. . . . . . . .  B e z p e Φ n o s t   e l e k t r o n i c k Θ h o   o b c h o d u
(e-commerce f≤rum :-))

Elektronick² obchod pokr²vß vÜechny fßze obchodu od °φzenφ dodavatelskΘho °et∞zce a ostatnφch komponent B2B, kde se vyu₧φvß p°edevÜφm elektronickΘ v²m∞ny dat EDI, p°es nabφdku koncov²m zßkaznφk∙m, objednßvky, potvrzenφ objednßvek, v n∞kter²ch p°φpadech i dodßnφ zbo₧φ (hudba, software, knihy atp.) a₧ po fakturaci a ·hradu za zbo₧φ (oblast B2C). Elektronick² obchod se tak stßvß zßkladnφm nßstrojem obchodu. Otßzka jeho bezpeΦnosti mß proto prvo°ad² v²znam. S otßzkou bezpeΦnosti elektronickΘho obchodu ·zce souvisφ otßzka obecnΘho zabezpeΦenφ informaΦnφch systΘm∙ IS/IT podniku.

Kosiur [KOS98] poklßdß za zßkladnφ po₧adavky na provßd∞nφ elektronickΘho obchodu d∙v∞rnost, integritu, autentizaci, autorizaci, zßruky a soukromφ. D∙v∞rnost, integritu, autentizaci a autorizaci lze zabezpeΦit pomocφ bezpeΦnostnφch technologiφ (kryptografie, obecnΘ metody ochrany IS/IT atp.). Zßruky a soukromφ spoΦφvajφ zejmΘna v dodr₧ovßnφ zßkon∙ a dobr²ch mrav∙ a zßvisφ tak p°edevÜφm na chovßnφ jednotlivc∙ a organizacφ.

