Fórum Root.cz

Ostatní => Odkladiště => Téma založeno: kyssling02 12. 12. 2019, 21:26:25

Název: Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: kyssling02 12. 12. 2019, 21:26:25
Zdravím všechny ...
Ve firmě používáme v současné době pro autentizaci "kvalifikované osobní certifikáty zaměstnance"
pro ověřování některých služeb a lze je využít i pro elektronický podpis dokumentů.

Nevím ovšem zda se v praxi pro podpisy smluv a jiných dokumentů směrem ke klientům a jiným
firmám lépe neosvědčí firemní "certifikát pro elektronickou pečeť".

Děkuji a mějte se pěkně ...
Název: Re:Firemní certifikát - dotaz
Přispěvatel: Filip Jirsák 12. 12. 2019, 21:40:30
Nikoli, pro podepisování slouží právě (osobní) certifikáty. Elektronická pečeť vzniká strojově – pečetí se dokumenty, které nejsou projevem vůle osoby, ale které vznikají nějakým automatickým mechanismem (např. výpis z nějakého rejstříku).

Podpisové certifikáty se ale nemůžou používat pro autentizaci. Při použití podpisového certifikátu vždy musíte vědět, co podepisujete. To při autentizaci není splněno, tam podepisujete obvykle nějaká náhodná data – ale klidně by vám útočník mohl při autentizaci podstrčit k podpisu dokument, kterým třeba převedete svůj barák na někoho cizího.
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: kyssling02 12. 12. 2019, 23:26:31
Jejda, nečekal jsem že někdo odpoví. Moc děkuji.

Mohl bych ještě položit drobný poddotaz ?

Máme tedy hypotetický osobní kvalifikovaný zaměstnancecký certifikát pro "Adam Koulel" v Organizační jednotce u certifikátu je firma "Kdoule a.s." včetně správného IČA. Ten provede elektronický podpis dokumentu. A odešle dejme tomu zákazníkovi podepsanou smlouvu o nákupu 10kg brambor.

1)
Předpokládá se tedy, že odběratel si zjistí že el.p podpis je platný a nyní by si tedy měl sám zjistit zda se jedná o osobu, která je v obchodním rejstříku s právem jednat za firmu a podepisovat dokumenty ?

2)
Zákazníkovi přijde podepsaný "Adama Kouleho" dokument o např. změně smluvních podmínek nějaké služby. Může tyto dokumenty podepisovat běžný zaměstnanec firmy k tomu určený (nebo musí tyto dokumenty také podepisovat statutár v obchodním rejstříku s právem podpisu).

Pokud si najdete čas na odpověď moc děkuji, mě jde totiž o praxi. 

V současné době používáme Osobní kvalifikovaný certifikát pro zaměstnance od firmy Postignum - ten umožňuje jak autentizaci (kterou využíváme) tak podpis (který plánujeme).
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: Filip Jirsák 13. 12. 2019, 07:57:27
Předpokládá se tedy, že odběratel si zjistí že el.p podpis je platný a nyní by si tedy měl sám zjistit zda se jedná o osobu, která je v obchodním rejstříku s právem jednat za firmu a podepisovat dokumenty ?
Přesně tak. Je to úplně stejné, jako kdyby dotyčný podepsal papírovou objednávku vlastnoručním podpisem. Rozdíl je jen v tom, že u elektronického podpisu máte alespoň ten podpis svázaný se jménem (u vlastnoručního podpisu ani nevíte, zda ty klikyháky namaloval Adam Koudel nebo někdo jiný), navíc v tom certifikátu máte uvedené i IČO, takže víte, že je to Adam Koudel, který má něco společného s tou firmou. Ale jestli je to jednatel nebo vrátný si musíte zjistit jinde, např. z toho obchodního rejstříku. V budoucnosti k tomu snad bude sloužit registr práv a povinností, jeden ze základních registrů – pokud ovšem bude přístupný veřejnosti.

Zákazníkovi přijde podepsaný "Adama Kouleho" dokument o např. změně smluvních podmínek nějaké služby. Může tyto dokumenty podepisovat běžný zaměstnanec firmy k tomu určený (nebo musí tyto dokumenty také podepisovat statutár v obchodním rejstříku s právem podpisu).
Tohle je opět úplně stejné, jako kdyby ten dokument podepsal na papíře. Může to podepisovat běžný zaměstnanec k tomu určený. Je na té druhé firmě, jak moc bude ověřovat, zda dotyčný má právo danou věc podepsat nebo nemá.

