Invex: Certifikáty pro elektronický podpis zdarma

Už máte svůj elektronický podpis? Ptáte se, co že to vlastně je? A proč je
kolem toho takový rozruch? A k čemu je to dobré? A vůbec, jak to udělám, abych

ho měl taky? Nezbývá, než číst dál, a poté dorazit na Invex se dvěma průkazy

totožnosti.



Certifikační autorita TrustCert společnosti AEC, spol. s r. o. (součást

nadnárodní společnosti Norman) bude na výstavě Invex 2000 vydávat zájemcům

digitální certifikáty zdarma. Chtělo by se zakřičet „Hurá“ a „Sláva“ a

„Konečně“ a „To je příležitost“ a tak dále. Obávám se však, že většina laické

veřejnosti pravděpodobně přejde tuto informaci bez povšimnutí. Sbor laiků,

zvoucí se v tomto případě Poslanecká sněmovna, odsouhlasil návrh zákona o

elektronickém podpisu, aniž by vlastně tušil o čem jedná, a prezentaci jeho

užitečnosti laické veřejnosti tedy mohl poskytnout jen stěží. Útržkovité

informace, v médiích pohříchu navíc špatně interpretované, mohou napomoci

pochopení této problematiky leda omylem.



Co tedy zájemce o digitální certifikát vlastně dostane, co tudíž musí udělat,

aby jej na Invexu 2000 získal, a na co ho může použít?



Rozhodně nedostane na disketě žádný program ani svůj digitální neboli

elektronický podpis (jak se nás o tom pokoušela přesvědčit například televize),

ale obdrží soubor, pomocí nějž je možné jeho elektronický podpis ověřit.

Zájemce nemůže dostat svůj elektronický podpis, protože (věřte nebo nevěřte)

tento je pokaždé jiný (rozuměj ke každému dokumentu, souboru, objektu atd.)! A

to proto, že pro jeho vytvoření je nutná „hash“ funkce (zjednodušeně řečeno:

přepočítání) obsahu dokumentu, souboru, objektu atd. Budeme-li tedy podepisovat

dva různé dokumenty, zjistíme, že náš podpis je ke každému dokumentu jiný.

Soubor, který zájemce o digitální certifikát obdrží na disketě nebo následně

e-mailem, je jeho veřejným klíčem, jenž je sám elektronicky podepsán

certifikační autoritou, rozuměj tímto se certifikační autorita zaručuje za to,

že tento veřejný klíč patří dané osobě.



Zde se dostáváme k tomu, co si vlastně zájemce o digitální certifikát musí s

sebou přinést. Je to žádost o certifikát, tzv. request, odpovídající standardu

PKCS#10 (nejlépe ve formátu PEM), který mu vygeneruje každý jen trochu

inteligentní šifrovací software. A pak doklady a jejich kopie (občanský průkaz,

cestovní pas, řídičský průkaz, rodný list apod., ale vždy jsou nutné alespoň

dva z uvedených), kterými prokáže, že je skutečně tou osobou, jež je uvedená v

žádosti requestu. Znamená to, že nelze přijít pouze s doklady a odnést si

digitální certifikát, pokud nepřineseme žádost request. Tato totiž obsahuje i

zájemcův veřejný klíč, který nelze generovat příchozím na počkání, protože by

bylo problematické minimalizovat riziko kompromitace soukromého klíče zájemce.

Pokud tedy máte zájem o digitální certifikát, nezapomeňte si kromě dokladů

přinést i žádost request. Software, který vám umožní generovat takovou žádost

request, a posléze i používat digitální certifikát pro podepisování, můžete

poptávat přímo u pracovníků AEC, spol. s r. o.



Digitální certifikát lze používat již dnes bez ohledu na platnost Zákona o

elektronickém podpisu. Umožňuje elektronicky podepsat jakýkoliv dokument,

soubor nebo objekt, jeho výhodou je, že na rozdíl od běžného podpisu jej

skutečně nelze falšovat. Často zapomínanou vlastností elektronického podpisu je

ochrana obsahu například u dokumentů. Protože mechanismus elektronického

podpisu zpracovává při svém vytváření obsah dokumentu, je zřejmé, že při změně

byť jediného písmenka po podepsání dokumentu, je elektronický podpis při

kontrole označen jako neplatný, což samozřejmě jednoznačně svědčí o manipulaci

s obsahem dokumentu.



I když žádné „internetové kiosky“ asi reálně existovat nebudou, je více než

zřejmé, že každý z nás bude dříve nebo později elektronický podpis používat a

setkávat se s ním, a to nejenom při podávání oněch tak často zmiňovaných

daňových přiznáních Internetem. Skutečným významem zákona o elektronickém

podpisu je jeho zrovnoprávnění s podpisem klasickým, tzn. že jej lze použít i

pro podpis právně závazných dokumentů. Ale my, kteří chceme chránit své

informace, jej používáme již dávno.S digitálním pozdravem



MIAGCSqGSIb3DQEHAqCAMIACA­QExCzAJBgUrDgMCGgUAMIAGCSqGSIb3DQE­HAaCA

JIAEgf9BIJ5lIG5ldu10ZSBqYW­sgZWxla3Ryb25pY2v9IHBvZHBpcyB2bGFzdG7s

IHZ5cGFk4T8gQ2Vsa2VtIG5lem­Fq7W1hduwsIGplIHRvIHpt7J0gem5ha/kgdnl0

dm/4ZW7hIHBvbW9j7SBvYnNha­HUgZG9rdW1lbnR1LCBzb3Vrcm9t­6WhvIGts7ehl

IHBvZHBpc3Vq7WPtaG8gKGFubyB­wcm8gdnl0dm/4ZW7tIHBvZHBpc3Ug­ZGlnaXTh

P/aaZQVntsuCbQAAAAAAAA==



(S nedigitálním: Luděk Mandok, ludek.mandok@aec.cz)









