Certifikát jako prostředek k ověření totožnosti v anonymním světě internetu

21. října 2020 | Václav Čermák

Pexels.com / Markus Spiske

Sdílet

Témata

V poslední době, která je čím dál více "elektronická", narážíme na nejrůznější problémy s certifikáty. O tom, jak takovým problémům předejít, pojednává tento článek.

Co je elektronický podpis / certifikát?

Elektronický podpis (též digitální podpis) je v informatice označení specifických dat, která v počítači nahrazují klasický vlastnoruční podpis, respektive ověřený podpis. Je připojen k datové zprávě nebo je s ní logicky spojen, takže umožňuje ověření totožnosti podepsané osoby ve vztahu k datové zprávě. Elektronický podpis je také prostředek k tomu, jak v anonymním světě internetu ověřit totožnost odesílatele. Aby bylo toto celé možné, byl ve světě počítačů zaveden digitální certifikát vydaný certifikační autoritou, který se buď instaluje do operačního systému počítače (příslušné aplikace), nebo je uchován zcela mimo něj na externím fyzickém zařízení – čipové kartě nebo USB bezpečnostním tokenu.

Lékaři zpravidla používají celou řadu certifikátů jak kvalifikovaných, komerčních, tak i SSL (komunikace se zdravotními pojišťovnami, SUKL, elektronické vedení zdravotní dokumentace, ČSSZ, datová schránka atd.).

Výhody a nevýhody úložiště certifikátů

Úložiště v operačním systému	Čipová karta	USB token
+ Jednoduchost používání + Integrovaný přímo v rámci operačního systému - Menší bezpečnost proti čipové kartě a USB tokenů - Vyšší pravděpodobnost poškození certifikátů	+ Vyšší bezpečnost při použití čteček s vlastní klávesnicí + Možnost využití řady bezpečnostních prvků, vizuálních, dotekových… + Možnost umístění bezkontaktního rozhraní k základnímu nebo dalšímu čipu na kartě - Nutnost použití čtečky - S plastovou kartou je nutno zacházet ohleduplně, aby nedošlo k jejímu poškození - Vyšší pořizovací cena	+ Odbourání potřeby klasické čtečky, možnost připojení k jakémukoli počítači s USB portem - Omezená nebo vyloučená možnost opatřit token vizuálními a dalšími bezpečnostními prvky, které brání falšování - Vyšší pořizovací cena

Úložiště v operačním systému

Čipová karta

USB token

+ Jednoduchost používání

+ Integrovaný přímo v rámci operačního systému

- Menší bezpečnost proti čipové kartě a USB tokenů

- Vyšší pravděpodobnost poškození certifikátů

+ Vyšší bezpečnost při použití čteček s vlastní klávesnicí
+ Možnost využití řady bezpečnostních prvků, vizuálních, dotekových…

+ Možnost umístění bezkontaktního rozhraní k základnímu nebo dalšímu čipu na kartě

- Nutnost použití čtečky

- S plastovou kartou je nutno zacházet ohleduplně, aby nedošlo k jejímu poškození

- Vyšší pořizovací cena

+ Odbourání potřeby klasické čtečky, možnost připojení k jakémukoli počítači s USB portem

- Omezená nebo vyloučená možnost opatřit token vizuálními a dalšími bezpečnostními prvky, které brání falšování

- Vyšší pořizovací cena

U lékařů se zpravidla nejčastěji setkáváme s certifikáty, které jsou uloženy přímo v operačním systému. Nespornou výhodou takového řešení je uživatelská jednoduchost a do jisté míry i komfort použití. Hůře je na tom tento typ úložiště z pohledu bezpečnosti a také je zde zvýšené riziko poškození certifikátu, který je možné si pro zjednodušení představit jako soubor uložený v počítači.

Je zároveň nutné pamatovat na to, že kdokoliv pracuje s počítačem v profilu, ve kterém je nainstalovaný libovolný certifikát s privátní částí, může tento podpis velmi snadno zneužít.

Jak se bránit případným problémům a předcházet jim?

Certifikační autority (První certifikační autorita, a. s., Česká pošta, s. p., eIdentity a. s.) zpravidla doporučují používat externí úložiště certifikátů (elektronická občanka, čipová karta či USB token), na kterém máte vždy tu nejcennější - privátní část certifikátu uloženou, a tedy v bezpeční. Pakliže potřebujete provést operace, které si vyžadují manipulaci s certifikátem, musíte toto zařízení nejprve připojit k počítači.

Tento typ úložiště zpravidla zcela eliminuje riziko poškození certifikátů, zároveň však přináší menší komfort v samotném používání.

Hrozí zde také odcizení nebo ztráta. Pravděpodobnost takové události může být snížena fyzickými způsoby, jako například uzamčením, uschováním apod. Obvykle se však při použití zadává bezpečnostní PIN, který by případný zloděj musel také zjistit.

V případě, že máte certifikáty uloženy přímo v počítači, je doporučována vždy záloha certifikátu s privátní částí, aby bylo možné v případě poruchy operačního systému nebo samotného počítače certifikát opětovně nainstalovat. Tento záložní soubor je nezbytné umístit např. na flash disk mimo počítač a ten následně umístit na bezpečném místě, kde nehrozí riziko odcizení.

TIP: při zálohování certifikátu je nezbytné nastavit heslo. Toto heslo je důležité si zapamatovat, jinak nebude možné certifikát opětovně nainstalovat. Zálohovaný soubor by měl mít po exportu minimální velikost 8 kB. Pokud je to méně, nebude se jednat o kompletní zálohu obsahující privátní část.

Pokud žádnou zálohu nemáte, zpravidla je nutné nejenom opětovné pořízení nových certifikátů, ale i jejich registrace na službách, kde je využíváte (VZP, Portál ZP atp.).

Související články