V současné době používáme Osobní kvalifikovaný certifikát pro zaměstnance od firmy Postignum - ten umožňuje jak autentizaci (kterou využíváme) tak podpis (který plánujeme).
Pro autentizaci se používají komerční certifikáty, ne kvalifikované. Použitím kvalifikovaných certifikátů pro autentizaci porušujete nařízení EU eIDAS, certifikační politiku (http://www.postsignum.cz/files/politiky/QCA_crt_el_podpis_v2-0.pdf) a hlavně se vystavujete riziku, že podepíšete něco, co jste podepsat nechtěl.

Pokud potřebujete certifikáty pro autentizaci i podpis, doporučuju certifikáty Twins od I.CA (https://ica.cz/Twins) – za cenu kvalifikovaného certifikátu získáte oba dva, jak kvalifikovaný pro podpis tak komerční pro autentizaci.
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: kyssling02 13. 12. 2019, 09:10:54

Pro autentizaci se používají komerční certifikáty, ne kvalifikované. Použitím kvalifikovaných certifikátů pro autentizaci porušujete nařízení EU eIDAS, certifikační politiku (http://www.postsignum.cz/files/politiky/QCA_crt_el_podpis_v2-0.pdf) a hlavně se vystavujete riziku, že podepíšete něco, co jste podepsat nechtěl.

Dobrý den to je zajímavé, pro jistotu jsem se podíval do specifikace služby, ke které přistupujeme (nechci ji jmenovat)
a píše se v ní : "Preferovaná forma identifikace uživatelů partnerů bude pomocí osobních důvěryhodných klientských
certifikátů, které budou sloužit jako jediný identifikační údaj."

Mě je u toho elektronicky podepsaného dokumentu jen připadá takové podivné, že na první pohled u podepsaného dokumentu se vyskytuje jen jméno "Adam Koulel" a identifikace, že je z firmy "Kdoule a.s." se zjistí až teprve v detailech
certifikátu. Očekával bych že identifikátor organizace se objeví i na el. podpisu...

Ani nevíte jak je příjemné, když odpovídá někdo kdo zná praxi, snad to ocení i další lidé, kteří se budou o problematiku zajímat.



Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: Filip Jirsák 13. 12. 2019, 09:45:39
Dobrý den to je zajímavé, pro jistotu jsem se podíval do specifikace služby, ke které přistupujeme (nechci ji jmenovat)
a píše se v ní : "Preferovaná forma identifikace uživatelů partnerů bude pomocí osobních důvěryhodných klientských
certifikátů, které budou sloužit jako jediný identifikační údaj."
Záleží na tom, jak je ta identifikace přesně udělaná – pokud tak, že vám dají něco k podpisu a vy vidíte, co podepisujete, pak je to v pořádku.

Navíc ale v té specifikaci není napsáno nic o kvalifikovaném certifikátu pro elektronický podpis. Je tam napsáno „osobní důvěryhodný klientský certifikát“, což komerční certifikáty v pohodě splňují.

Mě je u toho elektronicky podepsaného dokumentu jen připadá takové podivné, že na první pohled u podepsaného dokumentu se vyskytuje jen jméno "Adam Koulel" a identifikace, že je z firmy "Kdoule a.s." se zjistí až teprve v detailech
certifikátu. Očekával bych že identifikátor organizace se objeví i na el. podpisu...
Tohle záleží na konkrétní softwaru, který používáte pro zobrazení dokumentu a podpisu. Elektronický podpis jsou technicky jenom binární data – zakódovaný otisk dokumentu, což jsou zase jen binární data. Všechny údaje zobrazované u podpisu (jméno, datum a čas) apod. jsou údaje, které jsou ve skutečnosti (technicky) uložené vedle toho podpisu, např. zobrazované jméno se bere z certifikátu. Jinými slovy, to, co popisujete, je dané jenom tím, že autoři vašeho programu se rozhodli zobrazovat jméno rovnou, ale pro údaje o organizaci musíte jít do detailu podpisu. Částečně je to dané i tím, že jméno je u certifikátů uváděné prakticky vždy (nevím teď z hlavy, zda je povinné nebo nepovinné), zatímco další údaje se používají různě, i jejich interpretace je různá. V rámci EU pro to jsou nějaká pravidla a zvyklosti, ale příslušný software je pravděpodobně univerzální a musí umět zobrazit i certifikáty vydané v USA, v Jižní Korei, v Japonsku…
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: lacopet 14. 12. 2019, 17:38:55
V současné době používáme Osobní kvalifikovaný certifikát pro zaměstnance od firmy Postignum - ten umožňuje jak autentizaci (kterou využíváme) tak podpis (který plánujeme).
Už to ani není možné. V současnosti vydané Osobní kvalifikované certifikáty od Postsignum nemájí účel použití "vše" jako měli donedávna, ale jen Podepisování a Email. Takže pokud chcete používat třeba aplikaci VZP pro odesílání hlášení, musíte mít kvalifikovaný proto abyste dokument podepsal a komerční abyste se přihlásil do jejich B2B pointu.
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: kyssling02 14. 12. 2019, 22:32:39
Už to ani není možné. V současnosti vydané Osobní kvalifikované certifikáty od Postsignum nemájí účel použití "vše" jako měli donedávna, ale jen Podepisování a Email. Takže pokud chcete používat třeba aplikaci VZP pro odesílání hlášení, musíte mít kvalifikovaný proto abyste dokument podepsal a komerční abyste se přihlásil do jejich B2B pointu.

