Pro elektronický podpis na poštu aneb reálné zkušenosti s QCA PostSignum

Česká pošta poskytuje kvalifikované certifikáty elektronického podpisu už od prvního září loňského roku. Jak vlastně vypadá cesta vedoucí k získání elektronického podpisu a na co je třeba se připravit?

Související odkazy

Slovník
Java
Linux
offline
online
USB

Elektronický podpis, respektive certifikát vydaný kvalifikovanou certifikační autoritou (QCA), by měl především usnadnit komunikaci se státními orgány. Zároveň by měl zajistit možnost bezpečné korespondence pomocí elektronické pošty prakticky s kýmkoliv.

Na rozdíl od certifikátu, který lze získat mnoha různými způsoby díky bezplatným, nebo komerčním službám, kvalifikovaný elektronický podpis skutečně zajišťuje, že jeho odesilatelem je ten, kdo se za odesilatele vydává, a to podle pravidel stanovených speciálním zákonem (227/2000). Můžete mít certifikátů kolik chcete, ale pouze ten, který je kvalifikovaný, lze použít při elektronickém jednání se státem nebo dalšími subjekty.

Cesta ke zprovoznění elektronického podpisu v ČR nebyla přímočará, a už vůbec ne jednoduchá. Poměrně dlouho, více než tři roky, byla jedinou firmou oprávněnou vydávat kvalifikované certifikáty První certifikační autorita (www.ica.cz). Její služby ale byly a dodnes jsou pro běžného občana – uživatele – příliš drahé. Za plnohodnotný elektronický podpis, tedy kvalifikovaný certifikát, je třeba zaplatit takřka 800 Kč, běžný komerční pak stojí o něco méně. Ten ale zase nelze uznat jako ověřený například na úředních podáních.

Kdo chtěl mít elektronický podpis, musel zkrátka počítat s částkou blížící se tisícikoruně, a to na jeden rok. Cena byla zdůvodňována především vysokými nároky na získání akreditace, avšak to na malé dostupnosti podpisu a zvolna se rozplývajícím snu o brzy již výhradně elektronických úřadech nic nezměnilo.

Žádáme o certifikát

Když Česká pošta oznámila, že bude také vydávat elektronické podpisy (krátká zpráva), byl to v létě loňského roku tak trochu šok uprostřed okurkové sezony. I. CA, zatím monopolní subjekt v této oblasti, pracuje prostřednictvím pobočkové sítě ČSOB, ale pošta je mnohem rozšířenější než soukromá banka. Svůj podpis by tak, přinejmenším teoreticky, mělo být možné vyzvednout si i v té nejmenší vesničce na konci světa.

Přesto se hlavním lákadlem stala cena. Ta byla avizována na částku do dvou set korun pro občana – fyzickou osobu. O certifikátu by tak mohlo začít uvažovat mnohem více lidí, než kolik si jej doposud pořídilo.

Mělo to své vady. Certifikační autorita nazvaná PostSignum (i v tomto případě se rozlišuje na komerční a kvalifikovanou, takže PostSignum QCA) zahájila svou činnost počátkem září 2005. Seznam pošt, na kterých byl podpis poskytován, ale dlouho stagnoval na velmi malém čísle. Uživatelé z Prahy a několika dalších velkých měst si pro podpis na poštu zajít mohli, nicméně skutečnost, že nebyl poskytován v menších centrech silně kalila potenciální radost z dostupné a fungující služby.

Pošta slibovala, že do konce roku 2005 otevře víc tak zvaných kontaktních míst, tedy poboček, na kterých se certifikáty vydávají. To se také povedlo, a i když do splnění snu o elektronickém podpise v každé vesničce je stále daleko, síť poboček s kontaktními pracovišti je dnes již poměrně rozsáhlá. S největší pravděpodobností si tedy můžete pro kvalifikovaný certifikát za 190 Kč zajít i vy. Vyplatí se to?

Signum v praxi

Certifikát pro ověření elektronického podpisu fyzické osoby vydávaný autoritou PostSignum QCA je z technického hlediska běžným certifikátem, jako každý jiný. Jeho kryptografický klíč může mít délku 1024 nebo 2048 bitů, což představuje dostatečně silnou úroveň zabezpečení i pro komunikaci se státními institucemi. Je vydáván na základě žádosti, ověření totožnosti žadatele a zaplacení příslušné částky. Jak celý proces probíhá, jsme vyzkoušeli na nově otevřeném kontaktním pracovišti v Olomouci.

