11

Ujasněme si základní pojmy

Jiří Peterka4.10.2012

22

dva světy terminologie

• „společné“ pojmy:– zaručený elektronický podpis, uznávaný elektronický podpis, elektronická

značka, (kvalifikované) časové razítko, ……

• „svět elektronického podpisu“– jeho terminologie vychází ze

• zákona č. 227/2000 Sb.– o elektronickém podpisu,

• zákona 300/2008 Sb. – o elektronických úkonech

• základní pojmy:– dokument v listinné podobě– dokument obsažený v datové zprávě– datová zpráva

• „svět archivnictví a spisových služeb“– jeho terminologie vychází ze

• zákona č. 499/2004 Sb.– o archivnictví a spisové

službě• základní pojmy:

– analogový dokument – digitální dokument

• u nás máme dva samostatné světy s vlastní terminologií

33

co je datová zpráva?• intuitivně:

– (datová) zpráva je něco dočasného, co slouží potřebám přenosu (odněkud …. někam)

• a nikoli potřebám (dlouhodobého) uchovávání

• zákon č. 227/2000 Sb. původně (do 1.7.2012):– definuje datovou zprávu jako něco „určeného k přenosu“

• datová zpráva = elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných při zpracování a přenosu dat elektronickou formou

• nově, od 1.7.2012– definice se mění, nyní (snad) připouští i uchovávání:

• datová zpráva = elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na technických nosičích dat, používaných při zpracování a přenosu dat elektronickou formou, jakož i data uložená na technických nosičích ve formě datového souboru

44

kde se vzala datová zpráva?• právní úprava el. podpisu v členských zemích EU

vychází ze stejné unijní směrnice, kde ale žádná zmínka o datové zprávě není:

– dle evropské směrnice (1999/93/ES)• "electronic signature" means data in electronic form which are

attached to or logically associated with other electronic data and which serve as a method of authentication

– tj. podpis jsou data, která podepisují jiná data

– dle našeho zákona o el. podpisu (227/2000 Sb.)• elektronickým podpisem [se rozumí] údaje v elektronické podobě,

které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě

– tj. podpis jsou data, která podepisují datovou zprávu

55

dokument vs. datová zpráva• jaký je vztah mezi dokumentem a datovou zprávou?

a) je datová zpráva obálkou, která obsahuje jeden nebo více dokumentů?b) nebo je datová zpráva totéž co dokument?

• ve prospěch varianty a):– §22/1 zákona č. 300/2008 Sb.

• konverzí se rozumí úplné převedení – dokumentu v listinné podobě – do dokumentu obsaženého v

datové zprávě nebo datovém souboru

» dále jen „dokument obsažený v datové zprávě“

• ve prospěch varianty b): – §19 zákona č. 300/2008 Sb.

• dokumenty orgánů veřejné moci doručované prostřednictvím datové schránky,

• úkony prováděné vůči orgánům veřejné moci prostřednictvím datové schránky

• dokumenty fyzických osob, podnikajících fyzických osob a právnických osob dodávané prostřednictvím datové schránky mají formu datové zprávy

• mají formu datové zprávy

=

datová zpráva

a)b)

datová zprávadokument

66

dokument vs. datová zpráva

• pohled zákona je opačný:– zpoplatněno je dodávání jednotlivých dokumentů

• zákon č. 300/2008 Sb., §18a: Za dodání dokumentu podle odstavce 1 náleží provozovateli informačního systému datových schránek odměna ….

– vyhláška stanovuje povolené formáty datové zprávy• vyhláška 194/2009 Sb., příloha 3: Přípustné formáty datové zprávy dodávané

do datové schránky: pdf, xml, html/htm, doc/docx, xls/xlsx, ……– ve skutečnosti jde o formáty příloh (vkládaných dokumentů)

• realita (v ISDS):– datová zpráva je (čistá) obálka

• nemá „tělo“, nemůže obsahovat žádné sdělení, jen metadata• má vždy stejný formát, který je pevně daný (ZFO)

– dokument je přílohou datové zprávy• jednotlivé dokumenty se vkládají do datové zprávy• mohou mít různé formáty (ale jen ty povolené vyhláškou)

– zpoplatněny jsou celé datové zprávy• dnes 1 zpráva = 11,68 Kč bez DPH

– bez ohledu na jednotlivé dokumenty v příloze

datová zpráva

77

problém obálka vs. dokument• v „listinném“ světě se podepisují dokumenty, nikoli jejich obálky

– ve světě elektronických dokumentů se zatím postupuje spíše opačně• názor: a je to špatně, způsobuje to zbytečné problémy a komplikace

• příklad – podání emailem/datovou zprávou s přílohami

• otázka:– je správné podepsat pouze (samotnou) obálku?– na co se pak podpis vztahuje?

• technicky: podpis se vztahuje i na přílohy– otisk (hash) je počítán včetně příloh

• ale co právně? – co když je dokument vyjmut a pracuje se s ním

samostatně, nezávisle na obálce?– co když jde o „cizí“ dokument, jehož nejsem

autorem? S jehož obsahem nesouhlasím?• vyjadřuje potom můj podpis souhlas s tímto dokumentem? • nebo jen souhlas s jeho vložením do obálky a přenesením?

