Ujasněme si základní pojmy
-
Upload
jiri-peterka -
Category
Documents
-
view
620 -
download
0
description
Transcript of Ujasněme si základní pojmy
![Page 1: Ujasněme si základní pojmy](https://reader035.fdocument.pub/reader035/viewer/2022081718/55703457d8b42a611e8b4a01/html5/thumbnails/1.jpg)
11
Ujasněme si základní pojmy
Jiří Peterka4.10.2012
![Page 2: Ujasněme si základní pojmy](https://reader035.fdocument.pub/reader035/viewer/2022081718/55703457d8b42a611e8b4a01/html5/thumbnails/2.jpg)
22
dva světy terminologie
• „společné“ pojmy:– zaručený elektronický podpis, uznávaný elektronický podpis, elektronická
značka, (kvalifikované) časové razítko, ……
• „svět elektronického podpisu“– jeho terminologie vychází ze
• zákona č. 227/2000 Sb.– o elektronickém podpisu,
• zákona 300/2008 Sb. – o elektronických úkonech
• základní pojmy:– dokument v listinné podobě– dokument obsažený v datové zprávě– datová zpráva
• „svět archivnictví a spisových služeb“– jeho terminologie vychází ze
• zákona č. 499/2004 Sb.– o archivnictví a spisové
službě• základní pojmy:
– analogový dokument – digitální dokument
• u nás máme dva samostatné světy s vlastní terminologií
![Page 3: Ujasněme si základní pojmy](https://reader035.fdocument.pub/reader035/viewer/2022081718/55703457d8b42a611e8b4a01/html5/thumbnails/3.jpg)
33
co je datová zpráva?• intuitivně:
– (datová) zpráva je něco dočasného, co slouží potřebám přenosu (odněkud …. někam)
• a nikoli potřebám (dlouhodobého) uchovávání
• zákon č. 227/2000 Sb. původně (do 1.7.2012):– definuje datovou zprávu jako něco „určeného k přenosu“
• datová zpráva = elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných při zpracování a přenosu dat elektronickou formou
• nově, od 1.7.2012– definice se mění, nyní (snad) připouští i uchovávání:
• datová zpráva = elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na technických nosičích dat, používaných při zpracování a přenosu dat elektronickou formou, jakož i data uložená na technických nosičích ve formě datového souboru
![Page 4: Ujasněme si základní pojmy](https://reader035.fdocument.pub/reader035/viewer/2022081718/55703457d8b42a611e8b4a01/html5/thumbnails/4.jpg)
44
kde se vzala datová zpráva?• právní úprava el. podpisu v členských zemích EU
vychází ze stejné unijní směrnice, kde ale žádná zmínka o datové zprávě není:
– dle evropské směrnice (1999/93/ES)• "electronic signature" means data in electronic form which are
attached to or logically associated with other electronic data and which serve as a method of authentication
– tj. podpis jsou data, která podepisují jiná data
– dle našeho zákona o el. podpisu (227/2000 Sb.)• elektronickým podpisem [se rozumí] údaje v elektronické podobě,
které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě
– tj. podpis jsou data, která podepisují datovou zprávu
![Page 5: Ujasněme si základní pojmy](https://reader035.fdocument.pub/reader035/viewer/2022081718/55703457d8b42a611e8b4a01/html5/thumbnails/5.jpg)
55
dokument vs. datová zpráva• jaký je vztah mezi dokumentem a datovou zprávou?
a) je datová zpráva obálkou, která obsahuje jeden nebo více dokumentů?b) nebo je datová zpráva totéž co dokument?
• ve prospěch varianty a):– §22/1 zákona č. 300/2008 Sb.
• konverzí se rozumí úplné převedení – dokumentu v listinné podobě – do dokumentu obsaženého v
datové zprávě nebo datovém souboru
» dále jen „dokument obsažený v datové zprávě“
• ve prospěch varianty b): – §19 zákona č. 300/2008 Sb.
• dokumenty orgánů veřejné moci doručované prostřednictvím datové schránky,
• úkony prováděné vůči orgánům veřejné moci prostřednictvím datové schránky
• dokumenty fyzických osob, podnikajících fyzických osob a právnických osob dodávané prostřednictvím datové schránky mají formu datové zprávy
• mají formu datové zprávy
=
datová zpráva
a)b)
datová zprávadokument
![Page 6: Ujasněme si základní pojmy](https://reader035.fdocument.pub/reader035/viewer/2022081718/55703457d8b42a611e8b4a01/html5/thumbnails/6.jpg)
66
dokument vs. datová zpráva
• pohled zákona je opačný:– zpoplatněno je dodávání jednotlivých dokumentů
• zákon č. 300/2008 Sb., §18a: Za dodání dokumentu podle odstavce 1 náleží provozovateli informačního systému datových schránek odměna ….
