Jak funguje elektronický podpis

Rozvoj a využití nových oblastí ekonomiky - tzv. digitální ekonomika - nejsou možné bez přechodu na plné využití elektronické komunikace a elektronického obchodu ve všech sférách běžného života moderní společnosti.
Relevantním dokumentem EU je finální verze Směrnice Evropského parlamentu a Rady o elektronických podpisech - dále nazývaná Směrnice EU - Directive 1999/EC of the European Parliament and of the Council on a Community framework for electronic signatures 98/0191 (COD) schválená evropskou radou 30. 11. 1999 - je i na http://europa.eu.int//comm/dg15/en/media/sign/99-915.htm.
Systém elektronického podpisu je založen na jisté pojmové konstrukci, která tvoří páteř příslušného zákona a která je zobecněním systému tzv. digitálního podpisu. Pojem digitálního podpisu byl zaveden v kryptologii. V současné době je nejčastěji technologicky realizovanou variantou elektronického podpisu. Protože v budoucnosti mohou přejít do běžného užití i jiné, je účelné přijmout obecnější zákon o elektronickém podpisu.
Digitální podpis využívá určitou matematickou vlastnost tzv. asymetrických šifrových systémů, objevenou asi před 20 lety. Klíčem se nazývá posloupnost (řetězec) znaků, která umožňuje použít šifrování. Asymetrická šifra obsahuje dva klíče, jeden klíč je určen pro zašifrování (soukromý) a jiný klíč slouží pro odšifrování (veřejný). Přitom platí pravidlo, že ze znalosti veřejného klíče nelze odvodit klíč soukromý. Každá osoba, která chce používat digitální podpis, si vytvoří pomocí dodaného softwaru svou vlastní dvojici klíčů - soukromý a veřejný - soukromý klíč si uloží a veřejný klíč pomocí certifikační autority zveřejní.
Proces podepisování vypadá asi takto: Podepisující osoba vezme text, který chce podepsat, zašifruje jej dodaným šifrovacím softwarem s využitím soukromého klíče a výsledek zašifrování připojí k textu jako svůj podpis.
Osoba ověřující digitální podpis si napřed z textu zjistí jméno podepsané osoby a pomocí certifikační autority si zjistí, jaký je veřejný klíč podepsané osoby. Pomocí dodaného odšifrovacího software a prostřednictvím získaného veřejného klíče odšifruje digitální podpis (tj. text zašifrovaný pomocí soukromého klíče podepsaného), a získá tak původní tvar textu. Ten pak srovná s otevřeným textem a pokud se oba texty shodují, dojde tím jednak k potvrzení podepsané osoby (jen ten, kdo zná soukromý klíč spojený s daným veřejným klíčem, mohl vyrobit digitální podpis) a zároveň také k potvrzení původnosti textu.
Popsaný postup odpovídá reálné situaci pouze s jednou změnou. Místo toho, aby digitální podpis vznikl zašifrováním celého textu (tím by vznikl zbytečně dlouhý digitální podpis a další problémy), postupuje se jinak. K danému textu se vytvoří pomocí dodaného speciálního software jeho (prakticky) jednoznačná charakteristika - tzv. kryptografický kontrolní součet, který budeme nazývat otisk textu, a tento otisk textu bude zašifrován soukromým klíčem podepsané osoby. Výsledek bude připojen k textu jako digitální podpis. Ověřující osoba vytvoří (pomocí dodaného software) otisk otevřeného testu, pomocí veřejného klíče odšifruje digitální podpis a výsledek odšifrování srovná s otiskem textu. Pokud se shodují, je potvrzena správnost veřejného klíče (a tím i podepsané osoby), i správnost toho, že text nebyl změněn.
Tento postup má dvě slabá místa. Jednak musí existovat jednoznačná vazba mezi osobou a jejím veřejným klíčem, a to tak, že daný veřejný klíč může náležet nejvýše jedné osobě. To zaručuje certifikační autorita, která také zaručí úplnou identifikaci vlastníka klíče. Druhým slabým místem je, že podepsaná osoba musí dokázat udržet svůj soukromý klíč v tajnosti. Pokud totiž někdo cizí pozná něčí soukromý klíč, může falšovat jeho digitální podpis.
Elektronický podpis funguje podobně jako digitální podpis. Podepisující osoba:
1) si vytvoří dvojici podepisovací data (dříve soukromý klíč) - ověřovací data (dříve veřejný klíč), ověřovací data uloží u poskytovatele certifikačních služeb (dříve certifikační autorita), který je zpřístupní všem zájemcům, 2) získá od poskytovatele certifikačních služeb podepisovací prostředek (dříve SW pro zašifrování a SW pro vytvoření otisku).
Osoba ověřující elektronický podpis:
1) na základě otevřeného textu získá od poskytovatele certifikačních služeb ověřovací data podepsané osoby a ověřovací prostředek (dříve veřejný klíč a SW pro odšifrování), 2) použitím ověřovacího prostředku pro otevřený text a s využitím ověřovacích dat získá potvrzení správnosti identity podepsané osoby a původnosti textu. Každý klient bude mít různou dvojici podepisovací data (utajovaná vlastníkem) - ověřovací data (zveřejněná poskytovatelem).
Zákon o elektronickém podpisu, a to v jakékoli verzi, musí především obsahovat jasné a úplné vymezení základních pojmů, které společně vytvářejí určitou pojmovou konstrukci, která je základem zákona.

RNDr. Jiří Souček, DrSc.
Autor učí na MFF UK, člen odborné skupiny kryptologie matematické sekce JČMF.

Související