Jak poznat kvalifikovaný elektronický podpis a kvalifikovanou elektronickou pečeť?
Měly by to zvládat námi používané programy, ale ne vždy to dokáží či dělají správně. Jak si poradit sami a jak správně interpretovat jejich výsledky?Od 20. září mají subjekty veřejného sektoru, přesněji tzv. veřejnoprávní podepisující a osoby vykonávající veřejnoprávní působnost, povinnost opatřovat své elektronické dokumenty kvalifikovanými autentizačními prvky. Tedy buď kvalifikovaným elektronickým podpisem (viz § 5 zákona č. 297/2016 Sb.), nebo kvalifikovanou elektronickou pečetí (§ 8). Nestačí tedy již jen „čistě“ uznávaný elektronický podpis, přesněji „zaručený elektronický podpis, založený na kvalifikovaném certifikátu“, jako tomu bylo dříve díky naším předchozím národním výjimkám (§ 19).
Kromě toho mají tyto subjekty povinnost připojovat ke svým kvalifikovaným elektronickým podpisům či kvalifikovaným elektronickým pečetím také kvalifikovaná časová razítka (§ 11). V neposlední řadě musí být příslušné elektronické podpisy a pečetě v tzv. referenčním formátu, jak požadují nařízení eIDAS a jeho prováděcí předpisy.
V tomto článku bych se rád věnoval tomu, jak v praxi poznat, zda výše popsané povinnosti byly skutečně dodrženy. Tedy zda konkrétní elektronický dokument má všechny požadované „autentizační“ náležitosti. Protože jen tak může mít ty právní účinky, které mu právní úprava přisuzuje.
Jaké jsou podmínky pro kvalifikovaný statut?
Připomeňme si hned na úvod, že kvalifikovaný statut u elektronických podpisů a pečetí vyžaduje splnění dvou podmínek, a to současně:
- musí být založeny na kvalifikovaném certifikátu
- musí být vytvořeny kvalifikovaným prostředkem (pro vytváření elektronických podpisů, alias QSCD, resp. pro vytváření elektronických pečetí, alias QSealCD)
Stejně tak si připomeňme, že ona druhá podmínka se ve skutečnosti týká umístění soukromého klíče: ten musí vzniknout (být generován) uvnitř kvalifikovaného prostředku, a nesmí být možné jej „dostat ven“. Protože pouze tak lze mít jistotu ohledně toho, že konkrétní podpis či pečeť vznikly pomocí kvalifikovaného prostředku.
K tomu si ještě dodejme, že pokud nebude splněna ona druhá podmínka (umístění klíče na QSCD), nebude výsledný elektronický podpis podpisem kvalifikovaným, ale pouze „čistým“ uznávaným elektronickým podpisem. Přesněji: pouze „zaručeným elektronickým podpisem, založeným na kvalifikovaném certifikátu“.
Nezapomínejme totiž, že naše legislativa, ve snaze ušetřit sama sobě práci s novelizací celé řady právních předpisů, změnila původní význam pojmu „uznávaný elektronický podpis“ (který sám o sobě je naší národní specialitou) a udělala z něj jakousi legislativní zkratku:
- původně, ještě podle dnes již zrušeného zákona č. 227/200 Sb. o elektronickém podpisu, označoval tento pojem jen jeden druh elektronického podpisu: takový, který je založen na kvalifikovaném certifikátu (a musí tedy splňovat jen první z obou výše uvedených podmínek)
- dnes, podle tzv. adaptačního zákona (č. 297/2016 Sb.), označuje stejný pojem „uznávaný elektronický podpis“ dva různé druhy elektronických podpisů: kvalifikovaný elektronický podpis i onen „zaručený elektronický podpis, založený na kvalifikovaném certifikátu“
Tím se ale značně zkomplikovalo praktické vyjadřování, protože jakmile se někde řekne „uznávaný elektronický podpis“, mělo by se správně ještě dodat, o kterou z obou možných variant jde. Zde to řeším přívlastkem „čistý“ pro takový uznávaný elektronický podpis, který představuje druhou variantu (zaručený podpis, založený na kvalifikovaném certifikátu).
Z čeho se pozná, zda jsou podmínky splněny?
