Vyšlo na Lupě, 3.6.2010
Vytištěno z adresy: http://www.earchiv.cz/b10/b0603001.php3

Proč autorizované konverze nemají být věčné?

Když dnes přijdete na CzechPoint s elektronickým dokumentem, který nemá časové razítko a u kterého již skončila platnost podpisového certifikátu,  už vám tento dokument nezkonvertují. Co brání tomu, aby takováto konverze byla možná, a co na toto téma říká nový výklad Ministerstva vnitra?

Tímto článkem bych rád navázal na svůj předchozí článek s názvem Proč elektronické podpisy nejsou věčné, který vyšel zde na Lupě předminulý týden. Současně s tím bych rád přispěl do diskuse nad osudem mnoha elektronických dokumentů, které jsou již „v oběhu“, ale které nemají časové razítko a kterým již expiroval certifikát, na kterém je jejich elektronický podpis založen.

Ano, mám na mysli  dokumenty, vyprodukované orgány veřejné moci a rozesílané (již v elektronické podobě) prostřednictvím datových schránek. A z nich konkrétně ty, které mají mít dlouhodobější platnost v čase. Což mohou být třeba různé rozsudky soudů, rozhodnutí správních orgánů apod. Nikoli všelijaké pozvánky, výzvy či žádosti o poskytnutí toho či onoho, které mají  význam jen v krátkém časovém horizontu (kratším než je platnost použitého certifikátu).

Podstatné přitom je, že tyto dokumenty – byť mají mít delší platnost - v drtivé většině nejsou opatřeny časovým razítkem. Od spuštění datových schránek totiž „panoval názor“, že časové razítko na takovýchto dokumentech být  nemusí. A teprve velmi nedávno se začalo připouštět, že pro dlouhodobější platnost takovýchto dokumentů je časové razítko přeci jen nezbytné.

Obávám se ale, že bude ještě nějakou dobu trvat, než se tento poznatek přenese do reálné praxe. Už i proto, že Ministerstvo vnitra nepovažuje za potřebné informovat o potřebě časového razítka dostatečně explicitně a „nahlas“ – a za dostatečné zřejmě považuje zveřejnění stanoviska svého odboru archivní správy a spisové služby, zastrčené  kdesi v sekci „Metodika“ na své webu, kde jej asi najde jen málokdo. A například všechny metodické pokyny, které dosud visí na informačním webu k datovým schránkám, stále prezentují časové razítko jen jako volitelné a nepovinné.

V čem je problém?

Podstatu problému s „dlouhodobějšími dokumenty“ si dovolím připomenout na rekapitulaci svého předchozího článku: máte-li elektronický dokument s elektronickým podpisem ale bez časového razítka, a skončila-li již doba platnosti certifikátu, na kterém je podpis na dokumentu založen, pak to neznamená, že by tento podpis již neplatil. Ale ztrácí se možnost to prokázat, protože již nemusí být možné provést všechny úkony, které jsou k tomu zapotřebí. A zákon takovéto prokázání (nepřímo) vyžaduje, když říká, že případná škoda jde k tíži toho, kdo neprovedl všechny úkony potřebné k ověření platnosti elektronického podpisu.

Dnešní stav fungování autorizovaných konverzí na CzechPointech tomu odpovídá (od 4.2.2010, podrobněji): pokud přijdete s elektronickým dokumentem, který nemá časové razítko, pak vám ho zkonvertují pouze tehdy, pokud je certifikát jeho elektronického  podpisu stále ještě platný. Tedy takový, že ještě neskončila jeho řádná platnost v čase, a  ani nebyl předčasně zneplatněn, alias revokován (byť zde je určitý problém s časem, viz původní článek).

Alespoň podle mého názoru je to tak správně: ten, kdo konverzi provádí (a ručí za ní), také musí splnit požadavek zákona (konkrétně §5/2 zákona č. 227/2000 Sb. o elektronickém podpisu), který ukládá provést všechny úkony potřebné pro ověření platnosti  podpisu na dokumentu (a případného zneplatnění certifikátu).

Zákon, na jehož základě konverze na CzechPointech  probíhají (zákon č. 300/2008 Sb.), sice neuvádí platnost podpisu jako nutnou podmínku pro konverzi z elektronické do listinné podoby (a požaduje jen přítomnost elektronického podpisu). Nicméně v ověřovací doložce požaduje uvést, zda podpis na konvertovaném dokumentu byl platný. A právě to bez provedení všech úkonů není možné odpovědně konstatovat.

