IT rekvalifikace s garancí práce. Seniorní programátoři vydělávají až 160 000 Kč/měsíc a rekvalifikace je prvním krokem. Zjisti, jak na to!
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Lekce 3 - Vybavení pro získání kvalifikovaného elektronického podpisu

Předchozí
Další

V předchozí lekci, Elektronické podpisy - Kvalifikovaný podpis a norma eIDAS, jsme si uvedli základní typy elektronických podpisů a dozvěděli se, co musí kvalifikované podpisy uznávané v EU splňovat.

V dnešním dílu tutoriálu věnovanému kvalifikovaným elektronickým podpisům si popíšeme jednotlivé kroky, jež musíme podniknout, abychom mohli získali hotový kvalifikovaný certifikát. Jednotlivé etapy tohoto procesu si pak podrobněji popíšeme v dalších dílech kurzu.

Co vše budeme k získání certifikátu potřebovat?

Než se pustíme do vlastní práce s nastavováním jednotlivých pomůcek a nakonec do samotného digitálního podepisování dokumentů, je potřeba zařídit následující body.

Objednání bezpečnostního (kryptografického) tokenu

Začneme nejspíš objednáním USB tokenu, případně jiné čipové karty nebo jiného autorizovaného zařízení zmíněného dříve. Bude nějakou dobu trvat, než nám ho doručí, proto tento bod uvádíme na prvním místě.

Přejdeme na stránky e-shopu České pošty a objednáme TokenME EVO + SW, jeho cena se pohybuje kolem 900 Kč s DPH. Raději ho neobjednávejte jinde, protože budeme potřebovat, aby na něm byl předinstalovaný tzv. Servisní certifikát, nutný pro další (zabezpečenou) komunikaci s úřadem PostSignum.

Na obrázku vidíme bezpečnostní USB token TokenME EVO + SW:

kryptografický TokenME EVO + SW - Kvalifikovaný elektronický podpis

Lze sice nalézt i jiná řešení, např. v podobě čipových karet, nicméně klasické USB je pořád nejjistější. Budoucnost bude stejně patřit (doufám) mobilům, jak naznačuje například schválení Evropské "občanky v mobilu", k níž se připojí i české eDokladovka a mojeID. Ceny dalších zařízení splňujících eIDAS jsou navíc podobné, případně vyšší, než u uvedeného tokenu.

Tento model dokonce podporuje i kvalifikované pečetě, což jsou něco jako "razítka" s časovou značkou, kdybychom je v někdy budoucnu také potřebovali.

Čtečka Smart Cards

Pokud nemáme ve svém počítači resp. notebooku čtečku chytrých karet rovnou integrovanou, pak si budeme muset pořídit externí. Seženeme ji nejspíš v prvním obchodě s elektronikou, na který narazíme někde po cestě z pošty a to v cenových relacích od 200 Kč výše. Vyhovovat by měly všechny. Za zeptání, zda podporuje i čip na eObčance, ovšem nic nedáme. Pokud čtečku budeme chtít používat i v Linuxu nebo Macu, pak bychom raději měli volit takovou, u které to výrobce výslovně uvádí.

Pokud nám nezáleží na vzhledu, tak se musíme pouze rozhodnout, zda chceme čtečku bezdrátovou či nikoliv. Z důvodů uvedených výše doporučujeme zvolit klasickou variantu s připojením na USB. Ty navíc bývají i o něco levnější:

USB čtečka chytrých karet - Kvalifikovaný elektronický podpis

Aktivace čipu na eObčance

Novou eObčanku již asi nejspíš máme. Což ale bohužel ještě neznamená, že ji také hned můžeme použít. K tomu je totiž nutné úřadům také oznámit, že jsme se ji rozhodli používat. Nazývá se to "aktivace čipu na eObčance" a vyřídí nám to na počkání na městském úřadě, resp. na městském úřadě s tzv. rozšířenou působností. Alespoň ve městech by tuto funkci měly plnit snad všechny. Připravit bychom si k tomu měli ale také PIN, který jsme zadávali, když nám eObčanku původně vydávali (nebo alespoň ten, na který ho chceme změnit).

Pokud náhodou ještě eObčanku, tj. tu verzi kartičky obsahující příslušný elektronický čip nemáme, pak o ni budeme muset (na tomtéž úřadě) nejdříve zažádat. Na její vystavení mají standardně 30 dnů, většinou je ale hotová do dvou týdnů. Za příplatek nám ji udělají i do pěti pracovních dnů. Dokonce je možné si ji nechat vystavit do 24 hodin (jaký to pokrok :) ), ale jen v Praze přímo na ministerstvu vnitra.