– vyhláška stanovuje povolené formáty datové zprávy• vyhláška 194/2009 Sb., příloha 3: Přípustné formáty datové zprávy dodávané
do datové schránky: pdf, xml, html/htm, doc/docx, xls/xlsx, ……– ve skutečnosti jde o formáty příloh (vkládaných dokumentů)
• realita (v ISDS):– datová zpráva je (čistá) obálka
• nemá „tělo“, nemůže obsahovat žádné sdělení, jen metadata• má vždy stejný formát, který je pevně daný (ZFO)
– dokument je přílohou datové zprávy• jednotlivé dokumenty se vkládají do datové zprávy• mohou mít různé formáty (ale jen ty povolené vyhláškou)
– zpoplatněny jsou celé datové zprávy• dnes 1 zpráva = 11,68 Kč bez DPH
– bez ohledu na jednotlivé dokumenty v příloze
datová zpráva
![Page 7: Ujasněme si základní pojmy](https://reader035.fdocument.pub/reader035/viewer/2022081718/55703457d8b42a611e8b4a01/html5/thumbnails/7.jpg)
77
problém obálka vs. dokument• v „listinném“ světě se podepisují dokumenty, nikoli jejich obálky
– ve světě elektronických dokumentů se zatím postupuje spíše opačně• názor: a je to špatně, způsobuje to zbytečné problémy a komplikace
• příklad – podání emailem/datovou zprávou s přílohami
• otázka:– je správné podepsat pouze (samotnou) obálku?– na co se pak podpis vztahuje?
• technicky: podpis se vztahuje i na přílohy– otisk (hash) je počítán včetně příloh
• ale co právně? – co když je dokument vyjmut a pracuje se s ním
samostatně, nezávisle na obálce?– co když jde o „cizí“ dokument, jehož nejsem
autorem? S jehož obsahem nesouhlasím?• vyjadřuje potom můj podpis souhlas s tímto dokumentem? • nebo jen souhlas s jeho vložením do obálky a přenesením?
![Page 8: Ujasněme si základní pojmy](https://reader035.fdocument.pub/reader035/viewer/2022081718/55703457d8b42a611e8b4a01/html5/thumbnails/8.jpg)
88
identifikace, autentizace, autorizace• identifikace:
– určení/sdělení, kým jsem, za koho se vydávám• lze řešit například zadáním uživatelského jména
• autentizace:– prokázání, že jsem skutečně tím, za koho se vydávám
• v nejjednodušším případě: pomocí hesla (prokazuji jeho znalost), lépe pomocí jednorázového hesla (OTP), pomocí autentizačního certifikátu, ……
• autorizace:– získání souhlasu / oprávnění k určitému úkonu, kroku,
přístupu apod.• někdo souhlas/oprávnění uděluje, podle určitých pravidel, ….
• validace:– ověření / prokázání / důkaz, že něco je pravdivé / platné
• například ověření platnosti elektronického podpisu či značky, ….
![Page 9: Ujasněme si základní pojmy](https://reader035.fdocument.pub/reader035/viewer/2022081718/55703457d8b42a611e8b4a01/html5/thumbnails/9.jpg)
99
co je autorizace datové zprávy?
• ve skutečnosti nejde o autorizaci– spíše o validaci a případnou re-validaci, skrze přidání časového razítka
![Page 10: Ujasněme si základní pojmy](https://reader035.fdocument.pub/reader035/viewer/2022081718/55703457d8b42a611e8b4a01/html5/thumbnails/10.jpg)
1010
co zaručuje zaručený podpis?• pojem „zaručený elektronický podpis“ je špatným překladem z
anglického „advanced electronic signature“ (AdES)– zavedeného v direktivě 1999/93/ES, ze které by měl vycházet náš zákon
o elektronickém podpisu (č. 227/2000 Sb.)
