Previdnost pri ravnanju s kvalificiranimi potrdili za elektronski podpis

30.08.2023 / Sporočilo za javnost

V Banki Slovenije in na Ministrstvu za digitalno preobrazbo smo zaznali neustrezne prakse ene izmed kreditnih inštitucij glede napeljevanja imetnikov kvalificiranih potrdil za elektronski podpis k nevarni, protizakoniti uporabi teh potrdil. Vsem njihovim imetnikom zato svetujemo previdno upravljanje z njimi.

Zakon o elektronski identifikaciji in storitvah zaupanja (ZEISZ) imetnikom kvalificiranega potrdila za elektronski podpis nalaga njegovo osebno uporabo in skrbno ravnanje, za drugačno uporabo pa je predvidena globa. Uporabniki morajo biti tako posebej pozorni na varno hrambo kvalificiranih potrdil za elektronski podpis, zlasti, da je dostop do elektronskih medijev, na katerih hranijo kvalificirana potrdila za elektronski podpis strogo omejen in da kvalificiranih potrdil za elektronski podpis ne posredujejo drugim osebam. Hkrati opozarjamo tudi na skrbno varovanje zasebnega ključa kvalificiranega potrdila za elektronski podpis. Uporabnikom svetujemo, da v primeru suma zlorabe zasebnega ključa oziroma njegovega posredovanja nepooblaščenim osebam pripadajoče kvalificirano potrdilo za elektronski podpis nemudoma prekličejo pri njegovem izdajatelju.

Vsak imetnik kvalificiranega potrdila za elektronski podpis ima par ključev, zasebni in javni ključ.

Zasebni ključ omogoča tvorbo:

  • naprednega elektronskega podpisa, če je kvalificirano potrdilo za elektronski podpis shranjeno v shrambi brskalnika ali
  • kvalificiranega elektronskega podpisa, če je kvalificirano potrdilo za elektronski podpis shranjeno na certificirani »pametni« kartici ali »pametnem« ključku. Kvalificirani elektronski podpis ima enakovreden pravni učinek kot lastnoročni podpis.

Zasebni ključ je za vsakega imetnika unikaten, zato posebej opozarjamo na njegovo skrbno varovanje. Javni ključ je ravno tako za vsakega imetnika unikaten, vendar pa je dostopen komurkoli.

Elektronski dokument podpišemo s svojim zasebnim ključem, medtem ko elektronski podpis preverimo z javnim ključem podpisnika. Ključa sta med seboj tako povezana, da elektronski podpis dokumenta, ki smo ga naredili z zasebnim ključem, lahko preverimo samo s pripadajočim javnim ključem. Struktura podatkov, ki povezuje imetnika z njegovim javnim ključem, se imenuje kvalificirano potrdilo za elektronski podpis.