Firemní certifikát vs. certifikát pro elektronickou pečeť

[kyssling02]

Zdravím všechny ...
Ve firmě používáme v současné době pro autentizaci "kvalifikované osobní certifikáty zaměstnance"
pro ověřování některých služeb a lze je využít i pro elektronický podpis dokumentů.

Nevím ovšem zda se v praxi pro podpisy smluv a jiných dokumentů směrem ke klientům a jiným
firmám lépe neosvědčí firemní "certifikát pro elektronickou pečeť".

Děkuji a mějte se pěkně ...

[Reklama]

[Filip Jirsák]

Nikoli, pro podepisování slouží právě (osobní) certifikáty. Elektronická pečeť vzniká strojově – pečetí se dokumenty, které nejsou projevem vůle osoby, ale které vznikají nějakým automatickým mechanismem (např. výpis z nějakého rejstříku).

Podpisové certifikáty se ale nemůžou používat pro autentizaci. Při použití podpisového certifikátu vždy musíte vědět, co podepisujete. To při autentizaci není splněno, tam podepisujete obvykle nějaká náhodná data – ale klidně by vám útočník mohl při autentizaci podstrčit k podpisu dokument, kterým třeba převedete svůj barák na někoho cizího.

[kyssling02]

Jejda, nečekal jsem že někdo odpoví. Moc děkuji.

Mohl bych ještě položit drobný poddotaz ?

Máme tedy hypotetický osobní kvalifikovaný zaměstnancecký certifikát pro "Adam Koulel" v Organizační jednotce u certifikátu je firma "Kdoule a.s." včetně správného IČA. Ten provede elektronický podpis dokumentu. A odešle dejme tomu zákazníkovi podepsanou smlouvu o nákupu 10kg brambor.

1)
Předpokládá se tedy, že odběratel si zjistí že el.p podpis je platný a nyní by si tedy měl sám zjistit zda se jedná o osobu, která je v obchodním rejstříku s právem jednat za firmu a podepisovat dokumenty ?

2)
Zákazníkovi přijde podepsaný "Adama Kouleho" dokument o např. změně smluvních podmínek nějaké služby. Může tyto dokumenty podepisovat běžný zaměstnanec firmy k tomu určený (nebo musí tyto dokumenty také podepisovat statutár v obchodním rejstříku s právem podpisu).

Pokud si najdete čas na odpověď moc děkuji, mě jde totiž o praxi. 

V současné době používáme Osobní kvalifikovaný certifikát pro zaměstnance od firmy Postignum - ten umožňuje jak autentizaci (kterou využíváme) tak podpis (který plánujeme).

[Filip Jirsák]

Předpokládá se tedy, že odběratel si zjistí že el.p podpis je platný a nyní by si tedy měl sám zjistit zda se jedná o osobu, která je v obchodním rejstříku s právem jednat za firmu a podepisovat dokumenty ?

Přesně tak. Je to úplně stejné, jako kdyby dotyčný podepsal papírovou objednávku vlastnoručním podpisem. Rozdíl je jen v tom, že u elektronického podpisu máte alespoň ten podpis svázaný se jménem (u vlastnoručního podpisu ani nevíte, zda ty klikyháky namaloval Adam Koudel nebo někdo jiný), navíc v tom certifikátu máte uvedené i IČO, takže víte, že je to Adam Koudel, který má něco společného s tou firmou. Ale jestli je to jednatel nebo vrátný si musíte zjistit jinde, např. z toho obchodního rejstříku. V budoucnosti k tomu snad bude sloužit registr práv a povinností, jeden ze základních registrů – pokud ovšem bude přístupný veřejnosti.

Zákazníkovi přijde podepsaný "Adama Kouleho" dokument o např. změně smluvních podmínek nějaké služby. Může tyto dokumenty podepisovat běžný zaměstnanec firmy k tomu určený (nebo musí tyto dokumenty také podepisovat statutár v obchodním rejstříku s právem podpisu).

Tohle je opět úplně stejné, jako kdyby ten dokument podepsal na papíře. Může to podepisovat běžný zaměstnanec k tomu určený. Je na té druhé firmě, jak moc bude ověřovat, zda dotyčný má právo danou věc podepsat nebo nemá.

V současné době používáme Osobní kvalifikovaný certifikát pro zaměstnance od firmy Postignum - ten umožňuje jak autentizaci (kterou využíváme) tak podpis (který plánujeme).

Pro autentizaci se používají komerční certifikáty, ne kvalifikované. Použitím kvalifikovaných certifikátů pro autentizaci porušujete nařízení EU eIDAS, certifikační politiku a hlavně se vystavujete riziku, že podepíšete něco, co jste podepsat nechtěl.

Pokud potřebujete certifikáty pro autentizaci i podpis, doporučuju certifikáty Twins od I.CA – za cenu kvalifikovaného certifikátu získáte oba dva, jak kvalifikovaný pro podpis tak komerční pro autentizaci.