88

identifikace, autentizace, autorizace• identifikace:

– určení/sdělení, kým jsem, za koho se vydávám• lze řešit například zadáním uživatelského jména

• autentizace:– prokázání, že jsem skutečně tím, za koho se vydávám

• v nejjednodušším případě: pomocí hesla (prokazuji jeho znalost), lépe pomocí jednorázového hesla (OTP), pomocí autentizačního certifikátu, ……

• autorizace:– získání souhlasu / oprávnění k určitému úkonu, kroku,

přístupu apod.• někdo souhlas/oprávnění uděluje, podle určitých pravidel, ….

• validace:– ověření / prokázání / důkaz, že něco je pravdivé / platné

• například ověření platnosti elektronického podpisu či značky, ….

99

co je autorizace datové zprávy?

• ve skutečnosti nejde o autorizaci– spíše o validaci a případnou re-validaci, skrze přidání časového razítka

1010

co zaručuje zaručený podpis?• pojem „zaručený elektronický podpis“ je špatným překladem z

anglického „advanced electronic signature“ (AdES)– zavedeného v direktivě 1999/93/ES, ze které by měl vycházet náš zákon

o elektronickém podpisu (č. 227/2000 Sb.)

• problém:– zaručený el. podpis vůbec

nezaručuje, komu podpis patří• mohl jej vytvořit kdokoli

– zaručený el. podpis zaručuje pouze to, že podepsaný dokument se od podepsání nezměnil

• že nebyla porušena jeho integrita

• důsledek:– v tuzemské legislativě byl (donedávna) na mnoha místech požadován pouze

zaručený elektronický podpis, místo „silnějšího“ (uznávaného) podpisu

• náprava:– až novela zákona č. 227/2000 Sb. k 1.7.2012 prošla tyto výskyty a opravila

je

příklad: zaručený elektronický podpis literární postavy Josefa Švejka

1111

bezpečné prostředky a nepopiratelnost• „právně závazný“ (na úrovni vlastnoručního podpisu) je v ČR

uznávaný elektronický podpis:– jako zaručený podpis, založený na kvalifikovaném certifikátu od

akreditované CA, ……..• pozor: není zde požadavek na použití tzv. bezpečného prostředku

– například čipové karty

• ale: nepopiratelnost je v našem právním řádu vázána právě na použití bezpečného prostředku:– zákon č. 227/2000 Sb., § 3/2: Použití zaručeného elektronického podpisu

založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu.

• otázka:– znamená to, že je možné popřít uznávaný elektronický podpis

• vyhnout se jeho nepopiratelnosti?

– to by mohlo mít (zcela zásadní) právní důsledky !!!

1212

největší problém: nejednoznačnost• v ČR „oficiálně“ existují dva různé – a vzájemně protichůdné -

přístupy k tomu, jak je třeba zajistit „dlouhověkost“ elektronických dokumentů– možnost ověřit jejich autenticitu a platnost jejich podpisu

a) průběžně není nutné dělat nic– a stačí jen určité jednorázové kroky

„na začátku“– opora v zákoně:

• zákon č. 499/2004 Sb., §69a/5: Neprokáže-li se opak, dokument v digitální podobě se považuje za pravý, byl-li podepsán uznávaným elektronickým podpisem …. a následně za doby platnosti uznávaného elektronického podpisu … opatřen kvalifikovaným časovým razítkem

b) o dokumenty a jejich podpisy je nutné se aktivně a průběžně starat– včas přidávat další časová

razítka– opora v technických

standardech• a zdravém rozumu• dnes i ve fungování

datových schránek– viz funkce „autorizace“

– názor: opora i v nařízení Komise č. 2011/130/ES

1313

co je potřeba pro dlouhověkost?• co musíme udělat, abychom zajistili „dlouhověkost“

našich elektronických dokumentů?1. zajistit, aby nám je někdo nevyměnil za jiné

• hrozba tzv. kolizních dokumentů (které jsou jiné, ale mají stejný el. podpis)– lze čelit opakovaným podepisováním či přidáváním časových razítek

» protože to je fakticky uzavře do trezoru (zajistí jejich integritu)• dnes reálně existují kolizní dokumenty k těm, které jsou podepsány s

využitím hashovací funkce MD5

2. zajistit, aby kdykoli později byly k dispozici všechny informace, potřebné k ověření platnosti podpisů• lze řešit tak, že vše potřebné se shromáždí ještě v době, kdy je to

dostupné, a „přibalí“ k samotnému dokumentu a jeho podpisu– o tom je koncept podpisů LTV (Long Term Validation)

» XAdES-LTV, CAdES-LTV, PAdES-LTV, referenční formáty dle Rozhodnutí komise 2011/130/ES

3. zajistit, aby se dokumenty vůbec daly ještě přečíst …..

1414

děkuji za pozornost

Jiří Peterka

http://jiri.peterka.czhttp://www.earchiv.cz

http://www.bajecnysvet.cz