Ako želite biti sigurni da je osoba kojoj šaljete određeni dokument primila taj isti dokument, a da ga u međuvremenu nitko nije pročitao ili promijenio, koristite digitalne certifikate i digitalni potpis kako bi zaštitili spomenutu datoteku. Kako dobiti certifikat i koliko to košta, donosimo u tekstu
Danas ne može proći niti jedan tjedan, a da ne pročitamo vijest o tome kako je određena web stranica hakirana, kako su ukradeni podaci X milijuna korisnika i slično. Ono što želimo reći je da na Internetu više nema sigurnosti. Vi ne možete biti sigurni da su svi podaci koje pohranite na određeni server samo vaši i da ih nitko nije „ukrao“ ili izmijenio. Ne možete biti sigurni da kada vam netko pošalje poruku, da ju u međuvremenu netko nije „presreo“ i pročitao. No, zato postoje digitalni certifikati koji spašavaju stvar. Nažalost, digitalne certifikate koriste većinom organizacije i poslovni korisnici koji razmjenjuju poslovne tajne i informacije, no trebali bi ga koristiti i „obični“ korisnici koji razmjenjuju podatke putem Interneta. Točnije, trebali biste ako želite biti sigurni. Kako funkcioniraju digitalni certifikati, što je digitalni potpis, gdje i kako ga kupiti, koliko košta i slično, čitajte u nastavku ovog teksta.
Digitalni certifikat
U kriptografiji, digitalni certifikat (engl. „public key certificate“, „digital certificate“, „identify certificate“) je zapravo digitalni dokument koji koristi digitalni potpis kako bi povezao javni ključ sa identitetom – informacijama kao što su ime osobe, ime organizacije, adresom, email adresom … Mogli bi reći da je digitalni certifikat nešto kao osobna iskaznica osobe – služi kako bi na Internetu dokazali svoj identitet, odnosno da vi stojite iza određenog dokumenta. Bez obzira da li se individualac ili kompanija, online sigurnosti morate pristupiti ozbiljno. Slanje dokumenata potpisanih sa digitalnim potpisom, odnosno sa digitalnim certifikatom vas čini ozbiljnijim, te se onaj tko je primio dokument osjeća sigurnijim. On može biti siguran da je dokument nepromijenjen stigao do njega.
Inače, digitalni certifikat se može koristiti za mnogo toga, no danas se najčešće koristi za potpisivanje dokumenata, email poruka, kriptiranje datoteka, te osiguravanje VPN mreža. Ono što svakako moramo spomenuti kod digitalnog certifikata je par ključeva koji dolaze sa certifikatom. Jedan od ključeva je javni ključ koji služi za dekriptiranje poruke i taj ključ možete slobodno dijeliti sa ljudima. Kada nekome pošaljete digitalno potpisani dokument, on ga mora dekriptirati sa javnim ključem. Drugi ključ je privatni ključ kojeg imate samo vi i služi za kriptiranje poruke. Prije slanja poruke, morate ju kriptirati sa tim tajnim ključem.
Znači, proces ide tako da vi sa tajnim ključem kriptirate poruku i zajedno sa digitalnim certifikatom ju šaljete određenoj osobi. Ona dobiva kriptiranu poruku sa certifikatom i javnim ključem, te ju dekriptira. Zatim se radi usporedba hash ključeva i ako su oni identični (hash ključ kriptirane i dekriptirane poruke), primatelj može biti siguran da je poruka nepromijenjena stigla do njega i da ju nitko drugi nije mijenjao.
Od čega se sastoji digitalni certifikat
Digitalni certifikat može postojati u više različitih formata. Jedan od najpopularnijih formata je X.509 certifikat kojeg je razvila kompanija ITU Telecommunication Standardization Sector. No, bez obzira na format, većina digitalnih certifikata ima ista „polja“, odnosno sadrži skup informacija koje su zajedničke svim certifikatima:
– javni ključ za određeni certifikat
– algoritam koji se koristi kod kriptiranja/dekriptiranja
– ime i prezime osobe ili organizacije na koju certifikat glasi
– datum do kada certifikat vrijedi
– naziv ustanove koja je izdala certifikat i u kojoj možete provjeriti taj isti certifikat
– serijski broj certifikata
– URL, odnosno web stranicu izdavača certifikata…
Nabrojana polja su vam dovoljna da provjerite certifikat, osobu koja vam je poslala isti i da budete sigurni da je to ta originalna poruka koju vam je određena osoba poslala.