• problém:– zaručený el. podpis vůbec
nezaručuje, komu podpis patří• mohl jej vytvořit kdokoli
– zaručený el. podpis zaručuje pouze to, že podepsaný dokument se od podepsání nezměnil
• že nebyla porušena jeho integrita
• důsledek:– v tuzemské legislativě byl (donedávna) na mnoha místech požadován pouze
zaručený elektronický podpis, místo „silnějšího“ (uznávaného) podpisu
• náprava:– až novela zákona č. 227/2000 Sb. k 1.7.2012 prošla tyto výskyty a opravila
je
příklad: zaručený elektronický podpis literární postavy Josefa Švejka
![Page 11: Ujasněme si základní pojmy](https://reader035.fdocument.pub/reader035/viewer/2022081718/55703457d8b42a611e8b4a01/html5/thumbnails/11.jpg)
1111
bezpečné prostředky a nepopiratelnost• „právně závazný“ (na úrovni vlastnoručního podpisu) je v ČR
uznávaný elektronický podpis:– jako zaručený podpis, založený na kvalifikovaném certifikátu od
akreditované CA, ……..• pozor: není zde požadavek na použití tzv. bezpečného prostředku
– například čipové karty
• ale: nepopiratelnost je v našem právním řádu vázána právě na použití bezpečného prostředku:– zákon č. 227/2000 Sb., § 3/2: Použití zaručeného elektronického podpisu
založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu.
• otázka:– znamená to, že je možné popřít uznávaný elektronický podpis
• vyhnout se jeho nepopiratelnosti?
– to by mohlo mít (zcela zásadní) právní důsledky !!!
![Page 12: Ujasněme si základní pojmy](https://reader035.fdocument.pub/reader035/viewer/2022081718/55703457d8b42a611e8b4a01/html5/thumbnails/12.jpg)
1212
největší problém: nejednoznačnost• v ČR „oficiálně“ existují dva různé – a vzájemně protichůdné -
přístupy k tomu, jak je třeba zajistit „dlouhověkost“ elektronických dokumentů– možnost ověřit jejich autenticitu a platnost jejich podpisu
a) průběžně není nutné dělat nic– a stačí jen určité jednorázové kroky
„na začátku“– opora v zákoně:
• zákon č. 499/2004 Sb., §69a/5: Neprokáže-li se opak, dokument v digitální podobě se považuje za pravý, byl-li podepsán uznávaným elektronickým podpisem …. a následně za doby platnosti uznávaného elektronického podpisu … opatřen kvalifikovaným časovým razítkem
b) o dokumenty a jejich podpisy je nutné se aktivně a průběžně starat– včas přidávat další časová
razítka– opora v technických
standardech• a zdravém rozumu• dnes i ve fungování
datových schránek– viz funkce „autorizace“
– názor: opora i v nařízení Komise č. 2011/130/ES
![Page 13: Ujasněme si základní pojmy](https://reader035.fdocument.pub/reader035/viewer/2022081718/55703457d8b42a611e8b4a01/html5/thumbnails/13.jpg)
1313
co je potřeba pro dlouhověkost?• co musíme udělat, abychom zajistili „dlouhověkost“
našich elektronických dokumentů?1. zajistit, aby nám je někdo nevyměnil za jiné
• hrozba tzv. kolizních dokumentů (které jsou jiné, ale mají stejný el. podpis)– lze čelit opakovaným podepisováním či přidáváním časových razítek
» protože to je fakticky uzavře do trezoru (zajistí jejich integritu)• dnes reálně existují kolizní dokumenty k těm, které jsou podepsány s
využitím hashovací funkce MD5
2. zajistit, aby kdykoli později byly k dispozici všechny informace, potřebné k ověření platnosti podpisů• lze řešit tak, že vše potřebné se shromáždí ještě v době, kdy je to
dostupné, a „přibalí“ k samotnému dokumentu a jeho podpisu– o tom je koncept podpisů LTV (Long Term Validation)
» XAdES-LTV, CAdES-LTV, PAdES-LTV, referenční formáty dle Rozhodnutí komise 2011/130/ES
3. zajistit, aby se dokumenty vůbec daly ještě přečíst …..
![Page 14: Ujasněme si základní pojmy](https://reader035.fdocument.pub/reader035/viewer/2022081718/55703457d8b42a611e8b4a01/html5/thumbnails/14.jpg)
1414
děkuji za pozornost
Jiří Peterka
http://jiri.peterka.czhttp://www.earchiv.cz
http://www.bajecnysvet.cz