To, zda jsou obě podmínky pro kvalifikovaný statut splněny, se v praxi pozná podle obsahu certifikátu (na kterém jsou podpis či pečeť založeny). Konkrétně podle obsahu položky QC Statements (od: Qualified Certificate Statements), ve které jsou uváděny následující údaje:
- že jde o kvalifikovaný certifikát (ve smyslu nařízení č. 910/2014, známého jako nařízení eIDAS)
- o jaký druh kvalifikovaného certifikátu jde:
- zda pro elektronický podpis (pak musí splňovat požadavky stanovené v příloze I nařízení),
- nebo pro elektronickou pečeť (pak musí splňovat požadavky v příloze III),
- nebo pro autentizaci internetových (správně: webových) stránek (pak musí splňovat požadavky v příloze IV)
- zda je soukromý klíč umístěn v kvalifikovaném prostředku (QSCD, resp. QSealCD, splňujícím požadavky v příloze II)
Kromě toho položka QC Statements obsahuje také URL odkaz na informace pro uživatele (tzv. PDS, PKI Disclosure Statements, resp. Zprávy pro uživatele), blíže popisující fungování příslušného poskytovatele (vydavatele certifikátů).
Jak si přečíst obsah položek QC Statement?
Položky QC Statement nejsou určeny pro „čtení lidmi“: jejich obsah by měly vyhodnocovat programy, které pro práci s elektronickými podpisy používáme. Příklady si záhy ukážeme.
Jenže: když tyto programy nedělají to, co bychom od nich potřebovali – například když ještě nedokáží správně rozpoznat kvalifikovaný elektronický podpis nebo když neznají uznávané elektronické podpisy coby naši národní specialitu – pak někdy nezbývá, než abychom se na obsah položky QC Statements podívali sami a sami si z jejího obsahu vyvodili příslušné závěry.
Bohužel ale ne každý relevantní program je natolik uživatelsky vstřícný, aby obsah položky QC Statements zobrazoval v lidsky čitelné podobě. Příkladem může být operační systém Windows a jeho utility, které se ani v nejnovější verzi ještě nenaučily zobrazovat obsah této položky tak, aby to bylo pro člověka srozumitelné. Alespoň že její název přeloží do češtiny jako „Prohlášení kvalifikovaného certifikátu“. Příklad vidíte na následujícím obrázku.
To jiné programy jsou v tomto ohledu vstřícnější a obsah téže položky ukáží v čitelnější podobě. Následující obrázek ukazuje, jak to dělá volně dostupný Adobe Acrobat Reader DC – když se jeho prostřednictvím „díváme“ přímo do obsahu příslušné položky certifikátu:
Vidíme (viz číslování na obrázku), že:
- jde o kvalifikovaný certifikát
- jde konkrétně o kvalifikovaný certifikát pro elektronický podpis
- soukromý klíč je umístěn v kvalifikovaném prostředku (QSCD)
Na dalším obrázku vidíte stejný příklad (i od stejného vydavatele), ale pro kvalifikovaný certifikát pro elektronické pečeti – rozdíl je pouze ve druhém bodě (na obrázku modře), který upřesňuje druh kvalifikovaného certifikátu.
Další obrázek ukazuje kvalifikované certifikáty (pro elektronické podpisy a elektronické pečeti) bez příznaku o uložení soukromého klíče na kvalifikovaném prostředku. Zdůrazněme si, že elektronický podpis založený na takovémto certifikátu nebude kvalifikovaným podpisem, ale pouze „čistým“ uznávaným elektronickým podpisem. Obdobně pro elektronické pečeti.
Program Adobe Acrobat Reader ale nabízí ještě komfortnější pohled na obsah položky QC Statements a tím i na druh certifikátu. Přidává v něm i tzv. značku důvěry EU (EU Trust Mark), kterou mají právo se pyšnit jen kvalifikované služby a prvky. Zde tedy kvalifikovaný certifikát.
Příklady vidíte na následujících obrázcích, nejprve pro certifikáty s příznakem o umístění soukromého klíče na kvalifikovaném prostředku a poté bez tohoto příznaku. Rozlišení mezi certifikáty pro elektronický podpis a elektronické pečeti je zde vyjádřen odkazem na příslušnou přílohu nařízení eIDAS, která definuje požadavky na kvalifikované certifikáty pro elektronický podpis (Příloha I) či pro elektronické pečeti (příloha III).
