Služba vytváření kvalifikovaných elektronických podpisů na dálku I.CA RemoteSign
V současné době rostou nároky na zjednodušení a zrychlení porcesů založených na smluvních vztazích, ale také na dalších obchodních dokumentech. Řešením je využívání elektronizace agend, a tedy i vytváření elektronických dokumentů, které musí plnohodnotně nahradit dokumenty fyzické, a to včetně podpisů. Jedině kvalifikovaný elektronický podpis je ekvivalentem vlastnoručního podpisu a pro jeho vytváření je nezbytné, aby podepisující osoba měla k dispozici bezpečné zařízení - kvalifikovaný prostředek pro vytváření elektronického podpisu (QESCD) v podobě čipové karty nebo USB tokenu.
Ne vždy je takové řešení pro uživatele vhodné a jednoduše použitelné. První certifikační autorita, a.s. (I.CA), připravila a nabízí nové řešení tzv. elektronické podepisování na dálku pod obchodním názvem I.CA RemoteSign.
Podepisování dokumentů
|
Uživatel této služby nemá vlastní bezpečné zařízení - QESCD, ale využívá vzdáleného přístupu k bezpečnému zařízení, které je spravováno akreditovaným poskytovatelem služeb vytvářejících důvěru, a to plně v souladu s požadavky Nařízení EU 910/2014 - eIDAS (články 51 a 52).
Služba I.CA RemoteSign umožňuje vyvtáření kvalifikovaného elektronického podpisu na mobilních zařízeních (mobilní telefony, tablety). Uživatel má vždy k dispozici speciální aplikaci, kterou využívá pro přijímání požadavků a vytváření kvalifikovaného elektronického podpisu. V současnosti jsou v rámci služby podporována mobilní zařízení s operačním systémem Android nebo iOS. Dalším krokem je rozšíření pro další typy zařízení (PC/NB) na platformě Windows.
Služba I.CA RemoteSign podporuje vytváření elektronických podpisů ve formátech PAdES-B-B a PAdES-B-T dle EN 319 142-1a CAdES-B-B a CAdES-B-T dle EN 319 122-1.
Aktivace služby, správa identit a prodloužení služby
Aktivace služby probíhá na obchodním místě I.CA. Na obchodním místě je provedeno ověření totožnosti uživatele (žadatele o službu) a jeho registrace. Po provedení registrace uživatel získá podklady pro aktivaci služby, tzv. aktivační obálku, která (jako jediná) obsahuje potřebné „tajemství“ pro zpřístupnění práce s privátním klíčem, k němuž byl vydán příslušný kvalifikovaný certifikát. Poté si uživatel stáhne aplikaci I.CA RemoteSign a pro její aktivaci použije kód z aktivační obálky, kterou získal při registraci. Během procesu aktivace dochází ke generování prvního párů klíčů pro danou identitu a vydání prvotního kvalifikovaného certifikátu. Po aktivaci aplikace je služba okamžitě dostupná.
Podepisování dokumentů
- Poskytovatel služeb vytvoří požadavek na podpis dokumentu.
- Požadavek je vložen do systému I.CA RemoteSign (RSiCon) na straně poskytovatele služeb.
- Systém I.CA RemoteSign odešle notifikaci o novém požadavku k podpisu příslušnému uživateli.
- Uživatel v aplikaci I.CA RemoteSign zaslaný požadavek podepíše.
- Podepsaný požadavek je předán a uložen na do systému I.CA RemoteSign na straně poskytovatele služeb.
- Poskytovatel služeb si převezme podepsaný požadavek a provede jeho zpracování.
Technické řešení
Poskytovatel služeb vkládá požadavky k podpisu prostřednictvím komponenty RSiCon, která je integrována v jeho interním systému. Na základě jeho požadavku dojde v komponentě RSiCon k realizaci procesů nutných pro realizaci podpisu (výpočet hash, vytvoření náhledu dokumentu atd.).