Tak to nevím, mám osobní kavalifikovaný certifikát pro zaměstnance od Postsignum od roku 2010 (Postsignum Qualified CA3) a v aktuálním následném certifikátu pro příští rok pořád zůstává autentizace zachována. Kolega si vyřídil stejný certifikát (ale má už verzi PostSignum Qualified CA 4) ale u něj jsem se na vlastnosti nedíval (ten to bude mít v praxi jen na podpis). Schválně se až budu v práci mrknu.

Co mě u Acrobatu překvapilo je chování při podpisu (při experimentech). Pokud nastavím podepisování z "Úložiště systému Windows" nechce Acrobat pro vložení el. podpisu heslo. Jediný způsob jak to zabezpečit byl, že jsem certifikát vyexportoval s heslem a pak ho vložil do Acrobatu jako "Soubor digitálního identifikátoru".

Jsem tedy zvědav jak se na úřadech vypořádají s tím, že "Plná moc pro právní úkony pro paní X" bude el. podepsána statutárem a vlastní úkon bude el. podepsána kolegyní X. Už se na to vysvětlování těším...
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: Filip Jirsák 15. 12. 2019, 18:37:36
Co mě u Acrobatu překvapilo je chování při podpisu (při experimentech). Pokud nastavím podepisování z "Úložiště systému Windows" nechce Acrobat pro vložení el. podpisu heslo. Jediný způsob jak to zabezpečit byl, že jsem certifikát vyexportoval s heslem a pak ho vložil do Acrobatu jako "Soubor digitálního identifikátoru".
To není chování Acrobatu ale Windows. Když při importu privátního klíče do Windows povolíte silnou ochranu klíče, musíte použití klíče potvrdit v dialogovém okně. Privátní klíč jsem bez silné ochrany nikdy neimportoval, ale předpokládám, že pak nevyskakuje ani ten potvrzovací dialog. Privátní klíče v úložišti Windows nejsou chráněné žádným heslem, není tedy, co by po vás Windows vyžadovali. Lepší je, když máte privátní klíč uložený třeba na čipové kartě, pak musíte před použitím privátního klíče zadat PIN.
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: kyssling02 15. 12. 2019, 19:12:28
Tak sice již nyní musím vkládat heslo při podpisu jak jsem chtěl (když jsem naimportoval Soubor digitálního identifikátoru), ale stáhnul jsem aplikaci Signer od 602 a při kontrole podpisu se objevilo : "Formát podpisu: PAdES Basic
Upozornění: Tento formát podpisu nemusí být uznán subjekty veřejného sektoru, protože není mezi formáty stanovenými Prováděcím rozhodnutím komise (EU) 2015/1506."

Nutné bylo v nastavení Acrobatu : - Výchozí formát podepisování CAdES
pak je z formátu Formát podpisu: PAdES B-B a je to v pořádku.