Digitalne certifikate je moguće dobiti na mnogo različitih lokacija, odnosno sa mnogih lokacija. Ovisno o izvoru dobivanja certifikata, on može biti besplatan ili može koštati na tisuće dolara. Također, certifikati mogu trajati mjesec dana ili godinama, te mogu biti izdani u određene svrhe. Nisu svi certifikati jednaki niti ih treba gledao kao na „iste“ certifikate. Svaki je izdan sa razlogom, dok ih se velika većina izdaje, kao što smo rekli, za potpisivanje dokumenata, email poruka, obavljanje određenih transakcija sa bankom, dohvaćanje određenih podataka sa određenih servera i tako dalje. Sigurnosni stručnjaci kažu da je najbolje da certifikat traje što kraće, maksimalno godinu dana, tako da u slučaju da vam netko ukrade privatni ključ, to ne bude zauvijek nego određeno vrijeme. Naravno, vi bi trebali učiniti sve da se tako što ne dogodi, ali nesreće se događaju. U slučaju da netko ima vaš privatni ključ, on se može potpisivati umjesto vas, odnosno pretvarati se da ste vi i u tom slučaju bi najbolje bilo da obavijestite izdavatelja certifikata o tome i da ga oni „povuku“. Certifikate je moguće i klasificirati, odnosno svaki certifikat se može svrstati u jednu od kategorija.
Klasa 1 – Izdaje se pojedincima i služi za potpisivanje dokumenata i email poruka
Klasa 2 – Izdaje se organizacijama i ima različitu svrhu
Klasa 3 – Izdaje se za identifikaciju servera, također za različite svrhe
Klasa 4 – Izdaje se za vršenje online transakcija među srednje velikim i velikim kompanijama (B2B)
Klasa 5 – Izdaje se za privatne organizacije ili institucije od nacionalne važnosti i sigurnosti
U 90 posto slučajeva, izdaju se certifikati prve i druge klase.
Zakoni i regulative
Europska unija je još davne 1993.-e godine donijela određene zakone, točnije direktive koje se tiču digitalnog potpisa, tj. digitalnih certifikata i oni su sastavni dio EU zemalja već dugi niz godina. Hrvatska nije izuzetak – i kod nas se koriste digitalni certifikati, no u zadnje vrijeme sve veći broj pojedinaca počinje koristiti iste. Certifikati više nisu rezervirani samo za poslovne korisnike i organizacije. Naravno, u tim direktivama se govori o tome da certifikat jednoznačno određuje osobu koja je vlasnik certifikata, da je ona odgovorna za njega i da je to neporeciv dokaz na sudu. Postoje još neke direktive, no ovo su one najvažnije – kada potpišete dokument, ne možete kasnije poreći da ste to učinili. Kao što određeni dokument potpišete rukom, tako i digitalne dokumente potpisujete na ovaj način.
Hrvatski zakoni su na ovom tragu. Mi imamo „Zakon o elektroničkom potpisu“ koji također kaže da je Elektronički (digitalni) potpis skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnosti potpisanog elektroničkog dokumenta. Nadalje u zakonu se još definiraju određeni pojmovi kao što su napredni elektronički potpis, vremenski žig, potpisnik i slično. No, konačni zaključak je da je digitalni potpis jednak „običnom“ potpisu i da tu nema nikakve razlike.
Certifikati i web stranice
Danas kada je sigurnost web stranica upitna, korisnici bi trebali biti jako oprezni kada je riječ o posjećivanju određenih web stranica. Točnije, ako web stranica nije na određeni način verificirana, kako će korisnik znati da li je web stranica koju je posjetio siguran ili nije? Odgovor je da ne može znati. Zato se koriste certifikati za web stranice. Najčešće to možete vidjeti po protokolu HTTPS. Kada posjetite web stranicu koja koristi spomenuti protokol, vaš web preglednik validira web server i kaže vam da li je autentičan, odnosno da li je siguran. To je samo jedan od načina da korisnik provjeri stranicu (server) koji posjećuje i taj certifikat ulijeva određeno povjerenje korisniku. Općenito, ovaj certifikat i ovaj način validacije vam nije bitan kada posjećujete neki IT portal ili portal sa vijestima – tu ionako samo otvarate određene članke koje zatim pročitate i ugasite. U biti nemate nikakvu specifičnu komunikaciju sa serverom na kojem se nalazi dotična web stranica. No što je sa društvenim mrežama? Sa stranicama na kojima vršite online kupovinu i gdje dajete podatke o karticama? Te web stranice svakako moraju imati određeni certifikat, ali i razne druge sigurnosne mehanizme kako bi posjetitelj osjećao sigurno i bez straha kupovao na vašoj web stranici.
