autor:
Ing. Štefan Babós, Rumburk
V čísle 17/2001 Rumburských novin jste se mohli dočíst, že je možno v souladu s příslušnými nařízeními vlády využít elektronickou podatelnu s adresou
epodatelna@rumburk.cz. V dodatku se pak uvádí, že tuto podatelnu můžete využít v případě, že máte k dispozici příslušný certifikát, kterým můžete prokázat svou identitu, a tak zajistit, že příslušný dokument je odeslán právě a jen vámi. Protože asi ne každý ví, co je elektronický podpis a certifikační autorita, zkusme trochu tyto termíny přiblížit.
Od klasické pošty k elektronické
Když posíláte dopis klasickou poštou, tak dopis napíšete, vložíte do obálky, na obálku napíšete adresu a vhodíte do schránky. Dopis pak zpracuje poštovní úředník. Ten ho pak předá dalšímu poštovnímu úředníkovi atd., až nakonec poslední poštovní úředník předá tento dopis příjemci vašeho dopisu. Poslání dopisu elektronickou cestou prostřednictvím internetu je v podstatě stejné. Jen dopisu říkáme zpráva a poštovní úředníci jsou elektroničtí, tzn. jsou to jen určité programy, které zajišťují to, že si zprávy přebírají a předávají automatizovaně, tak aby zpráva došla tam, kam má.
Nyní si představte, že jen vezmete papír, na něj napíšete, kdo zprávu posílá (své jméno a adresu) a komu tu zprávu posíláte (jméno a adresu příjemce) a pak napíšete své sdělení. Ale nedáte ho do obálky - jen ho předáte na poštu. Nic nebrání tomu, aby byl doručen na správné místo. Bohužel ale také nic nebrání tomu, aby si obsah takového "otevřeného" dopisu mohlo přečíst mnoho lidí. A bohužel právě tak jsou posílány i zprávy prostřednictvím internetu - zprávy jsou mezi elektronickými pošťáky předávány tak, že si je může také prakticky kdokoliv přečíst. Samotného elektronického pošťáka obsah zprávy nezajímá. Ten si ze zprávy jen zjistí, komu je zpráva určena a předá jí dalšímu elektronickému úředníkovi tak, aby se co nejrychleji doručila. Problém je ale v tom, že k příslušným elektronickým pošťákům mají přístup lidé. A tak se může velice snadno stát, že se ke zprávě nějakého elektronického pošťáka může dostat někdo nepovolaný. Možná se zdá málo pravděpodobné, že by si vaší zprávu mohl někdo přečíst, ale zase až takový problém to není.
Pokud si chceme být jisti, že naší zprávu nebude číst někdo nepovolaný, musíme vytvořit nějakou obálku, která nám obsah sdělení ochrání. Takovou obálkou v elektronické podobě je šifrování zprávy. To znamená, že obsah sdělení převedeme do takové podoby, která bude čitelná jen pro toho, komu je zpráva určená, a pro ostatní "čtenáře" bude zpráva nečitelná.
Jak to funguje
V internetu se k takovému účelu používá šifrování s dvěma klíči, kterému se říká asymetrické. Klíč je několik nul a jedniček určité délky. Podobá se to normálnímu klíči, který používáme k zamykání a odemykání zámku, třeba u dveří. Ten má několik vroubků a určitou délku. Elektronický klíč má místo zoubků řadu jedniček a nul a délka klíče je představována počtem těchto jedniček a nul. Zámek se nám podaří odemknout, jen když máme klíč příslušné velikosti a má vroubky na správných místech. Podobně je tomu i u elektronického klíče, kdy zprávu (dopis) odemkneme a přečteme jen tehdy, když máme klíč o správné délce, tzn. správném počtu jedniček a nul a tyto jedničky a nuly jsou správně uspořádány.
Elektronický klíč
U normálního zámku nám stačí jeden klíč, tím zámek uzamkneme a pak ho tímto klíčem (nebo jeho duplikátem) zase odemkneme. Elektronický zámek se chová jinak. Zde máme klíče dva, každý jiný. Když zamknete elektronický zámek jedním klíčem, tak ho tím samým klíčem (ani jeho duplikátem) neodemknete. Zámek se vám podaří odemknout jen tím druhým. A když zámek zamknete tím druhým klíčem, tak ho zase odemknete pouze jen tím prvním.