BezpeΦnost elektronickΘ v²m∞ny dat

BezpeΦnost systΘmu elektronickΘ v²m∞ny dat je rozhodujφcφm aspektem p°i hodnocenφ pr∙kaznosti a prßvnφ sφly EDI soubor∙ a proto je zajiÜt∞nφ bezpeΦnosti jednou z nejd∙le₧it∞jÜφch Φßstφ celΘho EDI °eÜenφ. EDI soubor musφ v₧dy a za ka₧d²ch podmφnek vykazovat minimßln∞ stejnΘ zabezpeΦenφ jakΘ mß papφrov² dokument, jinak jφm nelze papφrovΘ doklady nahradit. Elektronickß v²m∞na dat by tak byla vhodnß pouze pro p°enos neautorizovan²ch dat. Zp∙soby ochrany IS/IT a EDI BezpeΦnost EDI se sklßdß z bezpeΦnosti EDI systΘm∙ a zabezpeΦenφ p°enßÜen²ch dat. Pro EDI systΘmy, kterΘ jsou integrßlnφ souΦßstφ IS/IT platφ stejnΘ zßkladnφ zp∙soby ochrany jako v obecn²ch podmφnkßch informaΦnφch systΘm∙ IS/IT. OrganizaΦnφ zp∙sob ochrany dat spoΦφvß v souhrnu administrativnφch na°φzenφ a doporuΦenφ jak naklßdat s urΦen²mi daty. V²hodou tohoto zp∙sobu je jeho jednoduchΘ a levnΘ zavedenφ. Jeho ·Φinnost vÜak proto zßvisφ p°edevÜφm na p°esnosti pln∞nφ na°φzenφ jednotliv²mi osobami. Fyzick² zp∙sob ochrany p°edstavuje zabezpeΦenφ objekt∙, komunikaΦnφch linek atp. Data jsou tak fyzicky nep°φstupnß nepovolan²m osobßm. I tento zp∙sob je vÜak p°φliÜ zßvisl² na spolehlivosti konßnφ jednotliv²ch osob. Logick² zp∙sob ochrany zahrnuje soubor softwarov²ch a hardwarov²ch opat°enφ. Jsou to p°edevÜφm uchovßnφ dat na zabezpeΦen²ch systΘmech, kterΘ jsou certifikovßny do uznßvan²ch bezpeΦnostnφch t°φd (nap°. podle pravidel vydan²ch ministerstvem obrany Spojen²ch stßt∙ americk²ch - Trusted Computer System Evaluation Criteria) a vyu₧itφ kryptografick²ch metod, kterΘ umo₧≥ujφ zaÜifrovat urΦenß data, tak aby byla srozumitelnß pouze urΦenΘ osob∞, kterß je zpravidla dr₧itelem pot°ebnΘho klφΦe. Podmφnkou ·Φinnosti kryptografick²ch metod je sprßvnΘ a bezpeΦnΘ generovßnφ a pou₧φvßnφ klφΦ∙. V souΦasnΘ dob∞ se ukazuje, ₧e ₧ßdn² z v²Üe uveden²ch zp∙sob∙ ochrany dat nem∙₧e sßm o sob∞ zaruΦit dostateΦnou bezpeΦnost EDI systΘm∙. TΘ je mo₧nΘ dosßhnout pouze vhodnou kombinacφ vÜech uveden²ch zp∙sob∙ ochrany. Mo₧nß ohro₧enφ EDI systΘmu a jejich eliminace Mezi zßkladnφ ohro₧enφ EDI systΘm∙ pat°φ modifikace zprßvy (zprßva je zm∞n∞na po jejφm odeslßnφ oprßvn∞n²m p∙vodcem). Modifikace m∙₧e b²t ·myslnß nebo ne·myslnß (d∙sledkem technickΘ chyby). ZabezpeΦenφm proti modifikaci zprßv je bezpeΦnostnφ funkce integrita zprßvy. Ta zaruΦuje, ₧e bude modifikace zprßvy b∞hem p°enosu odhalena. DalÜφm nebezpeΦφm je zm∞na v po°adφ zprßv, kterß m∙₧e znamenat ztrßtu zprßv nebo naopak jejich vφcenßsobnΘ doruΦenφ. Toto nebezpeΦφ je eliminovßno zjiÜ¥ovßnφm integrity sekvence zprßv. VelkΘ nebezpeΦφm p°edstavuje p°etvß°ka (masquarading), kdy se ·toΦnφk vydßvß se za n∞koho jinΘho. Metodou urΦenou proti zneu₧itφ p°etvß°ky je autentizace zprßvy. DalÜφmi mo₧n²mi ohro₧enφmi bezpeΦnosti EDI je odmφtnutφ p∙vodu zprßvy (zap°enφ odeslßnφ zprßvy jejφm p∙vodcem nebo naopak odmφtnutφ p°φjmu zprßvy jejφm p°φjemcem). Cφlem v∞tÜiny bezpeΦnostnφch metod je proto takΘ zajiÜt∞nφ nepopiratelnosti. Poslednφm d∙le₧it²m ohro₧enφm je zneu₧itφ d∙v∞rn²ch informacφ. Tento problΘm se °eÜφ kryptovßnφm zprßv. Nejprogresivn∞jÜφ kryptografickou metodou v oblasti elektronickΘ v²m∞ny dat je digitßlnφ podpis. Pravd∞podobn∞ nejvhodn∞jÜφm °eÜenφm bezpeΦnosti elektronickΘ v²m∞ny dat je kombinace elektronickΘho podpisu a slu₧eb WAN operßtora, kter² zde m∙₧e plnit souΦasn∞ funkci certifikaΦnφ autority.

BezpeΦnost on-line transakcφ

Rizika vypl²vajφcφ z pou₧φvßnφ internetov²ch technologiφ p°edstavujφ specifickou skupinu bezpeΦnostnφch rizik. Mezi zßkladnφ ohro₧enφ bezpeΦnosti v prost°edφ WAN (Internetu) °adφ UliΦn² [ULI99] p°etvß°ku, p°i kterΘ se neoprßvn∞n² u₧ivatel vydßvß v∙Φi serveru nebo sφti jako u₧ivatel oprßvn∞n², poruÜenφ integrity (mo₧nost ·toΦnφka zachytit p°enßÜenß data, pozm∞nit je a modifikovanß je odeslat p°φjemci, kter² je pova₧uje za autentickß), odposlech sφt∞ a nedostupnost dat dφky zahlcenφ a neprostupnosti sφt∞ nap°φklad ·toky typu Dos (Denial of service) Φi DDos (Distributed Denial of service), jejich₧ d∙sledkem je odep°enφ slu₧eb. Za slabß mφsta Internetu pova₧uje UliΦn² [ULI99] slabou autentizaci stanic a u₧ivatel∙ (velkΘ mno₧stvφ server∙ umo₧≥uje p°ihlßÜenφ anonymnφch u₧ivatel∙ typu anonymous, gues, host atp.), snadnost monitorovßnφ provozu a jednoduchost p°etvß°ky. Sφt∞ zalo₧enΘ nap°φklad na protokolech X.25 (VAN) majφ oproti Internetu zabudovßny urΦitΘ prvky zvyÜujφcφ bezpeΦnost sφ¥ovΘho provozu. T∞mito prvky jsou nap°φklad mo₧nost vytvß°enφ uzav°en²ch u₧ivatelsk²ch skupin CUG (Closed User Group), PVC (Permanent Virtual Circuit) atp.

