Ověření elektronického podpisu Platanus - praxe

Ověření elektronického podpisu Platanus - praxe

Tento článek představuje praktický způsob, jakým nastavit prohlížeč dokumentů, které ode mne můžete obdržet, a to tak, aby správně ověřoval elektronický podpis v nich obsažený. Pokud jste ještě nečetli teoretickou první část zápisku a máte-li chvilku, zkuste to, budete přesněji vědět, proč děláte úkony, ke kterým vás zde vybízím. Ale jste-li prostě příliš nedočkaví, na nic nečekejte a směle do toho!

Oficiální dokumenty Platanus

Veškeré oficiální dokumenty, které ode mne obdržíte elektronickou cestou (mohou to být faktury, smlouvy, dokumentace k projektu, apod.), jsou podepsány mým elektronickým podpisem. Dokumenty jsou šířeny ve formátu PDF.

Proč právě formát PDF? Má několik bezvadných výhod:

  • je všeobecně velmi známý a rozšířený
  • existuje pro něj prohlížeč Adobe Reader, který si můžete stáhnout zdarma (ale jistě už jej máte)
  • a co nás nyní zajímá nejvíce, má velmi propracovanou podporu elektronických podpisů:
  • podpis je uchováván přímo v dokumentu (nemusí se k němu nějak složitě přikládat)
  • ověření podpisu je při správném nastavení programu naprosto automatické a pro uživatele intuitivní, jak za chvíli sami uvidíte!

Tento článek předloží postup pro ověření podpisů v dokumentech PDF s využitím prohlížeče Adobe Reader verze 8 (update 8.1) na Windows.

Pokud nemáte k dispozici žádný můj podepsaný dokument, můžete si vše zde uvedené otestovat na zkušebním dokumentu signed-Elektronicky_podpis_Platanus.pdf (270 kB), který jsem pro vás připravil (stáhněte si jej na disk pravým tlačítkem myši). Dokument obsahuje právě tento článek, takže si jej zároveň můžete v hezčí formě vytisknout, budete-li chtít.

Elektronický podpis dokumentů Platanus

K podepisování dokumentů používám tzv. kvalifikovaný certifikát. Ten se od běžných certifikátů liší především tím, že jeho získání a používání se přesně řídí speciálním zákonem, konkrétně Zákonem 227/2000 Sb. o elektronickém podpisu, což certifikátu dodává oficiální punc.

Certifikát je navíc vydaný tzv. akreditovanou certifikační autoritou, jejíž provoz opět musí být v přesném souladu se zákonem. Co z toho všeho vyplývá? Soulad se zákonem staví takový elektronický podpis v elektronické komunikaci na roveň podpisu vlastnoručnímu. A to dokonce tak, že jej uznávají i české úřady…! Jednoduše je to stejné, jako kdybych vytištěný dokument podepsal vlastní rukou.

V Česku jsou v současné době v provozu tři akreditované certifikační autority, v mém případě je to instituce přidružená k České poště, zvaná PostSignum. Právě ta mi vydala certifikát, kterým podepisuji dokumenty.

Ověření elektronického podpisu

Nyní budu předpokládat, že máte k dispozici dokument, který je mnou pravděpodobně podepsaný, a chcete jej náležitě ověřit. Jinými slovy tedy chcete provést následující kroky:

  1. zkontrolovat otisk dokumentu, abyste se ujistili, že dokument nebyl po podepsání pozměněn,
  2. zkontrolovat údaje v certifikátu připojeném k podpisu, zda se týkají mé osoby,
  3. ujistit se, že certifikát byl vydaný autoritou, které důvěřujete, a že tedy můžete důvěřovat i tomuto certifikátu
  4. a konečně potřebujete zkontrolovat seznam zneplatněných certifikátů vydaných touto autoritou, abyste měli úplnou jistotu, že certifikát (a s ním i podpis) nebyl od jeho vydání zneužit.

Vypadá to možná složitě, mohu vás ale ujistit, že většinu kroků za vás udělá počítač a vy, jako člověk, budete muset provést vždy jen krok číslo 2 — prohlédnout informace v certifikátu — a i ty vám prohlížeč dokumentu donese až přímo „pod nos“. K tomu, jak jej nastavit, aby to opravdu dělal, se konečně dostáváme nyní. Takže, jde se klikat!

První (a neúspěšný) pokus

Nejprve zkusme dokument otevřít tak jak je, bez nějakého nastavování čehokoliv. Otevřete PDF dokument a v Adobe Readeru 8 pravděpodobně uvidíte něco podobného, jako na obrázku vpravo (u dřívějších verzí Readeru se bude zobrazení informací o podpisu lišit, princip však zůstává stejný):

Čeho si na obrázku všimnout? Především, nahoře je modrá lišta, která zobrazuje informace o právě ověřovaném podpisu dokumentu. Na liště je bezútěšná hláška o tom, že dokument je sice podepsán, ale identita podepisující osoby je neznámá – lidsky řečeno: tomuto podpisu nevěříme! Tedy aspoň prozatím…

Dole na stránce, pod datem vydání dokumentu, je umístěn samotný elektronický podpis. PDF dokumenty umožňují k podpisu přiřadit nějaký obrázek, v tomto případě jde drze o můj opravdový „ruční“ podpis, který jsem předtím naskenoval. U podpisu je zobrazena ikonka s panáčkem a otazníkem, která intuitivně vybízí k zostření pozornosti – něco s podpisem není v pořádku.

