Pro elektronický podpis na poštu aneb reálné zkušenosti s QCA PostSignum

Česká pošta poskytuje kvalifikované certifikáty elektronického podpisu už od prvního září loňského roku. Jak vlastně vypadá cesta vedoucí k získání elektronického podpisu a na co je třeba se připravit?

Související odkazy

Slovník
Java
Linux
offline
online
USB

Elektronický podpis, respektive certifikát vydaný kvalifikovanou certifikační autoritou (QCA), by měl především usnadnit komunikaci se státními orgány. Zároveň by měl zajistit možnost bezpečné korespondence pomocí elektronické pošty prakticky s kýmkoliv.

Na rozdíl od certifikátu, který lze získat mnoha různými způsoby díky bezplatným, nebo komerčním službám, kvalifikovaný elektronický podpis skutečně zajišťuje, že jeho odesilatelem je ten, kdo se za odesilatele vydává, a to podle pravidel stanovených speciálním zákonem (227/2000). Můžete mít certifikátů kolik chcete, ale pouze ten, který je kvalifikovaný, lze použít při elektronickém jednání se státem nebo dalšími subjekty.

Cesta ke zprovoznění elektronického podpisu v ČR nebyla přímočará, a už vůbec ne jednoduchá. Poměrně dlouho, více než tři roky, byla jedinou firmou oprávněnou vydávat kvalifikované certifikáty První certifikační autorita (www.ica.cz). Její služby ale byly a dodnes jsou pro běžného občana – uživatele – příliš drahé. Za plnohodnotný elektronický podpis, tedy kvalifikovaný certifikát, je třeba zaplatit takřka 800 Kč, běžný komerční pak stojí o něco méně. Ten ale zase nelze uznat jako ověřený například na úředních podáních.

Kdo chtěl mít elektronický podpis, musel zkrátka počítat s částkou blížící se tisícikoruně, a to na jeden rok. Cena byla zdůvodňována především vysokými nároky na získání akreditace, avšak to na malé dostupnosti podpisu a zvolna se rozplývajícím snu o brzy již výhradně elektronických úřadech nic nezměnilo.

Žádáme o certifikát

Když Česká pošta oznámila, že bude také vydávat elektronické podpisy (krátká zpráva), byl to v létě loňského roku tak trochu šok uprostřed okurkové sezony. I. CA, zatím monopolní subjekt v této oblasti, pracuje prostřednictvím pobočkové sítě ČSOB, ale pošta je mnohem rozšířenější než soukromá banka. Svůj podpis by tak, přinejmenším teoreticky, mělo být možné vyzvednout si i v té nejmenší vesničce na konci světa.

Přesto se hlavním lákadlem stala cena. Ta byla avizována na částku do dvou set korun pro občana – fyzickou osobu. O certifikátu by tak mohlo začít uvažovat mnohem více lidí, než kolik si jej doposud pořídilo.

Mělo to své vady. Certifikační autorita nazvaná PostSignum (i v tomto případě se rozlišuje na komerční a kvalifikovanou, takže PostSignum QCA) zahájila svou činnost počátkem září 2005. Seznam pošt, na kterých byl podpis poskytován, ale dlouho stagnoval na velmi malém čísle. Uživatelé z Prahy a několika dalších velkých měst si pro podpis na poštu zajít mohli, nicméně skutečnost, že nebyl poskytován v menších centrech silně kalila potenciální radost z dostupné a fungující služby.

Pošta slibovala, že do konce roku 2005 otevře víc tak zvaných kontaktních míst, tedy poboček, na kterých se certifikáty vydávají. To se také povedlo, a i když do splnění snu o elektronickém podpise v každé vesničce je stále daleko, síť poboček s kontaktními pracovišti je dnes již poměrně rozsáhlá. S největší pravděpodobností si tedy můžete pro kvalifikovaný certifikát za 190 Kč zajít i vy. Vyplatí se to?

Signum v praxi

Certifikát pro ověření elektronického podpisu fyzické osoby vydávaný autoritou PostSignum QCA je z technického hlediska běžným certifikátem, jako každý jiný. Jeho kryptografický klíč může mít délku 1024 nebo 2048 bitů, což představuje dostatečně silnou úroveň zabezpečení i pro komunikaci se státními institucemi. Je vydáván na základě žádosti, ověření totožnosti žadatele a zaplacení příslušné částky. Jak celý proces probíhá, jsme vyzkoušeli na nově otevřeném kontaktním pracovišti v Olomouci.

Asi nejsnazší cestou k elektronickému podpisu pro člověka, který není v oblasti počítačů úplný laik, je využít samoobslužný režim QCA. V něm si můžete vygenerovat žádost o certifikát online, pomocí webového prohlížeče, nebo offline díky programu PostSignum Tool.

Klepněte pro větší obrázek

Druhá možnost je sice o něco komplikovanější, protože zahrnuje stažení a instalaci programu, ale ve výsledku mnohem pohodlnější a doporučujeme ji použít. Její předností je nezávislost na Internet Exploreru 6, který je pro online generování vyžadován. O svých žádostech a vydaných certifikátech s ním máte neustále přehled a máte je i pohromadě, hotové páry klíčů lze v rozhraní programu skladovat například pro potřebu zálohy.

