Hlavní navigace

Kvalifikovaný elektronický podpis? Už jde i s novou elektronickou občankou

Jiří Peterka

Už dvě autority, PostSignum i I.CA, začaly vydávat kvalifikované certifikáty s příznakem uložení soukromého klíče na nové eOP coby kvalifikované prostředky.

Doba čtení: 8 minut

Nové elektronické občanské průkazy (eOP), které se začaly vydávat už počátkem letošního července, mohou být využity jak pro elektronickou identifikaci, tak i pro potřeby elektronického podepisování. Obojí funguje na dobrovolné bázi: u identifikace záleží na tom, zda si držitel nechá příslušné funkce aktivovat – nejčastěji při přebírání nového průkazu, případně později na kterékoli obci s rozšířenou působností.

V případě elektronického podepisování nejde jen o rozhodnutí (které naplní někdo jiný), ale musí jít o aktivní úkon držitele nové eObčanky: vše potřebné si musí zajistit sám. A také zaplatit, protože zdarma to není.

Připomeňme si (podrobněji jsem to rozebíral v tomto článku zde na Lupě), že jednou možností je nahrát si na čip v nové eOP již existující soukromý klíč (dosud uložený někde jinde) a jemu odpovídající podpisový certifikát. Důležité ale je, že když takto „přenesený“ soukromý klíč použijete pro vytvoření elektronického podpisu, nebude se jednat o kvalifikovaný elektronický podpis, ale jen o „čistě“ uznávaný elektronický podpis. Přesněji: o zaručený elektronický podpis, založený na kvalifikovaném certifikátu.

Aby se mohlo jednat o kvalifikovaný elektronický podpis, musí být soukromý klíč vygenerován přímo na čipu elektronické občanky (ze které ho není možné dostat ven). Dále: tato elektronická občanka musí být tzv. kvalifikovaným prostředkem pro vytváření elektronických podpisů, zkratkou QSCD (z anglického: Qualified Signature Creation Device). Zda tomu tak skutečně je, jsem podrobněji rozebíral v tomto předchozím článku.

Další nutnou podmínkou pak je to, aby – když žádáte o vydání kvalifikovaného certifikátu k takto vygenerovanému soukromému klíči – příslušná certifikační autorita (poskytovatel služeb vytvářejících důvěru) mohla mít jistotu o tom, že klíč skutečně vznikl v kvalifikovaném prostředku (QSCD) a nemůže jej opustit. Protože jen tehdy může autorita v certifikátu nastavit nezbytný příznak o uložení klíče na QSCD.

Jak jsme si již několikrát zdůrazňovali v předchozích článcích (naposledy zde), právě přítomnost či absence tohoto příznaku (v kvalifikovaném certifikátu) rozhoduje o tom, zda výsledný elektronický podpis bude kvalifikovaným elektronickým podpisem (je-li příznak nastaven), nebo jen „zaručeným elektronickým podpisem, založeným na kvalifikovaném elektronickém podpisu“.

Právě zde ale byl dosud problém – systémy, používané našimi certifikačními autoritami, ještě „neznaly“ nové elektronické občanky a neměly tzv. důkaz původu soukromého klíče. No a bez něj nemohly nastavit potřebný příznak o uložení tohoto klíče. Potřebovaly určitý čas k tomu, aby své systémy uzpůsobily novým elektronickým občankám.

Dnes už je to ale jinak: Česká pošta (resp. její PostSignum) oznámila vydávání kvalifikovaných certifikátů pro nové eOP (s nastaveným příznakem) k 15. říjnu a I.CA je začala vydávat 19. října. Třetí autorita (eIdentity) zatím takovéto certifikáty nevydává.

Musíte přijít osobně

V obou případech – tedy jak pro PostSignum, tak i I.CA – si musíte sami vygenerovat příslušnou žádost (v rámci které dochází i ke generování soukromého a veřejného klíče uvnitř čipu vaší eOP) a pak se osobně dostavit na příslušnou registrační autoritu.