Postoje i tzv. „sigurniji certifikati“ koji koštaju mnogo više od običnih certifikata. Njih možete prepoznati po oznaci EV („Extended validation“) koja označava tu da je to „pojačani“ certifikat. Da bi web stranica dobila EV certifikat, vlasnik web stranice mora dati na uvid mnoge osobne dokumente kako bi ga se povezalo sa domenom web stranice, sa serverom na koji je postavio web stranicu. Detalji ovdje nisu bitni, no treba znati da postoje EV certifikati koji se ne dobivaju tako lako i oni su „sigurniji“ od običnog certifikata.
No, što kada vlasnik web stranice odluči zamijeniti certifikate? Web preglednik vam neće dati nikakvu obavijest da je „jučer“ na nekoj web stranici bio EV certifikat, a danas nije. To je jedna od „slabosti“ Interneta i zato ponekad treba dva puta provjeriti certifikat neke web stranice. Pogotovo kada se na toj istoj web stranici vrše online transakcije i kada dajete jako osjetljive podatke.
Dobivanje digitalnog certifikata u hrvatskoj
– Predaja dokumenata za dobivanje digitalnog certifikata
U Hrvatskoj izdavanje digitalnog certifikata vrši FINA. Da biste dobili certifikat morate predati ispunjeni obrazac u jednom od registracijskih ureda FINA-e. Obrazac, kao i popis registracijskih ureda možete naći na web stranicama FINA-e (www.fina.hr). Dokumentacija za izdavanje DEMO aplikativnog certifikata predaje se isključivo u papirnatom obliku.
Dokumentacija potrebna za izdavanje produkcijskog aplikativnog certifikata predaje se također u registracijski ured FINA-e ili popunjavanjem online RDC obrasca na službenim stranicama FINA-e.
Postupak dobivanja certifikata
Postupak dobivanja certifikata je zapravo prilično jednostavan, no morati ćete potrošiti određeno vrijeme da biste sve obavili, a to zahtjeva odlaske od šaltera do šaltera i prikupljanje određenih dokumenata. Prvi preduvjet za dobivanje certifikata je registracija u Fina PKI. To znači da FINA-i morate predati inicijalne podatke o vama kako bi vas imali u svom registru osoba kojima će izdati certifikat. Obrazac za to možete naći na službenim stranicama. FINA na svojim stranicama ima prilično dobro organiziran dio sa obrascima i sve vam je prilično dobro sortirano, a osim obrazaca imate i razne pravilnike i vodiče koji će vam pomoći da shvatite proces izdavanja certifikata ili nekog drugog potrebnog dokumenta …
Nakon registracije u Fina PKI, možete zatražiti certifikat. Ako ste već korisnik nekog FINA-inog certifikata, to znači da ste već registrirani i ne morate se ponovno registrirati. Tada samo morate podnijeti zahtjev za novim ili drugačijim certifikatom.
Dokumentacija
Tip certifikata odabirete ovisno o tome za koju vam je namjenu certifikat potreban. Vrsta zahtjeva za izdavanje certifikata te Ugovora o obavljanju usluge certificiranja ovisi o odabranom tipu certifikata čije izdavanje tražite.
Za svaki se izdani certifikat zasebno potpisuje Ugovor o obavljanju certificiranja. Ugovor se sklapa na neograničeno vrijeme, a primjenjuje se za svaku sljedeću obnovu izdanog certifikata. Drugim riječima, jedan korisnik može imati više certifikata te će se u tom slučaju za svaki certifikat sklopiti zaseban ugovor. Isti se ugovor primjenjuje samo na certifikat koji se obnavlja.
Postoje tri vrste certifikata koje FINA izdaje. To je certifikat za poslovne subjekte, za građane i za tijela državne uprave.