Nemožnost revokace certifikátu

Důvodem pro odmítnutí konverze ale není zdaleka jen tento formální aspekt (byť by sám o sobě stačil). Jde také o údaje, které se při konverzi vyhodnocují a vyplňují do ověřovací doložky konverze – a na které se (po skončení platnosti certifikátu) již nemůžeme spoléhat v takové míře, jako během platnosti certifikátu.

Jde přitom již o tak zásadní skutečnost,  jako „kdo je podepsanou osobou“ (na elektronickém dokumentu). A to ne ani tak ve smyslu možnosti ukázat na někoho prstem a tvrdit, že je to on (či ona). Jde spíše o to, zda dotyčná osoba bude moci, nebo naopak nebude moci popřít to, že dokument podepsala  - a v závislosti na tom ponese, či naopak neponese ty právní důsledky, které z jejího podpisu vyplývají. Snad netřeba zdůrazňovat, jak moc je toto důležité, máme-li se spoléhat na nějaký elektronický dokument. Ať již v původní, či v konvertované podobě.

Musíme to ale brát i z opačného gardu: pokud dotyčná osoba skutečně není autorem podpisu, tj. dojde-li k nějakému zneužití či padělání, bude existovat možnost to prokázat? I to je samozřejmě zcela zásadní věc.

A právě zde je problém: mechanismy, které pamatují na ochranu před zneužitím (soukromého klíče), jsou implementovány tak, že fungují pouze během doby řádné platnosti příslušného certifikátu. Vychází totiž  předpokladu, že po skončení této doby již nebudou zapotřebí. Již v minulém článku jsem to přirovnával k situaci u platebních karet: ty také můžete zablokovat jen v době, kdy tyto karty platí. Jakmile skončí jejich řádná platnost, už s nimi nic nezaplatíte tak jako tak.

Zde ale nejsme u platebních karet, nýbrž u elektronických podpisů: svůj certifikát můžete „zablokovat“ (revokovat, neboli předčasně zneplatnit) jen v době jeho řádné platnosti. Připomeňme si, že například CA PostSignum definuje zneplatnění (alias revokaci) takto:

Zneplatnění certifikátu je proces, kdy je předčasně ukončena platnost certifikátu.

a ve své certifikační politice říká, že služby pro zneplatnění jsou poskytovány (jen) po dobu platnosti certifikátu:

Poskytování služeb pro držitele certifikátu končí ukončením smlouvy mezi zákazníkem a poskytovatelem certifikačních služeb. Toto se netýká služeb zneplatnění certifikátu, které jsou poskytovány po celou dobu platnosti certifikátu.

To vše ale má zcela zásadní důsledek: pokud by někdo někomu odcizil jeho soukromý klíč již v době po expiraci (skončení platnosti) příslušného certifikátu, pak oprávněný držitel si již nemůže nechat svůj certifikát předčasně zneplatnit (revokovat). Příslušný certifikát se tak nemůže dostat na seznam revokovaných certifikátů – a spoléhající se osoby (tj. všichni, kteří by vyhodnocovali platnost podpisu, který je na tomto certifikátu založen) se tak již nedozvědí, že na daný certifikát se již nemohou spoléhat.

Má to samozřejmě svou logiku: v době neplatnosti certifikátu by se už nikdo neměl spoléhat na jeho platnost tak jako tak (kvůli ukončení jeho řádné platnosti).

Co by to znamenalo pro konverzi?

Teď si to ale promítněme do možnosti autorizované konverze: pokud by konverze (u dokumentů bez časového razítka) měla být možná i po skončení řádné platnosti certifikátu, pak by se případný podvod se zneužitím soukromého klíče dal snadno legalizovat: dokument, podepsaný útočníkem pomocí odcizeného soukromého klíče a předložený ke konverzi (až po expiraci certifikátu), by byl řádně konvertován. A původní držitel soukromého klíče by mohl už jen nečinně přihlížet, nemaje možnost jak  tomu zabránit (když už nemá možnost revokovat svůj certifikát).

Stačí to jako důvod, proč není možné připustit možnost autorizované konverze (stále: u dokumentů bez časového razítka) i po expiraci příslušného certifikátu?

Pokud by vám vadil výchozí předpoklad, že někdo musel někomu odcizit jeho soukromý klíč, pak si to představme trochu jinak. Představme si úředníka, který řádné vykonává své pracovní povinnosti a elektronicky podepisuje dokumenty, které ve své funkci vytváří. A když skončí platnost certifikátu, který právě používá, nechá mu zaměstnavatel vystavit certifikát nový. Ten starý ale nejspíše nerevokuje, když jeho platnost končí sama od sebe. 

