Uznávaný, nebo jen zaručený elektronický podpis?

Při každodenní práci s elektronickými podpisy často narazíme na to, že není podpis jako podpis. Musíme velmi pečlivě a důsledně rozlišovat mezi tím, kdy se jedná o zaručený elektronický podpis, a kdy o tzv. uznávaný elektronický podpis. Obě tyto kategorie vymezuje příslušný zákon (č. 227/2000 Sb., o elektronickém podpisu), a rozdíl mezi nimi je zcela zásadní.

Z pohledu využití je rozdíl v tom, že dokument s uznávaným elektronickým podpisem musí úřady akceptovat a dále s ním pracovat, jako s vlastnoručně podepsaným listinným dokumentem. Řekneme-li to jinak, takovýto elektronický podpis musí úřady uznávat, což asi vedlo i k jeho pojmenování.

Naproti tomu dokument, opatřený pouze zaručeným elektronickým podpisem, úřady takto "uznávat" nemusí, ba dokonce by ani neměly. Pokud jej akceptují, měly by se k němu chovat jako k nepodepsanému dokumentu. Má to přitom velmi racionální důvod, protože zaručený elektronický podpis zaručuje jen jednu jedinou věc: že se podepsaný dokument od svého podpisu nezměnil. Tedy to, čemu se v odborné terminologii říká "zajištění integrity". Ale už vůbec nezaručuje to asi nejpodstatnější: kdo podpis vytvořil, resp. kdo je podepsanou osobou.

U zaručeného elektronického podpisu totiž lze údaj o podepsané osobě libovolně zfalšovat. Vlastně si tam každý může napsat, co ho jen napadne. Díky tomu může existovat například zaručený elektronický podpis literární postavy Josefa Švejka, jako na následujícím obrázku.

Ale stejně tak by se někdo mohl podepsat (formou zaručeného elektronického podpisu) vaším jménem, aniž byste o tom vůbec věděli. Už tušíte, proč se na zaručené podpisy nelze spoléhat a proč je úřady nemají uznávat?

Zajímavé je i to, že samotný termín "zaručený elektronický podpis" je jen nesprávným překladem z původní unijní legislativy: v anglickém originále se hovoří pouze o "advanced electronic signatures", neboli o podpisech "vyspělejších" či "pokročilejších". To pouze my jsme si to nesprávně přeložili tak, aby to naznačovalo nějakou záruku a vytvářelo představu nějaké "nejvyšší úrovně" na škále možných variant elektronického podpisu. Tak tomu opravdu není, a "zaručený" podpis je na takovéto škále vlastně hodně nízko.

Naopak nejvýše na této škále je uznávaný elektronický podpis. U něj už údaje o podepsané osobě zfalšovat nemůžete. Takže třeba uznávaný elektronický podpis literární postavy Josefa Švejka už existovat nemůže. Podepsanou osobou zde může být jen skutečně existující fyzická osoba.

Rozdíl je v certifikátu

Z věcného hlediska je rozdíl mezi zaručeným a uznávaným elektronickým podpisem právě a pouze v tom, na jakém certifikátu je podpis založen. V případě uznávaného podpisu musí jít o certifikát kvalifikovaný. Navíc takový, který vydala akreditovaná certifikační autorita (jde-li o "tuzemský" certifikát). Zato v případě zaručeného elektronického podpisu se na certifikát žádné požadavky nekladou. Nemusí tedy být kvalifikovaný, ale může to být například i nějaký testovací certifikát.

Právě z druhu, a tím i "kvality" certifikátu pak vyplývají výše naznačené důsledky: testovací certifikát, který stačí pro zaručený elektronický podpis, si může vyrobit každý, doslova "doma na koleně", a do něj si napsat, co jen chce. Třeba i to, že jde o certifikát literární postavy Josefa Švejka.

V případě kvalifikovaného certifikátu ale něco takového možné není: ten, kdo vydává kvalifikované certifikáty, nemůže vydat kvalifikovaný certifikát neexistující osobě. Musí postupovat podle požadavků zákona (i své certifikační politiky, která ze zákona vychází), a kvalifikovaný certifikát může vydat pouze skutečně existující fyzické osobě, jejíž identitu si pečlivě ověřil. Obvykle na to chce nejméně dva osobní doklady a osobní přítomnost žadatele.

Jak to poznáme?

Teď se ale na vše podívejme ryze prakticky: když máme někde nějaký dokument v elektronické podobě, opatřený elektronickým podpisem, jak zjistíme, zda se jedná o uznávaný elektronický podpis, nebo pouze o podpis zaručený?

Odpověď je v principu jednoduchá, a vyplývá z výše uvedeného: záleží na certifikátu, na kterém je podpis založen - pokud je kvalifikovaný a vydaný akreditovanou autoritou, jde o podpis uznávaný. Jenže: jak to běžný uživatel pozná?

Zde jsou ve výhodě ti uživatelé, kteří pro práci s elektronicky podepsanými dokumenty používají programy, šité na míru tuzemské legislativě. Jako třeba různé spisové služby, či program na CzechPointech a další. Protože tyto programy dokáží samy rozlišit kvalifikovaný certifikát (od akreditované certifikační autority) od jiného certifikátu, a z toho si pak již odvodí, zda jde o uznávaný elektronický podpis, či pouze o podpis zaručený.

Problém je ale v případě programů, které nejsou šity na míru tuzemské legislativě. Jako třeba oblíbený Adobe Reader, dostupný zdarma, nebo Adobe Acrobat, jako placený program. Ani jeden z nich netuší, že existují nějaké kvalifikované certifikáty, a nezná ani rozdíl mezi zaručeným a uznávaným podpisem. Řeknou vám pouze to, zda daný podpis je platný, nebo naopak neplatný (nebo že nedokáží jeho platnost posoudit) - ale už vám neřeknou, o jaký druh elektronického podpisu se jedná. To si musíte zjistit sami.

Jak to uděláte, už jistě tušíte: musíte se sami podívat "dovnitř" podpisu, na příslušný certifikát, a sami zhodnotit jeho druh a "kvalitu". Jenže ani to není úplně jednoduché. Již jen proto, že uznávaný elektronický podpis může být založen i na kvalifikovaných certifikátech zahraniční provenience. Takže si to nechme do dalšího dílu tohoto seriálu.