P°enos dat pomocφ Internetu je zabezpeΦen r∙zn²mi standardy. Pro zabezpeΦenφ webov²ch transakcφ (prohlφ₧eΦe, webovΘ servery a aplikace) se pou₧φvß protokol HTTPS (Secure Hypertext Transfer Protocol), pro zabezpeΦenφ elektronickΘ poΦty protokol S/MIME (Secure Multipurpose Internet Mail Extensions), pro zabezpeΦenφ transakcφ s platebnφmi kartami protokol SET (Secure Electronic Transaction), pro Üifrovßnφ mezi firewally a sm∞rovaΦi protokol S/WAN (Secure Wide Area Network) a pro zabezpeΦenφ datov²ch paket∙ v sφ¥ovΘ vrstv∞ protokol SSL (Secure Sockets Layer). Za nejvhodn∞jÜφ zabezpeΦenφ sφtφ a dat s p°ipojenφm do Internetu se pova₧uje tzv. firewall. Firewally zavßd∞jφ kontrolu p°φstupu na zßklad∞ obsahu paket∙, kterΘ jsou p°enßÜeny mezi dv∞ma stranami nebo za°φzenφmi na sφti. Firewally mohou poskytnout ochranu p°ed ·toky na jednotlivΘ protokoly nebo aplikace a mohou b²t efektivn∞ vyu₧ity i jako ochrana proti spoofingu (nelegßlnφ zφskßvßnφ informacφ pomocφ p°etvß°ky). Diepolt [DIE00] udßvß, ₧e specifickΘ postavenφ internetov²ch rizik urΦuje takΘ n∞kolik dalÜφch faktor∙, z nich₧ t∞mi rozhodujφcφmi jsou p°ekotn² v²voj internetov²ch nßstroj∙ a technologiφ a standard∙ znemo₧≥ujφcφ jejich dostateΦnΘ provoznφ testovßnφ a nedostateΦnß zkuÜenost s vyu₧itφm Internetu.

Podle v²zkumu Computer Security Institute a FBI zaznamenalo 90 % velk²ch americk²ch organizacφ n∞kter² z druh∙ naruÜenφ svΘho systΘmu (pr∙nik do podnikovΘho informaΦnφho systΘmu, zcizenφ firemnφch informacφ, finanΦnφ podvody, ·toky typu Dos, modifikaci dat, napadenφ podnikovΘ sφt∞ aj.). V tΘm∞° 60 % p°φpad∙ se jednalo o ·tok naruÜitele vyu₧φvajφcφho k ·toku internetovΘ p°ipojenφ.

BezpeΦnost informaΦnφch systΘm∙ IS/IT

Podle pr∙zkumu v∞novanΘmu stavu informaΦnφ bezpeΦnosti v ╚eskΘ republice (PSIB┤99), kter² provedla spoleΦnost PriceWaterhouse Coopers spoleΦn∞ s Φasopisem Data Security Management a Nßrodnφm bezpeΦnostnφm ·°adem u 311 spoleΦnostφ s vφce jak 100 zam∞stnanci, mß svΘ cφle v oblasti informaΦnφ bezpeΦnosti formßln∞ stanovena pouze jedna t°etina organizacφ, p°esto₧e pro vφce ne₧ 90 % organizacφ mß informaΦnφ bezpeΦnost prioritnφ v²znam. NejΦast∞jÜφ v²skyt bezpeΦnostnφ politiky najdeme v oblasti informaΦnφch technologiφ a telekomunikacφ a v oblasti finanΦnictvφ a bankovnictvφ.