U elektronického zámku se navíc ještě používá další ochranný prvek a tím je elektronický podpis. Podobá se našemu normálnímu podpisu, tzn. je pro každého člověka jedinečný, jen je elektronický - skládá se z řady jedniček a nul.
Posíláme zprávu
A teď zkusíme předat zprávu někomu jinému. Městskému úřadu a nejprve normálním klíčem. Na městský úřad nemůžeme nebo se nám nechce jít, a tak ho musíme poslat prostřednictvím nějakého doručovatele. Zprávu vložíme do nějaké krabičky, a aby si městský úřad mohl ověřit, kdo mu zprávu posílá, připojíme k ní svůj podpis a krabičku zamkneme. Pak ji předáme doručovateli, aby jí doručil. Aby zprávu mohli na městském úřadě přečíst, musí krabičku nejprve odemknout. K tomu musí mít příslušný duplikát mého klíče. Ten jsem mu tam musel někdy dříve doručit. Vše zatím funguje tak, jak má. Stejným způsobem ale budu potřebovat komunikovat i s jinými institucemi v Děčíně, Ústí nad Labem, Praze, Brně a nebo i v zahraničí, atd. Těm všem bych musel tento klíč nějakým spolehlivým způsobem dopravit, nejlépe sám. To ale nebude vždy možné, a tak takový klíč budu muset dopravit na příslušné místo jiným způsobem. Tak se může snadno stát, že si někdo udělá duplikát a pak bude moci mé zprávy číst, anebo se dokonce za mne vydávat, protože ten, kdo schránku odemkne, nepozná, zda ji někdo zamkl originálem, anebo duplikátem. Tento způsob asi nebude ten pravý.
Podepsaná zpráva
A co když použijeme náš, možná trochu divný, elektronický zámek s dvěma klíči. Jeden z těchto klíčů si schovám u sebe tak, aby si nikdo nemohl udělat jeho duplikát - to bude můj privátní klíč. Druhý naopak dám k dispozici každému, koho potkám, a protože je elektronický, tak ho i mohu vystavit na internetu, aby si mohl udělat duplikát každý, kdo chce. To bude můj klíč veřejný. Svou schránku se zprávou a elektronickým podpisem zamknu svým privátním elektronickým klíčem. Takovou schránku nyní může otevřít každý, kdo má druhý, tedy veřejný klíč. To může být kdokoliv. Důležité ale je, že když někdo tuto schránku otevře, použije můj elektronický podpis a zprávu pozmění, tak jí může zamknout jen veřejným klíčem. Takovou zprávu může ale přečíst jen jediný člověk na světě, a to pomocí druhého klíče a tím je můj privátní klíč. Tímto způsobem je tedy zajištěno to, že zprávu si může přečíst sice kdokoliv, ale nemůže jí změnit. Když tedy takovou zprávu pošlu na městský úřad, tak tam ji také mohou odemknout jen veřejným klíčem. Ale mají, a to je to důležité, jistotu, že skříňka byla zamčena jen jedním člověkem na světě a tím je ten, kdo vlastní privátní klíč. A to jsem já.
Aby zprávu nikdo nečetl
A teď se podívejme, co můžu udělat v případě, že bude mít i městský úřad svou vlastní dvojici veřejného a privátního klíče, doplněnou o elektronický podpis. Já svou schránku se zprávou zamknu veřejným klíčem městského úřadu. Takovou zprávu může odemknout a přečíst jen jediný subjekt na světě a tím je ten, kdo vlastní příslušný privátní klíč, to znamená městský úřad.