Izdavanje certifikata za fizičke osobe/građane
Za izdavanje osobnih certifikata svaka fizička osoba obavlja jednokratnu registraciju na temelju identifikacijskog dokumenta. Kao što smo rekli, morate se registrirati u Fina PKI.
Državljani Republike Hrvatske kao identifikacijski dokument mogu koristiti osobnu iskaznicu ili putovnicu. Strani državljani koji žive u Hrvatskoj i žele „kupiti“ digitalni certifikat, identificiraju se putovnicom, odnosno osobnom iskaznicom s kojom su prešli granicu Republike Hrvatske.
Za izdavanje osobnih certifikata, potrebno je nakon registracije predati slijedeću dokumentaciju:
1) Zahtjev za izdavanje osobnog certifikata
2) Ugovor o obavljanju usluga certificiranja za fizičke osobe/građane
3) Presliku osobe iskaznice koja će biti korisnik certifikata
Ovi osobni certifikati srednje razine sigurnosti na kripto uređaju izdaju se na period od 2 godine, a osobni soft certifikati na period od 5 godina. Nakon isteka ovih perioda, certifikat je potrebno obnoviti.
Izdavanje certifikata za poslovne subjekte i tijela državne uprave su malo složeniji, odnosno zahtijevaju malo više dokumenata i proces je složeniji, ali nije ništa posebno komplicirano.
Opoziv i suspenzija certifikata
Korisnik certifikata može u bilo kojem trenutku tražiti opoziv ili suspenziju certifikata. Opoziv ili suspenzija certifikata vrši osoba na koju glasi certifikat, odnosno „skrbnik“. Skrbnik je osoba koja je ujedno i vlasnik certifikata ili druga osoba koja uz vlasnika certifikata zna tajni ključ i može koristiti certifikat. Kod izdavanja certifikata moraju se dati podaci i o skrbniku ako će takva osoba „postojati“. FINA može opozvati i sama certifikat ukoliko smatra da nije izdan sukladno zahtjevu ili navodima iz Općih pravila davanja usluga certificiranja.
Zahtjev za opoziv certifikata mora se podnijeti u slijedećim situacijama:1) Ako se pojavi osnovana sumnja da je smart kartica/token odnosno privatni ključ kompromitiran
2) Ako se pojavi osnovana sumnja da smart kartica/token odnosno privatni ključ ili aktivacijski podaci više nisu u jedinstvenom posjedu potpisnika, odnosno skrbnika ili ako dođe do otuđenja
3) Ako pripadajuća osoba (potpisnik) više ne pripada poslovnom subjektu
4) Ako je neka od informacija sadržana u certifikatu postala netočna
Naravno, da biste opozvali certifikat, morate ispuniti formular koji ćete predati u jedan od registracijskih ureda FINA-e.
Cijene
Cijene su prilično niske, odnosno prihvatljive. Kada je riječ o fizičkim osobama, odnosno građanima RH, one su slijedeće (cijene su bez PDV-a):
1) Registracija fizičke osobe – 20,00 kuna
2) Kripto uređaj s jednim osobnim certifikatom – 139,00 kuna
3) Kripto uređaj sa dva osobna certifikata – 180,00 kuna
4) Osobni soft certifikat – 50,00 kuna
Cijene za poslovne subjekte su mnogo veće i kreću se do 1880,00 kuna za certifikate visoke sigurnosti, te certifikate za servere i poslužitelje. Također, FINA ima još mnogo usluga vezanih uz digitalne certifikate, a popis svih usluga možete naći na službenim stranicama.
Infobox:
www.fina.hr
Određene informacije su preuzete sa web stranice www.fina.hr. Za sve detaljnije informacije o dobivanju digitalnog certifikata, slobodno posjetite ovu web stranicu i saznajte što vas zanima.
Znači li to da u Hrvatskoj Fina ima monopol, i reketari s previsokim cijenama cijelu državu?Molio bih autora teksta da odgovori na pitanje.
Pohvala na iscprnom članku, ali onaj dio oko šifriranja poruka tj. gdje ide javni a gdje privati ključ je poprilično pogrešan.
Rekao bih, skroz pogresan. Poruku kriptiras sa javnim kljucem PRIMAOCA poruke, a on je moze dekriptirati samo sa svojim tajnim kljucem koji je sigurno spremljen samo na njegovom racunalu. Tvoj tajni kljuc sluzi da dekriptiras poruke koje su tebi stigle i za POTPISIVANJE poruka koje saljes.