Elektronické podepisování v praxi
Stručně o elektronických certifikátech

Elektronický certifikát je pojem, s nímž se ve světě digitální důvěry setkáváme denně. Jedná se o jeden ze základních nástrojů používaných v rámci PKI (Public Key Infrastructure, infrastruktury veřejných klíčů), která tvoří základ digitální důvěry.

Elektronické certifikáty důvěryhodně propojují identitu osoby nebo organizace s konkrétním veřejným kryptografickým klíčem, což je stvrzeno certifikační autoritou (CA).

Bez elektronických certifikátů by nebylo možné vytvářet právně relevantní elektronické podpisy, zabezpečit komunikaci pomocí TLS ani jednoznačně přiřadit kryptografický klíč konkrétní osobě nebo organizaci.

Ovšem aby se elektronickým certifikátům dalo zcela porozumět, je třeba prozkoumat jejich obsahový, technický i právní rámec. Dnes se tedy kromě základních pojmů zaměříme i na konkrétní pole každého certifikátu.

Obsah certifikátů

Každý certifikát má přesně danou strukturu. Certifikáty jsou vydávány certifikačními autoritami, jejichž úkolem je ověřit splnění konkrétních podmínek, aby certifikát mohl být vydán. Tyto podmínky se liší podle toho, k čemu je certifikát určený.

Třeba u certifikátů pro autentizaci fyzické osoby se ověřuje jejich totožnost. U certifikátů určených pro SSL/TLS šifrování je zase třeba prokázat, že osoba je skutečným vlastníkem domény.

Struktura, obsah a náležitosti certifikátů jsou specifikované technickým standardem RFC – 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.

Základní pole certifikátů

Sériové číslo – jedinečné kladné číslo v rámci konkrétní certifikační autority.
Subjekt – zde je zapsáno jméno vlastníka certifikátu formou tzv. DN (distinguished name), které se dále skládá zejména z polí:
- CN (common name): např. Jan Novák,
- O (organization): např. SEFIRA spol. s r.o.
- C (country): např. CZ
- a dalších atributů dle typu certifikátu.
Vydavatel – identifikace autority, která certifikát vydává.
Platnost – uvádí časové období, v němž certifikační autorita garantuje, že bude poskytovat informace o statusu daného certifikátu (např. informace o revokacích v podobě CRL).
Veřejný klíč – osahuje veřejný klíč a další související informace, třeba algoritmus pro použití tohoto klíče.
Elektronický podpis certifikační autority – elektronický podpis certifikační autority, kterým stvrzuje správnost informací. Tento elektronický podpis je vytvořen klíčem, který CA vlastní a používá k účelu podepisování certifikátů.

Vybraná rozšiřující pole (extensions)

Použití klíče (tzv. key usage) – účel použití je velice důležitý zejména při ověřování elektronických podpisů, kdy je jeden z kroků zjištění správnosti použitého certifikátu. Tyto certifikáty musí mít v key usage zahrnut contentCommitment.
Distribuční místa CRL – zde nejčastěji najdete URL adresy, na nichž je možné získat CRL seznamy (Certificate Revocation List) pro ověření odvolání certifikátu. Mohou být uvedeny i jiné způsoby.
Přístup k informacím autority (AIA) – zde jsou nejčastěji informace k vydávajícím certifikátům nebo přístupy k OCSP responderu, což je alternativní způsob, jak získat informace k odvolání certifikátu.
Certifikační politiky – informace o certifikačních politikách, na jejichž základě byl certifikát vydán.
QC Statement – zde naleznete potvrzení, zda je kvalifikovaný certifikát v souladu s eIDAS a jestli se jedná o certifikát pro elektronický podpis, nebo pečeť. Stejně tak se zde zapisuje informace, zda je soukromý klíč vygenerován a uložen na kvalifikovaném prostředku pro vytváření podpisů nebo pečetí.

Kvalifikovaný certifikát pro elektronický podpis

V České republice jsou v dnešní době rozeznávané tři typy elektronických podpisů založených na PKI, tedy na certifikátech.

Zaručený (pokročilý) elektronický podpis je vytvořený privátním klíčem s existujícím certifikátem, ale nemusí být vydaný kvalifikovanou certifikační autoritou. Je tedy možné jej vytvořit pomocí interní certifikační autority třeba v zaměstnání. V praxi se využívá například u služeb typu Bank iD Sign a je vhodný pro běžnou obchodní či smluvní agendu.
Uznávaný elektronický podpis vzniká pomocí kvalifikovaného certifikátu, který vydává kvalifikovaný poskytovatel služeb vytvářejících důvěru. Oproti zaručenému podpisu nabízí vyšší právní jistotu. Zároveň je dostatečný pro komunikaci s orgány veřejné správy v rámci České republiky, ovšem v rámci EU obvykle neobstojí.
Kvalifikovaný elektronický podpis je „nejkvalitnější“ typ elektronického podpisu, jaký je aktuálně možné vytvořit. Musí být zaručeno, že privátní klíč byl vygenerován na kvalifikovaném prostředku pro vytváření elektronických podpisů (dle terminologie nařízení eIDAS Qualified Signature Creation Device, QSCD), což je pak v certifikátu zaznamenáno v poli QC Statement.

Kvalifikované certifikáty jsou tedy nejvyšší formou certifikátů, které jsou pro elektronické podepisování používány. Vydávají je kvalifikované certifikační autority, které svou existencí ručí a stvrzují správnost a platnost uvedených informací. Konkrétní postupy vydání certifikátu jsou detailně specifikovány a zveřejněny v certifikačních politikách jednotlivých autorit.

Elektronické podpisy vytvořené kvalifikovanými certifikáty dle platné legislativy musí české úřady v rámci svého fungování přijímat a pracovat s nimi jako s uznávanými.