Není platnost jako ověření
Když ověřujeme elektronický podpis, je to proces, složený z určitého počtu kroků. Pokud se nám podaří úspěšně provést všechny tyto kroky, můžeme konstatovat, že elektronický podpis byl ověřen. Je to důležitá informace, které ale ještě neříká nic o výsledku: ověřili jsme podpis jako platný? Nebo jako neplatný? A co když se nám ověření nepodařilo?
Problematika ověřování platnosti elektronických podpisů je poměrně komplikovanou záležitostí. Její komplikovanost přitom začíná už u správného vnímání základních pojmů, ke kterým patří takové termíny jako ověřování či ověření, a platnost či neplatnost elektronického podpisu, elektronické značky či časového razítka. Mezi nimi je totiž zcela zásadní, až principiální rozdíl.
Ověřování je proces, platnost je výsledek
Důležité je uvědomit si, že ověřování je proces, který někdo či něco vykonává, zatímco platnost či neplatnost jsou možné stavy elektronického podpisu. A obě tyto věci jsou na sobě nezávislé: ten, kdo ověřuje elektronický podpis, se snaží dozvědět, jaký je stav elektronického podpisu (či značky nebo razítka). Pokud se mu to podaří, dozví se, že podpis je platný, nebo naopak že je neplatný. Ale může to dopadnout i tak, že se nic nedozví - že se mu nepodaří vykonat všechno, co je nutné k tomu, aby se spolehlivě dozvěděl, jaký je stav příslušného elektronického podpisu. Pak o něm ale nemůže tvrdit vůbec nic. Ani že je platný, ani že je neplatný.
Pamatujme si tedy, že naše zkoumání platnosti elektronického podpisu (jeho ověřování) může dopadnout třemi různými způsoby:
- ověření se podařilo - a výsledkem je pozitivní zjištění, že podpis je platný
- ověření se podařilo - a výsledkem je pozitivní zjištění, že podpis je neplatný
- ověření se nezdařilo
Takovéto zkoumání (ověřování) obvykle neděláme ručně, ale dělají jej za nás programy, které používáme pro práci s elektronickými podpisy. A tyto programy nám vždy nějak signalizují, kterým z výše uvedených způsobů ověření dopadlo. Jak konkrétně to to dělá Adobe Reader (a stejně tak i Adobe Acrobat), vidíte na obrázcích - zelená "fajfka" signalizuje zjištění, že podpis je platný. Červený křížek naopak signalizuje zjištění, že podpis je neplatný.
Konečně žlutý trojúhelník s vykřičníkem signalizuje třetí možnost: kdy se ověření nezdařilo, a o platnosti či neplatnosti příslušného podpisu tudíž nic nevíme. Můžeme si to představit jako jakési pokrčení rameny: program neví (nedokázal ověřit podpis), a tak na nás krčí rameny.
Pro nás to musí znamenat, že se na takovýto podpis, o jehož platnosti nic nevíme, nemůže spoléhat. Nemůžeme jej považovat za platný a jednat podle toho. Tedy například provádět nějaké právní úkony, opírající se o platnost takovéhoto podpisu. Pamatuje na to dokonce i zákon (č. 227/2000 Sb., o elektronickém podpisu), ve svém paragrafu 5, kde říká že pokud by tím vznikla nějaká škoda, půjde na vrub toho, kdo neprovedl vše potřebné pro zjištění stavu podpisu a přesto jednal, jako kdyby podpis byl platný.
Stejně tak ale nemůžeme považovat takový podpis za neplatný: pokud nejsme schopni zjistit, zda je či není platný, ještě nás to neopravňuje k tomu, abychom se k němu chovali, jako kdyby byl neplatný. Tedy například rušili dříve platně uzavřené smlouvy a požadovali vrácení do původního stavu. Již jen proto, že někdo jiný může být šikovnější a může se dopátrat toho, že podpis je platný. Třeba díky tomu, že má v ruce jiný exemplář elektronicky podepsané smlouvy, ke které bylo včas připojeno časové razítko (a tím byla prodloužena možnost ověření toho, že podpis je platný).
Podmínky nutné a podmínky postačující
Vraťme se ještě k samotnému ověřování, coby procesu: ten je složen z určitých dílčích kroků, z nichž každý zkoumá splnění určitých podmínek. Například to, že integrita podepsaného dokumentu je neporušená. Dále že všechny relevantní certifikáty jsou platné, resp. byly platné k tzv. posuzovanému okamžiku, ke kterému platnost podpisu ověřujeme. A pak také to, že žádný z těchto certifikátů nebyl k tomuto posuzovanému okamžiku zneplatněn, neboli tzv. revokován.
Všechny tyto podmínky jsou pro platnost elektronického podpisu podmínkami nutnými: abychom mohli podpis prohlásit za platný, musíme pozitivně ověřit, že je splněna každá z nich. Jakmile alespoň jedna splněna není, nebo jakmile alespoň u jedné nejsme schopni zjistit, zda je či není splněna, musí celé ověřování skončit s výsledkem "nevíme", resp. "ověření se nezdařilo". V případě Adobe Readeru by to bylo signalizováno "pokrčením rameny", resp. oním vykřičníkem ve žlutém trojúhelníku a sdělením, že "platnost podpisu je neznámá".
Naopak pro neplatnost podpisu jsou dvě podmínky, a obě jsou postačující - v tom smyslu, že stačí splnění jen jedné, a podpis je ihned možné prohlásit za neplatný (a na splnění či nesplnění druhé podmínky již nezáleží). Jednou z těchto podmínek je porušená integrita podepsaného dokumentu, a druhou zneplatnění (revokace) některého z relevantních certifikátů k posuzovanému okamžiku. I zde ale platí, že je nutné pozitivně ověřit splnění (kterékoli) z těchto dvou podmínek. Pokud to nedokážeme, přesněji pokud to nedokáže námi používaný program, musí ověřování opět skončit pokrčením rameny, neboli s výsledkem "nevím", resp. "platnost podpisu je neznámá".
Jeden program, jeden podpis, tři různé výsledky
Na závěr ještě jedna veledůležitá věc: některým programům, jako třeba právě Adobe Readeru a Acrobatu, lze zakázat kontrolu některých z uvedených podmínek. Pak jejich splnění vůbec neověřují a jednají, jako kdyby splněné byly. To ale způsobuje, že jeden a tentýž program může stejný podpis na stejném dokumentu vyhodnotit diametrálně odlišně, v závislosti na svém nastavení. A samozřejmě také v závislosti na možnostech svého fungování.
To je ostatně i příklad dnešních tří obrázků: správný výsledek je ten, který konstatuje neplatnost podpisu (protože je založen na již revokovaném certifikátu). Pokud ale měl Reader zakázáno revokaci kontrolovat, dospěl k závěru, že podpis je platný. A pokud revokaci kontrolovat měl, ale nedokázal tak učinit (protože neměl přístup k Internetu), skončil s výsledkem "nevím" (platnost podpisu je neznámá).