7.5 MS Office a SHA-2
Na závěr této kapitoly, věnované problematice elektronického podpisu v kancelářském balíku MS Office, si ještě řekněme, jak je to s podporou hašovací funkce SHA-2.
V souvislosti s tím si můžeme připomenout, že tuzemské certifikační autority smějí vydávat (od 1.1.2010) již jen takové certifikáty, které podporují SHA-2. Přesněji: které jsou samy vydány s využitím hašovací funkce SHA-2 (a klíčů o velikosti nejméně 2048 bitů).
Stejně tak si ale připomeňme, že povinnost používání SHA-2 se týká vydávání nových certifikátů, ale nikoli jejich používání širší uživatelskou veřejností. Vůči ní jde pouze o doporučení, ale nikoli o formálně závaznou povinnost.
Připomenout si můžeme i to, že „nové“ certifikáty (vydané již na bázi SHA-2) lze stále používat i „postaru“, neboli k vytváření takových elektronických podpisů, které využívají ještě původní hašovací funkci SHA-1[14].
O tom, zda je podpis na bázi SHA-1 stále přípustný, nebo nikoli (a zda je vyžadován podpis využívající již hašovací funkci SHA-2), pak obecně rozhoduje příjemce. V oblasti veřejné moci tedy ta konkrétní agenda, která elektronicky podepsané dokumenty přijímá.
Například Celní správa pro své agendy požaduje podpisy na bázi SHA-2 počínaje 1.12.2010.
Pokud jde o samotnou podporu hašovací funkce SHA-2 v jakýchkoli softwarových produktech – a nikoli pouze v těch od Microsoftu – pak je nutné mít na paměti, že tuto hašovací funkci musí podporovat celý řetězec prvků, který se na tvorbě podpisu či jeho ověření podílí. Tedy jak samotné aplikace, tak i operační systém, používané úložiště důvěryhodných certifikátů a také moduly CSP, které jsou využívány. Jakmile kterýkoli z prvků v tomto řetězci SHA-2 nepodporuje, není možné s touto hašovací funkcí pracovat.
Jinými slovy: k tomu, aby znemožnil práci s SHA-2, stačí jediný prvek celého řetězce, který SHA-2 nepodporuje.
Rozeberme si nyní podporu SHA-2 v produktech Microsoftu podle jednotlivých prvků celého řetězce[15]. Přitom budeme rozlišovat dva různé účely, protože jejich podpora se u konkrétních prvků může lišit:
· ověření certifikátu s SHA-2: toto je zapotřebí například v situaci, kdy se svým browserem přistupujeme k nějakému serveru, který se nám prokazuje svým serverovým certifikátem – a ten byl vystaven s využitím SHA-2.
· ověření (vyhodnocení platnosti) nebo vytvoření elektronického podpisu na dokumentu či na e-mailové zprávě, na bázi SHA-2
[14] Platí to dokonce i obráceně: „starý“ certifikát, vydaný ještě s SHA-1, lze využít k podepisování s SHA-2
[15] SHA-2 je ve skutečnosti celou rodinou hašovacích funkcí, které se liší velikostí otisku (hashe): 224, 256, 384 nebo 512 bitů. V produktech Microsoftu je implementována pouze trojice vyšších funkcí (SHA-256, SHA-384 a SHA-512). Funkce SHA-224, která ani není určena pro elektronický podpis, podporována není.
> jak ji získat?
číst knihu on-line
> předmluva vydavatele
> předmluva autora
> kapitoly:
1, 2, 3, 4, 5, 6, 7, 8
> podrobný obsah
> obrázky
kurzy epodpisu
diskusní fórum
příklady k vyzkoušení
> PDF k podepsání
> PDF k ověření
> PDF s více podpisy
> dokumenty MS Office
> kolizní dokumenty
> biometrický podpis
videoukázky
> YouTube kanál
zajímavé on-line zdroje
> přehled certifikátů
aktuality z oboru
errata
co se do knihy nevešlo
co se od vydání změnilo
kde nepanuje konsensus
kontakt na autora
