Jak podepsat e-mail elektronickým podpisem

Jak podepsat e-mail elektronickým podpisem

Každý živý tvor si něco nějakým způsobem podepisuje a člověk není výjimkou. Donedávna se k podepisování dokumentů používal výhradně vlastnoruční podpis. Doba však pokročila, poštovní služby jsou neskutečně drahé a tak není divu, že e-mail se stal mimořádně populárním. Jeho výhodami jsou nejen láce, rychlost ale i možnost požadovat oznámení o tom, zda si adresát zprávu zobrazil na svém počítači. Má však i jednu nevýhodu. Je celkem snadno zneužitelný. Kdo se v počítačích jenom trochu víc vyzná, pro toho není problém nastavit si počítač tak, aby jménem někoho jiného odeslal jakoukoliv zprávu. A kdo je ještě šikovnější, dokáže také e-mail na jeho pouti sítí internet odchytit a pozměnit. Z toho vyplývá, že není radno tímto způsobem posílat důležité a citlivé dokumenty, jako např. smlouvy nebo faktury. Celý problém však velmi elegantně řeší elektronický podpis. Vyzkoušel jsem jej prakticky a protože se mi osvědčil, začal jsem jej i používat. Abych mohl popsat jak vše probíhalo, musíme se zpočátku ponořit do trochy do teorie a zákonů.

Zákonná norma existuje

Náš stát patří naštěstí k těm moderně uvažujícím a tak již v roce 2000 přijal "Zákon 227/2000 Sb. o elektronickém podpisu" a v roce 2002 "Zákon 226/2002 Sb. upravující zákon o elektronickém podpisu". Tím se stal podpis elektronický rovnocenným podpisu vlastnoručnímu, což je mimořádně důležité. Jenomže nic není dokonalé a zákony už vůbec ne. Takže u nás pro komunikaci se státní správou lze použít pouze elektronický podpis založený na tzv. kvalifikovaném certifikátu. Ten vydá za příslušný poplatek zatím pouze jediná certifikační autorita (déle budu certifikační autority označovat zkratkou CA). Protože pro každý úřad státní správy potřebujete certifikát samostatný a musíte jej obnovovat každého půl roku, finanční náklady výrazně přerostou úsporu, o náporu na nervovou soustavu při získávání tolika certifikátů ani nemluvě. Proč není těch CA pro vydávání kvalifikovaných certifikátů víc aby si mohly konkurovat? Je to jednoduché. CA musí splnit tak náročné a ekonomicky nákladné technicko-organizační podmínky (jejich rozbor je nad rámec tohoto článku a byl by velmi složitý), že se do toho žádná firma nehrne. Z toho vyplývá, že pro komunikaci se státní správou je elektronický podpis prakticky k ničemu.
Naštěstí je zde velká oblast, ve které můžeme elektronický podpis směle použít a to plně v souladu s naší legislativou. Vyjmenovávat, co do této oblasti patří, by bylo velmi obsáhlé a tak bude nejjednodušší říct, že je to vše, mimo komunikaci se státní správou. Jedná se např. o zasílání faktur, smluv, obchodních dopisů a, díky možnosti šifrování, i obsahově citlivých dokumentů služebního i osobního charakteru. To byl samozřejmě jen malý příklad, na další využití vás přivede praxe. Tedy pro toto vše již není třeba vystavovat elektronický podpis na základě certifikátu kvalifikovaného, ale certifikát si můžete nechat vystavit u libovolné CA. Úspory nákladů a času při využívání elektronického podpisu jsou, podle mých zkušeností, významné.

