PKI: Infrastruktura javnog ključa objašnjena

Uvod: zašto je PKI srce digitalne poverenja

U svetu gde se milioni ugovora potpisuju svakodnevno onlajn, postavlja se fundamentalno pitanje: kako biti siguran da je osoba koja potpisuje doista ta osoba, i da dokument nije izmenjen nakon potpisivanja? Odgovor se svodi na tri slova: PKI (Public Key Infrastructure, ili infrastruktura javnog ključa). Ovaj kriptografski mehanizam predstavlja tehnički temelj svake elektronske signature u skladu sa regulacijom eIDAS. U ovom članu detaljno objašnjavamo kako funkcionira PKI, njene esencijalne komponente — uključujući X.509 sertifikate — i kako garantuje autentičnost, integritet i nepriklonjivost vaših digitalnih pravnih činova.

---

Šta je PKI? Definicija i fundamentalni principi

PKI (Public Key Infrastructure) označava skup politika, procedura, hardvera, softvera i osoba neophodnih za kreiranje, upravljanje, distribuciju, korišćenje, čuvanje i opozivanje digitalnih sertifikata. Zasnovana je na asimetrična kriptografiji, odnosno korišćenju para matematički povezanih ključeva: privatnog ključa (tajnog) i javnog ključa (koji se može slobodno deliti).

Princip asimetričnog para ključeva

Kada potpisnik primeni svoju elektronsku signaturu na dokument, koristi svoj privatni ključ da generiše jedinstveni kriptografski otisak fajla (a hash). Ovaj otisak, šifriran privatnim ključem, predstavlja digitalnu signaturu. Bilo koja treća strana može zatim proveriti autentičnost ove signature korišćenjem javnog ključa potpisnika. Ako verifikacija uspe, dve garancije su uspostavljene:

• Autentičnost: samo detaljac privatnog ključa je mogao da proizvede ovu signaturu.
• Integritet: dokument nije izmenjen od potpisivanja.

Algoritam RSA (Rivest-Shamir-Adleman) ostaje najrasprostranjeniji, sa ključevima od 2.048 ili 4.096 bita. Algoritmi sa eliptičnim krivama (ECDSA) dobijaju na popularnosti zbog performansi sa ekvivalentnim nivoom sigurnosti.

Problem poverenja i odgovor PKI-ja

Asimetrična kriptografija rešava problem integriteta ali odmah postavlja drugo pitanje: kako znati da javni ključ zaista pripada osobi koju predstavlja? Upravo tu interveniše PKI. Ona uvodi treću stranu — Autoritet za certifikovanje (AC) — koji verifikuje identitet detaljca javnog ključa i izdaje digitalni sertifikat garantujući ovu vezu.

---

Esencijalne komponente PKI-ja

Operativna infrastruktura javnog ključa artikulisana je oko nekoliko međuzavisnih komponenti. Razumevanje njihove uloge je neophodno za procenu robustnosti rešenja elektronske signature.

Autoritet za certifikovanje (AC ili CA)

Autoritet za certifikovanje je centralna entitet PKI-ja. On digitalno potpisuje sertifikate koje izdaje, čime povezuje verifikovani identitet sa javnim ključem. U Evropi, kvalifikovani AC-ovi figuriraju na nacionalnim listama poverenja (Trusted Lists), objavljenim u skladu sa članom 22 regulacije eIDAS. U Francuskoj, to je ANSSI koji održava ovu listu. Davatelji usluga kao što su CertEurope, Certinomis ili Certigna tu figuriraju.

Hijerarhija certifikovanja formira lanac poverenja: koren AC (Root CA) potpisuje međuznačajne AC-ove, koji potpisuju sertifikate krajnjih korisnika. Ova arhitektura omogućava ograničenje izlaganja korenskog ključa (skladištenog van veze u HSM-u) i upravljanje opozivanjima na granularnom nivou.

Autoritet za registraciju (AE ili RA)

Autoritet za registraciju zadužen je za verifikaciju identiteta zahtevatelja pre nego što AC izda sertifikat. Ova verifikacija može biti:

• Lice u lice (zahtevano za kvalifikovane sertifikate prema eIDAS-u).
• Na daljinu preko video-identifikacije u skladu sa normama ETSI EN 319 401.
• Preko eKYC procesa (Know Your Customer elektronski) za međustepene nivoe poverenja.

Digitalni sertifikati X.509

Format X.509 je međunarodni standard koji definiše strukturu digitalnih sertifikata u PKI-ju. Definisan od strane ITU-T i usvoren od IETF-a preko RFC 5280, X.509 sertifikat sadrži:

• Identitet držaoca (ime, organizacija, e-mail).
• Javni ključ držaoca.
• Identitet i signaturu izdajućeg AC-a.
• Periode valjanosti sertifikata.
• Jedinstveni redni broj.
• Proširenja: autorizovana korišćenja (potpisivanje koda, autentifikacija, potpisivanje dokumenata), točke distribucije CRL-a, URL OCSP-a.