[kyssling02]

Pro autentizaci se používají komerční certifikáty, ne kvalifikované. Použitím kvalifikovaných certifikátů pro autentizaci porušujete nařízení EU eIDAS, certifikační politiku a hlavně se vystavujete riziku, že podepíšete něco, co jste podepsat nechtěl.

Dobrý den to je zajímavé, pro jistotu jsem se podíval do specifikace služby, ke které přistupujeme (nechci ji jmenovat)
a píše se v ní : "Preferovaná forma identifikace uživatelů partnerů bude pomocí osobních důvěryhodných klientských
certifikátů, které budou sloužit jako jediný identifikační údaj."

Mě je u toho elektronicky podepsaného dokumentu jen připadá takové podivné, že na první pohled u podepsaného dokumentu se vyskytuje jen jméno "Adam Koulel" a identifikace, že je z firmy "Kdoule a.s." se zjistí až teprve v detailech
certifikátu. Očekával bych že identifikátor organizace se objeví i na el. podpisu...

Ani nevíte jak je příjemné, když odpovídá někdo kdo zná praxi, snad to ocení i další lidé, kteří se budou o problematiku zajímat.

[Reklama]

[Filip Jirsák]

Dobrý den to je zajímavé, pro jistotu jsem se podíval do specifikace služby, ke které přistupujeme (nechci ji jmenovat)
a píše se v ní : "Preferovaná forma identifikace uživatelů partnerů bude pomocí osobních důvěryhodných klientských
certifikátů, které budou sloužit jako jediný identifikační údaj."

Záleží na tom, jak je ta identifikace přesně udělaná – pokud tak, že vám dají něco k podpisu a vy vidíte, co podepisujete, pak je to v pořádku.

Navíc ale v té specifikaci není napsáno nic o kvalifikovaném certifikátu pro elektronický podpis. Je tam napsáno „osobní důvěryhodný klientský certifikát“, což komerční certifikáty v pohodě splňují.

Mě je u toho elektronicky podepsaného dokumentu jen připadá takové podivné, že na první pohled u podepsaného dokumentu se vyskytuje jen jméno "Adam Koulel" a identifikace, že je z firmy "Kdoule a.s." se zjistí až teprve v detailech
certifikátu. Očekával bych že identifikátor organizace se objeví i na el. podpisu...

Tohle záleží na konkrétní softwaru, který používáte pro zobrazení dokumentu a podpisu. Elektronický podpis jsou technicky jenom binární data – zakódovaný otisk dokumentu, což jsou zase jen binární data. Všechny údaje zobrazované u podpisu (jméno, datum a čas) apod. jsou údaje, které jsou ve skutečnosti (technicky) uložené vedle toho podpisu, např. zobrazované jméno se bere z certifikátu. Jinými slovy, to, co popisujete, je dané jenom tím, že autoři vašeho programu se rozhodli zobrazovat jméno rovnou, ale pro údaje o organizaci musíte jít do detailu podpisu. Částečně je to dané i tím, že jméno je u certifikátů uváděné prakticky vždy (nevím teď z hlavy, zda je povinné nebo nepovinné), zatímco další údaje se používají různě, i jejich interpretace je různá. V rámci EU pro to jsou nějaká pravidla a zvyklosti, ale příslušný software je pravděpodobně univerzální a musí umět zobrazit i certifikáty vydané v USA, v Jižní Korei, v Japonsku…

[lacopet]

V současné době používáme Osobní kvalifikovaný certifikát pro zaměstnance od firmy Postignum - ten umožňuje jak autentizaci (kterou využíváme) tak podpis (který plánujeme).

Už to ani není možné. V současnosti vydané Osobní kvalifikované certifikáty od Postsignum nemájí účel použití "vše" jako měli donedávna, ale jen Podepisování a Email. Takže pokud chcete používat třeba aplikaci VZP pro odesílání hlášení, musíte mít kvalifikovaný proto abyste dokument podepsal a komerční abyste se přihlásil do jejich B2B pointu.

[kyssling02]

Už to ani není možné. V současnosti vydané Osobní kvalifikované certifikáty od Postsignum nemájí účel použití "vše" jako měli donedávna, ale jen Podepisování a Email. Takže pokud chcete používat třeba aplikaci VZP pro odesílání hlášení, musíte mít kvalifikovaný proto abyste dokument podepsal a komerční abyste se přihlásil do jejich B2B pointu.

Tak to nevím, mám osobní kavalifikovaný certifikát pro zaměstnance od Postsignum od roku 2010 (Postsignum Qualified CA3) a v aktuálním následném certifikátu pro příští rok pořád zůstává autentizace zachována. Kolega si vyřídil stejný certifikát (ale má už verzi PostSignum Qualified CA 4) ale u něj jsem se na vlastnosti nedíval (ten to bude mít v praxi jen na podpis). Schválně se až budu v práci mrknu.

Co mě u Acrobatu překvapilo je chování při podpisu (při experimentech). Pokud nastavím podepisování z "Úložiště systému Windows" nechce Acrobat pro vložení el. podpisu heslo. Jediný způsob jak to zabezpečit byl, že jsem certifikát vyexportoval s heslem a pak ho vložil do Acrobatu jako "Soubor digitálního identifikátoru".

