K 31.12.2022 dochází k vyřazení některých tokenů ze seznamu certifikovaných prostředků pro vytváření elektronických podpisů. Článek popisuje situaci a hledá řešení vzniklé situace.
Popis stavu
Ministerstvo vnitra vydalo informaci, o vyřazení vyřazení kvalifikovaných prostředků pro vytváření elektronických podpisů USB token TokenME první generace / čipová karta Crypto Java Card (dále jen prostředek) z evropského seznamu kvalifikovaných prostředků (EU QSCD) k datu 31.12.2022.
| Název kvalifikovaného prostředku | Certifikace do data |
|---|---|
| USB token eToken 5110 CC (840) Prodej byl ukončen. | 30.09.2023 |
| USB token eToken 5110 CC (940) | 11.06.2028 |
| čipová karta IDPrime 3940 (duální) | 11.06.2028 |
| čipová karta IDPrime 940 | 11.06.2028 |
| čipová karta IDPrime 941 (hybridní) | 11.06.2028 |
| čipová karta PROID+Q v.1 Prodej byl ukončen. | 07.07.2022 Probíhá recertifikace, předpoklad platnosti do roku 2027. |
| čipová karta PROID+Q v.2 | 11.06.2028 |
| USB token TokenME (výrobce Oberthur Card System) V prodeji do 12/2020. | 31.12.2022 |
| USB token TokenME EVO (výrobce IDEMIA nebo Bit4id) V prodeji 01-12/2021. Prodej ukončen. | 17.04.2024 |
| USB token TokenME EVO (výrobce NXP Semiconductors) V prodeji od 01/2022. | 22.07.2030 |
Důsledky
Kvalifikovaný prostředek, neboli token, TokenMe první generace používá velké množství uživatelů. U mých zákazníků odhaduji 95 %. Vyřazením tohoto tokenu dojde mj. ke zneplatnění certifikátů uložených na tokenu. To sice neznemožní certifikáty dále využívat, nicméně podpis takto vytvořený bude neověřitelný a tudíž k ničemu.
Praktický důsledek je ten, že 31.12.2022 končí token i certifikáty na něm.
Od 1.7.2022 nepůjde obnovit certifikát na takový token.
Řešení
1. Ověříme, zda se to týká našeho tokenu
Certifikační autorita Postsignum nabízí na svých webových stránkách možnost ověřit, zda váš kvalifikovaný prostředek je tímto problémem zasažen.
Nápovědou může být tento obrázek. Novější token TokenMe EVO má trochu (ale opravdu jen trochu) jiný tvar.
K ověření tokenu budete potřebovat jeho sériové číslo. To najdete pomocí aplikací iSignum nebo bit4id PKI manager.
2. Objednání nového tokenu
Pokud je váš token vyřazen ze seznamu certifikovaných prostředku, je potřeba objednat nový token.
Aktuálně prodáváný USB token TokenME EVO by měl mít certifikaci do 22.7.2030, což by mohlo nějakou chvíli vydržet ;-).
Kdy objednat? Klidně hned.
3. Inicializace tokenu
Když vám přijde nový token, je potřeba jej inicializovat.
Než to provedete, je potřeba nainstalovat nejnovější ovladače TokenMe. Najdete je úplně dole na stránce. Je to velmi důležité, protože ovladače o původního tokenu TokenMe s novým EVO moc dobře nespolupracují.
Inicializací se rozumí nastavení bezpečnostních kódů PIN a PUK. Tyto údaje je potřeba bezpečně uchovat. PIN se zdává při každém použití tokenu. PUK slouží k odblokování tokenu v případě, že zadáte třikrát špatně PIN.
Inicializace se provádí v aplikaci Bit4id PKI manager.
Kdy inicializovat? Nejlépe před obnovou certifikátu.
4. Obnova certifikátů
Vždy bude potřeba nových certifikátů. Jsou tu však dvě možnosti:
- Postisgnum, nejpozději od konce června 2022, připravuje možnost bezplatně obnovit starý certifikát z TokenMe na TokenMe EVO se stejnou dobou platnosti.
- Obnovit starý certifikát z TokenMe na TokenMe EVO s novou dobou platnosti.
Pokud máte certifikáty s roční dobou platnosti, jednoznačně bych využil druhou možnost.
V obou případech je potřeba dávat velký pozor na to, kam generujete nové klíče. Vždy musíte generovat na nový TokenMe EVO! Starý token poslouží pouze k podepsání žádosti starým certifikátem.
Kdy obnovit certifikáty? Klidně hned, ale „krátíte“ si tak platnost starého certifikátu. Nejpozději však do 31.12.2022!
5. Nastavení certifikátů
Když máte nové certifikáty, zbývá je už jen nastavit v administraci CzechPOINT.
A dále třeba ve mzdách, OSSZ, ČNB a dalších aplikacích, které by to mohly vyžadovat.
Kdy nastavit? Ihned po obnovení certifikátů.
To nezvládnu
Nevadí, všechno vám pomůžu zařídit já nebo konzultanti vašeho software. Stačí zavolat…