Mimochodem, vy když podepisujete v Acrobatu Certifikátem - chce to po vás tedy heslo při vkládání podpisu nebo ne ?
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: Filip Jirsák 15. 12. 2019, 19:26:17
Já pro podepisování Adobe Acrobat nepoužívám – pro podepisování PDF používám JSignPdf (http://jsignpdf.sourceforge.net/). A požadavek na heslo závisí na tom, čím podepisuju. Když podepisuju klíčem z PFX souboru, zadávám heslo k tomu souboru. Když podepisuju něco kvůli testování klíčem, který mám naimportovaný do Windows, pouze potvrdím přístup ke klíči. A kvalifikovaný certifikát mám nahraný na čipu občanky, takže když podepisuju jím, zadávám do ovladače čipové karty QPIN.
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: creatura 17. 12. 2019, 21:21:54
Už to ani není možné. V současnosti vydané Osobní kvalifikované certifikáty od Postsignum nemájí účel použití "vše" jako měli donedávna, ale jen Podepisování a Email. Takže pokud chcete používat třeba aplikaci VZP pro odesílání hlášení, musíte mít kvalifikovaný proto abyste dokument podepsal a komerční abyste se přihlásil do jejich B2B pointu.
Tak to nevím, mám osobní kavalifikovaný certifikát pro zaměstnance od Postsignum od roku 2010 (Postsignum Qualified CA3) a v aktuálním následném certifikátu pro příští rok pořád zůstává autentizace zachována. Kolega si vyřídil stejný certifikát (ale má už verzi PostSignum Qualified CA 4) ale u něj jsem se na vlastnosti nedíval (ten to bude mít v praxi jen na podpis). Schválně se až budu v práci mrknu. ...
To víš, časy se mění. Co bylo v roce 2010 už neni relevantní, dnes platí:

Od 2. 11. 2019 začala certifikační autorita PostSignum (CA) vydávat certifikáty pro koncové zákazníky dle nových certifikačních politik, které znemožňují používání kvalifikovaných certifikátů pro účely autentizace majitele.
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: Filip Jirsák 17. 12. 2019, 23:57:55
Od 2. 11. 2019 začala certifikační autorita PostSignum (CA) vydávat certifikáty pro koncové zákazníky dle nových certifikačních politik, které znemožňují používání kvalifikovaných certifikátů pro účely autentizace majitele.
Hlavně ale je rozdíl v tom, co je nastavené jako technický atribut certifikátu a co je legální. Do technických atributů certifikátu se nastavuje leccos, protože různý software si ty atributy vykládá různě. Ale pro kvalifikované certifikáty vždy platilo, že podepisující musí mít kontrolu nad tím, co podepisuje, což u autentizace neplatí.
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: creatura 18. 12. 2019, 17:05:19
Také je zajímavé, že nové kvalifikované certifikáty nefungují s programem Print2PDF. V úložišti certifikát je, ale program ho nevidí. Tetováno na dvou pc. Mám nějakou starší verzi kterou jsem používal k automatickému podepisování faktur.
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: Filip Jirsák 19. 12. 2019, 12:12:37
A tady to máte přímo od PostSignum: Certifikáty pro autentizaci (http://www.postsignum.cz/novinky_postsignum.html#N328)
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: creatura 19. 12. 2019, 23:59:01
A tady to máte přímo od PostSignum: Certifikáty pro autentizaci (http://www.postsignum.cz/novinky_postsignum.html#N328)
Když chci komunikovat třeba se sociálkou tak musím mít v programu tři certifikáty. Jejich šifrovací, můj komerční pro šifrování a můj kvalifikovaný pro podpis dokumentů. Proč se nemůže šifrovat mým kvalifikovaných to nechápu.

Proč se obecně nemůže kvalifikovaný certifikát používat pro šifrování. Chápu, že to je v podmínkách a tak to tak je, ale v čem je rozdíl proti komerčnímu čistě technicky? Je tam nějaké bezpečností omezení?

Podle mě je to prostě velký kšeft.
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: Filip Jirsák 20. 12. 2019, 08:02:34
Proč se nemůže šifrovat mým kvalifikovaných to nechápu.
Protože šifrovat se musí certifikátem příjemce. I když nerozumíte technickým detailům, dá se to odvodit následujícím způsobem: Příjemce šifrované zprávy je něčím jedinečný, má to být pouze on, kdo dokáže zprávu dešifrovat. Jedinečný je v tom, že je jediný, kdo má (svůj) privátní klíč. Vy jeho privátní klíč mít nemůžete, pro šifrování už vám tedy zbývá jenom jeho veřejný klíč.

Proč se obecně nemůže kvalifikovaný certifikát používat pro šifrování. Chápu, že to je v podmínkách a tak to tak je, ale v čem je rozdíl proti komerčnímu čistě technicky? Je tam nějaké bezpečností omezení?
Je tam bezpečnostní omezení, výše jsem ho psal. Při podepisování vždy musíte vědět, co podepisujete. Kdybyste privátní klíč používal i pro dešifrování, můžete si myslet, že něco dešifrujete, a zatím byste podepsal něco, co jste podepsat nechtěl.

