Časté otázky

Časté otázky

1. Je nějaký rozdíl mezi USB tokenem a USB flashdiskem?
2. K čemu jsou klíče, které se generují při vytváření žádosti o certifikát?
3. Co je certifikát a k čemu je dobrý?
4. Moje PC má operační systém Linux (Mac OSX), co mám dělat, abych mohl používat certifikáty?
5. Opravdu je práce s tokenem nyní tak jednoduchá?
6. Program SafeNet Authentication Client (SAC) nyní plně nahradil starší Borderless Security PK (BSec PK)? Mění se tím pro mně něco?
7. Jaký je rozdíl mezi právnickou a fyzickou osobou z hlediska objednávky?
8. Proč musím chodit na poštu?
9. Co je to certifikační politika a je pro mně důležitá?
10. Jaká je doba platnosti vydaných certifikátů?

1. Je nějaký rozdíl mezi USB tokenem a USB flashdiskem?

Ano, je a velký. Tato dvě malá zařízení v žádném případě nelze zaměňovat. USB flashdisk slouží především jako přenosné paměťové medium, na kterém si uživatel přenáší různě velké soubory, dle kapacity paměti - dokumenty, filmy, mp3 atd., naproti tomu USB token je v podstatě malinkatý počítač, neboť v sobě obsahuje tzv. koprocesor, díky kterému je schopný šifrovat. Paměť tokenu je omezená (v současnosti max. 64 kb) a slouží zejména k ukládání klíčů, hesel, certifikátů.

Díky šifrování jsou tato data na tokenu uložena v bezpečí, navíc do tokenu lze přistoupit až po zadání PIN. Stejně jako u Vaší SIM karty v mobilním telefonu několikeré chybné zadání PIN způsobí zablokování přístupu do tokenu. 

2. K čemu jsou klíče, které se generují při vytváření žádosti o certifikát?

Klíče, které se generují při vytváření žádosti o certifikát jsou součástí tzv. asymetrického šifrování, neboť klíč, který se používá k zašifrování zprávy, se liší od klíče, který se používá k jejímu dešifrování.

Digitální podpisy využívají právě toto asymetrické šifrování. Uživatel, který podepisuje nějaký dokument či zprávu vlastní dvojici klíčů - veřejný a privátní klíč. Privátní klíč se uchovává v tajnosti, kdežto veřejný klíč může být distribuován. Zprávy jsou pak šifrovány veřejným klíčem příjemce a mohou být dešifrovány pouze jeho privátním klíčem. Zásadním aspektem použití tohoto způsobu při bezpečné komunikaci je důkaz, že veřejný klíč je správný a patří osobě, která jej používá. K ověření autenticity vlastníka klíčových párů slouží certifikáty, které vydává pověřená certifikační autorita.

3. Co je certifikát a k čemu je dobrý?

Certifikát v podstatě slouží k ověření pravosti. V elektronickém světě slouží jako potvrzení, že osoba, se kterou komunikujeme je skutečně ta, za kterou se vydává. Anebo slouží jako potvrzení, že osoba, která přistupuje k nějakému zařízení (PC či aplikaci) je opět ta osoba, za kterou se vydává.

Pokud tedy chceme např. zabezpečit elektronickou komunikaci, certifikát použijeme pro ověření elektronického podpisu daného uživatele.

Důvěryhodnost elektronického podepisování je založena na instalaci certifikátu správné certifikační autority. V dnešní době není problém zprovoznit vlastní jednoduchou autoritu a vydávat se např. za PostSignum QCA.  Za (dostatečně) důvěryhodný můžete považovat certifikát autority, který vám osobně předá operátor na obchodním místě certifikační autority.

4. Moje PC má operační systém Linux (Mac OSX), co mám dělat, abych mohl používat certifikáty?

Verze middlewaru (čili obslužného programu pro USB tokeny) pro Mac OSX/Linux se běžně v balíčku Bezpečný klíč nedodává, není ovšem problém tuto verzi u nás objednat.

Současné verze Mac OSX vyžadují jinou kombinaci produktů, než jak je nabízí Bezpečný klíč. Více informací naleznete zde. V případě zájmu nás kontaktujte na adrese objednavky@tsoft.cz.

5. Opravdu je práce s tokenem nyní tak jednoduchá?

Ano, je. Dřívější způsoby inicializace a generování klíčů a žádosti o certifikát nebylo možné udělat na jednom místě (postup se lišil dle operačního systému). Nyní máte na CD s aktualizací programů (SW Pack Klíčník) k dispozici program Klíčník, který zvládne všechny tyto operace, včetně odeslání žádosti o certifikát na server PostSignum a vygenerování žádosti o následný certifikát (pozor, pro každý certifikát je třeba mít samostatnou žádost).