Na I.CA RemoteSign Server, provozovaný v prostředí I.CA, je následně zaslán požadavek obsahující potřebné informace. I.CA RemoteSign server systému poskytovatele služeb vrací informaci o úspěšném založení požadavku spolu s daty, která je nutné uchovat do okamžiku ukončení podepisovací transakce.
Po založení požadavku k podpisu v systému I.CA RemoteSign I.CA kontaktuje jednotlivá aktivní zařízení daného uživatele formou push notifikace. Po otevření push notifikace dojde k otevření mobilní aplikace I.CA RemoteSign.
Po autentizaci uživatele (heslem, případně biometricky) se zobrazí seznam požadavků čekajících k podpisu. Uživatel si může u jednotlivých dokumentů zobrazit detailní informace.
Každý požadavek má definovanou platnost, což je časový údaj definovaný poskytovatelem služeb. Po jeho uplynutí požadavek k podpisu expiruje a uživatel jej nemá dále možnost podepsat.
Pokud se uživatel rozhodne požadavek podepsat, je vyzván k zadání hesla pro podpis na dálku. Je-li heslo správné, vytvoří se kvalifikovaný elektronický podpis hashe podepisovaných dat.
Po vytvoření podpisu dochází k tzv. notifikaci systému poskytovatele služeb, který je touto cestou informován o změně stavu podpisové transakce. Na základě této notifikace systém poskytovatele služeb zavolá prostřednictvím komponenty RSiCon systém I.CA RemoteSign. Dojde ke stažení kryptogramu do systému poskytovatele služeb a následnému sestavení kompletního podepsaného dokumentu. Podepsaný dokument je následně vrácen volajícímu systému poskytovatele služeb a je možné s ním nakládat jako s jakýmkoliv jiným elektronicky podepsaným dokumentem.
Bezpečnost
- Kvalifikovaný elektronický podpis je vytvářen na certifikovaném HSM (QESCD) ve správě kvalifikovaného poskytovatele služeb vytvářejících důvěru.
- Veškerá komunikace mezi mobilním zařízením uživatele a službou I.CA RemoteSign je šifrována speciálně vytvořeným protokolem.
- Data předávaná do systému I.CA RemoteSign nezahrnují obsah podepisovaného dokumentu.
- Náhled dokumentu v PDF formátu nebo odkaz na stažení podepisovaných dat jsou předávány v zašifrované podobě. K jejich dešifrování může dojít až na koncovém zařízení podepisujícího uživatele.
- V rámci procesu aktivace prvního zařízení uživatele dojde k úpravě zabezpečení přístupu k privátnímu klíči takovým způsobem, že nadále již k přístupu nepostačuje obsah aktivační obálky, ale je nutná kombinace tajemství uloženého v zařízení uživatele (generovaného v rámci aktivace) a hesla pro podpis na dálku, jež si uživatel během aktivace zvolil.
- Během procesu podpisu neopouští privátní klíč k certifikátu bezpečné prostředí HSM modulu, pouze dojde v zařízení uživatele k sestavení tzv. SAD (Signature Activation Data), která obsahují autorizaci použití klíče uživatele na konkrétní hash hodnotu. Tato SAD jsou zaslána do HSM modulu, kde dojde k ověření jejich správnosti a po úspěšném ověření je proveden podpis pomocí privátního klíče uživatele nad příslušným hashem. Tato vzniklá hodnota kryptogramu je pak následně použita pro sestavení celé struktury elektronického podpisu dle příslušných norem.
Závěr
Služba I.CA RemoteSign umožní podepisovat dokumenty (uzavírat smlouvy, závazné objednávky nebo jiné dokumenty) uživatelům chytrých telefonů, tabletů i PC/NB. Služba je využitelná různými poskytovateli služeb, jako jsou banky, pojišťovny, dodavatelé energií a řada dalších obchodních subjektů a rovněž orgánů veřejné moci.
Roman Mašata, vedoucí projektu a key account manažer, První certifikační autorita, a.s.