U kontekstu kvalifikovane elektronske signature eIDAS, kvalifikovani X.509 sertifikati moraju biti izdati na kvalifikovanom uređaju za kreiranje signature (QSCD), tipično pametnu karticu ili HSM (Hardware Security Module).

Mehanizam opozivanja: CRL i OCSP

Sertifikat može postati nevažeći pre nego što istekne: gubitak privatnog ključa, kompromitovanje, promena statusa držaoca. Dva mehanizma omogućavaju verifikaciju valjanosti u realnom vremenu:

• CRL (Certificate Revocation List): periodički objavljena lista od strane AC-a koja navodi opozivane sertifikate.
• OCSP (Online Certificate Status Protocol, RFC 6960): protokol koji omogućava trenutnu verifikaciju statusa sertifikata. Poželjan u okruženjima sa visokom frekvencijom transakcija.

Ozbiljna rešenja elektronske signature, kao ona opisana u našem poređenju rešenja elektronske signature, sistematski integracuju ove verifikacije u svoj tok potpisivanja.

---

Kako PKI konkretno osigurava elektronsku signaturu

Razumevanje tehničkog puta elektronske signature zasnovane na PKI-ju omogućava merenje nivoa garancije koja se nudi.

Proces potpisivanja korak po korak

1. Heširanja dokumenta: algoritam hešovanja (SHA-256 ili SHA-3 prema preporukama ANSSI 2026) proizvodi jedinstveni digitalni otisak dokumenta.
2. Šifrovanje otiska: potpisnik šifruje ovaj otisak sa svojim privatnim ključem (skladištenim u njegovom QSCD-u). Ova operacija nikad ne napušta bezbedan uređaj.
3. Pravljenje paketa signature: šifrirana signatura se povezuje sa dokumentom, praćena X.509 sertifikatom potpisnika i kvalifikovanom vremenskom oznakom.
4. Verifikacija na strani primaoca: primalac (ili njegov softverski) dešifruje otisak sa javnim ključem potpisnika, ponovno kalkulira heš primljenog dokumenta i poredi. Ako su dva otiska identična, signatura je valjana.

Tri nivoa signature eIDAS-a i njihova veza sa PKI-jem

Regulacija eIDAS razlikuje tri nivoa elektronske signature, svaki sa više ili manje upotrebom PKI-ja:

• Jednostavna elektronska signatura (SES): ne mora biti nužno zasnovana na PKI-ju. Ograničena dokazna vrednost.
• Napredna elektronska signatura (AdES): obavezno zasnovana na paru ključeva i sertifikatu povezanom sa potpisником. Standardizovani tehnički formati od strane ETSI-ja: XAdES, PAdES, CAdES.
• Kvalifikovana elektronska signatura (QES): najviši nivo, pravno ekvivalentan rukom pisanoj potpisu u celoj EU-i. Zahteva kvalifikovani sertifikat izdljen od strane AC-a od poverenja na Trusted List-i i QSCD. Ovo je puno raspremanje kvalifikovane PKI-je.

Za preduzeća koja želite da rasporede kvalifikovanu signaturu u velikom obimu, naš vodič o elektronskoj signaturi u preduzeću detaljno objašnjava korake operativne primene.

Kvalifikovana vremenska oznaka: vremenska dimenzija PKI-ja

PKI se ne ograničava samo na identitet: ona garantuje i vremensku dimenziju činova putem kvalifikovane vremenske oznake (RFC 3161). Servis od poverenja za vremensko označavanje (TSA) izdaje kriptografski token koji certifikuje da je dokument postojao u svom sadašnjem obliku u tačnom trenutku. Ovo je ključno za dugoročnu čuvanje dokaza i usklađenost sa zakonskim obavezama čuvanja dokaza (čl. L.110-4 Koda o komerci: 5 godina za trgovačke čine; čl. 2224 Građanskog kodeksa: 5 godina za ugovorne obaveze opšte prirode).

---

PKI i dugoročno poverenje: izazov čuvanja dokaza

Signatura koja je valjana danas može postati neproverljiva za 10 godina ako kriptografski algoritmi postanu zastareli ili ako sertifikati isteknu. PKI se bavi ovim izazovom preko formata signature sa dokaznom vrednošću dugotrajnog roka.

AdES formati sa dugom dobom trajanja

ETSI je definisao proširene profile signature — XAdES-LTA, PAdES-LTA, CAdES-LTA — koji enkapsulirajuu u datoteku potpisane sve dokaze potrebne za budućnu verifikaciju: kompletan lanac sertifikata, arhivirane OCSP odgovore, više vremenskih oznaka. Ovi formati su usklađeni sa normom ETSI EN 319 132 (XAdES) i ETSI EN 319 122 (CAdES).

