Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

7.5        MS Office a SHA-2

Na závěr této kapitoly, věnované problematice elektronického podpisu v kancelářském balíku MS Office, si ještě řekněme, jak je to s podporou hašovací funkce SHA-2.

V souvislosti s tím si můžeme připomenout, že tuzemské certifikační autority smějí vydávat (od 1.1.2010) již jen takové certifikáty, které podporují SHA-2. Přesněji: které jsou samy vydány s využitím hašovací funkce SHA-2 (a klíčů o velikosti nejméně 2048 bitů).

Stejně tak si ale připomeňme, že povinnost používání SHA-2 se týká vydávání nových certifikátů, ale nikoli jejich používání širší uživatelskou veřejností. Vůči ní jde pouze o doporučení, ale nikoli o formálně závaznou povinnost.

Připomenout si můžeme i to, že „nové“ certifikáty (vydané již na bázi SHA-2) lze stále používat i „postaru“, neboli k vytváření takových elektronických podpisů, které využívají ještě původní hašovací funkci SHA-1[14].

O tom, zda je podpis na bázi SHA-1 stále přípustný, nebo nikoli (a zda je vyžadován podpis využívající již hašovací funkci SHA-2), pak obecně rozhoduje příjemce. V oblasti veřejné moci tedy ta konkrétní agenda, která elektronicky podepsané dokumenty přijímá.

Například Celní správa pro své agendy požaduje podpisy na bázi SHA-2 počínaje 1.12.2010.

Pokud jde o samotnou podporu hašovací funkce SHA-2 v jakýchkoli softwarových produktech – a nikoli pouze v těch od Microsoftu – pak je nutné mít na paměti, že tuto hašovací funkci musí podporovat celý řetězec prvků, který se na tvorbě podpisu či jeho ověření podílí. Tedy jak samotné aplikace, tak i operační systém, používané úložiště důvěryhodných certifikátů a také moduly CSP, které jsou využívány. Jakmile kterýkoli z prvků v tomto řetězci SHA-2 nepodporuje, není možné s touto hašovací funkcí pracovat.

Jinými slovy: k tomu, aby znemožnil práci s SHA-2, stačí jediný prvek celého řetězce, který SHA-2 nepodporuje.

Rozeberme si nyní podporu SHA-2 v produktech Microsoftu podle jednotlivých prvků celého řetězce[15]. Přitom budeme rozlišovat dva různé účely, protože jejich podpora se u konkrétních prvků může lišit:

·         ověření certifikátu s SHA-2: toto je zapotřebí například v situaci, kdy se svým browserem přistupujeme k nějakému serveru, který se nám prokazuje svým serverovým certifikátem – a ten byl vystaven s využitím SHA-2.

·         ověření (vyhodnocení platnosti) nebo vytvoření elektronického podpisu na dokumentu či na e-mailové zprávě, na bázi SHA-2


[14] Platí to dokonce i obráceně: „starý“ certifikát, vydaný ještě s SHA-1, lze využít k podepisování s SHA-2

[15] SHA-2 je ve skutečnosti celou rodinou hašovacích funkcí, které se liší velikostí otisku (hashe): 224, 256, 384 nebo 512 bitů. V produktech Microsoftu je implementována pouze trojice vyšších funkcí (SHA-256, SHA-384 a SHA-512). Funkce SHA-224, která ani není určena pro elektronický podpis, podporována není.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61