Zatím totiž není možné postupovat tak jako při vydávání tzv. následného certifikátu k nějakému kvalifikovanému certifikátu, který již máte a je stále ještě platný (někdy je to nesprávně prezentováno jako jeho obnova) – že žádost o vydání nového certifikátu podepíšete starším, ale stále ještě platným (kvalifikovaným) certifikátem. Protože pak nemusíte nikam chodit a vše může proběhnout elektronicky, na dálku – díky tomu, že autorita, kterou žádáte o vydání nového (návazného) certifikátu, má z podepsané žádosti jistotu, že žádáte skutečně vy.

Zde ale tato možnost ještě nefunguje, na což třeba PostSignum na svém webu upozorňuje:

Pokud máte platný kvalifikovaný certifikát a chtěli byste získat nový certifikát na eOP elektronicky pomocí obnovy certifikátu, tak tento způsob zatím není možný (předpokládaný termín zprovoznění této možnosti je I.Q 2019).

Technicky to ovšem jde, alespoň u PostSignum (podepsat novou žádost jiným kvalifikovaným certifikátem). Tak jsem to ze zvědavosti vyzkoušel. Dopadlo to tak, že certifikát mi byl vystaven, bez nutnosti osobní návštěvy – ale i bez příznaku o uložení soukromého klíče na eOP coby QSCD.

No, alespoň mohu tento konkrétní certifikát používat i jako názornou pomůcku na dokreslení významu onoho příznaku v kvalifikovaném certifikátu: soukromý klíč byl vygenerován uvnitř QSCD a „nejde ho dostat ven“. Elektronický podpis pak „je vytvářen kvalifikovaným prostředkem pro vytváření elektronických podpisů“ a celkově splňuje požadavky zákona na to, aby se jednalo o kvalifikovaný elektronický podpis. Nicméně každý program, který jej bude vyhodnocovat, jej vyhodnotí jen jako „zaručený elektronický podpis, založený na kvalifikovaném certifikátu“, a to právě kvůli chybějícímu příznaku o uložení soukromého klíče na kvalifikovaném prostředku (na QSCD).

Zpět ale k postupu získání kvalifikovaného certifikátu s nastaveným příznakem u České pošty (PostSignum) a I.CA. Ten se trochu liší, a tak si je ukažme samostatně.

Jak se postupuje u PostSignum?

V případě České pošty a její autority PostSignum musíte k vygenerování žádosti použít její program iSignum. Ten už nové eOP podporuje a celý postup je v zásadě stejný jako při generování žádosti o nový certifikát (tj. nikoli při tzv. obnově, kdy je žádáno o návazný certifikát a žádost se podepisuje stávajícím certifikátem).

To důležité a rozhodující je, abyste při generování žádosti o nový certifikát zvolili správné úložiště, tedy svou eOP. Aktuální verze programu iSignum už ji správně detekuje, takže by to neměl být problém – viz zeleně ohraničená část na následujícím obrázku.

Pak už jen stačí správně zadat požadované PINy pro přístup k vaší eOP. Vygenerovanou žádost můžete nechat odeslat přímo do PostSignum, na její servery – s tím, že dostanete číslo (ID) žádosti, které pak předložíte při osobní návštěvě na autoritě.

Ono číslo žádosti vám ještě přijde i emailem s dalšími instrukcemi.

Po osobní návštěvě autority a zaplacení je nový certifikát vygenerován a vám přijde mailem upozornění a odkaz na místo, ze kterého si jej můžete stáhnout.  

Na tomto místě si můžete stáhnout protokol o vydání (což vřele doporučuji udělat, již jen proto, že v něm máte i heslo pro případnou revokaci certifikátu).

Také musíte potvrdit, že certifikát přijímáte – protože teprve pak se dostanete k místu, kde si jej můžete stáhnout.

Možnost nechat si instalovat nový certifikát do své eOP přímo z této stránky vám nejspíše fungovat nebude. Proto si nový certifikát raději stáhněte, a to ve formátu DER (do souboru s příponou .cer). Následně si takto stažený certifikát můžete uložit na svou eOP, kde již máte uložený odpovídající soukromý klíč.

Já jsem k tomuto účelu použil aplikaci eObčanka, přesněji její část pro správu karty. Postup je vcelku přímočarý, jen musíte nejprve přepnout aplikaci do rozšířeného režimu – neboť jen tak se dostanete k nabídce importu certifikátu k již existujícímu (již vygenerovanému) soukromému klíči.