Na pravé straně lišty je tlačítko, které zobrazí podrobnosti o podpisu dokumentu (viz obrázek vpravo). Tam je souhrnným způsobem uvedeno, kdo podpis provedl, z jakého důvodu a kdy a kde. Pod tím se nachází shrnutí celého procesu ověření podpisu. Je tam postupně uvedeno, že:

  • (zelená fajfka) dokument nebyl pozměněn od doby podpisu, jinými slovy, což je fajn,
  • (otazníček) certifikát podepisující osoby byl vydán autoritou, které doposud nedůvěřujete — aha to je ten problém!
  • a (výstražný trojúhelník) konečně, že čas podpisu je založen na času v mém počítači a nemusí být na 100% důvěryhodný, což je nám teď ale celkem jedno.

Instalace certifikátů certifikační autority

update 1.9.2011

Od května 2010 jsou již kořenové certifikáty autority PostSignum součástí přímo Windows (u XP je na to aktualizace, u Vista a Windows 7 jsou připraveny okamžitě po instalaci). Celý tento oddíl textu (instalaci kořenových certifikátů) tedy můžete s klidem přeskočit!

Předchozím pokusem jsme zjistili, že prohlížeč podpis nepovažuje za platný, neboť nedůvěřujeme certifikační autoritě, která vydala podpisový certifikát. Jak ale zařídit důvěru v tuto autoritu?

Využitím certifikátů certifikační autority. Ano, i autority mají své certifikáty, které slouží jako jejich občanské průkazy, kterým rozumějí počítače. Kde je vzít? Nejlépe z nějakého důvěryhodného zdroje, například z oficiálního webu autority. Certifikáty autority PostSignum jsou k mání na adrese http://qca.postsignum.cz/www/authorities.php.

Nyní musím udělat drobnou, ale nutnou technickou odbočku. Certifikační autoritu PostSignum ve skutečnosti reprezentují dva certifikáty, které jsou v hierarchickém vztahu. První je certifikát tzv. kořenové autority, druhý patří podřízené autoritě. Proč to tak je, nás nyní vůbec nemusí pálit, podstatné je, že pro ověřování podpisů potřebujeme oba dva.

Stáhněte si tedy oba certifikáty (kořenové i podřízené autority) k sobě na počítač. Stahujte certifikáty ve formátu DER (tj. ty soubory, které mají příponu .cer), neboť Windows si rozumí právě s tímto formátem. Co teď s nimi? Windows obsahují takzvaná úložiště důvěryhodných certifikátů. Přidáte-li nějaký certifikát do takového úložiště, automaticky se pro systém, potažmo i pro vás, stává důvěryhodným. Je to takový šuplík s cedulkou Věcem uvnitř důvěřuji.

U certifikátů certifikační autority jsou dopady jejich přidání do úložiště Windows ještě silnější – říkáte tím, že důvěřujete této autoritě jako celku a tedy i všem certifikátům, které sama vydala. Tím se naplňuje princip důvěry ve třetí stranu, zmiňovaný v teoretické části článku.

Certifikát se do úložiště přidá jeho nainstalováním. To se provede prostým otevřením certifikátu (dvojklikem na něj). Začneme kořenovým certifikátem, tj. souborem postsignum_qca_root.cer. Objeví se okno podobné tomu na obrázku vpravo. Červený křížek jasně naznačuje, že tomuto certifikátu prozatím nevěříme. Zvolte tlačítko „Nainstalovat certifikát…“ a projděte celým průvodcem beze změn přednastavených hodnot, až se dostanete k okýnku, které je uvedeno na dalším obrázku. Je to poslední výzva předtím než se certifikát autority přidá do úložiště důvěryhodných certifikátů. Měli byste si nyní uvědomit, že odsouhlasení této výzvy je velice delikátní záležitost. Jde do tuhého…

Tím, že nyní kliknete na „Ano“, vlastně sdělujete svému počítači následující: Ano, důvěřuji této certifikační autoritě. Důvěřuji také všem platným certifikátům, které byly touto autoritou vydány. A tím pádem také budu považovat za důvěryhodné všechny elektronické podpisy, které byly vytvořeny s použitím těchto certifikátů.

Začínáte se mírně potit? Rosí se vám čelo? To je dobře, protože s důvěrou v certifikační autority si není radno bezmyšlenkovitě zahrávat. Paranoici mohou, pro úplnou jistotu, že přidávají ten správný certifikát, zkontrolovat jeho otisk, který je uveden na výzvě na obrázku vpravo, s oficiálním otiskem, který získal od nějakého důvěryhodného zdroje (je uveden také na stránkách PostSignum). Ale řekněme, že svět není tak zlý a odsouhlasme výzvu.

