Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

4.3.5         Proč je nutné používat komerční certifikáty?

Vraťme se ale ještě k tomu, proč se kvalifikované certifikáty nesmí používat pro jiné účely, než ty které souvisí s podepisováním (či vytvářením značek nebo razítek). Přesněji: proč se přitom nesmí používat soukromé klíče, které jsou s kvalifikovanými certifikáty spojeny. Důvody jsou jak formální, tak i ryze praktické.

Jak uvidíme v kapitole 8, třeba při běžném přihlašování (k nějaké službě či serveru) prostřednictvím certifikátu posílá protistrana přihlašujícímu se uživateli určitou výzvu, kterou uživatel podepíše (aniž by ji vlastně vůbec viděl) a vrací zpět, čímž se vůči protistraně autentizuje (prokazuje svou totožnost). Nekorektně se chovající protistrana by ale mohla přihlašujícímu se uživateli podstrčit (v roli výzvy) otisk prakticky libovolného dokumentu – a pokud by uživatel právě používal kvalifikovaný certifikát, získala by jeho platný (a právě závazný) podpis na tomto dokumentu.

Nebo jiný příklad, související se šifrováním: když si zašifrujete nějaká svá data, určitě si budete chtít někde nechat v záloze kopii (soukromého) klíče, který potřebujete pro dešifrování. Případně ho může chtít do zálohy i váš zaměstnavatel. V některých zemích ho dokonce může požadovat i stát[56]. Pak je ale zásadní rozdíl mezi tím, zda se jedná o komerční certifikát a s ním související soukromý klíč (který nevytváří právně závazné podpisy) nebo o kvalifikovaný certifikát a s ním související osobní klíč (se kterým se již lze platně podepisovat).

Využití kvalifikovaných certifikátů pro jiné účely než přímo související s podepisování zapovídá i zákon č. 227/2000 Sb., o elektronickém podpisu. Ve svém §5 totiž ukládá povinnost nakládat se soukromými klíči tak, aby nemohlo dojít k jejich neoprávněnému použití. Tím nemusí být jen odcizení a následné využití soukromého klíče někým jiným, ale i jeho využití oprávněným vlastníkem pro jiné účely, než je samotné podepisování.

Povšimněme si také, že zákon formálně hovoří o „datech pro vytváření elektronických podpisů“ a nikoli o soukromém klíči. Tím jakoby zdůrazňuje, že nejde o „univerzálně použitelný“ klíč, ale jen o něco, co se dá využít pouze pro účely vytváření podpisů.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Výňatek z certifikační politiky CA PostSignum pro vydávání kvalifikovaných
certifikátů

Obrázek 4 - 8: Výňatek z certifikační politiky CA PostSignum pro vydávání kvalifikovaných certifikátů

Požadavky zákona (ale i relevantních standardů[57]) se pak odráží i v požadavcích certifikačních autorit, vydávajících kvalifikované certifikáty, formulova ných v jejich certifikačních politikách i obchodních podmínkách.


[56] Toto již platí například ve Velké Británii, kde stát má právo požadovat klíč po každém, kdo si něco zašifroval. Za neposkytnutí takovéhoto klíče padly v roce 2010 už i první tresty.

[57] Konkrétně standardu ETSI TS 101 456 - Electronic Signatures and Infrastructures (ESI) - Policy requirements for certification authorities issuing qualified certificates© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61