Následně, po výběru správného (staženého) souboru s certifikátem a zadání správného PINu (v daném případě jde o QPIN na eOP), je operace dokončena – a správce karty vás informuje o tom, že certifikát je s příznakem uložení soukromého klíče na QSCD. Takže jej můžete začít využívat pro vytváření kvalifikovaných elektronických podpisů.

Pro srovnání: na následujícím obrázku vidíte onen „atypický“ certifikát, který sice byl také vystaven k soukromému klíči na QSCD, ale nemá v sobě příznak o umístění klíče – a tak jej také interpretuje i správce karty.

Jak se postupuje u I.CA?

V případě I.CA je postup principiálně stejný. Jen samotná žádost se negeneruje pomocí samostatného programu, ale online způsobem, z webových stránek autority. Začíná se zde a nejprve se prochází přes kontrolu schopností prohlížeče (a eventuální doinstalování nezbytných komponent).

Pokud váš prohlížeč umí vše, co je potřeba, dostanete se k žádosti o vydání nového certifikátu. Zde je opět třeba správně zvolit uložení soukromého klíče – aby byl generován přímo na eOP. Naštěstí možnost máte (u daného formuláře) jen jednu, takže se vlastně ani nemůžete splést. Ale poněkud matoucí je, že tato jediná možnost je označena „Microsoft Base Smart Card Crypto Provider“, a nikoli nějak jako „eOP“ atd.

Další postup je obdobný jako u PostSignum: žádost můžete nechat odeslat přímo do I.CA a sami dostanete číslo (ID žádosti). Kromě toho dostanete vše ještě mailem, i s instrukcemi o dalším postupu.

Po vygenerování certifikátu opět dostanete mail, ve kterém je tentokráte (v příloze, v ZIPu) i samotný nový certifikát. Můžete si ho nainstalovat sami, obdobným postupem, který jsme si popisovali výše – ale pohodlnější je nechat si jej nainstalovat přímo z webových stránek.

Dostanete se na ně přes tlačítko „Instalace kvalifikovaného certifikátu“ v mailu, viz předchozí obrázek. Zvolíte instalaci na eOP (horní tlačítko) a o vše už se postará váš prohlížeč.

Následně už si můžete jen zkontrolovat, že se nový certifikát řádně nainstaloval na čip vaší nové elektronické občanky – a že jde skutečně o certifikát s příznakem uložení soukromého klíče na kvalifikovaném prostředku pro vytváření elektronických podpisů.

Pro koho?

Na závěr si neodpustím malé připomenutí toho, co jsem už jednou psal v tomto prvním článku o podepisování s novou eOP: kdo reálně využije právě popsanou možnost používat eOP jako QSCD pro podepisování formou kvalifikovaného elektronického podpisu?

Možnost má samozřejmě kdokoli, kdo bude chtít – ale potřebu bude mít asi jen málokdo.

Například úředníci, kteří se musí podepisovat kvalifikovaným elektronickým podpisem, by pro výkon svých pracovních povinností již měli mít přiděleny jiné kvalifikované prostředky i se zaměstnaneckými certifikáty. Používání „soukromých“ občanských průkazů ke služebním účelům by po nich zaměstnavatel neměl požadovat.

A co občané, ať již jako soukromé osoby, či jako podnikatelé, jednatelé atd.? Obecně soukromoprávní subjekty? Ty nemají povinnost používat kvalifikovaný elektronický podpis, ale mohou vystačit i se „zaručeným elektronickým podpisem, založeným na kvalifikovaném certifikátu“. Takže jim stačí jen „obyčejný“ kvalifikovaný certifikát, bez příznaku o uložení soukromého klíče. A tedy i bez nutnosti vlastnit (resp. používat) kvalifikovaný prostředek. Ať již v podobě nové eOP, či v jiném provedení.

Zbývají snad jen nepočetné skupiny fyzických osob, které vykonávají nějakou veřejnoprávní působnost (aby musely používat kvalifikované elektronické podpisy) a které nemají klasické zaměstnavatele. Napadají mne třeba notáři. Ale ani ti nejspíše nečekali na nové eOP a dnes popsanou možnost a dali přednost kvalifikovaným prostředkům v jiném provedení.

Našli jste v článku chybu?