Vydávání certifikátů

Úložiště RemSig MU

RemSig

Potřeba digitálně podepisovat dokumenty na MU vyžaduje po zaměstnancích, aby měli osobní digitální certifikát, kterým mohou dokumenty elektronicky podepisovat. Někteří zaměstnanci musí být vybaveni kvalifikovaným osobním digitálním certifikátem, který jim umožňuje podepisovat dokumenty určené pro státní správu.

Současná praxe, kdy má uživatel certifikát uložený v pracovním počítači, nebo využívá hardwarové zařízení pro uložení klíče, s sebou nese několik zásadních problémů – především nutnost mít hardwarové zařízení při sobě a také mít správně nakonfigurován počítač. V případě certifikátu uloženého na pracovním počítači navíc nelze provést podpis z jiného místa.

Tyto problémy řeší systém RemSig vyvíjený v ÚVT, který umožní podepisování přímo z webového rozhraní systémů INET a IS MU. RemSig uchovává zaměstnanecké certifikáty v zabezpečeném úložišti a poskytuje prostředky pro jejich využití k on-line elektronickému podepisování. Ze systémů IS a Inet umožňuje dokumenty elektronicky podepisovat a z Inetu je možno nové certifikáty importovat.

Poskytované služby

Součástí systému RemSig jsou tyto služby:

  • systém pro bezpečné uložení osobních digitálních certifikátů (i kvalifikovaných) vydaných libovolnou certifikační autoritou včetně privátního klíče
  • systém pro vzdálené podepisování dat a dokumentů
  • značkování dokumentů časovými razítky
  • podpora pro správu certifikátů (generování, revokování)

Legislativa

Remsig je v souladu s českou legislativou, protože splňuje všechny požadavky, které jsou kladeny na bezpečné zacházení s privátním klíčem. Zákon specifikuje, že data určená pro vytvoření kvalifikovaného podpisu jsou pouze v jedné kopii. Jelikož se data pro podpis skládají z privátního klíče a hesla, kterým je privátní klíč chráněn, a heslo zná pouze uživatel, je tato podmínka splněna. Data uložená v systému RemSig jsou chráněna na několika úrovních, viz níže.

Zabezpečení

  • Veškeré operace s dešifrovaným privátním klíčem jsou prováděny striktně v operační paměti počítače, proto dešifrovaný klíč není nikdy uložen na persistentním diskovém zařízení.
  • Komunikovat s  RemSigem lze pouze přes šifrovaný kanál (SSL) a pouze po úspěšné autentizaci.
  • Data jsou pravidelně v  zašifrované podobě zálohována.
  • Veškeré operace jsou striktně auditovány, proto lze jednoduše zjistit, kdo, kdy a s čím manipuloval.

Spolupráce s PostSignum

MU má podepsanou smlouvu s certifikační autoritou PostSignum pro vydávání kvalifikovaných certifikátů pro zaměstnance. Systém správy certifikátů jednotlivých uživatelů v Inetu mj. komunikuje s PostSignem v případě žádosti o vydání certifikátu a prodloužení. Uživatel tedy nemusí komunikovat se systémy PostSignum, vše si vyřídí v INETu.

Základní procesy

Proces importu certifikátu

  1. Uživatel zabalí svůj certifikát a privátní klíč do struktury PKCS12, která se zašifruje.
  2. Struktura PKCS12 je odeslána do RemSigu přes rozhraní v Inetu (po úspěšné autentizaci uživatele).
  3. RemSig dešifruje strukturu PKCS12, privátní klíč je zašifrován heslem uživatele a uložen na disk.

Proces digitálního podpisu

  1. Přes Inet nebo IS uživatel pošle požadavek pro podpis dokumentu či dat.
  2. Uživatel je vyzván pro zadání hesla k privátnímu klíči.
  3. Inet nebo IS přepošlou žádost do systému RemSig, kde dojde k dešifrování privátního klíče, podpisu a odeslání podepsaných dat zpět.

Kontakt: V případě jakýchkoliv dotazů se obracejte na uživatelskou podporu INETu ihelp@ics.muni.cz.