Typ bezpeΦnostnφ politiky	Vyu₧φvß
FyzickΘ zabezpeΦenφ	80
Provoz informaΦnφch systΘm∙	80
ZabezpeΦenφ sφtφ vΦetn∞ Internetu	79
Naklßdßnφ s citliv²mi informacemi	59
ZabezpeΦenφ osobnφch poΦφtaΦ∙	58
Plßnovßnφ obnovy systΘmu po havßrii	50
LogickΘ zabezpeΦenφ	45
Personßlnφ zabezpeΦenφ vΦetn∞ Ükolenφ	43
V²voj software	32
Reakce na bezpeΦnostnφ incidenty	28
╪φzenφ programov²ch zm∞n	26
Slu₧by t°etφch stran	17
╪φzenφ problΘm∙	14

Tabulka Φ. 3 Rozsah bezpeΦnostnφ politiky v % podnik∙ (zdroj PSIB┤99)

D∙vody zavßd∞nφ princip∙ informaΦnφ bezpeΦnosti	Udßvß
Po₧adavky na propojenφ IS/IT mimo podnik	55
Rychl² v²voj v oblasti IT	52
Po₧adavky na propojenφ IS/IT uvnit° organizace	47
ElektronickΘ obchodovßnφ	19
Tlak ze strany vlastnφk∙ a investor∙	15
Legislativnφ tlak	14
Po₧adavky zßkaznφk∙	13
Po₧adavky na mobilnφ zpracovßnφ informacφ	10
Po₧adavky obchodnφch partner∙	7
Platnß i p°ipravovanß legislativa EU	6

Tabulka Φ. 4 D∙vody zavßd∞nφ princip∙ informaΦnφ bezpeΦnosti v % podnik∙ (zdroj PSIB┤99)

Z ·daj∙ uveden²ch v tabulce vypl²vß, ₧e elektronick² obchod (po₧adavky na propojenφ IS/IT mimo podnik, on-line obchodovßnφ, po₧adavky zßkaznφk∙ a obchodnφch partner∙ a dalÜφ) je jednφm z hlavnφch d∙vod∙ pro prosazovßnφ informaΦnφ bezpeΦnosti v organizacφch.

BezpeΦnostnφ incident	Pr∙m∞rnß Ükoda
Chyba programovΘho vybavenφ	1.714
Nepovolen² p°φstup zvenΦφ	1.000
V²padek proudu	593
Selhßnφ WAN	417
Porucha hardware	247
Krßde₧ za°φzenφ	236
Selhßnφ LAN	223
Chyba administrßtora nebo obsluhy	200
Chyba u₧ivatele	176
Virus zvenΦφ organizace	163

Tabulka Φ. 5 Pr∙m∞rnß Ükoda v tis. KΦ zp∙sobenß bezpeΦnostnφmi incidenty (zdroj PSIB┤99)

Z ·daj∙ v tabulce vypl²vß, ₧e nepovolen² p°φstup zvenΦφ, Φasto s vyu₧itφm systΘm∙ a infrastruktury elektronickΘho obchodu, je podle zp∙soben²ch Ükod druh²m nejv²znamn∞jÜφm bezpeΦnostnφm incidentem.

P°ekß₧ky rychlejÜφho prosazenφ informaΦnφ bezpeΦnosti	V²skyt
Obecn∞ nφzkΘ bezpeΦnostnφ v∞domφ	31
FinanΦnφ nßroΦnost	20
Neexistence ΦeskΘho bezpeΦnostnφho standardu	14
NedostateΦnß podpora ze strany vedenφ organizace	13
NedostateΦnß a nevyvß₧enß legislativa ╚R	10
Nedostatek informacφ	6
Nezßjem a nekompetentnost stßtnφch orgßn∙	4
Nedostatek tuzemsk²ch expert∙	1
Technologickß nßroΦnost	1

Tabulka Φ. 6 P°ekß₧ky rychlejÜφho prosazenφ informaΦnφ bezpeΦnosti v % podnik∙ (zdroj PSIB┤99)

┌daje v tabulce ukazujφ, ₧e nejv∞tÜφ p°ekß₧kou rychlejÜφho prosazenφ technik informaΦnφ bezpeΦnosti nenφ zdaleka jejφ technologickß nßroΦnost Φi nedostatek specialist∙, ale p°edevÜφm nφzkΘ bezpeΦnostnφ v∞domφ, finanΦnφ nßroΦnost a neexistence bezpeΦnostnφho standardu spoleΦn∞ s nedokonalou legislativou.