O společnosti AEC



V době, kdy jsme s brněnskou firmou AEC připravovali tento společný projekt,

jehož cílem je zpřístupnit autorizovaný digitální podpis nejširší počítačové

veřejnosti, došlo k zásadní události, jež znamená novou kapitolu v dosud téměř

desetileté existenci společnosti. Po zhruba osmi měsících náročných jednání

došlo k uzavření dohody mezi AEC a světoznámou norskou firmou NORMAN ASA, jež

odkoupila původní technologii PKI, vlastnická práva na systém IronWare Security

Suite (v budoucnu Norman Security Suite), a především vývojový tým odborníků na

šifrovací technologie. Tento postup je logickým završením vývoje firmy v českém

prostředí, kde se vypracovala na absolutní špičku v oboru, avšak při vstupu na

světové hřiště jí scházela potřebná investiční opora. Zároveň se jedná o další

triumf (vzpomeňme projekty NetBeans či WinRoute) české vývojářské komunity, jež

se opět prezentovala jako srovnatelná na světové úrovni. Zároveň lze vývoj

firmy do značné části ztotožnit s úspěchem vizionářských snah dlouholetého

ředitele společnosti Jiřího Mrnuštíka, jehož prozíravost především stála u

budování vývojářského týmu, zhusta z nadějných studentů brněnských univerzit.

Přechod tohoto oddělení pod nové vedení přinese nejen jeho zkvalitnění o

zkušenosti firmy Norman, ale také další růst v mezinárodním měřítku. Nezbývá,

než si přát „jen houšť a větší kapky.“









Certifikát Class 2 Jak na to?



Pokud máte zájem o certifikáty Class 2 s „dobou trvanlivosti“ šest měsíců,

které bude vydávat certifikační autorita AEC Trustcert v době konání veletrhu

Invex, postupujte dle následujících kroků.



Přímo na stánek AEC (Invex, volná plocha C, expozice číslo 4 pod majákem) si

přineste s sebou:



1. Dva různé doklady totožnosti (nejlépe OP a ŘP).

2. Xerokopie těchto dokumentů.

3. Disketu s žádostí o certifikát (tzv. request) ve formátu *.pem.



Pokud nevlastníte nástroj, který by vám umožňoval vygenerování klíčového páru a

výše uvedené žádosti o certifikát (request), nezoufejte! Využít můžete

šedesátidenní zkušební verzi PKI řešení IronWarer Security Suite Client, které

lze získat z CD tohoto PC WORLDu.





Návod k instalaci IronWarer Security Suite, vytvoření klíčového páru a žádosti

o certifikát (requestu):



1.Instalací IronWarer Security Suite Client vás provede instalační průvodce. V

jejím průběhu nejdříve zvolte „lokální instalaci“ bez připojení na IW

Management Server.



2.Volbu obnovy hesel privilegované uživatele nevolte.



3.Po zadání jména a hesla administrátora se pod tímto jménem vytvoří v databázi

uživatelů a klíčů na lokální PKI účet s právy administrátora a heslem pro

přístup k tomuto účtu. Další nové uživatele nebo administrátory pak můžete

vytvořit v programu IW KeyManager ze systému IronWarer Security Suite.



4.Po kliknutí na tlačítko „Další >>“ začne generování náhodného klíče pro vámi

právě vytvořený administrátorský účet. Náhodný klíč se generuje pomocí pohybu

myši po okně, nebo stiskem náhodných kláves na vaší klávesnici.



5.Po vygenerování náhodného klíče administrátora se ukončí instalační průvodce

a zobrazí se okno pro restart počítače. Uzavřete, prosím, všechny programy a

stiskněte tlačítko „Restartovat počítač“. Po restartu je instalace IronWarer

Security Suite hotova.



6.Spusťte aplikaci IronWarer KeyManager, a to z menu Start IronWarer Security

Suite.



7.ovládacího panelu vyberte volbu Uživatelé Přidat. Přidejte do databáze

uživatele s vaším jménem.



8.Volbou Klíče Nový uživatelský klíč Soukromý zahájíte generování klíčového

páru. Tímto generováním vás provede průvodce.



9.V průběhu generování vyberte účel, k jakému bude klíčový pár využíván

(doporučujeme ponechat přednastavené údaje).



10.Hodnota klíče pro certifikát Class 2 musí být minimálně 1 024 bitů RSA nebo

160 bitů ELLIPTIC.



11.Vytvořte certifikační požadavek a uložte jej do souboru na disketě, kterou

přinesete na stánek AEC na veletrhu INVEX Computer 2000, kde vám bude zdarma

vygenerován certifikát Class 2 s dobou platnosti šest měsíců.





Pozn.: Certifikát je vydán ve formě, která je v souladu se standardem X.509v3,

a je možné jej používat v mnoha různých aplikacích.