Asi nejsnazší cestou k elektronickému podpisu pro člověka, který není v oblasti počítačů úplný laik, je využít samoobslužný režim QCA. V něm si můžete vygenerovat žádost o certifikát online, pomocí webového prohlížeče, nebo offline díky programu PostSignum Tool.

Klepněte pro větší obrázek

Druhá možnost je sice o něco komplikovanější, protože zahrnuje stažení a instalaci programu, ale ve výsledku mnohem pohodlnější a doporučujeme ji použít. Její předností je nezávislost na Internet Exploreru 6, který je pro online generování vyžadován. O svých žádostech a vydaných certifikátech s ním máte neustále přehled a máte je i pohromadě, hotové páry klíčů lze v rozhraní programu skladovat například pro potřebu zálohy.

Nástroj PostSignum Tool existuje ve verzi pro různé operační systémy (uživatelé Linuxu nepřijdou zkrátka) a vyžaduje Javu. Ta je k některým instalacím přibalena a tak si můžete vybrat tu nejvhodnější.

Program pro offline generování žádostí si po spuštění vytváří chráněné úložiště neboli složku, která je z něj přístupná jen po zadání hesla. Do této složky se ukládají všechna data, která vytvoří a která do něj importujete. Vygenerování žádosti spočívá ve vyplnění formuláře s osobními údaji a výběru typu požadovaného certifikátu. Hotovou žádost je možné uložit na výměnné médium (například disketu) a pak se s ním vydat na poštu.

Klepněte pro větší obrázek

A vzhůru na poštu

Zde se konal první náraz. Kontaktní místo QCA je spojeno s kontaktním místem pošty pro SIPO a jeho nalezení, přinejmenším v Olomouci, chce trochu odvahy. V podstatě se jedná o malou kancelář na konci zakouřené chodby mimo hlavní prostory pošty. Samotné úřednice se tvářily přívětivě, nicméně na počátku roku je stále patrné, že s vydáváním certifikátů nemají mnoho zkušeností.

Jako problém se ukázala žádost přinesená na USB klíčence. Do oficiálních počítačů totiž není možné, z bezpečnostních důvodů, tyto klíčenky vkládat. Soubory byly naštěstí přímo na poště přehrány na disketu, a dále se pracovalo s ní.

A tady vidím problém. Jednak ne všechny počítače ještě mají disketovou mechaniku, jednak disketa je pro přenášení tak důležitých dat jako certifikát velmi nespolehlivá. Nebylo by vůbec divné, kdyby některé jiné kontaktní místo flashdisky odmítalo úplně, což by ale elektronický podpis v poštovním podání velmi znepříjemnilo.

Žadatel musí předložit dva doklady totožnosti, které si pošta okopíruje. Prvním z nich musí být občanský průkaz, druhým může být řidičák, pas a podobně, to už záleží jen na vás. Součástí žádosti je souhlas (nesouhlas) žadatele s tím, aby pošta mohla užívat jeho osobní údaje, například i k posílání komerčních sdělení a dále k možnému zveřejnění některých údajů z certifikátu.

Do certifikátu může být umístěno unikátní identifikační číslo Ministerstva práce a sociálních věcí ČR, nicméně není to podmínka. Tento identifikátor má jediné využití, a to právě při elektronické komunikaci s MPSV.

Posledním oficiálním krokem je zaplacení 190 Kč a certifikát může být vydán. Vzhledem k tomu, že naše poštovní úřednice tuto činnost, jak bylo řečeno, ještě zcela neovládaly, trvala operace více než čtyřicet minut. Několikrát během ní telefonovaly pro pomoc a zřejmě se i spletly při práci s vnitřním systémem QCA.

Pokud se tedy chystáte pro elektronický podpis na některé nově otevřené kontaktní místo, obrňte se trpělivostí. Žadatel také musí podepsat několik papírů a na závěr dostane jejich kopie. Konkrétně se jedná o objednávku služeb, žádost o certifikát a protokol o jeho vydání. Hotový certifikát byl nahrán zpět na donesenou klíčenku.