Jsem tedy zvědav jak se na úřadech vypořádají s tím, že "Plná moc pro právní úkony pro paní X" bude el. podepsána statutárem a vlastní úkon bude el. podepsána kolegyní X. Už se na to vysvětlování těším...

[Filip Jirsák]

Co mě u Acrobatu překvapilo je chování při podpisu (při experimentech). Pokud nastavím podepisování z "Úložiště systému Windows" nechce Acrobat pro vložení el. podpisu heslo. Jediný způsob jak to zabezpečit byl, že jsem certifikát vyexportoval s heslem a pak ho vložil do Acrobatu jako "Soubor digitálního identifikátoru".

To není chování Acrobatu ale Windows. Když při importu privátního klíče do Windows povolíte silnou ochranu klíče, musíte použití klíče potvrdit v dialogovém okně. Privátní klíč jsem bez silné ochrany nikdy neimportoval, ale předpokládám, že pak nevyskakuje ani ten potvrzovací dialog. Privátní klíče v úložišti Windows nejsou chráněné žádným heslem, není tedy, co by po vás Windows vyžadovali. Lepší je, když máte privátní klíč uložený třeba na čipové kartě, pak musíte před použitím privátního klíče zadat PIN.

[kyssling02]

Tak sice již nyní musím vkládat heslo při podpisu jak jsem chtěl (když jsem naimportoval Soubor digitálního identifikátoru), ale stáhnul jsem aplikaci Signer od 602 a při kontrole podpisu se objevilo : "Formát podpisu: PAdES Basic
Upozornění: Tento formát podpisu nemusí být uznán subjekty veřejného sektoru, protože není mezi formáty stanovenými Prováděcím rozhodnutím komise (EU) 2015/1506."

Nutné bylo v nastavení Acrobatu : - Výchozí formát podepisování CAdES
pak je z formátu Formát podpisu: PAdES B-B a je to v pořádku.

Mimochodem, vy když podepisujete v Acrobatu Certifikátem - chce to po vás tedy heslo při vkládání podpisu nebo ne ?

[Filip Jirsák]

Já pro podepisování Adobe Acrobat nepoužívám – pro podepisování PDF používám JSignPdf. A požadavek na heslo závisí na tom, čím podepisuju. Když podepisuju klíčem z PFX souboru, zadávám heslo k tomu souboru. Když podepisuju něco kvůli testování klíčem, který mám naimportovaný do Windows, pouze potvrdím přístup ke klíči. A kvalifikovaný certifikát mám nahraný na čipu občanky, takže když podepisuju jím, zadávám do ovladače čipové karty QPIN.

[creatura]

Už to ani není možné. V současnosti vydané Osobní kvalifikované certifikáty od Postsignum nemájí účel použití "vše" jako měli donedávna, ale jen Podepisování a Email. Takže pokud chcete používat třeba aplikaci VZP pro odesílání hlášení, musíte mít kvalifikovaný proto abyste dokument podepsal a komerční abyste se přihlásil do jejich B2B pointu.

Tak to nevím, mám osobní kavalifikovaný certifikát pro zaměstnance od Postsignum od roku 2010 (Postsignum Qualified CA3) a v aktuálním následném certifikátu pro příští rok pořád zůstává autentizace zachována. Kolega si vyřídil stejný certifikát (ale má už verzi PostSignum Qualified CA 4) ale u něj jsem se na vlastnosti nedíval (ten to bude mít v praxi jen na podpis). Schválně se až budu v práci mrknu. ...

To víš, časy se mění. Co bylo v roce 2010 už neni relevantní, dnes platí:

Od 2. 11. 2019 začala certifikační autorita PostSignum (CA) vydávat certifikáty pro koncové zákazníky dle nových certifikačních politik, které znemožňují používání kvalifikovaných certifikátů pro účely autentizace majitele.

[Filip Jirsák]

Od 2. 11. 2019 začala certifikační autorita PostSignum (CA) vydávat certifikáty pro koncové zákazníky dle nových certifikačních politik, které znemožňují používání kvalifikovaných certifikátů pro účely autentizace majitele.

Hlavně ale je rozdíl v tom, co je nastavené jako technický atribut certifikátu a co je legální. Do technických atributů certifikátu se nastavuje leccos, protože různý software si ty atributy vykládá různě. Ale pro kvalifikované certifikáty vždy platilo, že podepisující musí mít kontrolu nad tím, co podepisuje, což u autentizace neplatí.

[creatura]

Také je zajímavé, že nové kvalifikované certifikáty nefungují s programem Print2PDF. V úložišti certifikát je, ale program ho nevidí. Tetováno na dvou pc. Mám nějakou starší verzi kterou jsem používal k automatickému podepisování faktur.

[Filip Jirsák]

A tady to máte přímo od PostSignum: Certifikáty pro autentizaci