Uložení S/MIME certifikátu na eObčanku (čipovou kartu)

Elektronický občanský průkaz (eObčanka) je čipovou kartou, která kromě výchozí identifikační a autentizační úlohy může také sloužit pro bezpečné ukládání vašich RSA a ECC klíčů a jejich používání. Tento návod vám pomůže s uložením S/MIME certifikátu od DigiCertu.

Účel používání certifikátu na eObčance

eObčanka slouží samozřejmě k identifikaci a autentizaci občanů fyzicky i elektronicky. Je to také čipová karta nabízející bezpečné úložiště certifikátu a to nás nyní zajímá především.

Privátní klíč certifikátu nejde z eObčanky exportovat. Použití certifikátu je chráněno pětimístným PINem karty; karta umožňuje jen 3 nesprávné zadání, ale celkově ze 100 000 možných kombinací PINu. Uhádnutí je tedy nepravděpodobné. Hlavní výhodou je fakt, že certifikát je na čipové kartě bezpečně uložen proti krádeži a zneužití.

Inicializace čipové karty

eObčanka má dva programy Aby byla čipová karta v systému vidět a mohli jste s ní pracovat, nainstalujte obslužnou aplikaci eObčanka. Ta má dva programy - pro autentizaci a přihlašování do portálů veřejné správy a také servisní program pro inicializaci a obsluhu čipové karty. Přes tento druhý program Správce karty budeme provádět import certifikátů na čipovou kartu a ostatní úkony.

Aplikaci eObčanka si můžete stáhnout zde.

Aplikace eObčanka
Aplikace eObčanka.

Čipovou kartu vložte do čtečky. Orientace závisí na dané čtečce, ale například do SC čtečky notebooku by měla být správná orientace čipem nahoru.

eObčanka vložená do čtečky čipových karet
eObčanka vložená do čtečky čipových karet.

Následně otevřete obslužnou aplikaci eObčanka - Správce karty. Při spouštění uvidíte animaci detekce karty. Po kliknutí na číslo eOP vidíte detail karty a informace o zaplnění.

Přehled elektronické občanky
Přehled elektronické občanky.

Občanka nabízí až 16 míst pro uložení klíčů. Dvakrát osm pozic je volných pro import klíčů (8 obecné použití a 8 pro podpis); z toho polovina je určená pro RSA klíče a polovina pro ECC.

Přehled elektronické občanky
Přehled elektronické občanky.

Import certifikátu

Dole v okně vidíte devět modrých tlačítek a poslední v pořadí slouží pro import. Klikněte na něj a vyberte PFX (PKCS#12) soubor s certifikátem a privátním klíčem.

Výběr certifikátu pro import
Výběr certifikátu pro import.

Následně uvidíte krátkou animaci importu.

Import certifikátu na čipovou kartu
Import certifikátu na čipovou kartu.

Aplikace vás vyzve k zadání PINu k čipové kartě (jeden z PINů, který jste dostali na úřadě při vyzvednutí. Je uváděn jako "PIN". Neplést s heslem k systému ani s heslem k PFX.

Zadání PINu od karty
Zadání PINu od karty.

Po importu vidíte údaje certifikátu uloženého na kartě.

Detail importovaného certifikátu
Detail importovaného certifikátu.

Můžete si taky zobrazit více detailů včetně klasického detailu certifikátu známého z Windows.

Používání certifikátu na eObčance

Díky obslužné aplikaci eObčanka je možné certifikát registrovat v systému (zobrazí na to příslušné tlačítko) a aplikace pro podpis nabízí certifikáty z eObčanky na výběr pro podpis.

Výběr podpisového certifikátu v MS Word
Výběr podpisového certifikátu v MS Word.

Při každém podepsání je nutné zadat PIN čipové karty, které můžete zadat jen 2x špatně (k uhádnutí byste museli uhodnout jednu ze 100 000 možností.

Zadání PINu čipové karty pro použití certifikátu
Zadání PINu čipové karty pro použití certifikátu.

Po správném zadání PINu uvidíte animaci, která znázorňuje podepisování dokumentu. Dokument je nyní podepsán a je znám jeho původ, podepisující osoba a jeho neměnnost při cestě k příjemci.

Animace znázorňuje podepisování dokumentu
Animace znázorňuje podepisování dokumentu.

Certifikát je na čipové kartě chráněn daleko lépe, než při obvyklém uložení "na ploše" jako PFX či v úložišti certifikátů, odkud ho může kdokoliv exportovat ven. Privátní klíč není možné z čipové karty exportovat a tudíž ho není možné zneužít.