Ačkoliv nařízení Evropské unie o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním evropském trhu známé pod zkratkou eIDAS platí již pět let, řada subjektů si není stále jistá, nakolik se na ně nařízení vztahuje a nakolik lze dokumenty vytvářet, archivovat a podepisovat čistě v elektronické formě. Oslovili jsme se proto Romana Csirika zastupujícího nezávislou certifikační autoritu.
Od 1. července 2016 musí poskytovatelé služeb vytvářejících důvěru splňovat požadavky, které na ně klade nař ízení EU č. 910/2014, jinak také označované jako nařízení eIDAS (electronic identification authentication and trust service). Tento závazný právní dokument má za cíl zvýšit důvěryhodnost elektronických transakcí tím, že poskytne společný základ pro bezpečnou elektronickou komunikaci mezi občany, podniky i orgány veřejné moci. „Jeho účelem by mělo být posílit efektivnost veřejných a soukromých on-line služeb, elektronického podnikání a elektronického obchodu v Evropské unii,“ vysvětluje smysl Roman Csirik, koordinátor projektu eIDAS v Elektronickém zkušebním ústavu (EZÚ), tedy nezávislé certifikační autoritě.
Předchůdci eIDAS byli evropská směrnice o zásadách Společenství pro elektronické podpisy a u nás také zákon o elektronickém podpisu z roku 2000. Co se novou úpravou změnilo? V oblasti služeb vytvářející důvěru pro oblast elektronických podpisů bylo jednou z největších změn zavedení kvalifikovaného elektronického podpisu. Pro něj je třeba vlastnit jednak kvalifikovaný certifikát pro elektronický podpis, vydaný některou z kvalifikovaných certifikačních autorit. Nově pak přibyla nutnost podpis vytvářet i prostřednictvím tzv. „bezpečného prostředku“. Tímto prostředkem, označovaným QSCD (qualified signature creation device), může být například certifikovaná čipová karta či USB token. Pro českou veřejnou správu to také znamená změnu v oblasti elektronického podpisu. Od 20. září 2018 musí tyto prostředky při vytváření kvalifikovaných podpisů využívat. Dále pak nařízení eIDAS zavedlo pro všechny kvalifikované poskytovatele služeb vytvářejících důvěru povinnou certifikaci ze strany subjektů posuzování shody. V oblasti elektronické identifikace byla ustanovena pravidla pro systémy elektronické identifikace. Pro kvalifikované systémy platí, že je musí spravovat kvalifikovaný správce, a v rámci těchto systémů jsou pak vydávány prostředky pro elektronickou identifikaci s úrovní záruky nízkou, značnou a vysokou.
Do té doby bylo možné pracovat maximálně se zaručeným elektro-nickým popisem založeným na kvalifikovaném certifikátu. V čem je mezi ním a kvalifikovaným podpisem rozdíl? Zaručený elektronický podpis založený na kvalifikovaném certifikátu se odlišuje od kvalifikovaného tím, kde je uchován privátní klíč, pomocí něhož byl podpis vytvořen. V úložišti se obvykle k privátnímu klíči nachází i příslušný kvalifikovaný certifikát. U kvalifikovaného podpisu je vyžadováno, aby bylo úložiště privátního klíče v bezpečném prostředku a tento bezpečný prostředek certifikován jako QSCD. Z tohoto zařízení by nemělo být možné tento privátní klíč exportovat a samotný podpis dokumentu se musí vytvářet uvnitř něho. Pokud bychom privátní klíč neměli uložený v tomto důvěryhodném úložišti, bylo by v konečném důsledku možné pomocí tohoto klíče vytvořit pouze zaručený elektronický podpis založený na kvalifikovaném certifikátu nebo podpis ještě nižší kategorie, například pouze zaručený podpis, kde na certifikát nejsou kladené žádné požadavky.
Co všechno tedy eIDAS konkrétně reguluje? Jak již bylo zmíněno, zaměřuje se na dvě hlavní velké oblasti: elektronickou identifikaci a služby vytvářející důvěru, přičemž vlastní oblast služeb vytvářejících důvěru se pak ještě dělí na dalších sedm podoblastí. Některé z nich, jako třeba kvalifikované certifikáty pro elektronický podpis, byly předmětem regulace již dříve, ale například webové certifikáty nebo služby pro ověřování a uchovávání podpisů eIDAS upravuje nově. Velice důležitou oblastí důvěryhodných služeb jsou kromě elektronických podpisů elektronická časová razítka. Je u nich uplatňován mechanismus podobný vytváření elektronického podpisu a dávají záruku, že daný dokument existoval v konkrétním čase uvedeném v razítku. Jde tedy o časové ukotvení. Při vytváření samotného elektronického podpisu se čas do podpisu přímo nevkládá, některé protokoly však přikládají systémový čas zařízení, na němž se dokument podepisuje (např. počítač) a ten jde velmi snadno prostým nastavením jiného systémového času zmanipulovat. Šlo by tak teoreticky dnes vytvořit elektronický podpis, který by měl datum například z následujícího roku. Ale pokud do dokumentu dnes vložíme také elektronické časové razítko, bude díky tomu pro nás i v budoucnosti průkazné, že dokument existoval a byl podepsán již před vložením časového razítka. Tedy nejpozději k dnešnímu datu.
