Co přináší nařízení eIDAS a jak se dotýká SSL certifikátů?

30. 6. 2016 | Jindřich Zechmeister

Od zítřka platí nařízení EU o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu, které známé pod zkratkou eIDAS. Co přináší a jak se dotýká problematiky SSL certifikátů? Dozvíte se to v našem článku. Po jeho přečtení nebudete muset složité nařízení studovat.

Co je to eIDAS?

Logo eIDAS

Pokud se zabýváte bezpečností na internetu nebo používáte elektronický podpis, tak jste určitě tento termín už slyšeli. Skloňuje se s narůstající četností již několik let a původně znamenal revoluci v důvěryhodných elektronických službách v Evropské unii. Pojďme se na termín podívat konkrétněji.

eIDAS je nařízení Evropské komise, které upravuje záležitosti bezpečné elektronické komunikace. eIDAS reguluje dvě hlavní oblasti - elektronickou identifikaci a elektronický podpis. Vztahuje se primárně na veřejnou správu, ale dotýká se i jiných elektronických služeb vytvářejících důvěru, jakou jsou například SSL certifikáty (dopadu nařízení na ně se věnuji v samostatném odstavci). Určitě jste také slyšeli, že eIDAS nahradí český zákon o elektronickém podpisu.

Nařízení je svým charakterem přímo uplatňováno v členských státech a účinnost eIDAS začíná právě dnes, tedy 1.7.2016. Byť je nařízení účinné, tak ještě není hotova domácí legislativa, která nadále platí ve všech ustanoveních, ve kterých není s nařízením v rozporu. Celkově nařízení ovlivní přes 60 zákonů a některé zcela zruší.

Zákon o elektronickém podpisu (227/2000 Sb.) bude zrušen zákonem o službách vytvářejících důvěru pro elektronické transakce. Tato novela zatím není účinná a k dnešnímu dni čeká v poslanecké sněmovně na 3. čtení jako sněmovní tisk 763.

Změny v elektronickém podpisu

Jak bylo zmíněno v úvodu, hlavním cílem nařízení eIDAS je úprava elektronické identifikace (v mezinárodním smyslu) a elektronického podpisu. Zatímco s úřady veřejné správy jiných členských zemí EU zřejmě nekomunikujeme, elektronický podpis používá mnoho z nás.

Hlavní změnou je úprava úrovní důvěry a právních důsledků, resp. vznik nového typu podpisu s nejvyšší důvěryhodností a přeshraničním uznáváním. Dochází i k drobné úpravě terminologie.

Nové označení eIDAS Staré označení dle zák. o el. podpisu Použitý certifikát Důvěryhodnost Právní důsledky
Kvalifikovaný elektronický podpis Nezná Kvalifikovaný** Nejvyšší (+ nutnost bezpečného uložení priv. klíče) Uznáván přeshraničně
Zaručený elektronický podpis založený na kvali. certifikátu Zaručený elektronický podpis založený na kvalifikovaném certifikátu* Kvalifikovaný** Střední Jako vlastnoruční podpis
Zaručený elektronický podpis Zaručený elektronický podpis Důvěryhodný Nízká Identifikace osoby
Elektronický podpis Nezná Jakýkoliv Žádná Dle domluvy zúčastněných stran

* v kontextu Kvalifikovaný certifikát = vydaný akreditovaným poskytovatelem certifikačních služeb = 3 české CA

** v kontextu Kvalifikovaný = vydaný v souladu s eIDAS

V tabulce zmiňuji podpisy založené na kvalifikovaném certifikátu. Ze současné praxe známe tři CA, které jsou akreditované tyto kvalifikované certifikáty vydávat. S eIDAS však přijde i nový seznam kvalifikovaných CA, které budou ostatní členské státy unie uznávat. Zatím však není připraven.

Dříve používaný termín elektronická značka je nyní elektronická pečeť. Náhradou za kvalifikovaný systémový certifikát se tak stane certifikát pro elektronickou pečeť. Současné kvalifikované časové razítko se pak stane elektronickým časovým razítkem a termín kvalifikované časové razítko bude používán pro nadřazený, druhý typ razítka.

Nové označení eIDAS Staré označení dle zák. o el. podpisu
Kvalifikovaná elektronická pečeť  Nezná
Zaručená elektronická pečeť založená na kvali. certifikátu Stejné
Elektronická pečeť Elektronická značka
Kvalifikované časové razítko Nezná
Elektronické časové razítko Kvalifikované časové razítko

Budu muset měnit elektronický podpis?

Nebudete, což je jistě dobrá zpráva. V tuto chvíli stále platí současný elektronický podpis.

Podpisový certifikát můžete používat dále a vaše certifikační autorita mezitím uvede své produkty do souladu s eIDAS, což poznáte při prodloužení. Jejich cílem je jistě hladký přechod a podle veřejně dostupných informací je CA PostSignum připravena certifikáty kompatibilní s eIDAS vystavovat už od 1.7.2016.

