečnostních mechanismů jak SPF, DKIM či DMARC, ale pro uživatele to není příliš transparentní. Pokud je zpráva doručena do schránky příjemce a poskytovatel e-mailu je profesionál, lze předpokládat, že se nejedná o podvodnou zprávu a můžeme důvěřovat minimálně doméně odesílatele.

Pokud odesílatel použil certifikát a pošle ho elektronicky podepsaný, můžeme navíc zkontrolovat detaily certifikátu a jeho identitu. V S/MIME certifikátech vhodných pro firemní použití je uvedeno jméno odesílatele, ale i jeho zaměstnavatel.

Takový elektronický certifikát umožňuje zprávu i zašifrovat tak, aby ji kromě příjemce nemohl nikdo přečíst. A to je velká výhoda, pokud si posíláte důvěrné informace. E-mail je totiž jako dopis, který si může po cestě kdokoliv přečíst, pokud není mezi servery přenášen šifrovaně.

Potřebuji S/MIME certifikát, nebo stačí PGP/GPG?

Osobní certifikát pro podepisování e-mailů a digitální podpis získáte buď od veřejné certifikační autority jako DigiCert, nebo si ho můžete vydat sami. Nejpoužívanější kancelářský standard pro podpis e-mailů se nazývá S/MIME a vydávané certifikáty jsou komerční. Naproti tomu ekosystém GPG klíčů je opensource a zcela zdarma. Vychází z dřívějšího PGP, které bylo komerčně licencované

Hlavním rozdílem je tedy důvěryhodnost údajů uvedených v certifikátu. Certifikační autorita musí organizaci před vydáním ověřit dle standardních pravidel (u kvalifikovaného certifikátu je nutná osobní návštěva), ale GPG si můžete klidně vytvořit pro sebe jako Donalda Trumpa a bude pouze na protistraně, zda mu bude důvěřovat. PGP/GPG je též o něco složitější na používání, protože nemá nativní podporu v klientech jako Outlook či Thunderbird (je potřeba doplněk).

S automatizací vše dává dokonalý smysl

Představte si situaci, kdy všichni ve vaší firmě mají elektronický podpis a automaticky podepisujete všechny zprávy v rámci firmy i poslané ven (pomocí S/MIME). Pokud budete chtít poslat citlivou přílohu, zvolíte šifrování zprávy a bez problémů ji příjemci pošlete důvěrně. Nemusíte řešit kde vzít jeho veřejný klíč, ať už z S/MIME certifikátu, nebo PGP/GPG. Poštovní program se o to automaticky postará, protože všechny certifikáty jsou v adresáři Active Directory.

Není to skvělé? Věřím, že tak by to mělo být a lze toho dosáhnout i bez toho, aby IT správci obcházeli všechny zaměstnance a nastavovali jim tam S/MIME certifikát. Pomocí KeyTalk Secure Email Service můžete certifikáty pro všechny zaměstnance vydat, nahrát do AD a pak automaticky a bezpracně nastavit všem zaměstnancům v e-mailovém klientovi. O nastavení na koncových zařízeních se postará Agent, který komunikuje s hlavním serverem. Ušetříte tisíce hodin práce IT oddělení a zaměstnanci si ničeho ani nevšimnou.

KeyTalk můžete získat od SSLmarketu, neváhejte nás kontaktovat pro nezávaznou konzultaci.