Program Klíčník nahrazuje program PostSignumTool, který neuměl vygenerovat klíče do tokenu, ale pouze do souboru v PC. K tomuto účelu je samozřejmě možné jej nadále používat. Nicméně pro kvalifikované certifikáty se hlediska bezpečnosti důrazně doporučuje generovat klíče přímo do tokenu.

6. Program SafeNet Authentication Client (SAC) nyní plně nahradil starší Borderless Security PK (BSec PK)? Mění se tím pro mně něco?

V podstatě ne. SafeNet Authentiation Client má plnou podporu pro iKey 4000 a další autentizační hardware od společnosti SafeNet. SAC podporuje všechny současné operační systémy Microsoftu (32/64bit) a má speciální verzi i pro Linux a Mac OSX (zde je potřeba upozornit uživatele Mac OSX, že produkt Bezpečný klíč jako celek nepodporuje jejich operační systém - více zde).

Pro všechny, kteří již měli dříve nainstalovaný middleware BSec PK je třeba před samotnou instalací SACu odinstalovat předchozí verzi, aby se předešlo možným problémům.

Pokud používáte iKey 4000 (či smart karty SafeNet SC400/SC330u) s aplikacemi 3. stran je nutné nainstalovat SAC v módu BSec PK Compatible.

7. Jaký je rozdíl mezi právnickou a fyzickou osobou z hlediska objednávky?

• Služby certifikační autority Post Signum byly navrženy pro dvě skupiny zákazníků:
  • Právnické osoby (organizace), které mají přiděleno IČ.
  • Nepodnikající fyzické osoby bez přiděleného IČ.
  • !Podnikající fyzické osoby (OSVČ) patří z pohledu Post Signum mezi právnické osoby!

Některé postupy pro organizace však mohou být v případě OSVČ zjednodušeny, proto jsou podnikající fyzické osoby na webových stránkách  služby Post Signum prezentovány jako třetí skupina zákazníků.

8. Proč musím chodit na poštu?

Pro vystavení smlouvy, která je potřeba pro vydání certifikátů, je nutné ověření totožnosti osoby žádající o certifikát. Na kontaktním místě České pošty, která službu vydávání certifikátů provozuje je tedy nutné předložit občanský průkaz a ještě další doklad totožnosti, např. cestovní pas nebo řidičský průkaz.

Rovněž je důležité nezapomenout, že pro dokončení celého procesu je nezbytné mít s sebou na USB flashdisku žádost o certifikát, kterou jste si vytvořili na svém PC. Na stejném USB disku si odnesete vydaný certifikát.

9. Co je to certifikační politika a je pro mě důležitá?

• Certifikační politiky obsahují obecně:
  • informace o struktuře vydávaných certifikátů
  • výčet povolených použití vydávaných certifikátů
  • výčet poskytovaných služeb
  • seznámení s postupy souvisejícími s životním cyklem certifikátů (vydání, zneplatnění)
  • zásady nakládání s certifikáty
  • vymezení odpovědnosti zainteresovaných osob
  • informace dalšího charakteru

Proto je důležité se seznámit s tou certifikační politikou, podle které vám bude vydán certifikát. Politiky pro ostatní typy certifikátů číst nemusíte.

Podpisem smlouvy stvrzujete, že jste se seznámili s obsahem certifikačních politik.

10. Jaká je doba platnosti vydaných certifikátů?

Všechny certifikáty vydávané koncovým uživatelům mají platnost 1 rok a začíná dnem, kdy byl uživateli vydán první certifikát. Po uplynutí této doby je nutné certifikát obnovit.

Zneplatněné certifikáty jsou k dispozici v tzv. seznamu zneplatněných certifikátů CRL (CRL - certification revocation list). V seznamu jsou zapsány informace o certifikátech, které jejich vlastníci prohlásili za neplatné (nechali je zneplatnit). K tomu dochází např. tehdy, když je zcizen soukromý klíč vlastníka nebo skončí podmínky pro používání certifikátu.

Když kontrolujete certifikát např. u podepsané e-mailové zprávy, nestačí tedy zkontrolovat, zda jej vydala důvěryhodná autorita a zda není certifikát již prošlý. Tyto činnosti většinou provádí aplikace automaticky za vás.

Pokud jste nenašli odpověď na svou otázku, obraťte se prosím na Zákaznickou podporu České pošty. Kontakt lze najít pod tímto odkazem.