Co ale za „pár let“, až stejný úředník už třeba nebude úředníkem  (ale například soukromým podnikatelem), a ze svého předchozího pracoviště si odnesl právě svůj „úřednický“ soukromý klíč, spojený s již dávno neplatným certifikátem? Co kdyby ho nyní napadlo vytvořit nějaký nový dokument, antidatovat ho  a podepsat tímto soukromým klíčem? Časové razítko by na něj dávat nesměl, aby se neprozradil - a bez něj zase na CzechPointu nepoznají, že dokument vznikl až „po letech“ a nikoli ještě v době řádné platnosti certifikátu (kdy dotyčný ještě byl úředníkem).

Pokud by  takový dokument na CzechPointu zkonvertovali, měl by (nyní již bývalý) úředník  vyhráno. Mohl by nadále vydávat „úřední rozhodnutí“ ještě dlouhou dobu,  fakticky už jako soukromá osoba. A příslušný úřad by neměl žádnou (přímou) možnost, jak tomu zabránit.

Pokud by tedy na CzechPointech autorizovaně konvertovali i takové elektronické dokumenty (bez časového razítka), u kterých již skončila řádná doba platnosti certifikátu, pak by se všichni zaměstnavatelé (a vlastně nejen oni) museli bránit popisovanému scénáři tím, že by všechny své certifikáty – nejpozději před skončením jejich řádné platnosti, tj. dokud to ještě jde – nechávali revokovat.

Co by bylo řešením?

Právě popsaný problém, vzniklý primárně absencí časového razítka, má poměrně snadné řešení: aplikovat časové razítko alespoň dodatečně, ještě než skončí platnost certifikátu, na kterém je založen samotný podpis dokumentu.

Důležité přitom je, je takovéto časové razítko nemusí na elektronický dokument přidávat jen ten, kdo ho vytváří či odesílá. Stejně tak ho může k dokumentu nechat připojit i ten, kdo dokument přijímá. Nebo kdokoli jiný (jako třeba ten, kdo dokument archivuje).

Věcně to dokonce vychází nastejno: časové razítko ve skutečnosti pochází od příslušného poskytovatele (autority časových razítek) a nikoli od toho, kdo jej k dokumentu připojí (ať již to je odesilatel či příjemce, nebo kdokoli jiný). Vlastně to ani nejde poznat, protože v časovém razítku není obsažena žádná informace o identitě toho, kdo si časové razítko vyžádal a zaplatil za něj.

Z hlediska správného načasování je důležité, aby okamžik vystavení časového razítka předcházel okamžiku skončení platnosti certifikátu, ať již cestou revokace (předčasného zneplatnění) či expirace (vypršení řádné doby platnosti). Může zde tedy být časový odstup třeba i v řádu celých měsíců.

Zdůrazněme si ale, že tento časový odstup se týká pouze možnosti ověřit platnost elektronického podpisu. Netýká se okamžiku podpisu samotného dokumentu a okamžiku, ke kterému nastávají jeho právní účinky. Časové razítko skutečně nevypovídá o tom, kdy dokument vznikl a byl podepsán – tuto dobu pouze shora ohraničuje (když říká že dokument existoval „před …“). Rozdíl může být jak zlomky sekund, tak třeba celé měsíce.

Jaký názor má MV ČR?

Nedávno, konkrétně  13.5.2010, publikovalo MV ČR na svém webu poměrně zásadní materiál s názvem „Datové schránky a činnost správních orgánů“, ve kterém vykládá řadu aspektů kolem fungování datových schránek (takže doporučuji k přečtení tak jako tak).

Materiál sice není úplně nový, protože sám sebe prezentuje jako aktualizovanou verzi dřívějšího materiálu s názvem „Datové schránky a činnost správních úřadů“, který byl publikován jako příloha časopisu Veřejná správa č. 14/2009. Nicméně řadu otázek řeší zcela nově, jako třeba právě konverze. Jiné věci ale naopak řeší zcela postaru (jako například samotné vymezení základních pojmů, kde si stále nedokáže uvědomit věcný rozdíl mezi zprávou a dokumentem).

Rozeberme si tedy, jak se k otázkám konverze staví tento nový výklad MV ČR. Pokud jde o autorizovanou konverzi na žádost, zde konstatuje:

Je-li zjištěno, že kvalifikovaný certifikát, na němž je uznávaný elektronický podpis založen, expiroval (tj. jeho platnost skončila plynutím času), lze výkladem dovodit, že tato skutečnost nezakládá neplatnost podpisu, a není tudíž důvodem pro neprovedení autorizované konverze dokumentu.

