Ako vybaviť rýchlo a lacno kvalifikovaný certifikát pre bezpečnú digitálnu komunikáciu, ak nemáte v ČR/Slovensku trvalý pobyt

Manuál (nielen) pre “šťastných” paraguajských alebo panamských rezidentov, ktorí nemajú český / slovenský OP s eID

Ak nemáte v ČR/Slovensku trvalý pobyt a nedisponujete českým alebo slovenským OP (mimochodom slovenský OP s eID dokážete získať aj ako nerezident, keď trvalú rezidenciu na Slovensku nemáte) a chcete oficiálne digitálne komunikovať s úradníkmi alebo firmami, tak potrebujete o kvalifikovaný alebo komerčný certifikát požiadať štátom uznávanú CA. V ČR a na Slovensku ich máme viacero, ja som sa rozhodol použiť PostSignum, ktorá je všade dostupná — overia vás na hociktorej pobočke Českej pošty, ktorá používa tzv. Czech POINT.

Cena tohto certifikátu je doslova za babku (na rok 396 Kč, na 3 roky 990 Kč, čo je 40 EUR, 13.33 EUR/rok) a dokážete ním digitálne podpisovať akékoľvek dokumenty pre českých /slovenských úradníkov (resp. akýchkoľvek EÚ úradníkov) vrátane vašich zmlúv so zákazníkmi.

Prikladám aktuálny postup ako získať tento certifikát (k 13.5.2022):

1. Stiahnete a nainštalujete si pre Windows / Linux aplikáciu PostSignum Tool Plus (ide o jednoduchú java aplikáciu na generovanie kľúčového páru — RSA privátneho kľúča a žiadosti o certifikát). Ako alternatívu môžete použiť Software 602 Signer, ktorý funguje pre všetky platformy vrátane MacOS, iOS či Android. Takže kľúčový pár si viete vygenerovať aj na telefóne. Prípadne si kľúčový pár dokážete vygenerovať sami v príkazovom riadku:

openssl req -out request.req -new -newkey rsa:2048 -keyout privatekey.key

2. Po vygenerovaní tohto páru aplikáciou PostSignum Tool Plus alebo z príkazového riadku, musíte nahrať “certificate request” (súbor s príponou .req) na web PostSignum.cz, to spravíte cez tento jednoduchý webový formulár. Formulár vám vygeneruje vaše ID žiadosti, ktoré si odfoťte alebo odpíšte do mobilu / na papier. Ak použijete aplikáciu Software 602 Signer na žiadosť o PostSignum certifikát, tak by to nahranie certifikátu mala aplikácia spraviť automaticky za vás a rovno vám zobraziť vaše ID.

3. Návštívte ľubovoľnú pobočku Českej pošty s Czech POINTom (ich zoznam nájdete tu). Odporúčam navštíviť rovno hlavnú poštu na Jindrišškej, pretože v iných pobočkách Českej pošty nemusia dobre pochopiť, že ako dva doklady overenia používate dva české alebo slovenské pasy, prípadne iné paraguajské alebo panamské dokumenty).

Registrácia na Czech POINTe znamená vytvorenie vašej novej identity (ak tam ešte nie ste zaregistrovaný) na základe vašich dvoch osobných dokumentov, zadanie vašej trvalej adresy (ja som použil moju panamskú, ale nie je problém použiť aj paraguajskú či akúkoľvek inú). Pri overení som použil dva slovenské pasy a môj vodičský preukaz (podotýkam, že nemám nikde v EÚ trvalý pobyt). Pani za prepážkou vám vytlačí pár dokumentov a tie musíte podpísať. Ak žiadate o certifikát na 3 roky, tak treba podpísať jedno tlačivo navyše.

Následne pani za prepážkou nadiktujete svoje ID žiadosti z bodu číslo dva a pani vám digitálne podpíše vašu žiadosť o certifikát (ktorú ste im zaslali v bode číslo 2) a emailom vám doručí linku na nový kvalifikovaný certifikát (treba si ho stiahnuť do 60 dní, lebo potom sa zneplatní).

4. Certifikát z emailu si stiahnete a prepojíte so svojím vygenerovaným privátnym RSA kľúčom (z bodu 1) a vygenerujete si hotový PKCS12 certifikát:

openssl pkcs12 -export -out certifikat.p12 -inkey privatekey.key -in certifikat.pem

• privatekey.key — privátny kľúč, ktorý ste si vygenerovali v bode 1
• certifikat.pem — certifikát vo formáte PEM, na ktorého linka vám prišla v emaili v bode 3

Po zadaní hesla k privátnemu RSA kľúču a exportného hesla k vášmu PKCS12 certifikátu získate hotový PKCS12 certifikát, s ktorým môžete ďalej pracovať (treba si ho hlavne bezpečne uložiť a odzálohovať).

5. Doteraz som PDF digitálne v Linuxe podpisoval v LibreOffice, ale ich implementácia je dosť nešťastná (napríklad nejde podpísať dokument, ktorý predtým už niekto podpísal). Ak veríte svojmu smartfónu (napríklad používate paranoidné Android distribúcie ako GrapheneOS alebo CalyxOS), tak odporúčam dve aplikácie, ktoré umožňujú _reálne_ digitálne podpisovanie dokumentov (“reálne” znamená, že ich nepodpisujete nejakou bitmapou ako je to v DocuSign či iných bitmapových podpisovátkach, ktoré nemajú s bezpečnosťou nič spoločné, ale reálne privátnym RSA kľúčom).

Foxit PDF Editor, kde si za 10 USD na rok zaplatíte licenciu na Android, ktorá vám umožňuje digitálne podpisovať ľubovoľné PDF dokumenty (a ľahký import vášho PKCS12 certifikátu). Foxit PDF Editor je inak veľmi šikovný nástroj na editovanie PDF, konverziu PDF do všetkých možných formátov (to sa hodí obzvlášť, keď nejaké formuláre vyžadujú “proof of address” napríklad len v JPG) a je o dosť lacnejší ako napríklad Adobe Acrobat Reader (jeho mobilná verzia).

Software 602 Signer je produkt známej českej firmy, ktorý ma vyslovene prekvapil. A to nielen tým, že je jedna z mála Android aplikácií, ktoré vedia digitálne podpisovať dokumenty, ale tým, že má priamo integrované prepojenie s PostSignum CA. Takže celý certifikát manažment zvládnete len pomocou tejto aplikácie.

Ďalšie alternatívy

Ako som spomenul už v úvode, ako nerezident Slovenska, môžete požiadať o nový slovenský OP pre nerezidentov Slovenska (kde budete mať uvedenú svoju adresu v zahraničí). Tento dokument podporuje eID, teda digitálne podpisovanie dokumentov. Ďalšia alternatíva je požiadať o estónsku e-rezidenciu. Estónska eID karta má tiež túto funkciu a je možné sa pomocou nej dokonca prihlásiť do slovensko.sk.

Zhrnutie

Na to, aby ste mohli digitálne komunikovať v ČR/Slovensku, ako aj v celej EÚ, tak si nepotrebujete kupovať žiadne predražene kvalifikované alebo komerčné certifikáty, ale postačia vám lacné PostSignum certifikáty, ktoré jednoducho naimportujete (nielen) do mobilných aplikácií a podpíšete s nimi všetky oficiálne dokumenty. A nepotrebujete na to trvalý pobyt v EÚ, ani občiansky preukaz.