eToken 5110CC (940) eIDAS

Kvalifikovaný prostředek (QSCD) pro vytváření kvalifikovaných podpisů a kvalifikovaných pečetí splňující požadavky nařízení eIDAS č.910/2014 (Příloha II). Token je inicializován certifikační autoritou PostSignum České pošty, obsahuje tzv. "Servisní klíč" nezbytný pro odeslání žádosti o kvalifikovaný certifikát. Zároveň token akceptuje i druhý kvalifikovaný poskytovatel služeb vytvářejících důvěru (QCA), společnost eIdentity. Typické využití:
eToken 5110CC (940) je určen zejména pro bezpečné vytvoření kvalifikovaného certifikátu a jeho používání pro tvorbu kvalifikovaného podpisu a kvalifikované pečeti (ve smyslu eIDAS). Tento token plně vyhovuje nejvyšším bezpečnostním požadavkům nově kladeným na pracovníky státní správy a samosprávy při elektronickém podepisování dokumentů a zpráv. Token obsahuje také druhou část, kterou lze využít pro účely PKI (práce s certifikáty). Produkt je dodáván spolu s licencí middleware SafeNet Authentication Client, který obsahuje ovladače k tokenu, kryptografické knihovny a podpůrné utility pro management obsahu tokenu.
Před používáním tokenu zkontrolujte, zda máte nainstalovánu aktuální verzi middleware SAC.
Vlastnosti:

• Podporované operační systémy: Windows 7, 8, 10, 11, Win Server 2008/R2 (32 i 64 bit), 2012, 2012/R2 (64 bit), Win Server 2016 (64 bit), Win Server 2019 (64 bit), Win Server 2022 (64 bit), Mac OS, Linux
• Middleware: SafeNet Authentication Client (SAC)
• Rozhraní: USB type A; USB 1.1 a 2.0 (full speed and high speed)
• Velikost: 16,4 x 8,5 x 40,2 mm, hmotnost: 5 g
• Standardy: PKCS#11, Microsoft CAPI, PC/SC, X.509 v3 certificate storage, SSL v3, IPSec/IKE, MS minidriver, CNG
• Certifikace: CC EAL5+, eIDAS Compliant (QSCD)
• Šifrovací algoritmy: RSA: up to RSA 4096 bits, RSA OAEP & RSA PSS, Elliptic curves: P-256, P-384,
• P-521 bits, ECDSA, ECDH, generování klíčů v hardware tokenu (RSA & Elliptic) 3DES (ECB, CBC), AES (128, 192, 256 bits),
• Hashovací funkce: Hash: SHA-1, SHA-256, SHA-384, SHA-512
• Velikost paměti: 80 kB, 2 kontejnery pro kvalifikovaný certifikát, 18 kontejnerů pro uložení šifr. klíčů
• Uchování dat v paměti: nejméně 10 let, přepisování paměti: nejméně 500 000 cyklů

Časté otázky:
* Koho se eIDAS týká a jak?
- Zásadní dopad má eIDAS na OVM (orgány veřejné moci), tedy zejména orgány státní správy, samosprávy, ale třeba i všechny školy. S účinností od 18.9.2018 jsou úředníci těchto orgánů povinni používat pro vytváření kvalifikovaného elektronického podpisu bezpečné QSCD prostředky. Dále eIDAS dopadá i na komerční organizace, tedy jejich zaměstnance, kteří komunikují se státní správou v rámci EU (celní deklaranti, advokáti, likvidátoři pojistných událostí a mnoho dalších). *Umožňuje eToken 5110CC (940) PreBoot autentizaci do počítače?
- Ano, USB eToken 5110CC (940) lze použít pro tento způsob autentizace, pomocí softwaru třetích stran. *Jak funguje Windows Log-on přihlášení s tokenem eToken5110CC (940)?
- Místo klasického přihlášení do systému jménem a heslem zvolíte přihlašování pomocí čipové karty/tokenu, zde zadáte PIN a to je vše co musíte udělat pro přihlášení. Přihlašovací formulář se vám pak defaultně zobrazí namísto klasického přihlášení do systému. Na tokenu samozřejmě musí být váš certifikát, umožňující Windows logon. Ten získáte buď žádostí na interní certifikační autoritu nebo jako self-issued certifikát. *Mohu použít USB eToken 5110CC (940) i pro záložní kopii certifikátu?
- Zde záleží na povaze certifikátu. Kvalifikovaný certifikát vzniká párem klíčů vygenerovaných na tokenu. Privátní klíč nelze nikdy exportovat. Některé certifikátu např. pro podepisování autorizačního apletu do banky budete moci libovolně kopírovat. Osobní certifikát vydaný certifikační autoritou určený pro podepisování dokumentů a zpráv zálohovat na jiný HW nejde, což vychází z logické podstaty PKI infrastruktury. Privátní klíč vygenerovaný v hardwaru tokenu nikdy nesmí token opustit. Proto každá certifikační autorita drží tzv. CRL (certificate revocation list), kde se dá ztracený token/certifikát označit jako neplatný a bude vystaven nový. eIDAS Regulation N° 910/2014
Nařízením Evropského parlamentu a Rady EU č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (eIDAS) se s účinností od 1. 7. 2016 ruší původní směrnici 1999/93/ES, na které byl založen původní zákon o elektronickém podpisu 227/2000 Sb. Po ukončení přechodného období od 18.9.2018 mohou kvalifikovaní poskytovatelé služeb vytvářejících důvěru (dříve kvalifikované certifikační autority) vydávat kvalifikovaný certifikát pro elektronický podpis pouze do tzv. kvalifikovaného prostředku pro vytváření elektronických podpisů (zkratka QSCD, od Qualified Signature Creation Device). QSCD prostředek musí mít dotyčná podepisující osoba pod svou výhradní kontrolou. Nelze tedy využít jeden prostředek pro více kvalifikovaných certifikátů (ID osob). Pro hlubší seznámení s problematikou nařízení eIDAS a jeho praktických dopadů doporučujeme navštívit např. stránky Ministerstva vnitra ČR. Cenným zdrojem informací je také seriál věnovaný eIDAS v souvislostech, publikovaný na serveru Lupa.cz.