KryptografickΘ metody

KryptografickΘ metody nabφzejφ °eÜenφ zßkladnφch aspekt∙ bezpeΦnosti elektronickΘho obchodu (d∙v∞rnosti, integrity, autentizace a nepopiratelnosti). Zßkladem kryptografie (Üifrovßnφ) je kryptografick² algoritmus a kryptografick² klφΦ. Kryptografick² algoritmus je matematickß funkce, kterß kombinuje zdrojovß data (nap°φklad text) s klφΦem, klφΦem, kter² p°edstavuje °et∞zec Φφsel. KryptografickΘ algoritmy lze obecn∞ rozd∞lit na symetrickΘ, kterΘ pro Üifrovßnφ pou₧φvajφ stejn² kryptografick² klφΦ a asymetrickΘ, kterΘ pou₧φvajφ dvojici klφΦ∙ (soukrom² a ve°ejn²).

SymetrickΘ Üifrovßnφ V systΘmu symetrickΘho Üifrovßnφ pou₧φvajφ odesφlatel i p°φjemce stejn² kryptografick² klφΦ a ob∞ strany tak mohou zaÜifrovat i deÜifrovat data pomocφ tΘho₧ klφΦe. Hlavnφmi nev²hodami symetrickΘho Üifrovßnφ je pot°eba udr₧ovat n tajn²ch klφΦ∙ pro n korespondent∙ a nemo₧nost bezpeΦn∞ urΦit identitu odesilatele. Hlavnφ v²hodou je rychlost symetrickΘho Üifrovßnφ, kterΘ nenφ tak v²poΦetn∞ nßroΦnΘ jako Üifrovßnφ asymetrickΘ. Mezi nejΦast∞ji pou₧φvanΘ symetrickΘ Üifrovacφ algoritmy pat°φ blokovß Üifra DES (Data Encryption Standard), vytvo°enß firmou IBM a schvßlenß vlßdou Spojen²ch stßt∙ v roce 1977. Metoda pracuje s bloky o dΘlce 64 bit∙ a pou₧φvß 56-bitov² klφΦ. Metoda je velmi rychlß a hodφ se pro Üifrovßnφ velkΘho mno₧stvφ dat. DalÜφmi Φasto pou₧φvan²mi algoritmy jsou Triple DES (algoritmus zalo₧en² na DES Üifruje blok dat t°ikrßt se t°emi r∙zn²mi klφΦi), CAST nebo IDEA (International Data Encryption Algorythm). AsymetrickΘ Üifrovßnφ SystΘm asymetrickΘho Üifrovßnφ je zalo₧en na principu soukromΘho a ve°ejnΘho klφΦe. Soukrom² klφΦ z∙stßvß utajen pouze jemu urΦenΘmu vlastnφkovi, oproti klφΦi ve°ejnΘmu, kter² je voln∞ k dispozici. Data zaÜifrovanß pomocφ jednoho z klφΦ∙ mohou b²t deÜifrovßna pouze druh²m klφΦem z tohoto jedineΦnΘho pßru klφΦ∙. KlφΦe mohou b²t pou₧ity dv∞ma zp∙soby (sm∞ry). D∙v∞rnost zprßvy pro adresßta zajistφ odesilatel jejφm zaÜifrovßnφm pomocφ adresßtova ve°ejnΘho klφΦe. Takto zaÜifrovanou zprßvu m∙₧e rozluÜtit pouze adresßt pomocφ svΘho soukromΘho klφΦe. Autenticity dosßhneme naopak zaÜifrovßnφm zprßvy prost°ednictvφm soukromΘho klφΦe. Zprßvu zaÜifrovanou soukrom²m klφΦem lze rozluÜtit pomocφ voln∞ dostupnΘho ve°ejnΘho klφΦe odesilatele, kter² nem∙₧e jako jedin² disponent se sv²m soukrom²m klφΦem pop°φt, ₧e je jejφm p∙vodcem. Nev²hodou asymetrickΘho Üifrovßnφ je vÜak jeho znaΦnß v²poΦetnφ nßroΦnost. DΘlka tajnΘho klφΦe DΘlka ve°ejnΘho klφΦe 56 bit∙ 384 