Vy ale potřebujete mít svůj vlastní certifikát pro šifrování tehdy, pokud chcete, aby někdo mohl posílat šifrované zprávy vám. Což není případ kdy vy něco posíláte sociálce. Navíc šifrování není zákonem nijak upraveno – pokud chcete, aby vám někdo posílal šifrované zprávy, musíte si to s ním individuálně dohodnout. A když už si to budete dohadovat, domluvíte se také, jaký certifikát budete pro šifrování používat. Klidně si tedy můžete domluvit nějaký self-signed certifikát a nemusíte za něj platit nic.

Podle mě je to prostě velký kšeft.
Sice nevíte, ale hlavně, že hned máte jasno.
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: creatura 20. 12. 2019, 13:35:34
Proč se nemůže šifrovat mým kvalifikovaných to nechápu.
Protože šifrovat se musí certifikátem příjemce. ...
Pochopitelně, ale proč to nezašifrují veřejnou částí mého kvalifikovaného certifikátu a musím si dělat komerční.
Proč se obecně nemůže kvalifikovaný certifikát používat pro šifrování. Chápu, že to je v podmínkách a tak to tak je, ale v čem je rozdíl proti komerčnímu čistě technicky? Je tam nějaké bezpečností omezení?
Je tam bezpečnostní omezení, výše jsem ho psal. Při podepisování vždy musíte vědět, co podepisujete. Kdybyste privátní klíč používal i pro dešifrování, můžete si myslet, že něco dešifrujete, a zatím byste podepsal něco, co jste podepsat nechtěl.
Přeci podepisování a šifrování je něco jiného.
Podle mě je to prostě velký kšeft.
Sice nevíte, ale hlavně, že hned máte jasno.
Tak alspoň si nepletu dešifrování a podpisování ... ještě se mi nestalo, že "můžete si myslet, že něco dešifrujete, a zatím byste podepsal něco, co jste podepsat nechtěl." ???
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: Filip Jirsák 20. 12. 2019, 14:34:14
Pochopitelně, ale proč to nezašifrují veřejnou částí mého kvalifikovaného certifikátu a musím si dělat komerční.
V předchozím příspěvku jste psal, že šifrujete vy. Vám ČSSZ posílá něco šifrovaně?

Přeci podepisování a šifrování je něco jiného.
Technicky je to to samé.

Tak alspoň si nepletu dešifrování a podpisování ...
Já si to také nepletu. Technicky je totiž podepisování a dešifrování to samé. Vezmete vstupní blok dat, aplikujete na něj kryptografickou funkci, jejím parametrem je privátní klíč, a dostanete výstupní blok dat. Pokud je na vstupu otisk dokumentu, říká se té operaci podepisování, pokud jsou na vstupu zašifrovaná data, říká se té operaci dešifrování.

ještě se mi nestalo, že "můžete si myslet, že něco dešifrujete, a zatím byste podepsal něco, co jste podepsat nechtěl." ???
To, že se vám něco nestalo, je bezpečnostně relevantní argument? Ještě se vám nestalo, že by vás chtěl někdo vykrást, tak nebudete zamykat?
Název: Re:Firemní certifikát vs. certifikát pro elektronickou pečeť
Přispěvatel: M_D 20. 12. 2019, 15:17:25
On je ještě důvod na odlišení jen podpis u kvalifikovaného a šifronvání jiným certifikátem v tom, že se obvykle jinak pracuje s tajnou částí klíče. U kvalifikovaného certifikátu jej dneska generuje token/karta a nesmí ji opustit. Pokud o token/kartu přijdu/zničí se, tak podepsané dokumenty jdou dál číst, ale co bylo zašifrováno pomocí veřejné části klíče, tak už nedokážu dešifrovat.
Proto u certifikátů používaných pro šifrování se tajný klíč někde archivuje, třeba generuje jinde v HSM a na pracovní kartu pak nahraje, takže pokud o pracovní kartu přijdu, mám někde zálohu v HSM, pomocí té stále můžu obnovit dešifrovací klíč a dešifrovat dříve zašifrované data. Takovéto zacházení u kvalifikovaného certifikátu s jeho tajnou částí klíče je zakázáno.