S tím je v souladu i mé tvrzení v předchozím článku (Proč elektronické podpisy nejsou věčné): že sice nemáme nějaké explicitní ustanovení, které by o platnosti podpisu i po expiraci certifikátu hovořilo, ale že tuto platnost lze odvodit (dovodit).

Autoři nového výkladu pak ale z tohoto konstatování odvozují, kdy autorizovaná konverze může být provedena:

Je-li vstupující dokument současně opatřen kvalifikovaným časovým razítkem a nebyl-li kvalifikovaný certifikát či kvalifikovaný systémový certifikát obsažen v seznamu zneplatněných certifikátů zveřejněném v okamžiku předcházejícím času uvedenému v kvalifikovaném časovém razítku, autorizovaná konverze dokumentů se provede.
Není-li vstupující dokument opatřen kvalifikovaným časovým razítkem, autorizovaná konverze dokumentů se provede v případě, že kvalifikovaný certifikát, respektive kvalifikovaný systémový certifikát není uveden v seznamu zneplatněných certifikátů zveřejněném před okamžikem ověřování platnosti certifikátu.

S první částí, která se týká dokumentu s časovým razítkem, lze souhlasit: zde je možné (z časového razítka) určit, kdy podpis již existoval a podle toho posuzovat, zda podpis v uvedené době (v době vzniku časového razítka) byl či nebyl platný. Zde je možné provést všechny zákonem požadované úkony k takovémuto zjištění.

Problém ale vidím v druhé částí stanoviska, u dokumentů které nejsou opatřeny časovým razítkem. Důvody jsem nastínil již v předchozí části článku: v době po expiraci (vypršení řádné platnosti certifikátu) již nefungují standardní možnosti obrany proti zneužití soukromého klíče (skrze revokaci certifikátu), ale toto zneužití je stále možné.

A to je situace, kterou není možné připustit.

Výklad výkladu

Popisované stanovisko MV ČR ale jakoby tuto zcela nepřípustnou situaci naopak připouštělo – když tvrdí, že konverze el. dokumentů bez časového razítka je možná i v době, kdy už je příslušný certifikát neplatný.

Obávám se, že autoři stanoviska úplně nedomysleli důsledky, ke kterým by vše vedlo (viz výše).  Pravděpodobně byli vedeni snahou nějak vyřešit celý problém (s nemožností autorizovaně konvertovat „starší“ elektronické dokumenty) - a přitom si neuvědomili, že jimi navrhovanému řešení stojí v cestě nastavení mechanismů pro revokaci certifikátů.

Doufám jen, že protiargument (o nemožnosti dostat již jednou prošlý certifikát na seznam těch revokovaných) vezmou na vědomí a nebudou své stanovisko prosazovat proti logice věci. To by totiž otevřelo celou Pandořinu skříňku, skrze kterou by nakonec  stát mohl nést odpovědnost za vzniklou škodu a čelit různým arbitrážím kvůli tomu, že připustil možnost legalizace podvodů a neumožnil obranu proti nim.

No a pokud by snad někdo hledal nějaké „diplomatické“  řešení, které by umožnilo zachovat citované stanovisko a současně nezpůsobit zásadní problém, pak se nabízí následující interpretace předmětného stanoviska MV ČR, Či, chcete-li: výklad výkladu:

Když stanovisko váže provedení konverze na podmínku, aby certifikát nebyl uveden na seznamu revokovaných certifikátů, pak musí zajistit, aby takové  uvedení  bylo možné. A jelikož je možné jen v době řádné platnosti certifikátu, lze z toho dovodit, že i autorizovaná konverze je možná jen v době, kdy platnost certifikátu ještě neskončila.

Shrnutí

Abych vyhověl čtenářům, kteří  u předchozího článku volali po nějakém shrnutí, zde je dnešní hlavní sdělení v maximální stručnosti:

  • dnes na CzechPointech nezkonvertují takový dokument, u kterého již expiroval certifikát, na kterém je založen el. podpis dokumentu
  • MV ČR ve svém novém stanovisku říká, že by tomu tak být nemělo a konverze by měla být možná i po expiraci certifikátu - za podmínky, že certifikát není uveden na seznamu revokovaných certifikátů
  • proti tomu existuje zásadní protiargument: mechanismy revokace certifikátů fungují tak, že umožňují zařadit certifikát na seznam revokovaných certifikát jen v době jeho řádné platnosti