bit∙ 64 bit∙ 512 bit∙ 80 bit∙ 768 bit∙ 112 bit∙ 1.792 bit∙ 128 bit∙ 2.304 bit∙ Tabulka Φ. 7 DΘlky klφΦe pot°ebnΘ pro stejnou ·rove≥ zabezpeΦenφ [KOS98] Mezi b∞₧n∞ pou₧φvanΘ asymetrickΘ Üifrovacφ algoritmy pat°φ RSA (Rivest-Shamir-Adleman algoritmus). RSA podporuje prom∞nnou dΘlku klφΦe i bloku. NezaÜifrovan² blok vÜak musφ b²t kratÜφ ne₧-li dΘlka klφΦe (obvykle 512 bit∙). Podle pr∙zkumu PSIB┤99 vyu₧φvajφ podniky Üifrovßnφ nejΦast∞ji v p°φpad∞ komunikace mimo organizaci (40 %), ji₧ v²razn∞ mΘn∞ p°i zßlohovßnφ dat (15 %), p°i ochran∞ dat na serverech (12 %) a p°i komunikaci uvnit° organizace (11 %). BezpeΦnost kryptografick²ch metod MatyßÜ [MAT00] udßvß, ₧e nejznßm∞jÜφm ukazatelem ochrany, i kdy₧ pon∞kud zavßd∞jφcφm, je dΘlka pou₧itΘho kryptografickΘho klφΦe. Toto vÜak neplatφ v p°φpad∞, ₧e se jednß o nevhodn∞ nebo nesprßvn∞ navr₧en² algoritmus. Pro ·toΦnφka, kter² neznß deÜifrovacφ klφΦ, vede cesta k p°ekonßnφ Üifry p°es vyzkouÜenφ vÜech mo₧n²ch hodnot klφΦe (hrubou silou). PoΦet mo₧n²ch klφΦ∙ zßvisφ na poΦtu bit∙ v klφΦi. Nap°φklad 8-bitov² klφΦ umo₧≥uje pou₧φt 256 r∙zn²ch klφΦ∙ (28). VyzkouÜenφ 256 mo₧n²ch klφΦ∙ by poΦφtaΦi trvalo mΘn∞ ne₧ 1 milisekundu [KOS98]. Zlomenφ 100-bitovΘho klφΦe by vÜak poΦφtaΦi, kter² dokß₧e vyzkouÜet milion klφΦ∙ za sekundu, trvalo vφce jak 100 let. Namφsto stoprocentn∞ neprolomitelnΘ ochrany se proto pou₧φvß tzv. koncept computationally infeasible tzn. ochrana, kterou lze teoreticky prolomit, avÜak i p°i nasazenφ veÜkerΘ myslitelnΘ v²poΦetnφ kapacity ·toΦnφka bude Üifra bezpeΦnß po dobu, b∞hem nφ₧ se pou₧φvß. Krom∞ rychle rostoucφho v²konu v²poΦetnφ techniky mß na klesajφcφ bezpeΦnost uznßvan²ch Üifer v²znamn² dopad mo₧nost spoluprßce v²poΦetnφch systΘm∙ prost°ednictvφm Internetu. To se ukßzalo nap°φklad na p°φpadu 56-bitovΘho klφΦe DES, u n∞ho₧ se udßvalo, ₧e na prolomenφ je zapot°ebφ n∞kolika stovek let prßce nejv²konn∞jÜφho existujφcφho poΦφtaΦovΘho systΘmu. Skupina distributed.net, do kterΘ se prost°ednictvφm Internetu zapojilo vφce jak 50.000 poΦφtaΦ∙ to dokßzala za pouh²ch 41 dnφ [ULI99]. Digitßlnφ podpis Pou₧itφ asymetrick²ch kryptografick²ch algoritm∙ je v²poΦetn∞ velmi pomalΘ a proto se prozatφm nehodφ pro b∞₧nΘ pou₧itφ. Vhodn²m °eÜenφm se ukßzalo Üifrovßnφ pouze krßtkΘho unikßtnφho vzorku, kter² je vygenerovßn z originßlnφ zprßvy, prost°ednictvφm tzv. haÜ (hash) funkce. Takto kryptovan² °et∞zec (pomocφ soukromΘho klφΦe) se naz²vß digitßlnφ podpis. Loebl [LOE00b] definuje elektronick² podpis jako ·daje v elektronickΘ podob∞, kterΘ jsou p°ipojenΘ nebo logicky spojenΘ s datovou zprßvou a identifikujφ tv∙rce elektronickΘho dopisu. Pou₧itφ digitßlnφho podpisu probφhß v n∞kolika krocφch. Ke zprßv∞ je nejprve pomocφ haÜ funkce vytvo°en kontrolnφ blok, kter² je zaÜifrovßn soukrom²m podpisov²m klφΦem odesφlatele zprßvy a poslΘze p°ipojen k vlastnφ zprßv∞. P°i ov∞°ovßnφ digitßlnφho podpisu na stran∞ p°φjemce je nejprve z vlastnφ zprßvy bez digitßlnφho vytvo°en kontrolnφ blok podpisu stejn²m zp∙sobem jako p°i odeslßnφ. ZaÜifrovan² kontrolnφ blok je rozÜifrovßn pomocφ ve°ejnΘho podpisovΘho klφΦe odesilatele, pokud se oba bloky shodujφ, je digitßlnφ podpis platn². CerfifikaΦnφ autorita S pou₧φvßnφm technologie digitßlnφho podpisu a asymetrickΘho Üifrovßnφ t∞sn∞ souvisφ problematika distribuce ve°ejn²ch klφΦ∙, jeliko₧ samotnΘ pou₧itφ asymetrickΘho Üifrovßnφ nezaruΦuje pot°ebnou autentizaci. P°φjemce zprßvy pot°ebuje mφt jistotu, ₧e pou₧it² ve°ejn² klφΦ pat°φ prßv∞ odesilateli. Pravd∞podobn∞ nejlepÜφm °eÜenφm je vyu₧itφ slu₧eb certifikaΦnφ autority, kterß vydßvß pro jednotlivΘ subjekty tzv. digitßlnφ certifikßty a slou₧φ zßrove≥ jako jejich skladiÜt∞. Digitßlnφ certifikßt obsahuje jmΘno vlastnφka ve°ejnΘho klφΦe, p°id∞len² ve°ejn² klφΦ, p°id∞lenΘ originßlnφ Φφslo certifikßtu, dobu jeho platnosti, nßzev certifikaΦnφ autority a ·daje o p°φpadnΘm omezenφ pou₧φvßnφ tohoto podpisovΘho klφΦe. Jak²koliv u₧ivatel m∙₧e po₧ßdat certifikaΦnφ autoritu o ov∞°enφ ve°ejnΘho klφΦe (digitßlnφho certifikßtu). CertifikaΦnφ autorita na po₧ßdßnφ poskytne certifikßt, kter² je opat°en digitßlnφm podpisem certifikaΦnφ autority, kter² zaruΦuje jeho neporuÜenost a p∙vod. Provozovßnφ slu₧eb certifikaΦnφ autority b²vß, nap°φklad ve form∞ ud∞lovßnφ licencφ, regulovßno stßtnφ sprßvou.

SystΘm ve°ejn²ch klφΦ∙ PKI

DoΦkal [DO╚00] °φkß, ₧e PKI (Public Key Infrastructure) poskytuje rßmec pro bezpeΦnou komunikaci v rßmci Internetu, a to zvlßÜt∞ pro pot°eby elektronickΘho obchodu. PKI zahrnuje Üirokou Ükßlu komponent, aplikacφ, politik a praktick²ch Φinnostφ s cφlem zabezpeΦit d∙v∞rnost, integritu, autenticitu a nepopφrßnφ komerΦnφch transakcφ. PKI obvykle tvo°φ bezpeΦnostnφ politika, certifikaΦnφ autorita, registraΦnφ autorita, certifikaΦnφ distribuΦnφ a manipulaΦnφ systΘm a aplikace na bßzi PKI. Aplikacφ na bßzi PKI m∙₧e b²t webovß komunikace, elektronickß poÜta, elektronickß v²m∞na dat EDI, nejr∙zn∞jÜφ podoby virtußlnφ privßtnφ sφt∞ VPN, transakce elektronickΘho obchodovßnφ atp. PKI je tedy kombinace hardware a software, politik a procedur.