Podpis a certifikát

Možná si právě říkáte, že mám v těch pojmech nějaký zmatek. Střídám pojmy elektronický podpis a certifikát. Ale ono je to správně. Žádná CA totiž nevydá elektronický podpis, vydá elektronický certifikát. Elektronický podpis vzniká při podepisování e-mailu na základě certifikátu vydaného CA a je vždy unikátní. Nejen, že identifikuje jednoznačně odesílatele, ale navíc ověří, že ve zprávě na její cestě nebyl změněn ani jediný bit. V praxi to tedy funguje tak, že CA vystaví certifikát, ten si nainstalujete do počítače a na základě tohoto certifikátu při odesílání zprávy počítač vygeneruje unikátní podpis neoddělitelně svázaný s odchozí zprávou. Příjemce si nainstaluje do svého počítače kořenové certifikáty CA, tím jí vyjádří svou důvěru, a potom již dochází k automatické kontrole příchozí pošty podepsané podpisem vystaveným na základě certifikátu vydaného touto CA. Ale dost teorie.
Získat certifikát jsem se pokusil již na Invexu v roce 2000. Když mě však CA, které jsem údaje potřebné pro vystavení certifikátu osobně předal, obeslala e-mailem, že se něco nepovedlo a že mám poslat údaje znova, ztratil jsem důvěru a vzdal to. Snad to byla jen nešťastná náhoda, ale při tak citlivé záležitosti, jakou elektronický podpis je, jsem nechtěl riskovat a řekl jsem si že se raději poohlédnu po jiné CA.
Druhý pokus jsem učinil až po Invexu 2002. Zde mne zaujala CA Czechia a tak jsem to zkusil znova. Navštívil jsem jejich www stránky a vybral si jeden z typů certifikátu. Jak vidíte, za ty dva roky možnosti vzrostly a já si mohl vybrat jaký certifikát (osobní nebo serverový) chci a kde bude certifikát potřebný ke generování elektronického podpisu uložen. Vybral jsem si tedy "Osobní certifikát PROFI". Ten se liší od ostatních tím že používá USB token, což je miniaturní zařízení, které připojíte na USB port svého počítače. Vyberete-li si token modernější, v mém případě to byl iKey 2000, zajistí vám token při vystavování žádosti o certifikát vygenerování a uložení veřejného i privátního klíče, na základě kterých (mimo jiné) CA certifikát vydá. Také ten se uloží do tokenu. Bez přítomnosti tokenu v USB portu není tedy možno nic podepsat. Certifikát máte stále v bezpečí s sebou a navíc je snadno přenositelný např. i na notebook. Samozřejmostí je ochrana PINem, který si sami zvolíte.

Praxe s iKey 2000

Takže zpět do praxe. Nejprve jsem si objednal USB token iKey 2000. Po jeho doručení poštou, a snadném nainstalování příslušného SW pro něj, jsem provedl inicializaci tokenu. Pozor! Ta se provádí pouze jednou a dojde při ní k vymazání celého obsahu tokenu a uvedení do výchozího stavu včetně přednastavení výchozího hesla, které je proto dobré okamžitě změnit! Připravte se na to, že heslo musí mít nejméně čtyři znaky. Osobně doporučuji nejméně šest znaků a mělo by obsahovat malá i velká písmena a také číslice (alespoň po jednom). Tím dojde ke ztížení odhalení hesla. Doufám, že nemusím zdůrazňovat, že jméno manželky s datem jejího narození je jako heslo naprosto nevhodné a lepení hesel na klávesnici zespoda či dokonce rovnou na monitor má stejný efekt, jako jejich vyhlášení veřejnými sdělovacími prostředky. Token iKey 2000, tedy ten "chytřejší" obsahuje navíc ještě kryptografický procesor, takže žádné klíče ani certifikáty nelze z tokenu prakticky žádným způsobem vydolovat. Pokud byste si již certifikát objednali a potom provedli znova inicializaci tokenu, nebyl by vám vystavený certifikát k ničemu. Po inicializaci tokenu a změně hesla jsem se připojil na internet a na stránkách www.caczechia.cz si nechal certifikát vystavit. Token vygeneroval, a do své paměti uložil, veřejný i privátní klíč. Ty byly automaticky odeslány CA. Celý proces byl rychlý a skončil vytištěním smlouvy ve dvou exemplářích. Smlouvu jsem musel nechat podepsat na místě, které může ověřit podpis a údaje v občanském průkaze (např. Městské úřady nebo notáři). Smlouvu bych býval mohl podepsat i přímo v CA Czechia, to však pro mě bylo trochu z ruky. Po obdržení a potvrzení smlouvy CA mi byl jeden stejnopis vrácen zpět a e-mailem mi bylo sděleno, že si mohu nainstalovat certifikát. Instalace proběhla bez potíží do tokenu i do počítače. Důležité je uvědomit si, že vystavený certifikát se vztahuje nejen ke konkrétní osobě, ale i ke konkrétní e-mailové adrese. Protože tuto adresu využívám nejen na počítači stolním ale i na notebooku, chtěl jsem certifikát využívat i zde. Nainstaloval jsem proto do něj kořenové certifikáty CA Czechia, software pro token a s jeho pomocí jsem velmi snadno umístil certifikát do notebooku. Samozřejmě snad nemusím zdůrazňovat, že délka vystaveného certifikátu odpovídá našim zákonům. A potom jsem již pouze podepisoval a podepisoval a ...
Samozřejmě, není nezbytně nutné vybrat si používání certifikátu s tokenem, vše lze uskutečnit i bez něj, ale když se jedná o bezpečnost tak citlivé záležitosti, jakou elektronický podpis bezesporu je, považuji použití tokenu za velmi rozumné. Je malý, certifikátů se do něj vejde víc a model s kryptovacím procesorem zajistí, že se k certifikátu nedostane nikdo neoprávněný ani v případě ztráty tokenu.
[*]
Autor se na internetové adrese www.bod.cz zabývá tématikou elektronického podpisu