Pro úplnost, viz výše: příloha II se týká samotných kvalifikovaných prostředků a příloha IV kvalifikovaných certifikátů pro autentizaci internetových (správně: webových) stránek.
Znovu si ale zdůrazněme, že obsah položky QC Statements v certifikátu je něco, co by měly vyhodnocovat programy (či služby) určené k práci s elektronickými podpisy. Nikoli lidé – ti jen v případě nouze, když jimi využívaný program neumí to, co od něj chtějí.
To samé by ale mělo platit i pro celkový verdikt o druhu elektronického podpisu či pečeti: běžný uživatel by ani nemusel vědět, jaké podmínky musí ten který druh splňovat. Vědět by to měla ta služba či ten program, který uživatel používá – a ten by mu měl rovnou říci, o jaký druh se jedná.
Jenže zase: co když to příslušný program či služba neumí? Třeba jen proto, že nezná naši národní legislativu a tím ani onu naši legislativní zkratku s uznávanými podpisy. Pak je to zase na uživateli.
Kvalifikované služby pro ověřování platnosti
Správně určit druh elektronického podpisu či pečeti by určitě měly umět takové služby pro ověřování, které samy mají kvalifikovaný statut (podle stejného nařízení eIDAS). U nás máme takovéto služby dvě:
- služba I.CA QVerify
- služba SecuSign od Software602
Jak vypadá a jaké výsledky dává první z obou kvalifikovaných služeb, vám zde ukázat nemohu. Nejde to proto, že služba QVerify nemá vlastní uživatelské rozhraní: je určena pro „zabudování“ do IT systémů na straně typicky firemního uživatele (například do různých spisových služeb či jiných řešení pro práci s elektronickými dokumenty) a produkuje pouze XML záznamy s výsledky ověření. Jak je příslušný systém interpretuje a případně zobrazí, je už na něm.
To služba SecuSign má své uživatelské rozhraní, a tak si několik výsledků ověření můžeme ukázat: na následujícím obrázku je dvojice výsledků, pro jeden kvalifikovaný elektronický podpis a jednu kvalifikovanou elektronickou pečeť. Všimněte si, že služba zná naši legislativní zkratku (zavedenou zákonem č. 297/2016 Sb.), a tak u konstatování o kvalifikovaném statutu příslušného autentizačního prvku uvádí (v závorce) ještě i to, že jde o jednu ze dvou variant uznávaného elektronického podpisu (resp. pečeti).
Na dalším obrázku vidíte obdobnou dvojici výsledků, ovšem již jen pro „čistě“ uznávaný elektronický podpis a pečeť. Povšimněte si, že zde je pořadí jakoby obráceno: nejprve je uvedena ona legislativní zkratka („uznávaný elektronický podpis“) a teprve pak je rozepsána její konkrétní varianta.
Unijní validátor
Další možnost ověření nabízí tzv. unijní validátor, který najdete zde (jde o testovací implementaci nástroje pro práci s elektronickými podpisy, který nechala vyvinout Evropská komise). Již jsem ho několikrát zde na Lupě zmiňoval, včetně těch jeho vlastností, které sám považuji za problematické až chybné: mj. zcela ignoruje elektronické podpisy a pečeti, které nejsou v referenčním formátu. Především se ale důsledně drží problematického ustanovení v samotném nařízení a platnost podpisů a pečetí vyhodnocuje k deklarovanému času podpisu (i když se na něj nemůže spoléhat).
Důsledkem je například to, že placený výpis z katastru, který je opatřen kvalifikovanou elektronickou pečetí ČÚZK, hodnotí jako zcela nepodepsaný dokument – protože příslušná pečeť není v referenčním formátu. Viz následující obrázek (do kterého je pro srovnání vložen výsledek ověření téhož dokumentu v Adobe Acrobat Readeru).
Pokud jsou ale elektronické podpisy či pečeti v referenčním formátu, dokáže unijní validátor správně rozpoznat podpis od pečeti i jejich kvalifikovanou variantu od „zaručené, založené na kvalifikovaném certifikátu“. Příklady vidíte na následujících obrázcích: první ukazuje kvalifikovaný elektronický podpis (QESig) a kvalifikovanou elektronickou pečeť (QESeal).
