CzechIdM spravuje certifikáty pro elektronické podpisy ve VFN v Praze

Elektronický podpis je stále používanějším a zároveň jediným způsobem, jak spolehlivě ověřit autenticitu jakéhokoliv dokumentu v elektronické podobě. Jde o elektronickou alternativu ke klasickému vlastnoručnímu podpisu, která využívá matematické šifrovací mechanismy.
vfn-logo

Shrneme-li průběh elektronického podepisování do několika vět, tak elektronický podpis může vytvořit majitel digitálního certifikátu pro jakýkoliv elektronický dokument a tento podpis k němu následně připojit. Digitální certifikát vydávají organizace zvané certifikační autority (CA), které následně ručí za pravost podpisu a správnost údajů uvedených na digitálním certifikátu (jméno majitele, název společnosti apod.).

Elektronická zdravotnická dokumentace

Příkladem masivního využití elektronického podpisu je projekt elektronické zdravotnické dokumentace (EZD) na Všeobecné fakultní nemocnici v Praze. Přechod zdravotnické dokumentace z papírové na elektronickou podobu přináší celou řadu výhod, mezi které patří snížení nákladů na tisk a skladování, celkové snížení administrativy, lepší přehlednost, dostupnost a auditovatelnost.

Certifikát

V souladu s českou i evropskou legislativou je nedílnou součástí projektu EZD elektronický podpis, kterým lékař opatřuje dokumentaci, kterou vytvořil. Pro realizaci elektronických podpisů je zapotřebí udržovat vystavené digitální certifikáty všech oprávněných zaměstnanců, kontrolovat jejich platnost z různých úhlů pohledu (časová platnost, zneplatnění certifikační autoritou, ukončení pracovního poměru zaměstnance), podávat žádosti o nové certifikáty a tak dále a to v takovém množství, že je nutné mít správu certifikátů v co největší možné míře automatizovanou. Zde přichází ke slovu identity manager CzechIdM, který spravuje životní cyklus digitálních certifikátů.

Životní cyklus certifikátů

Pro maximální bezpečnost Všeobecná fakultní nemocnice používá tzv. kvalifikované certifikáty vydávané společností eIdentity a.s., která je jedním ze tří akreditovaných poskytovatelů certifikačních služeb v České republice.

eIdentity vydává certifikáty pro jednotlivé zaměstnance fakultní nemocnice na základě žádostí, jejichž podávání je automatizováno systémem CzechIdM. Pověřený administrátor může nechat vygenerovat žádost o certifikát buď pro vybraného zaměstnance, nebo pro celou kliniku naráz.

Dříve než certifikační autorita certifikát vydá, musí se jeho majitel dostavit na tzv. registrační místo, kde průkazem totožnosti prokáže pravost údajů uvedených na certifikátu.

Jakmile je certifikát vydán, je možné ho importovat (stáhnout ze systému eIdentity) do databáze CzechIdM. Tento import provádí pověřený administrátor prostřednictvím administrátorského rozhraní CzechIdM. Kromě ručního importu probíhá v CzechIdM ještě automatický import certifikátů, který je realizovaný pravidelně spouštěným procesem.

certcycle

Každý certifikát má předem určenou dobu platnosti a po jejím vypršení je třeba vystavit pro daného zaměstnance certifikát nový. CzechIdM tomuto faktu čelí hned několika způsoby: Administrátor má k dispozici přehledové tabulky s nastavitelnými filtry, ve kterých může zobrazovat data expirací (vypršení platnosti) certifikátů jednotlivých zaměstnanců a vyhledávat certifikáty, které brzy expirují – např. v horizontu 1 týdne, měsíce apod. Kromě toho CzechIdM kontroluje platnost certifikátů pravidelně spouštěnými procesy, které administrátory upozorňují jednak na certifikáty, kterým vypršela platnost a jednak na certifikáty, kterým platnost brzy vyprší (během týdne). Díky tomu je nový certifikát vždy vydán včas a překvapený zaměstnanec nemusí na vydání nového certifikátu čekat.

Platnost certifikátu nemusí skončit vždy jen expirací. Někdy se stane, že vydávající certifikační autorita certifikát zneplatní. K tomu může dojít například v případě úniku soukromého klíče dotyčného zaměstnance, nebo v případě ukončení pracovního poměru. Zneplatněné certifikáty jsou uloženy v takzvaném CRL souboru (Certificate Revocation List), který CA pravidelně aktualizuje a zveřejňuje. CzechIdM CRL pravidelně čte a na případné zneplatněné certifikáty upozorní administrátora a majitele certifikátu a znemožní majiteli jeho další používání.

Závěr

V dnešním článku jsem představil způsob, jakým je možné v praxi realizovat správu velkého množství certifikátů pro elektronické podpisy. V uvedeném příkladě se jedná řádově o tisíce certifikátů. Článek popisuje celý proces z globálního pohledu aniž by zacházel to technických detailů jednotlivých dílčích kroků, kterými jsem článek úmyslně nezatěžoval. Chcete-li se o technické stránce procesu dozvědět více, nebo máte-li jiné otázky nebo vlastní podněty, napište mi na jakub.tomek@bcvsolutions.eu a já je s Vámi rád proberu.