Kriptografska migracija usled kvantnog računarstva

Pojavljivanje kvantnog računarstva predstavlja srednjoročnu pretnju za sadašnje RSA i ECDSA algoritme. NIST je finalizovao 2024. svoje prve standarde post-kvantne kriptografije (CRYSTALS-Dilithium za signature). ANSSI i ENISA rade na putanjama migracije koje bi trebalo da se konkretizuju u revizijama eIDAS norme do horizonta 2028-2030. Preduzeća koja se oslanjaju na dobro upravljanu PKI biće bolje pozicionirana za ovu tranziciju, jer je ažuriranje organa za certifikovanje lakše nego prepravljanje ad hoc kriptografskih sistema.

Za one koji evaluiraju svoju sadašnju soluciju, ROI kalkulator elektronske signature Certyneo-a omogućava objedinjavnje dobitaka povezanih sa industrijalizovanom PKI infrastrukturom.

Primenjivi pravni okvir za PKI i elektronsku signaturu

Infrastruktura javnog ključa nije samo tehnički mehanizam: upisuje se u gust evropski i nacionalni pravni okvir, čija dominacija je neophodna za svaku organizaciju koja želi da se oslanja na elektronsku signaturu u svojim pravnim činovima.

Regulacija eIDAS br. 910/2014 i njena evolucija

Usvojena 23. jula 2014. i primenjiva od 1. jula 2016., regulacija (EU) br. 910/2014 (eIDAS) predstavlja osnivački tekst digitalne poverenja u Evropi. Ona definiše zahteve primenjive na davatelje kvalifikovanih usluga poverenja (PSCQ), kvalifikovane sertifikate i QSCD uređaje. Njen član 26 postavlja uslove napredne signature; član 28 definiše kvalifikovane sertifikate za elektronsku signaturu; njena prilog I detaljizuje zahteve ovih sertifikata — direktno izvedenih iz X.509 formata.

Regulacija eIDAS 2.0 (regulacija EU br. 1183/2024, objavljena u JOEU 30. aprila 2024.) pojačava ovaj okvir zahtevom da države članice prepoznaju Evropski digitalni identitetski novčanik (EUDIW) i proširenjem obaveza priznavanja privatnim pružaocima usluga u određenim sektorima.

Francuski Građanski kodeks: dokazna vrednost elektronske signature

U francuskom pravu, članci 1366 i 1367 Građanskog kodeksa (izvedeni iz ordonnanse br. 2016-131 od 10. februara 2016.) daju elektronskoj signaturi istu vrednost kao rukom pisanoj potpisu, pod uslovom da zadovoljava zahteve identifikacije potpisnika i integriteta dokumenta. Pretpostavka pouzdanosti se primenjuje kada je signatura kreirana prema kvalifikovanoj proceduri u smislu eIDAS-a — to jest zasnovana na kvalifikovanoj PKI-ju.

Član 1368 predviđa da se modaliteti uspostavljanja ove pouzdanosti određuju dekretom Saveta d'Etat, naime dekretom br. 2017-1416 od 28. septembra 2017. u vezi sa elektronskom signaturom.

ETSI norme primenjive na PKI

• ETSI EN 319 401: opšti zahtevi za davatelje usluga poverenja.
• ETSI EN 319 411-1 i -2: zahtevi za AC-ove koji izdaju kvalifikovane sertifikate.
• ETSI EN 319 132: specifikacije XAdES za napredne XML signature.
• ETSI EN 319 122: specifikacije CAdES.
• ETSI EN 319 162: usluge čuvanja i vremenske oznake.

GDPR i lični podaci u PKI-ju

X.509 sertifikati sadrže lične podatke (ime, prezime, e-mail, ponekad broj registra građana). Njihova obrada je podložna regulaciji (EU) br. 2016/679 (GDPR). AC-ovi moraju posebno odrediti doslednu dobu čuvanja, obavešti držaoce i garanta vršenje njihovih prava. Opozivanje sertifikata na zahtev držaoca predstavlja praktičan način vršenja prava na brisanje (u granicama obaveze čuvanja dokaza).

Odgovornost i pravni rizici

Loše upravljana PKI izlaže preduzeće ozbiljnim rizicima: osporavanje dokazne vrednosti signatura u slučaju isteklih ili opozivanih sertifikata, nemogućnost proverenja signature dugoročno u odsustvu LTA formata, i potencijalna građanska odgovornost u slučaju kompromitovanja privatnih ključeva. Član 13 eIDAS-a precizira da je odgovornost kvalifikovanih PSCQ-eva obavezujuća osim ako ne postoji dokaz suprotnog u slučaju neispunjavanja njihovih obaveza.