Jedinou změnu můžete pocítit v případě, že potřebujete pomocí elektronického podpisu komunikovat s veřejnou správou jiných členských zemí. V takovém případě potřebujete "lepší" elektronický podpis. Nově se nazývá kvalifikovaný a k jeho použití potřebujete bezpečný prostředek, což je například čipová karta od vaší certifikační autority. Rozdíl je tedy v tom, že nově je pro podpis s nejvyšší důvěryhodností potřeba mít privátní klíč uložen bezpečně (například na zmíněné čipové kartě).

Jak eIDAS ovlivní SSL certifikáty?

eIDAS používání SSL certifikátů neovlivní prakticky nijak. Nařízení pouze konstatuje vytvoření vlastního seznamu certifikačních autorit, které budou kvalifikované, ale seznam ještě neexistuje. Dále konstatuje požadavky na kvalifikovaný SSL certifikát a jeho obsah, které rozsahem povinně uvedených informací odpovídají certifikátům s OV a EV ověřením (nikoliv DV, kde informace o držiteli chybí). V obou případech zůstává u doporučení, která nejsou jinak závazná.

eIDAS se může v oblasti SSL certifikátů projevit rozšířením seznamu důvěryhodných kořenových autorit v prohlížečích, ale to je pouze má spekulace. Změny v seznamu kořenových autorit uznávaných Microsoftem (Microsoft Trusted Root Certificate program) a používaným ve Windows nepředpokládám, protože jejich politika uznávání kořenových certifikačních autorit je zcela odlišná (až opačná) od eIDAS. Stačí se podívat na požadavky Microsoftu pro zařazení do tohoto programu, které je navíc nákladné.

Dočkáme se evropské elektronické identifikace?

Zmíněnou druhou hlavní oblastí regulace je elektronická identifikace. Nechávám ji nakonec, protože se domnívám, že je pro čtenáře tohoto blogu nejméně důležitá.

eIDAS vytváří prostředí, ve kterém bude možné zavádět systémy elektronické identifikace. Pokud budou oznámeny a v souladu s eIDAS, tak budou "fungovat" v rámci celé Evropské unie. Co si pod tím představit? Například MojeID, což je český zprostředkovatel identity pro jednotné přihlášení, bude možné použít na Evropské úrovni pro přeshraniční uznávání elektronických identit. Pro některé služby Evropské komise už přihlášení pomocí MojeID funguje; viz oznámení na blogu CZ.NIC.

Kromě MojeID vznikne v českém prostředí systém eIdentita. Prostřednictvím obou systémů se budete díky eIDAS moci identifikovat orgánům veřejné správy v celé Evropské unii.

Nezní to skvěle? Budeme si však muset ještě 2 roky počkat.

eIDAS - (ne)dostatečná revoluce?

eIDAS přináší změny v používání "služeb vytvářejících důvěru", ale domnívám se, že onen revoluční nádech se poněkud vytratil. Změny nejsou markantní a v některých případech působí jako krok zpět. Jiné aspekty regulace zase působí příliš vágně, nebo v nařízení zcela chybí.

Co si o eIDAS myslí odborník? Odpověděl nám Mgr. Jiří Průša, který je členem dvou pracovních skupin Evropské komise pro implementaci eIDAS. Je v rámci sdružení CZ.NIC zodpovědný za projekt STORK 2.0 a zejména za projekt CZ.PEPS, který je implementací národního uzlu eIDAS (přes uzel bude probíhat přeshraniční komunikace s ostatními zeměmi). 

eIDAS vytváří právní základ pro rozvoj nových služeb, kdy status kvalifikovaného poskytovatele – např. u SSL certifikátů, je zatím spojen prakticky jen s možností využívat značku důvěry EU. Ta může být zajímavá především z marketingového hlediska, neboť povinné požadavky na používání takovýchto certifikátů eIDAS nestanoví. Celkově tak evropské nařízení lze označit spíše za evoluci než za zásadnější revoluci“, myslí si Jiří Průša.

Na konec si dovolím lehce zaspekulovat. Domnívám se, že zásadní změny elektronického podpisu, identifikace a SSL certifikátů nás v budoucnu teprve čekají a bude k nim muset dojít. Doufejme, že tyto změny budou pro občany EU příznivé a lépe naplánované než začátek účinnosti eIDAS.

Zdroje:

  1. NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES. Dostupné z: http://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32014R0910&from=EN

  2. Sněmovní tisk 763 Vl.n.z. o službách vytvářejících důvěru pro elektr.transakce - EU. Dostupné z: http://www.psp.cz/sqw/historie.sqw?o=7&t=763&snzp=1

  3. PETERKA, Jiří. Unijní eIDAS přichází. O co přijdeme u elektronických podpisů? In: Lupa.cz [online]. [cit. 2016-06-29]. Dostupné z: http://www.lupa.cz/clanky/unijni-eidas-prichazi-o-co-prijdeme-u-elektronickych-podpisu/
  4. PRŮŠA, Jiří. Stane se mojeID národní elektronickou identitou? Nově se s ním přihlásíte ke službám Evropské komise. In: Blog zaměstnanců CZ.NIC [online]. [cit. 2016-06-29]. Dostupné z: https://blog.nic.cz/2015/11/06/stane-se-mojeid-narodni-elektronickou-identitou-nove-se-s-nim-prihlasite-ke-sluzbam-evropske-komise/


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz