Preskoči na glavni sadržaj

Kako PKI tehnologija jamči zaštitu komunikacije digitalnim kanalima

Uvođenjem kriptografije javnog ključa (PKI) te zakonskim reguliranjem elektroničkog potpisa, nestale su zapreke u korištenju interneta i e-poslovanja. Ovime se omogućuje potpuna eliminacija papira, uz znatnu uštedu vremena u poslovnim komunikacijama.

Elektroničke transakcije zaštićene primjenom PKI tehnologije temelje se na digitalnom certifikatu i elektroničkom potpisu i zadovoljavaju osnovne zahtjeve:

Autentikacija
Proces provjere korisničkog identiteta kojim korisnik dokazuje da je zaista onaj za kojeg se predstavlja (prilikom prijavljivanja u neki sustav i sl.)

Integritet
Jamstvo da podatci u prijenosu ili obradi nisu uništeni ili promijenjeni. Elektroničkim potpisom osigurava se cjelovitost i izvornost podataka pohranjenih na određeno vrijeme ili onih koji se šalju mrežom. Jednostavnom provjerom može se utvrditi jesu li ti podatci nelegalno naknadno mijenjani.

Tajnost 
Enkriptiranje (šifriranje) podataka koji su pohranjeni ili poslani mrežom sprječavanja čitanja sadržaja od strane neovlaštenih osoba.

Neporecivost 
Napredan elektronički potpis pruža neupitan dokaz o akciji koju je osoba poduzela ili autorizirala. 

Vrste certifikata prema namjeni

  • Kvalificirani certifikati za elektronički potpis 
    Koriste se za izradu e-potpisa, nedvojbeno su povezani s potpisnikom te omogućavaju njegovu identifikaciju. Podatke za izradu potpisa potpisnik može koristiti pod svojom isključivom kontrolom.
  • Certifikati za autentikaciju 
    Koriste se za izradu elektroničkog potpisa, za jaku autentikaciju i enkripciju ključa. Prikladni su za podršku i izradu naprednog elektroničkog potpisa koji nije zasnovan na kvalificiranom certifikatu.
  • Certifikati za elektronički pečat 
    Koriste se za povezivanje podataka za validaciju elektroničkog pečata s pravnom osobom i potvrđuju naziv te osobe, a uz to osiguravaju cjelovitost dokumenta. Pogodni su za ovjeru dokumenata kada nije potreban potpis fizičke osobe, pri čemu e-pečat potvrđuje da je dokument izdala određena pravna osoba.
  • Certifikati za aplikacije, odnosno poslovni certifikati za IT opremu 
    Izdaju se za IT sustave, aplikacije ili servise povezane s poslovnim subjektom. Koriste se za izradu e-potpisa, za jaku autentikaciju i enkripciju ključa u poslovne svrhe.
  • Certifikati za autentikaciju mrežnih stranica (SSL certifikati) 
    Koriste se samo za autentikaciju mrežnih stranica, tj. za autentikaciju web poslužitelja kojima se pristupa putem TLS ili SSL protokola te povezuju mrežnu stranicu s pravnom osobom kojoj su izdani.

Fina PKI sustav

Digitalni certifikati i kvalificirani vremenski žigovi koji se izdaju na Fininoj produkcijskoj okolini usklađeni su s važećim EU i međunarodnim normama iz područja izdavanja digitalnih certifikata i vremenskih žigova, normama iz područja elektroničkog potpisa i najboljom praksom.

Karakteristike Finine produkcijske okoline

  • Dvorazinska arhitektura certifikacijskih tijela (CA-ova)
  • Korištenje sigurnih kriptografskih algoritama i kriptografskih ključeva
  • Servis za provjeru statusa certifikata
  • Servis izdavanja kvalificiranih vremenskih žigova

Na slici su prikazani digitalni certifikati i servisi dvorazinske Finine produkcijske okoline za izdavanje digitalnih certifikata i kvalificiranih žigova:

Fina PKI - produkcijska okolina

Dvorazinska arhitektura Fininih produkcijskih certifikacijskih tijela

Sustav za izdavanje certifikata sastoji se od korijenskog certifikacijskog tijela (Root Certification Authority, Root CA) koje izdaje certifikate za subordninirana certifikacijska tijela (Subordinate Certification Authority, Subordinate CA). Subordinirana certifikacijska tijela izdaju certifikate krajnjim korisnicima.

U produkcijskoj okolini za izdavanje digitalnih certifikata Fina ima:

  • Jedno korijensko certifikacijsko tijelo: Fina Root CA
  • Tri subordinirana certifikacijska tijela: Fina RDC 2015, Fina RDC 2020, Fina RDC-TDU 2015.

Ovisno o tipu certifikata, Fina RDC 2015 CA i Fina RDC 2020 izdaju kvalificirane, normalizirane i lightweight certifikate za:

  • Fizičke osobe – građane (osobni certifikati)
  • Fizičke osobe povezane s poslovnim subjektom (poslovni certifikati) 
  • IT opremu povezanu s poslovnim subjektom (poslovni certifikati za IT opremu)

Fina RDC-TDU 2015 CA izdavao je certifikate državnim dužnosnicima i zaposlenicima u tijelima državne uprave. Od 26. 11. 2023. certifikate za Tijela državne uprave izdaje RDC 2020 CA.

Fina Root CA izdao je i potpisao certifikate za subordinirane Fina RDC 2015, Fina RDC 2020 i Fina RDC-TDU 2015 CA-ove.

Kriptografski algoritmi i duljine ključeva

Sukladno odredbama zakonske regulative iz područja elektroničkog potpisa, Fina za izdavanje certifikata i vremenskih žigova koristi propisane sigurne kriptografske algoritme i duljine kriptografskih ključeva.
Za izračun sažetka pri potpisivanju certifikata, CRL i vremenskih žigova koristi se algoritam SHA-256, RSA.

Koriste se različite duljine kriptografskih RSA parova ključeva, čime se ostvaruju sigurnost i povjerenje u izdane certifikate i kvalificirane vremenske žigove:

  • CA parovi ključeva: duljina 4096 bitova, RSA
  • Korisnički parovi ključeva: duljina 2048 bitova, RSA

Karakteristike Fininih produkcijskih certifikata

Fina Root CA certifikat
Ovaj je certifikat Root CA za sve Finine produkcijske certifikate te predstavlja „sidro povjerenja“ (Trust Anchor) Finine dvorazinske arhitekture. Izdaje i potpisuje certifikate za Finine subordinirane CA-ove (Fina RDC 2015, Fina RDC 2020 i Fina RDC-TDU 2015 CA-ovi) te sadrži RSA javni ključ duljine 4096 bita.

Certifikati za Fina RDC 2015, Fina RDC 2020 i Fina RDC-TDU 2015 CA-ove
Ovo su subordinirani certifikati Fina Root CA certifikata. Sadrže RSA javni ključ duljine 4096 bitova te su od strane Fina Root CA potpisani RSA privatnim ključem duljine 4096 bitova, korištenjem kriptografskih algoritama SHA-256 i RSA.

Karakteristike korisničkih certifikata
Korisničke certifikate izdaju Fina RDC 2015 i Fina RDC 2020.

Svi Finini produkcijski certifikati i način rada produkcijskih CA-ova opisani su u dokumentima koji se nalaze na stranici Regulativa, dokumenti i potvrde o sukladnosti

Usluga za online provjeru statusa certifikata - Fina OCSP

OCSP servis zasniva se na klijent-server modelu u kojem OCSP klijent pouzdajuće strane šalje OCSP serveru (OCSP Responder) upit o statusu certifikata, a OCSP servis klijentu vraća odgovor o statusu certifikata.

Finin OCSP servis daje informacije o statusima certifikata izdanih od Fina Root CA, Fina RDC 2015, Fina RDC 2020 i Fina RDC-TDU 2015. Pristupna adresa Fina OCSP servisa nalazi se u Authority Information Access ekstenziji svakog Fininog produkcijskog certifikata. Rad Fina OCSP servisa sukladan je s preporukom IETF RFC 6960.

Fina OCSP servis potpisuje odgovore RSA privatnim ključem duljine 2048 bitova, uz korištenje kriptografskih algoritama SHA-256 i RSA.

Pored korištenja Fina OCSP servisa, provjera statusa certifikata može se i dalje obavljati dohvatom CRL. Preporuka je da se za provjeru statusa certifikata koristi OCSP servis, a provjera statusa dohvatom CRL može se koristiti kao alternativna metoda provjere u slučaju nedostupnosti OCSP servisa.

Servis za izdavanje kvalificiranih elektroničkih vremenskih žigova - Fina QTSA 2017

Usluga izdavanja kvalificiranih elektroničkih vremenskih žigova predstavlja vremensku ovjeru podataka, elektroničkih zapisa, elektroničkih dokumenta i sl., od strane kvalificiranog pružatelja usluge kao treće strane od povjerenja. Kvalificirani elektronički vremenski žig može se koristiti kao podrška naprednom i kvalificiranom elektroničkom potpisu.

Mogućnost korištenja Fina QTSA 2017 servisa imaju autorizirani korisnici koji se na servis prijavljuju Fininim digitalnim certifikatom. Fina QTSA 2017 je sukladan s eIDAS uredbom i podržava zahtjeve klijentskih aplikacija za izdavanje elektroničkih vremenskih žigova, sukladno normi ETSI EN 319 422 i preporuci IETF RFC 3161.

Certifikat za potpis odgovora servisa Fina QTSA 2017 izdaje se svake godine, a pripadajućim se privatnim ključem godinu dana potpisuju elektronički vremenski žigovi. Nakon toga se generira novi par ključeva te se izdaje novi certifikat. Novim privatnim ključem potpisuju se elektronički vremenski žigovi u narednoj godini dana. Svaki certifikat vrijedi četiri godine.

Dokumentacija Fininih sustava za obavljanje usluga izdavanja kvalificiranih vremenskih žigova nalazi se ovdje

Registar digitalnih certifikata

Za potrebe pružanja usluga certificiranja u Hrvatskoj, Fina preko svojeg Registra digitalnih certifikata vodi infrastrukturu javnog ključa (Public Key Infrastructure – PKI) sa sljedećim certifikacijskim tijelima (CA):

  • Fina Root CA
  • Fina RDC CA 2015 -  za građane i poslovne subjekte (osim tijela državne uprave)
  • Fina RDC CA 2020 - za građane i poslovne subjekte 
  • Fina RDC-TDU CA 2015 - za tijela državne uprave (certifikati izdani do 26. 11. 2023.)

Za potrebe testiranja, Fina ima uspostavljenu demo infrastrukturu javnog ključa (public Key infrastructure – PKI) sa sljedećim certifikacijskim tijelima (CA):

  • Fina Demo root CA
  • FIna Demo CA 2020
  • Fina Demo CA 2014

Kao najdugovječniji Certificate Authoritity u Republici Hrvatskoj, Fina ima nekoliko stotina tisuća aktivnih korisnika koji certifikate koriste u brojnim različitim javnim, komercijalnim te internim servisima mnogih institucija.

Na ovim se stranicama nalaze osnovne informacije vezane uz usluge certificiranja te upravljanje životnim ciklusom certifikata. Detaljne informacije, temeljna pravila te načela za davanje usluga certificiranja, koja su usklađena sa zakonskom regulativom o elektroničkom potpisu u Republici Hrvatskoj, možete pronaći u dokumentima koji se nalaze na stranici Regulativa, dokumenti i potvrde o sukladnosti

Usluge izdavanja digitalnih certifikata Fina obavlja sukladno EU Uredbi o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i hrvatskom Zakonu o provedbi Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (NN 62/2017) koji je na snazi od 8. 7. 2017.

  • Nužni kolačići omogućuju osnovne funkcionalnosti. Bez ovih kolačića, web-stranica ne može pravilno funkcionirati, a isključiti ih možete mijenjanjem postavki u svome web-pregledniku.