Problém ale je, že takto může zprávu zamknout kdokoliv. Veřejný klíč je dostupný komukoliv, a tak se může stát i to, že někdo napíše zprávu a v ní se bude vydávat za někoho jiného a pošle to na městský úřad zamknuté veřejným klíčem. Takovou zprávu ale městský úřad přijmout nesmí, protože nelze zaručit, že zprávu poslal člověk uvedený ve zprávě. Pokud tedy budu chtít poslat městskému úřadu zprávu a chci jí mít ochráněnou tak, aby jí nemohl nikdo nepovolaný přečíst, tak ji musím nejprve podepsat a zamknout svým privátním klíčem a potom ještě zamknout veřejným klíčem městského úřadu. Když to udělám takto "nadvakrát", tak mám za prvé jistotu, že zprávu může odemknout jen městský úřad, a za druhé, že městský úřad po odemčení zprávy svým privátním klíčem má jistotu, že odemkl zprávu od jedno- ho konkrétního člověka podepsanou a zamčenou jeho privátním klíčem.
Certifikace
Trojice elektronický podpis, privátní klíč a veřejní klíč, spolu s vašimi osobními údaji, tvoří tzv. certifikát. Certifikát vydává certifikační autorita. Ta zajistí, že elektronické klíče a elektronický podpis patří jednomu konkrétnímu subjektu a že jsou jedinečné v celém světě. Certifikace není zadarmo, za její získání se platí určitý poplatek.
Certifikaci lze získat několika způsoby. Jeden způsob je, že oslovíte přímo certifikační autoritu.
Můžete oslovit jak centrální, například VeriSign, na níž se můžete dostat přímo z programu Microsoft Outlook Express nebo Microsoft Outlook, pokud je používáte. Takové certifikační autoritě ale budete muset poplatek za certifikaci platit v dolarech a komunikace s ní (ověření identity) bude muset také probíhat mezinárodně. Existují ale i české certifikační autority, s nimiž můžete komunikovat česky a poplatek zaplatit v korunách.
Jiný způsob je, že certifikaci získáte jako součást nějakého programu, který si zakoupíte. Například nějaký kancelářský balík.
Vypadá to složitě,
ale je to jednoduché
Možná to vypadá složitě, ale všechno to zamykání a odemykání, používání privátního a veřejného klíče atd. se dá velice snadno zautomatizovat a ovládat jen pomocí dvou tlačítek ve vašem poštovním programu pro odesílání a příjem elektronických zpráv. Takovým programem může být, pravděpodobně nejrozšířenější, Microsoft Outlook Express nebo Microsoft Outlook, popř. Netscape Messenger, ale i jiné.
Odeslání
Odeslání certifikované zprávy si ukážeme na programu Microsoft Outlook Express. Po obdržení certifikátu se vám v příslušném poštovním programu objeví dvě nová tlačítka, jedno pro podpis a druhé pro šifrování.
Tlačítko pro podpis stisknete vždy, když se má zpráva elektronicky podepsat. To znamená, když potřebujete zajistit, aby příjemce měl jistotu, že je zpráva od vás a že ji nikdo neupravil. Když budete posílat zprávu do e-podatelny městského úřadu, tak toto tlačítko musíte stlačit vždy.
Tlačítko pro šifrování zase použijete, když budete chtít, aby zprávu nemohl přečíst nikdo nepovolaný. Jedná se v podstatě o zamčení zprávy veřejným klíčem příjemce, např. městského úřadu. Veřejný klíč, který potřebujete k zamčení zprávy, opět nemusíte nikde hledat. Poštovní program se ho pokusí před odesláním zjistit sám a v případě, že se mu ho nepodaří nalézt, vás upozorní, že zprávu nelze zašifrovat (zamknout).
Je důležité si uvědomit to, že když budete posílat zprávu na městský úřad, musíte tuto zprávu vždy podepsat (samozřejmě elektronicky). A podle svého uvážení - doporučuje se ho však stisknout pokud možno vždy - stisknout i tlačítko pro šifrování.
Příjem
O tom, že nám přišla certifikovaná zpráva, se přesvědčíme v seznamu došlých zpráv. U takové zprávy se jednak ukáže ikonka, která nám signalizuje, že došla zpráva podepsaná, šifrovaná anebo obojí. Certifikaci zprávy si pak můžeme ověřit ve vlastnostech této zprávy.
Nejen městský úřad
Certifikaci ale nemusíte používat jen pro komunikaci s městským úřadem. Obdobným způsobem je potřebné komunikovat i s jinými institucemi, jako je finanční úřad apod. Certifikaci také určitě využijete ve své osobní elektronické korespondenci s přáteli, svým lékařem, právníkem apod.