Nástroj PostSignum Tool existuje ve verzi pro různé operační systémy (uživatelé Linuxu nepřijdou zkrátka) a vyžaduje Javu. Ta je k některým instalacím přibalena a tak si můžete vybrat tu nejvhodnější.

Program pro offline generování žádostí si po spuštění vytváří chráněné úložiště neboli složku, která je z něj přístupná jen po zadání hesla. Do této složky se ukládají všechna data, která vytvoří a která do něj importujete. Vygenerování žádosti spočívá ve vyplnění formuláře s osobními údaji a výběru typu požadovaného certifikátu. Hotovou žádost je možné uložit na výměnné médium (například disketu) a pak se s ním vydat na poštu.

Klepněte pro větší obrázek

A vzhůru na poštu

Zde se konal první náraz. Kontaktní místo QCA je spojeno s kontaktním místem pošty pro SIPO a jeho nalezení, přinejmenším v Olomouci, chce trochu odvahy. V podstatě se jedná o malou kancelář na konci zakouřené chodby mimo hlavní prostory pošty. Samotné úřednice se tvářily přívětivě, nicméně na počátku roku je stále patrné, že s vydáváním certifikátů nemají mnoho zkušeností.

Jako problém se ukázala žádost přinesená na USB klíčence. Do oficiálních počítačů totiž není možné, z bezpečnostních důvodů, tyto klíčenky vkládat. Soubory byly naštěstí přímo na poště přehrány na disketu, a dále se pracovalo s ní.

A tady vidím problém. Jednak ne všechny počítače ještě mají disketovou mechaniku, jednak disketa je pro přenášení tak důležitých dat jako certifikát velmi nespolehlivá. Nebylo by vůbec divné, kdyby některé jiné kontaktní místo flashdisky odmítalo úplně, což by ale elektronický podpis v poštovním podání velmi znepříjemnilo.

Žadatel musí předložit dva doklady totožnosti, které si pošta okopíruje. Prvním z nich musí být občanský průkaz, druhým může být řidičák, pas a podobně, to už záleží jen na vás. Součástí žádosti je souhlas (nesouhlas) žadatele s tím, aby pošta mohla užívat jeho osobní údaje, například i k posílání komerčních sdělení a dále k možnému zveřejnění některých údajů z certifikátu.

Do certifikátu může být umístěno unikátní identifikační číslo Ministerstva práce a sociálních věcí ČR, nicméně není to podmínka. Tento identifikátor má jediné využití, a to právě při elektronické komunikaci s MPSV.

Posledním oficiálním krokem je zaplacení 190 Kč a certifikát může být vydán. Vzhledem k tomu, že naše poštovní úřednice tuto činnost, jak bylo řečeno, ještě zcela neovládaly, trvala operace více než čtyřicet minut. Několikrát během ní telefonovaly pro pomoc a zřejmě se i spletly při práci s vnitřním systémem QCA.

Pokud se tedy chystáte pro elektronický podpis na některé nově otevřené kontaktní místo, obrňte se trpělivostí. Žadatel také musí podepsat několik papírů a na závěr dostane jejich kopie. Konkrétně se jedná o objednávku služeb, žádost o certifikát a protokol o jeho vydání. Hotový certifikát byl nahrán zpět na donesenou klíčenku.

Párování…

Zde by příběh o získávání elektronického podpisu na poště mohl končit, ale nekončí. Získaný certifikát je potřeba spojit s vygenerovanou částí umístěnou v počítači. To by mělo být nejpřehlednější v nástroji PostSignum Tool. Stačí vložit disketu (klíčenku) a pomocí funkce Import vybrat z pošty donesený soubor s certifikátem.

Bohužel, aby se celá operace zdařila, je nutné, aby JVM v počítači podporovala silné šifrování. Pokud je nepodporuje, setká se uživatel na Windows s velmi, opravdu velmi širokým chybovým hlášením. Tak širokým, že se nevejde na žádný displej a musí se posouvat, ale popisuje, kde a jak přijít k chybějícímu balíčku. Ten lze stáhnout z webu Sun Microsystems a se skřípáním zubů manuálně nainstalovat. Poté již probíhá všechno korektně.

Hotovo!

Hotový podpis včetně soukromého klíče je možné vyexportovat do běžného formátu p12, s nímž umí pracovat prakticky všechny poštovní aplikace. Po jeho vložení do klienta se můžete začít podepisovat.

I když kvalifikovaný certifikát umožňuje komunikaci se státními úřady, elektronický podpis lze použít pro zajištění jakékoliv emailové komunikace běžným způsobem. Aby bylo možné ho považovat za důvěryhodný, musí počítač, který jej ověřuje, obsahovat kořenové certifikáty PostSignum. Ty je možné, stejně jako veřejné části certifikátů uživatelů, stahovat z webu služby.

Vyplatí se?

