Certifikačné autority čakajú na akreditačný postup

Komerčná sféra a sčasti aj štátna správa začali certifikáty používať ešte pred schválením zákona o elektronickom podpise

Rozbeh elektronickej komunikácie však v mnohých oblastiach limituje platná legislatíva. Napríklad podľa zákona č. 511/1992 Zb. o správe daní a poplatkov sa dane musia priznávať formulárom v papierovej podobe. Toto ustanovenie bude potrebné zmeniť. Tvrdší oriešok je však sám zákon č. 215/2002 Z.z. o elektronickom podpise, ktorý požaduje, aby sa výmena informácií so štátnou správou zabezpečovala zaručeným elektronickým podpisom. Ten však môže vydať len akreditovaná certifikačná autorita . a taká zatiaľ na Slovensku nie je.

Chýbajúce pravidlá

Certifikačné autority majú aj Všeobecná úverová banka, a.s., Bratislava a EVPÚ (Elektrotechnický výskumný a projektový ústav), a.s., Nová Dubnica. Obyčajné elektronické podpisy slúžia na overenie toho, či odosielateľ správy alebo server pripájajúci sa do firemnej siete je naozaj tým, za koho sa vydáva.

Na to, aby certifikačné autority mohli vydávať zaručené elektronické podpisy, ich musí najprv NBÚ akreditovať. Riaditeľ sekcie elektronického podpisu NBÚ Peter Oravec tvrdí, že postup v pracovnej verzii záujemcovia získajú na požiadanie. Zatiaľ však môže poslúžiť len na to, aby získali predbežný obraz o tom, čo všetko budú musieť pre akreditáciu podstúpiť.

S vydaním záväzného postupu akreditácie sa podľa P. Oravca čaká na výsledky stretnutia členských štátov Európskej únie a kandidátskych krajín, ktoré sa uskutoční v druhej júnovej dekáde. Jeho závery môžu viesť k zmene európskej smernice upravujúcej elektronický obchod.

Pokiaľ by k tomu došlo, bude potrebné novelizovať slovenský zákon o elektronickom podpise, čo môže v konečnom dôsledku ovplyvniť aj podobu akreditačného postupu. Keďže zaručené elektronické podpisy, ktoré akreditované certifikačné autority vydajú, platia v celej EÚ, musia byť aj akreditačné postupy kandidátskych krajín v súlade s platnou európskou legislatívou.

Drahá infraštruktúra

Generálny riaditeľ DTCA František Kaščák upozorňuje, že vybudovanie vyhovujúceho zabezpečenia je finančne veľmi náročné, čo sa môže odraziť vo vysokej cene zaručeného certifikátu. Preto chce DTCA využiť infraštruktúru sesterskej Prvej certifikačnej autority, a.s., Praha, ktorá je jedinou akreditovanou certifikačnou autoritou v ČR.

DTCA by v takom prípade mala svoj privátny kľúč umiestnený u českej autority, ktorej zariadenia a objekty už bezpečnostným auditom prešli. Tento model však môže podľa P. Oravca naraziť na problém . NBÚ nemôže kontrolovať subjekty cudzieho štátu.

Riaditeľ Viasecu Ľuboš Batěk odhaduje minimálne investičné náklady na vybudovanie bezpečnostnej infraštruktúry na sedemdesiat miliónov korún. Cena jedného zaručeného certifikátu by sa potom mala začínať od tisíc korún. Žiadna certifikačná autorita však podľa Ľ. Batěka neinvestuje svoje prostriedky dovtedy, kým nebudú vytvorené podmienky na využitie zaručeného podpisu v praxi, napríklad pri elektronickej komunikácii so štátnou správou.

Rozbehnuté projekty

Prvá slovenská certifikačná autorita napríklad vydala certifikáty pre Štátne hmotné rezervy SR, kde slúžia pri overovaní odosielateľov v rámci počítačovej siete. Elektronické podpisy Viasecu (respektíve jeho predchodcu ViaPVT, a.s., Bratislava) používajú na vnútropodnikovú komunikáciu aj zamestnanci EuroTelu Bratislava, a.s., a spoločnosti Hewlett-Packard Slovakia, s.r.o., Bratislava.

Tatra banka, a.s., Bratislava využila elektronický podpis vydaný DTCA v službe i:key, prostredníctvom ktorej možno zadávať on-line platobné príkazy. Ako dodáva riaditeľ oddelenia vzťahov s verejnosťou Roman Začka, banka od novembra minulého roka na túto službu získala približne päťsto klientov.

"Počet aktívnych používateľov s vydaným certifikátom je o niečo nižší, i:key sa totiž ako každý nový zložitý produkt elektronického bankovníctva dostáva medzi široké vrstvy zákazníkov trochu pomalšie" dodáva.

Niektorí klienti certifikačných autorít pribudli aj po vstupe zákona o elektronickom podpise do platnosti. Na základe neho vydané certifikáty majú napríklad zamestnanci Slovanetu. Využívajú ho pri internej výmene dokumentov, ako sú žiadosti o dovolenku alebo firemné smernice.

Certifikáty si od Viasecu zaobstaral aj Slovenský pozemkový fond, kde slúžia na autorizáciu serverov a jednotlivých pracovísk pri prihlasovaní do virtuálnej privátnej siete.

Školské výpočtové stredisko (ŠVS) v Banskej Bystrici zasa využilo elektronické podpisy od DTCA pri šifrovaní prenosu výsledkov prijímacích pohovorov z jedného banskobystrického gymnázia. .Modelové testovanie prebehlo bez problémov,. konštatuje riaditeľ ŠVS Stanislav Slačka. Dodáva, že stredisko bude touto formou so školou komunikovať aj naďalej.

Miera zabezpečenia

Štandardný osobný certifikát stojí 700 až 950 korún (všetky sumy s DPH). Zostáva však uložený v počítači držiteľa, kde sa k nemu môže každý pomerne ľahko dostať. Certifikačné autority preto odporúčajú jeho uloženie na čipovej karte alebo USB kľúči.

V takomto prípade vyjde podpis na podstatne viac, napríklad v DTCA na vyše 1 800 korún, pričom v tejto cene je zahrnutá čipová karta bez čítačky. Za certifikát pre prihlasovanie servera do počítačovej siete zaplatí zákazník 1 300 až 1 500 korún.

Spôsob vydania certifikátu, ukončenia jeho platnosti, ako aj jeho správy a použitia stanovuje takzvaný certifikačný poriadok. Na jeho základe si používatelia zvolia, koho certifikáty budú akceptovať. Podľa F. Kaščáka si vyberú autoritu, ktorej elektronické podpisy prijme najviac potenciálnych komunikačných partnerov.

Riaditelia DTCA a Viasecu pripúšťajú, že okolo jednotlivých autorít, ako aj firiem, ktoré budú vyžadovať elektronický podpis, takto vzniknú uzavreté skupiny používateľov. "Situáciu vyriešia dohody o vzájomnom uznávaní certifikátov medzi jednotlivými certifikačnými autoritami" uzatvára Ľ. Batěk.