Párování…

Zde by příběh o získávání elektronického podpisu na poště mohl končit, ale nekončí. Získaný certifikát je potřeba spojit s vygenerovanou částí umístěnou v počítači. To by mělo být nejpřehlednější v nástroji PostSignum Tool. Stačí vložit disketu (klíčenku) a pomocí funkce Import vybrat z pošty donesený soubor s certifikátem.

Bohužel, aby se celá operace zdařila, je nutné, aby JVM v počítači podporovala silné šifrování. Pokud je nepodporuje, setká se uživatel na Windows s velmi, opravdu velmi širokým chybovým hlášením. Tak širokým, že se nevejde na žádný displej a musí se posouvat, ale popisuje, kde a jak přijít k chybějícímu balíčku. Ten lze stáhnout z webu Sun Microsystems a se skřípáním zubů manuálně nainstalovat. Poté již probíhá všechno korektně.

Hotovo!

Hotový podpis včetně soukromého klíče je možné vyexportovat do běžného formátu p12, s nímž umí pracovat prakticky všechny poštovní aplikace. Po jeho vložení do klienta se můžete začít podepisovat.

I když kvalifikovaný certifikát umožňuje komunikaci se státními úřady, elektronický podpis lze použít pro zajištění jakékoliv emailové komunikace běžným způsobem. Aby bylo možné ho považovat za důvěryhodný, musí počítač, který jej ověřuje, obsahovat kořenové certifikáty PostSignum. Ty je možné, stejně jako veřejné části certifikátů uživatelů, stahovat z webu služby.

Vyplatí se?

Ano. Pokud používáte elektronickou poštu často a ověřování pomocí bezplatných služeb typu Thawte vám přijde buď nedokonalé, nebo nespolehlivé, pak se investice do kvalifikovaného certifikátu určitě vyplatí. Dvě stě korun za rok již není tak velká suma, aby si ji nebylo možné dovolit, a kontaktní místa se jistě budou i nadále rozrůstat.

Nebýt chybiček při používání dodávaného softwaru a zmatku na poště, pak by PostSignum bylo vysoce profesionální a velmi užitečnou službou. Dá se ale očekávat, že i ty chyby, které QCA má, se časem vyřeší ke spokojenosti zákazníků. Stejně tak se předpokládá, že množství služeb dostupných elektronicky s kvalifikovaným certifikátem bude stoupat.

Pomocí podepsaného e-mailu je v současné době možné podávat pestrou škálu žádostí na Ministerstvu práce a sociálních věcí. Můžete jej využít pro komunikaci s obecními úřady a státní správou vůbec, pokud má zavedeny elektronické podatelny.

Podnikatelé jej mohou využít při komunikaci s daňovou správou. Občané a všichni ostatní pak s mnoha dalšími veřejnými institucemi, pokud neexistuje právní nebo technická překážka, která by tomu bránila. Kvalifikovaný certifikát lze ovšem použít standardně pro podepisování libovolné emailové komunikace. Počet uživatelů, kteří odesílají své e-maily podepsané standardně, přitom neustále stoupá.

Témata článku: Offline

32 komentářů

Nejnovější komentáře

  • Wendelín 18. 2. 2008 9:59:52
    Opravdu to tak jde? Máte s tím někdo zkušenosti a poradíte jak na...
  • Marv 19. 1. 2006 18:51:36
    K tomu fyzická osoba/zaměstnanec - pokud někdo podniká jako fyzická osoba,...
  • Marv 19. 1. 2006 18:48:13
    Zpátečnická je leda tak Olomouc. Např. v Brně FlashDisky bez problémů...
Určitě si přečtěte

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

** Novinka od Asusu míří přímo proti MacBooku od Applu ** Nabídne daleko více výkonu za stejné peníze

2.  12.  2016 | David Polesný | 129

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

** Programátorů je málo a horníků bez práce po uzavření dolu Paskov bude moc ** Problém řeší unikátní projekt ** Pilotní kurz dává naději, že by z horníků mohli být použitelní kodéři

28.  11.  2016 | David Polesný | 79