Public Key Infrastructure
Klíčová technologie pro digitální bezpečnost ve finančním a veřejném sektoru
PKI (Public Key Infrastructure – Infrastruktura veřejného klíče) je s námi v prostoru IT security již desítky let, ale rozhodně se nejedná o technologii, která by byla na ústupu, právě naopak. Implementace PKI řešení ve finančním (a celkově soukromém) i veřejném sektoru zažívá rozmach. PKI je v digitálním světě jedním z pilířů důvěryhodné a bezpečné online komunikace, pokrývá šifrování transakcí, autentizaci uživatelů a systémů, zajišťuje ověřitelnost původu dat a jejich neměnnosti.
Technologické základy PKI
PKI je založena na asymetrické kryptografii, kdy je určitým způsobem vygenerovaný pár klíčů a data zašifrovaná jedním z páru klíčů lze dešifrovat pouze pomocí druhého klíče z páru.
S použitím PKI, které je určeno k šifrování dat a autentizaci systémů, se potkáváme dennodenně, aniž by to většina lidí tušila; je součástí zabezpečení webových stránek, platebních terminálů v obchodech nebo při použití spotřebičů zapojených v chytré domácnosti, které ovládáme přes mobilní telefon (IoT).
Dalším široce využívaným a neodborné veřejnosti asi více známým použitím PKI je digitální podpis založený na certifikátech. Digitálně podepisovat lze jakákoli elektronická data: smlouvy v PDF, finanční transakce ve strukturách XML nebo JSON, emaily, obrázky atd atd. Podepsat je možné zkrátka cokoliv, co se sestává z nul a jedniček.
Jak vlastně zjednodušeně a ve zkratce digitální podpis funguje? V rámci PKI procesu je uživateli přidělen pár klíčů, veřejný klíč a soukromý klíč. Veřejný klíč je obsažen v certifikátu vydaném certifikační autoritou a používá se k ověřování digitálních podpisů. Oproti tomu soukromý klíč se používá k podepisování digitálních dokumentů. Privátní klíč má mít podepisující osoba certifikátu vždy pod svojí výhradní kontrolou.
Certifikační autorita (CA) je důvěryhodná třetí strana, která vydává certifikáty uživatelům a organizacím. CA ověřuje identitu držitele certifikátu, a právě v certifikátu svazuje veřejný klíč s jeho identitou takovým způsobem, že informace ve vydaném certifikátu již nelze po vydání měnit. To poskytuje jistotu „spoléhajícím se“ stranám, že držitel certifikátu je tím, za koho se vydává, a že veřejný klíč patří jemu. Reputace, interní procesy a akreditace hrají pro certifikační autoritu klíčovou roli při tom, jak vysokou úroveň důvěry budou mít ostatní strany v certifikáty vydané touto CA.
Samotný digitální podpis je jedinečný krátký kus dat (tzv. hash), odvozený podle obecně známých pravidel ze souboru, který se má podepsat, a tento kus dat je zašifrovaný privátním klíčem. Ověření podpisu pak probíhá dešifrováním veřejným klíčem v certifikátu a srovnáním, že hash skutečně patří k podepsanému souboru. Díky certifikátu tak známe i identitu podepisující osoby.
Standardy, legislativa a celoevropská uznatelnost
Podepisování i ověřování, stejně jako s tím související další aplikace PKI jako např. časové razítkování nebo dlouhodobá archivace (LTA – long-term archivation) se řídí technickými standardy, na které se pak odvolávají přímo či nepřímo i legislativní normy.
Ty existují ve formě lokálních zákonů a vyhlášek, tak i jako evropské směrnice a nařízení – nejznámější je eIDAS z roku 2014, novelizovaný nedávno v roce 2024. Ten přináší i jednotný koncept Evropské peněženky digitální identity – EUDIW. Občané budou moci jako plnohodnotnou alternativu k občanským průkazům využívat elektronickou identitu s vysokou zárukou od státu a na ní navázané funkce jako je právě například digitální podpis. EUDIW bude zdarma pro fyz. i práv. osoby v EU a již v roce 2026 by měly být první konkrétní aplikace pro „peněženky“ dostupné veřejnosti. Tentokrát bude systém otevřený i pro použití soukromému sektoru a všechny možné využití EUDIW nás tedy teprve čekají a budou vymyšleny efektivně a prakticky díky reálné poptávce uživatelů. Nepřekvapí, že EUDIW je postavená rovněž na principech PKI.
CGI – odborník na PKI pro finanční a veřejný sektor
CGI poskytuje širokou škálu služeb a řešení v oblasti PKI. Naše portfolio vychází z praktických potřeb definovaných klienty a splňuje náročné požadavky technických standardů a legislativy. Několik příkladů za všechny:
CGI Quatros: Centrální platforma pro PKI operace nad digitálními dokumenty jakékoliv organizace. Zajišťuje digitální podpisy a pečetě, časová razítka a ověřování digitálních podpisů. Specifické požadavky každého systému a aplikace lze jednoduše naplnit díky možnosti konfigurace profilů dedikovaných zvlášť pro každého konzumenta služeb.
CGI KeyManS: Řešení zaměřené na správu životního cyklu certifikátů. Díky integraci s Active Directory a podpoře automatizovaných procesů zjednodušuje práci IT týmům řešícím tuto agendu. CGI eSigner: Moderní aplikace pro vzdálené elektronické podepisování dokumentů. Umožňuje ruční podpis i podpis pomocí OTP, čímž zajišťuje rychlou a pohodlnou autentizaci bez nutnosti stahování aplikací.
CGI cuLTAdis: Nástroj pro dlouhodobou archivaci (LTA) digitálních dokumentů, který zajišťuje integritu a důvěryhodnost dat po celou dobu jejich uložení. Tento systém využívá pokročilé technologie pro správu metadat a uchovávání ověřitelnosti podpisů a razítek.
Řešení s mezinárodním přesahem
Mezi hlavní klienty v České republice a na Slovensku patří banky, pojišťovny, ministerstva a poskytovatelé energetických služeb. Díky silnému zaměření na bezpečnost a v souladu s legislativou, poskytuje CGI řešení, která odpovídají nejvyšším standardům a zajišťují důvěryhodnost veškerých digitálních operací