V tomto případě se připravme na to, že nám kromě standardního focení budou brát i otisky prstů, vzorek DNA naštěstí ještě ne. A samozřejmě si připravme PIN. Ten se oficiálně nazývá IOK – Identifikační Osobní Kód. Hlavně však nezapomeňme rovnou na místě požádat o aktivaci čipu na naší nové eObčance!

Cestu na úřad můžeme případně spojit s nákupem čtečky SmartCards. Ostatní již pak konečně vyřídíme on-line.

Stručný přehled dalšího postupu

Detailně popsaný postup krok za krokem i s obrázky, podle kterého to zvládne každý, si ukážeme dále v kurzu. Nicméně určitě neuškodí si celý postup nejdříve stručně shrnout.

Pokud máme nějaké povědomí o tom, jak celá věc z technického hlediska vlastně funguje (četli jsme například kurz o Základech kybernetické bezpečnosti) a věci raději řešíme metodou pokus-omyl, pak nám toto shrnutí bude nejspíš i stačit:

  1. Svoji eObčanku s aktivovaným čipem připojíme k počítači přes čtečku Smart Cards a pomocí programu eObčanka (dostupného pro Windows, Mac i Linux) na ní nastavíme hromadu PINů. Budeme to později potřebovat k autentizaci na úřadu PostSignum. Až ho budeme online žádat, aby nám podepsal naše údaje spolu s našimi veřejnými klíči, neboli vystavil digitální certifikát o naší identitě právně uznávaným způsobem, budeme moci takto prokázat svoji totožnost.
  2. Bezpečnostní token (zde TokenME EVO II) připojíme k počítači. K jeho ovládání je potřeba nainstalovat middleware (ovládací-zprostředkovací software). Ten je ke stažení na stránkách PostSignum pod názvem bit4id_xpki_admin_698.msi. Jedná se o verzi pro Windows, ale v případě potřeby je dostupný i pro Mac nebo Linux.

Na tokenu si nastavíme (změníme výchozí) PIN a PUK. Bude nám soužit jako bezpečné úložiště našich certifikátů, zejména těch, které v sobě obsahují i naše privátní, tajné klíče. Zároveň na něm budou probíhat vlastní kryptografické operace, zejména podepsání a dešifrování zpráv. Použití kvalifikovaného hardwarového prostředku (tokenu) tímto způsobem vyžaduje evropská norma eIDAS.

3. Pomocí programu iSignum vygenerujeme žádost o certifikát pro úřad PostSignum. Program je dostupný pouze pro Windows a pokud chceme právně uznávaný kvalifikovaný certifikát, nelze to v tomto případě udělat v jiném programu. Pro nás viditelným výsledkem bude ID žádosti, které u naší žádosti bude začínat písmeny BP následované dalším číslem.

4. Na stránkách úřadu PostSignum:

  • Prokážeme svoji totožnost pomocí eObčanky,
  • zadáme výše uvedené ID žádosti,
  • odsouhlasíme podmínky a zaplatíme, stejně jako v jakékoli jiném e-shopu,
  • následně stáhneme hotový kvalifikovaný certifikát, který pomocí programu iSignum uložíme na token. Můžeme ho navíc uložit či importovat i jinam, odtud ale nepůjde použít k podepisování a dešifrování zpráv, protože neobsahuje náš tajný klíč.

Vlastní stažení lze provést buďto přímo z programu iSignum, nebo si můžeme stáhnout klasický soubor ve formátu PEM a pak ho do programu iSignum importovat.

5. Takto získaný certifikát budeme moci již v praxi použít, a to zejména pro podepisování souborů PDF. To je potřeba udělat tak, aby tomu rozuměly úřady jak naše, tak v EU. Ukážeme si také použití tzv. neviditelných podpisů při hromadném podepisování více souborů najednou pomocí programu PDFSigner+.

V další lekci, Elektronické podpisy - Nastavujeme eObčanku, si ukážeme, jak naší eObčance nastavit všechny potřebné kódy - PUK, PIN, QPIN a DOK pomocí stejnojmenné aplikace.


 

Předchozí článek
Elektronické podpisy - Kvalifikovaný podpis a norma eIDAS
Všechny články v sekci
Kvalifikovaný elektronický podpis
Přeskočit článek
(nedoporučujeme)
Elektronické podpisy - Nastavujeme eObčanku
Článek pro vás napsal David Janko
Avatar
Uživatelské hodnocení:
11 hlasů
Autor se věnuje poradenství převážně v oblasti kybernetické bezpečnosti.
Aktivity