Scenariji korišćenja: PKI u akciji u preduzećima

Scenario 1 — Kancelarija za poslovne pravne poslove sa 25 saradnika

Kancelarija specijalizovana u fuzijama i akvizicijama upravlja u proseku 150 strukturisanih operacija godišnje, svaka zahtevajući potpisivanje nekoliko desecina dokumenata (protokoli, pakti akcionara, garancije sredstava i obaveza). Ranije su kašnjenja pri prikupljanju fizičkih potpisa produžavala zatvaranja za 5 do 8 radnih dana u proseku.

Primenom rešenja za kvalifikovanu signaturu zasnovane na kvalifikovanoj PKI-ju, kancelarija dodelnjuje svakom partneру i ovlašćenom saradniku kvalifikovani X.509 sertifikat na QSCD-u. Svaka signatura se automatski verifikuje (OCSP), vremenski označava i arhivira u PAdES-LTA formatu. Rezultat: vreme zatvaranja se skraćuje na manje od 24 sata za fazu potpisivanja, i maksimalna dokazna vrednost je osigurana bez dodatnog čina. Kancelarije ove veličine izveštavaju u proseku o 70% smanjenju vremena administracije vezane za signature, prema sektorskim benchmarkima (FederacijaAdvokat Francouzskiego, 2025).

Scenario 2 — Mala i srednja industrijska preduzeća koja upravljaju 300 ugovora sa dobavljačima godišnje

Proizvodna preduzeća srednje veličine (oko 250 zaposlenih) zaključuje okvirne ugovore, dodatke i naloge za nabavku sa stotinu evropskih dobavljača. Geografska rasprostranjenost i jezičke barijere učinile su upravljanje dokumenima posebno teško.

Integracijom toka elektronske napredne signature (AdES) preko API-ja povezane sa ERP sistemom, PKI automatski upravljava verifikacijom sertifikata potpisnika sa strane dobavljača (preko Trusted List-i eIDAS-a svake države članice), vremenskom oznakom i konstitucijom fascikli dokaza. Pravna služba beleži 60% smanjenje obaveza za prikupljanje potpisa i smanjenje parničnih sporova vezanih za neslaganja oko potpisane verzije dokumenta. Cena po signaturi pada sa 12 € (štampa, slanje, fizička arhivizacija) na manje od 1,50 € u digitalnom toku, u skladu sa opsezima objavljenim od strane Markess by Exaegis u svom pregledu 2025 upravljanja dokumentima.

Scenario 3 — Javna bolnica sa oko 1.200 postelja

U zdravstvenom sektoru javnog zdravstva, administrativni čini i javne nabavke moraju odgovarati zahtevima Kodeksa javne nabavke i preporukama ANSSI-ja u smislu sigurnosti osetljivih IS-a. Grupa bolnica koja upravlja nekoliko ustanova mora potpisati stotine javnih nabavki, dodataka i ugovora o zapošljavanju svake godine.

Primena unutrašnje PKI-je (CA namenjena agentima, sertifikati na kartama CPS za medicinski kadar) u kombinaciji sa SaaS rešenjem za signaturu za administrativne čine omogućava ispunjavanje zahteva Direktive NIS2 (transponovane u francusko pravo zakonom br. 2024-449 od 21. maja 2024) koje nameću mere za upravljanje rizicima kibersigurnosti. Potpuna pracljivost signatura, verifikacija sertifikata u realnom vremenu i LTA čuvanje potpisanih dokumenata smanjuju rizik od osporavanja administrativnih činova i olakšavaju audite Regionalne komore za račune. Ustanove sektora izveštavaju generalno o 40 do 50% smanjenju zapremine papira obrađivanog samo za HR, prema podacima ANAP-a (Agencija za nacionalnu podršku performansama, izveštaj 2024).

Zaključak

PKI — infrastruktura javnog ključa — je mnogo više nego tehnički mehanizam: ona je kriptografski i pravni garant poverenja u vašim digitalnim razmjenama. Njene komponente (AC, X.509 sertifikati, OCSP, kvalifikovana vremenska oznaka) formiraju koherentan ekosistem koji osigurava autentičnost, integritet i nepriklonjivost vaših elektronskih signatura, u savršenoj usklađenosti sa regulacijom eIDAS i francuskim Građanskim kodeksom. Bilo da ste mala preduzeće, pravna kancelarija ili javna ustanova, savladavanje osnova PKI-ja omogućava vam izbor rešenja za signaturu prilagođenog vašim stvarnim potrebama — i branu njihove dokazne vrednosti u slučaju spora.

Certyneo se oslanja na kvalifikovanu PKI usklađenu sa eIDAS-om da isporuči napredne i kvalifikovane elektronske signature namenjene preduzećima. Kreirajte besplatno svoj nalog ili odkrijte naše cene da započnete vašu digitalnu transformaciju dokumenata već danas.