Tím jsme přidali kořenový certifikát autority do úložiště důvěryhodných certifikátů. Pokud nyní dialog zavřete a znovu na certifikát poklepáte, už byste neměli vidět červený křížek – váš systém nyní tomuto certifikátu věří.

Proveďte nyní podobnou instalaci i s druhým certifikátem – souborem postsignum_qca_sub.cer. Nelekejte se, že vám systém nyní nepředloží žádnou výzvu na konci průvodce instalací. U tohoto typu certifikátu (podřízené autority) je to správně.

Po dokončení instalace můžete přejít na záložku „Cesta k certifikátu“ a měli byste vidět oba nové certifikáty hezky pod sebou, hierarchicky uspořádané a bez červených křížků, vykřičníků či jiných varování, podobně jako na obrázku vpravo. Tímto jste začali důvěřovat mému osobnímu certifikátu. Zbývá nastavit samotný prohlížeč dokumentů.

Nastavení Adobe Readeru

První krok výše zmíněného postupu — ověření otisku dokumentu — za vás udělá Adobe Reader automaticky a není třeba nic nastavovat. Dvojku musíte zvládnout sami, ale už jste si to jednou vyzkoušeli a víte, že k tomu slouží horní lišta Readeru. Třetí krok, tj. důvěru v certifikační autoritu, jsme si právě zařídili, ovšem jen na úrovni operačního systému. Zbývá o tom informovat ještě Adobe Reader a také nastavit poslední, čtvrtý krok – kontrolu seznamu zneplatněných certifikátů.

Otevřete Adobe Reader a přejděte do „Nastavení programu“ (v menu „Úpravy“). Tam v levém sloupci vyberte položky „Zabezpečení“ a klikněte na tlačítko „Pokročilé nastavení“. Měli byste vidět něco podobného jako na obrázku vpravo.

Fajn, ponechte ale teď toto okno osudu a přejděte rovnou na třetí záložku s názvem „Integrace s Windows“ (viz další obrázek). Tam zaškrtněte obě políčka, podobně jako na obrázku. Právě tím říkáte Adobe Readeru, aby při ověřování certifikátů bral v potaz centrální úložiště důvěryhodných certifikátů Windows, kam jsme před chvílí přidali certifikáty autority.

Zbývá poslední úkol – kontrola seznamu zneplatněných certifikátů. Přejděte zpět na první záložku (předešlý obrázek) a ujistěte se, že je zaškrtnuto políčko zhruba uprostřed stránky, které říká něco jako „Vyžadovat, aby kontrola zneplatnění certifikátů při ověřování podpisů dopadla úspěšně vždy, když je to možné“.

Tím říkáte Readeru, aby se vždy snažil zkontrolovat seznam zneplatněných certifikátů při ověřování podpisu. Jak víme z teoretické části, seznam zneplatněných certifikátů je dostupný na internetu a stará se o něj certifikační autorita. Proto, pokud náhodou k internetu nejste běžně připojeni, tuto volbu spíše odškrtněte a kontroly zneplatnění certifikátu se pak musíte vzdát.

Potvrďte provedené změny a jásejte, neboť jsme u konce s nastavováním!

Druhý pokus a vítězství

Otevřete nyní podruhé podepsaný dokument a tentokrát byste měli vidět něco podobného jako na obrázku vpravo. Něco se změnilo, viďte? Předně si horní lišta již nestěžuje na neznámou identitu ale naopak uvádí mé jméno coby podepisující osobu a další údaje, které mě pomohou jednoznačně identifikovat. Dole na stránce už u mého podpisu „nestraší“ otazník, ale je tam pěkná modrá pečeť symbolizující, že je vše v pořádku.

Detaily podpisu (následující obrázek) jsou téměř stejné jako předtím, s jednou podstatnou změnou – uprostřed shrnutí je konečně „černé na šedém“ napsáno, že identita podepisující osoby je platná.

Nakonec uvádím ještě detaily certifikátu dostupné pomocí tlačítka „Zobrazit certifikát“ vpravo (poslední obrázek). V detailech je v levém sloupci krásně vidět celá hierarchie certifikátů, od kořenového certifikátu autority až po můj osobní certifikát. Dole pak je zobrazena informace o provedené kontrole seznamu zneplatněných certifikátů.

A to je vše! Takže, bylo to jednoduché nebo ne? Přeji hodně nezklamané důvěry jak při ověřování podpisů v dokumentech Platanus, tak i obecně při spolupráci se mnou!

úvodní obrázek převzat od tobywuku na flickeru

Toto je jeden z mála zápisků, který má podle mne stále nějakou hodnotu a přežil tudíž velkou přestavbu tohoto webu v srpnu 2011. Ostatní staré zápisky skončily nemilosrdně v digitální popelnici.

tagy: security, cz