Další obrázek pak ukazuje druhou variantu toho, co spadá pod naši legislativní zkratku „uznávaný elektronický podpis“, resp. „uznávaná elektronická pečeť“. Tedy „zaručený elektronický podpis, založený na kvalifikovaném certifikátu“ (zde: Advanced Electronic Signature, supported by a Qualified Signature, zkratkou AdESig-QC), resp. „zaručenou elektronickou pečeť, založenou na kvalifikovaném certifikátu“ (zde: Advanced Electronic Seal, supported by a Qualified Certificate, zkratkou AdESeal-QC).
Jak je na tom Adobe Acrobat Reader?
Snad nejčastěji používaným programem pro práci s elektronickými podpisy na PDF dokumentech je volně dostupný Adobe Acrobat Reader. Pojďme se proto podívat, jak on zvládá ověřování kvalifikovaných podpisů a pečetí.
Důležité je, že již od října 2015 tento program dokáže pracovat s unijním seznamem důvěryhodných seznamů (EUTL, EU Trusted Lists), skrze který se „rozpoznávají“ kvalifikované certifikáty, vyhovující nařízení eIDAS. Díky tomu Adobe Acrobat Reader dokáže poznat, kterému certifikátu může důvěřovat – a zbytek toho, co potřebuje vědět, si již může najít v jeho obsahu.
Takže třeba kvalifikované elektronické podpisy tento program již korektně rozpoznává – a uživateli to správně sděluje (i pomocí evropské značky důvěry, označující kvalifikované služby a prvky). Příklad vidíte na následujícím obrázku.
V případě kvalifikovaných pečetí se bohužel projevuje nepříjemná chyba v české lokalizaci tohoto zahraničního (zámořského) produktu: autor si nesprávně vyložil anglický termín „seal“ a přeložil ho jako „razítko“. Takže místo o „kvalifikované elektronické pečeti“ program v češtině mluví o „kvalifikovaném elektronickém razítku“ – což velmi nešťastně koliduje s pojmem „kvalifikované elektronické časové razítko“.
To v anglickém originále se správně hovoří o pečeti, resp. „seal“ (Qualified Electronic Seal).
Nicméně: v obou případech (tedy v anglickém originále i v české lokalizované verzi) Adobe Acrobat Reader opakovaně mluví o podpisu (signature) a také o čase podepsání (signing time). A vlastně vždy jen na jednom jediném místě říká něco jiného – že ve skutečnosti nejde o podpis, ale o pečeť (resp. v češtině nesprávně o razítku), viz barevně označené části předchozích dvou obrázků.
To vše má další nepříjemný důsledek: pokud elektronická pečeť není kvalifikovaná, zmizí ono jediné upřesňující konstatování, že jde o pečeť (nesprávně: o razítko). Zůstává tak jen opakované konstatování, že jde o podpis. Je pak na samotném uživateli, aby si zjistil, zda je to pravda, či nikoli. Pozná to podle toho, o jaký druh certifikátu se podpis či pečeť opírá, viz obrázek:
A ještě jedna důležitá věc: Adobe Acrobat Reader, coby program zahraniční provenience, pochopitelně nezná naši národní obezličku s „uznávanou“ legislativní zkratkou, která mimochodem platí jak pro elektronické podpisy, tak i pro elektronické pečeti. Takže když chybí konstatování o kvalifikovaném statutu podpisu či pečeti, je opět na uživateli, aby si sám vydedukoval, o jaký druh podpisu či pečeti jde: zda o „zaručený elektronický podpis, založený na kvalifikovaném certifikátu“, který ještě spadá pod „uznávaný elektronický podpis“, nebo jen o „zaručený elektronický podpis“, který pod onu legislativní zkratku již nespadá (a obdobně pro pečeti).