Ano. Pokud používáte elektronickou poštu často a ověřování pomocí bezplatných služeb typu Thawte vám přijde buď nedokonalé, nebo nespolehlivé, pak se investice do kvalifikovaného certifikátu určitě vyplatí. Dvě stě korun za rok již není tak velká suma, aby si ji nebylo možné dovolit, a kontaktní místa se jistě budou i nadále rozrůstat.

Nebýt chybiček při používání dodávaného softwaru a zmatku na poště, pak by PostSignum bylo vysoce profesionální a velmi užitečnou službou. Dá se ale očekávat, že i ty chyby, které QCA má, se časem vyřeší ke spokojenosti zákazníků. Stejně tak se předpokládá, že množství služeb dostupných elektronicky s kvalifikovaným certifikátem bude stoupat.

Pomocí podepsaného e-mailu je v současné době možné podávat pestrou škálu žádostí na Ministerstvu práce a sociálních věcí. Můžete jej využít pro komunikaci s obecními úřady a státní správou vůbec, pokud má zavedeny elektronické podatelny.

Podnikatelé jej mohou využít při komunikaci s daňovou správou. Občané a všichni ostatní pak s mnoha dalšími veřejnými institucemi, pokud neexistuje právní nebo technická překážka, která by tomu bránila. Kvalifikovaný certifikát lze ovšem použít standardně pro podepisování libovolné emailové komunikace. Počet uživatelů, kteří odesílají své e-maily podepsané standardně, přitom neustále stoupá.

Diskuze (33) Další článek: Český Telecom nabízí podle GTS zákazníkům ADSL levněji než operátorům

Témata článku: Olomouc, Získaný klíč, Identifikační číslo, Vnitřní orgán, Velká suma, Jediné využití, Hlavní lákadlo, Obecní úřad, Poštovní aplikace, Zkušenost, Běžný uživatel, MPSV, Úřednice, Drahé úložiště, Hlavní prostor, Offline, Osobní klíč, Běžná komunikace, Elektronický podpis, PostSignum, Chráněná složka, Podpis, Běžný občan, Silné šifrování, Komerční činnost


Určitě si přečtěte

Nejlepší příslušenství k počítači. Tipy na osvědčené klávesnice, tiskárny, routery…

Nejlepší příslušenství k počítači. Tipy na osvědčené klávesnice, tiskárny, routery…

** Tipy na užitečné příslušenství k počítačům ** Poradíme, s jakými produkty neuděláte chybu ** Některé z věcí mohou být dobrými vánočními dárky

David Polesný, Stanislav Janů | 20

David PolesnýStanislav Janů
Příslušenství
26 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

26 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

** Prohlížeč Chrome obsahuje širokou škálu funkcí, neumí ale všechno ** Jeho schopnosti můžete rozšířit pomocí rozšíření ** Vybrali jsme pro vás zajímavé a užitečné doplňky

Karel Kilián | 44

Karel Kilián
Doplňky do prohlížečeChromeProhlížeče
Vybrali jsme 12 programovatelných hraček a stavebnic pro děti a jejich rodiče

Vybrali jsme 12 programovatelných hraček a stavebnic pro děti a jejich rodiče

** Získejte děti pro matematiku a základy techniky ** Kupte jim hračku nebo stavebnici, které vdechnou vlastní život ** Vybrali jsme stavebnice pro malé caparty i budoucí experty

Jakub Čížek | 10

Jakub Čížek
Stavebnice
Japonská MANA může být 80× výkonnější než sebelepší tranzistorový procesor

Japonská MANA může být 80× výkonnější než sebelepší tranzistorový procesor

** Tranzistory současných počítačů vyzařují při přepínání teplo ** Na Tokijské univerzitě proto vyvíjejí adiabatické procesory ** Využívají supravodivost a jsou 80× úspornější

Jakub Čížek | 44

Jakub Čížek
TranzistoryProcesoryTechnologie
Šéf Spotify: Budeme zdražovat. Náš obsah se zlepšil
Markéta Mikešová
PředplatnéSpotify
Vážně dnes ještě někdo krade Adobe? Video můžete stříhat zdarma v Resolve a fotky i vektory zvládne Affinity

Vážně dnes ještě někdo krade Adobe? Video můžete stříhat zdarma v Resolve a fotky i vektory zvládne Affinity

** Kde jsou ty doby, kdy měl skoro každý doma Photoshop ** Photoshop a Premiere Pro od kamaráda nebo z warezu ** Dnes už to nemá smysl, existuje totiž hromada laciných alternativ

Jakub Čížek | 90

Jakub Čížek
Grafický editorStřih videa
Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

** S cenou do 20 tisíc lze vybrat solidní notebook na práci i hry ** Přenosné notebooky nabídnou i kovová těla a rychlý hardware ** Možná největší problém je nedostupnost, nejžádanější kusy jsou vyprodané

David Polesný | 34

David Polesný
VánoceNotebooky
Google spouští vlastní VPN a konkurenci se to vůbec nelíbí
Lukáš Václavík
SoukromíVPNGoogle

Aktuální číslo časopisu Computer

Jak prodloužit výdrž notebooku

Velké testy: gamepady a inkoustové tiskárny

Důkladný test Sony Playstation 5