Ak sa zaoberáte bezpečnosťou na internete alebo používate elektronický podpis, tak ste určite tento termín už počuli.
eIDAS je nariadenie Európskej komisie, ktoré upravuje záležitosti bezpečnej elektronickej komunikácie. eIDAS reguluje dve hlavné oblasti – elektronickú identifikáciu a elektronický podpis. Vzťahuje sa primárne na verejnú správu, ale dotýka sa aj iných elektronických služieb vytvárajúcich dôveru, akou sú napríklad SSL certifikáty.
Nariadenie sa svojím charakterom priamo uplatňuje v členských štátoch a účinnosť eIDAS začala 1. júla 2016. I keď je nariadenie účinné, ešte nie je hotová domáca legislatíva. Tá naďalej platí vo všetkých ustanoveniach, v ktorých nie je s nariadením v rozpore. Celkovo nariadenie ovplyvní cez 60 zákonov a niektoré úplne zruší.
Zmeny v elektronickom podpise
Hlavným cieľom nariadenia eIDAS je úprava elektronickej identifikácie (v medzinárodnom zmysle) a elektronického podpisu. Kým s úradmi verejnej správy ostatných členských krajín EÚ zrejme nekomunikujeme, elektronický podpis používa mnoho z nás.
Hlavnou zmenou je úprava úrovňou dôvery a právnych dôsledkov, resp. vznik nového typu podpisu s najvyššou dôveryhodnosťou a cezhraničným uznávaním. Dochádza aj k drobnej úprave terminológie.
Nové označenie eIDAS | Staré označenie podľa zák. o el. podpise | Použitý certifikát | Dôveryhodnosť | Právne dôsledky |
Kvalifikovaný elektronický podpis | Nepozná | Kvalifikovaný** | Najvyššia (+ nutnosť bezpečného uloženia priv. kľúča) | Uznávaný medzihranične |
Zaručený elektronický podpis založený na kvalifikovanom certifikáte | Zaručený elektronický podpis založený na kvalifikovanom certifikáte* | Kvalifikovaný** | Stredná | Ako vlastnoručný podpis |
Zaručený elektronický podpis | Zaručený elektronický podpis | Dôveryhodný | Nízka | Identifikácia osoby |
Elektronický podpis | Nepozná | Akýkoľvek | Žiadna | Podľa dohody zúčastnených strán |
* Kvalifikovaný certifikát = vydaný akreditovaným poskytovateľom certifikačných služieb
** Kvalifikovaný = vydaný v súlade s eIDAS
V tabuľke zmieňujeme podpisy založené na kvalifikovanom certifikáte. Zo súčasnej praxe poznáme tri CA, ktoré sú akreditované tieto kvalifikované certifikáty vydávať. S eIDAS však príde aj nový zoznam kvalifikovaných CA, ktoré budú ostatné členské štáty únie uznávať. Zatiaľ však nie je pripravený.
Predtým používaný termín elektronická značka je teraz elektronická pečať. Náhradou za kvalifikovaný systémový certifikát sa tak stane certifikát pre elektronickú pečať. Súčasne kvalifikovaná časová pečiatka sa potom stane elektronickou časovou pečiatkou a termín kvalifikovaná časová pečiatka bude používaný pre nadradený, druhý typ pečiatky.
Nové označenie eIDAS | Staré označenie podľa zák. o el. podpise |
Kvalifikovaná elektronická pečať | Nepozná |
Zaručená elektronická pečať založená na kval. certifikáte | Rovnaké |
Elektronická pečať | Elektronická značka |
Kvalifikované časové razítko | Nepozná |
Elektronické časové razítko | Kvalifikované časové razítko |
Budem musieť meniť elektronický podpis?
Nebudete, čo je určite dobrá správa. V tejto chvíli stále platí súčasný elektronický podpis. Podpisový certifikát môžete používať ďalej a vaša certifikačná autorita medzitým uvedie svoje produkty do súladu s eIDAS, čo spoznáte pri predĺžení.
Jedinú zmenu môžete pocítiť v prípade, že potrebujete pomocou elektronického podpisu komunikovať s verejnou správou iných členských krajín. V takom prípade potrebujete „lepší“ elektronický podpis. Novo sa nazýva kvalifikovaný a na jeho použitie potrebujete bezpečný prostriedok, čo je napríklad čipová karta od vašej certifikačnej autority.
Ako eIDAS ovplyvní SSL certifikáty?
eIDAS používanie SSL certifikátov neovplyvní prakticky nijako. Nariadenie iba konštatuje vytvorenie vlastného zoznamu certifikačných autorít, ktoré budú kvalifikované, ale zoznam ešte neexistuje. Ďalej konštatuje požiadavky na kvalifikovaný SSL certifikát a jeho obsah, ktoré rozsahom povinne uvedených informácií zodpovedajú certifikátom s OV a EV overením. V oboch prípadoch zostáva len u odporúčaní.
eIDAS vytvára prostredie, v ktorom bude možné zavádzať systémy elektronickej identifikácie. Pokiaľ budú oznámené a v súlade s eIDAS, tak budú „fungovať“ v rámci celej Európskej únie.
Ing. Peter Tomaščík, www.sslmarket.sk