Zaručený i kvalifikovaný podpis či pečeť i časové razítko mají však ještě jednu funkci. Ano, musí zajistit, aby byla případná změna dokumentu po podepsání či opečetění, a v přiměřené míře i po opatření časovým razítkem, zjistitelná. To znamená, že jakýkoliv solidní ověřovací software či služba přijde na to, že se s podepsaným dokumentem jakkoliv manipulovalo. To je velmi důležité zejména v kontaktu se státní správou, a je to také jeden z důvodů, proč je pro ni kvalifikovaný elektronický podpis povinností. Jde o vyšší stupeň ochrany klíčových dokumentů. Nicméně je důležité si uvědomit, že i když eIDAS nastavil nejvyšší možnou úroveň elektronického podpisu, je takový podpis stále roven pouze ručnímu podpisu bez ověření. Elektronický podpis tak nelze v ČR v současné době použít například při převodu nemovitostí.
V jakých případech se tedy musí kvalifikovaný elektronický podpis používat? Konkrétně to vychází z našeho zákona o službách vytvářejících důvěru pro elektronické transakce č. 297/2016 Sb. Tyto předpisy dávají určitým subjektům, jako je například veřejná správa, povinnost jednat s nejvyšší úrovní kvalifikovaného podpisu. Pokud tedy něco vychází ze strany veřejné správy, musí to být podepsáno kvalifikovaným podpisem či opatřeno kvalifikovanou pečetí a musí obsahovat i kvalifikované časové razítko. Pokud se jedná o opačný směr, tedy jednání vychází ze strany občanů či podniků vůči státním institucím, stačí úroveň nižší, tedy zaručený elektronický podpis/pečeť založené na kvalifikovaném certifikátu. Nicméně pokud bude chtít firma komunikovat například se svým zaměstnancem, případně s jiným nestátním podnikatelským subjektem, není nijak legislativně vázána. Záleží tedy pouze na jejích vnitřních předpisech, zda bude používat listinnou, či elektronickou formu dokumentů a případně z nich vyplývající formy podpisů.
Jak vlastně elektronický podpis vypadá? Úplně běžný elektronický podpis může být i předem připravený scan ručního podpisu. Zaručený elektronický podpis tak, jak ho chápeme my, je však založen na technologii digitálního podpisu, kde k identifikaci podepisující osoby je využit certifikát. Není už tudíž jednoduše kopírovatelný. Při vytváření podpisu založeného na certifikátu se z podepisovaného dokumentu vytvoří tzv. hash, z něhož se určitým algoritmem s pomocí privátního klíče vytvoří soubor dat — výsledný podpis. Ten se pak například vloží do dokumentu nebo se k němu v závislosti na typu dokumentu připojí. Dokument může být typicky ve formátu PDF, xlsx, docx nebo i xml. K dispozici je řada programů, které dokážou s těmito dokumenty pracovat a tato data podpisu, případně i pečetě nebo časového razítka číst a ověřit. Kdybyste chtěla data podpisu vizualizovat na papír, tak půjde o dlouhý řetězec pro vás zcela nelogicky řazených znaků.
Které subjekty mohou v ČR a EU kvalifikované služby vytvářející důvěru poskytovat? Podle nař ízení eIDAS je může v České republice poskytovat každý subjekt, který úspěšně prošel posouzením shody (zjednodušeně certifikací) a byl zapsán na příslušný seznam důvěryhodných poskytovatelů služeb vytvářejících důvěru (tzv. trusted list). Úspěšné absolvování celého procesu pak umožňuje poskytování služeb i v dalších státech EU. Česká společnost, u které EZÚ prováděl posouzení shody, tak může své služby nabízet také na dalších trzích v Evropě. Stejně tak mohou v České republice působit provozovatelé služby, které prošly posouzením shody třeba na Slovensku nebo Německu. Obvykle jsou to soukromé firmy, ale mohou to být státní instituce. Pokud subjekt poskytuje alespoň jednu ze sedmi služeb vytvářejících důvěru a projde certifikací, požádá dozorový orgán, kterým je pro ČR Ministerstvo vnitra, o umístění na trusted list. Dozorový orgán po prostudování veškeré dokumentace buď žádost schválí, službu na trusted list zařadí a od toho momentu je daný subjekt kvalifikovaným poskytovatelem služeb vytvářejících důvěru, nebo si vyžádá další, doplňující informace, případně provede vlastní audit.
Jak samotné posuzování shody probíhá? Nejprve je nutno, aby budoucí poskytovatel důvěryhodných služeb zažádal podle připravované služby správného posuzovatele. EZÚ je akreditovaný na posuzování poskytovatelů všech kvalifikovaných služeb vytvářejících důvěru a pověřený i na posuzování kvalifikovaných systémů pro elektronickou identifikaci. Samotné posouzení pak probíhá dvoustupňovým auditem, kdy se v prvním stupni prověřuje dokumentace a ve druhém následně implementace. Výstupem je pak zpráva z auditu a certifikát.
Může se stát, že by státní orgán zamítl dokument v elektronické podobě, opatřený kvalifikovaným podpisem? Podle čl. 46 eIDAS nesmějí být elektronickému dokumentu upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu. V této souvislosti je však nutné si uvědomit, že i nejvyšší forma elektronického podpisu podle eIDAS má právní účinky rovné pouze vlastnoručnímu podpisu. Pokud právní předpisy vyžadují úředně ověřený podpis, je třeba volit jinou cestu. I zde se ovšem připravuje změna, která má umožnit notářsky elektronicky ověřené podpisy. Zmíněnou jinou cestou v některých případech eIDAS nabízí v rámci elektronické identifikace, která v posledních měsících zažívá v České republice silný boom a postupně umožňuje vyřízení záležitostí, na které dříve elektronický podpis nestačil. Teoreticky se pak určitý akt jednání může provést pouze po přihlášení elektronickou identitou bez nutnosti využívat elektronický podpis.
Existují dokumenty, které již z principu nelze konvertovat do elektronické podoby? Určitě se nemohou autorizovaně konvertovat dokumenty, jejichž jedinečnost nelze konverzí nahradit. Mezi takové patří například občanský průkaz, cestovní doklad, zbrojní průkaz, řidičský průkaz, vojenská knížka, služební průkaz či průkaz o povolení k pobytu cizince. Jde tedy o dokumenty, které samy o sobě mají zabezpečení, jež nelze převést do elektronického dokumentu.
A jaké dokumenty musí ve firmách i na úřadech zůstat v listinné variantě? V dnešní době už existuje celá škála produktů různých vývojářů, jež umožňují hladký bezpapírový chod celé firmy. Pro vedení elektronického archivu však nestačí jednotlivé dokumenty pouze skenovat, ale je nutné si nastavit jejich důvěryhodné, dlouhodobé uchovávání. K tomu jsou využívána především časová razítka kombinovaná s uznávanými pečetěmi.
EIDAS je celoevropskou záležitostí. Má kvůli svému širokému geografickému poli působnosti nějaké slabiny? Ano, eIDAS je primárně záležitostí EU. Ale na základě dohody s EU se mohou připojit i třetí země. Z hlediska bezpečnosti je třeba vědět, že eIDAS je pouze právní nástroj vytvářející předpoklady pro bezpečná, akceptovatelná, mezinárodně uznávaná, kompatibilní řešení. Každý členský stát má poměrně velký prostor pro svoji vlastní implementaci a zároveň v rámci posuzování shody (certifikace) působí v celé Evropě celá řada různých subjektů. Je tedy celkem logické, že kvalita posuzování bezpečnosti bude napříč zeměmi různá. Rozdíl může být v tom, že jiný stát klade jiné požadavky na hledisko technického zabezpečení, a velká část prováděcích předpisů, případně standardů, podle kterých se v dané zemi postupuje, tak má možnost určité odlišnosti výkladu. Nejsou specificky definovány, proto mohou vznikat rozdíly. Pokud je však poskytovatel zapsaný na celoevropském trusted list, pak elektronicky podepsané dokumenty uznávány být musí. Nicméně jde o mezinárodní uznatelnost pouze mezi státní správou napříč státy. Soukromé subjekty vzájemně dokument uznat nemusí. Mohou mít ve svých stanovách, že přijímají například pouze papírové podoby dokumentů. V praxi tomu však tak není, protože právě soukromé subjekty si uvědomují, že elektronická výměna dokumentů jejich služby zrychluje, zlevňuje a dělá zajímavějšími a konkurenceschopnějšími.
Závěr patří bezpečnosti. Lze elektronický podpis prolomit? Určitě se v historii staly případy, kdy se útočníkům podařilo zabezpečení prolomit. Prolomení může mít například podobu změny dokumentu, kdy se podaří zachovat hash. V takovém případě se i změněný dokument tváří, že je v pořádku, i když text již může být jiný. Také by se mohlo stát, že by hacker dokázal zjistit privátní klíč. Vyžadovalo by to však extrémně výkonný HW a spoustu času. Délky klíčů se ovšem neustále prodlužují tak, aby to bylo nereálné. Pravděpodobnost prolomení se ale může zvýšit nedodržením některých bezpečnostních technických opatření. K takovým prolomením už opravdu došlo. Příkladem může být zranitelnost objevená u slovenských OP v roce 2017. A co se týče zabezpečení identity, tak i u ní mohou být bezpečnostní hrozby technického rázu. V České republice jsme v minulosti mohli zaznamenat případ, kdy bankovní identitě určité banky musel být z důvodu odhalení možné technické závady pozastaven přístup k základním registrům. Incidentů může být vícero druhů. Obratem se pak řeší s poskytovatelem, který je obvykle v řádu hodin schopen identitu či certifikát pro elektronický podpis rychle zneplatnit. /Kristina Kadlas Blümelová/