Naštěstí toto rozlišení je vcelku jednoduché: to, zda jde o variantu „založenou na kvalifikovaném certifikátu“, se pozná podle toho, odkud Adobe Acrobat získává důvěru v příslušný certifikát. Pokud uvede, že ji čerpá z unijních důvěryhodných seznamů (EUTL) jako na následujícím obrázku, jedná se o kvalifikovaný certifikát a celkově pak o „zaručený elektronický podpis, založený na kvalifikovaném certifikátu“ (resp. „zaručenou elektronickou pečeť, založenou na kvalifikovaném certifikátu“).
V jiném případě – pokud není uveden žádný zdroj důvěry, nebo je oním zdrojem důvěry systémové úložiště operačního systému MS Windows, případně vlastní program AATL společnosti Adobe, pak se nejedná o kvalifikovaný certifikát a celkově pak jde jen o zaručený elektronický podpis, nebo o zaručenou elektronickou pečeť.
Zaručený podpis, který nezaručuje
Když už jsme se v tomto článku dotkli i komplikací s terminologií, neodpustím si na závěr malé, ale důležité varování: český termín „zaručený elektronický podpis“ je velmi nešťastným až nebezpečným překladem anglického „Advanced Electronic Signature“ (AdES).
Nešťastným a nebezpečným proto, že evokuje určitou zaručenost či záruku: když někdo slyší o zaručeném elektronickém podpisu, má tendenci předpokládat, že se na takovýto druh elektronického podpisu může spoléhat – a to především pokud jde o to, komu takovýto podpis patří. Tedy kdo je jeho autorem, resp. podepsanou osobou. Jenže právě toto zaručený elektronický podpis nezaručuje. Obdobně pro pečeti.
Lze to snadno dokumentovat na tom, že formou zaručeného elektronického podpisu se kdokoli může podepsat jménem kohokoli jiného. Jako třeba na následujícím obrázku, který ukazuje zaručený elektronický podpis literární postavy Josefa Švejka.
Důvod je jednoduchý: u kvalifikovaných a „čistě“ uznávaných elektronických podpisů (tj. zaručených elektronických podpisů, založených na kvalifikovaném certifikátu) se požaduje, aby byly založeny na kvalifikovaných certifikátech. Tedy takových, jejichž obsah musí (ze zákona) odpovídat pravdě (a jejich vydavatel nám za to také ručí). Přitom právě z obsahu certifikátu (z toho, co je v něm napsáno) odvozujeme to, komu podpis (či pečeť) patří.
Pokud ale požadavek na kvalifikovaný certifikát odstraníme, jako právě u „obyčejných“ zaručených elektronických podpisů a pečetí, a neklademe ani žádný jiný požadavek na věrohodnost příslušného certifikátu, pak připouštíme použití úplně libovolného certifikátu, který si může vydat (sám sobě či komukoli jinému) kdokoli doslova „na koleně“ – a napsat si do něj, cokoli ho jen napadne. Třeba i něco, co není vůbec pravdou. Jako u výše uvedeného příkladu se zaručeným elektronickým podpisem literární postavy Josefa Švejka.
Například na Slovensku dříve používali pojem „zaručený elektronický podpis“ pro to, co je dnes kvalifikovaným elektronickým podpisem. Takže slovenský „zaručený elektronický podpis“, na rozdíl od českého „zaručeného elektronického podpisu“, skutečně zaručoval identitu podepsané osoby. Dnes i na Slovensku, v souvislosti s nařízením eIDAS, místo o zaručeném elektronickém podpisu mluví spíše o kvalifikovaném elektronickém podpisu. A anglické „Advanced Electronic Signature“, zkratkou AdES, překládají jako „zdokonalený elektronický podpis“ – zatímco my mu stále říkáme „zaručený elektronický podpis“.
Relativně nedávno, v souvislosti s adaptací našeho právního řádu na nové nařízení eIDAS a tvorbou adaptačního zákona, jsme měli vhodnou šanci tuto dávnou terminologickou chybu napravit. Leč nevyužili jsme ji. A tak bude asi i nadále mást lidi a způsobovat nejrůznější problémy. Včetně těch v legislativě, protože do pasti „zaručeného elektronického podpisu, který nezaručuje“ s oblibou padají i legislativci.
Za všechna legislativní zmatení alespoň tři příklady, které vidíte na následujícím obrázku: dva již byly opraveny (při novelizaci v roce 2012), třetí na opravu teprve čeká.