Datové schránky: pracujeme s e-podpisy, I.

Když nám skrze datovou schránku přijde datová zpráva, a v ní dokument od orgánu veřejné moci, měl by být opatřen tzv. uznávaným elektronickým podpisem. Jak se ale přesvědčíme o tom, že elektronický  podpis na dokumentu je platný? Jak funguje ověřování elektronických podpisů a jak správně rozumět výsledkům takového ověření?

Elektronický podpis  může být docela kontroverzní záležitostí. Na jedné straně, když už ho někdo „zvládne“, je jeho použití příjemně jednoduché, rychlé a současně i mnohem bezpečnější než klasický podpis. Ale má i svou druhou stránku: dokud člověk elektronický podpis náležitě „nevstřebá“, tj. nepochopí jeho věcnou podstatu, neseznámí se se všemi jeho detaily a nedocení všechny jeho jemnosti, může být pro něj elektronický podpis i docela velkou nástrahou, až přímo nebezpečím.

To zejména v případě, kdy člověk přistupuje k elektronickému podpisu jako k něčemu,  co žádnou osvětu, vzdělávání či dokonce hlubší studium nepotřebuje – protože se přeci nemůže nijak zásadně lišit od podpisu klasického. Takovýto přístup je opravdu koledováním si o průšvih.

Sám jsem se s takovýmto (nebezpečně ignorujícím) přístupem setkal mnohokrát, a bohužel i v souvislosti s e-governmentem a datovými schránkami. A přitom právě zde, u přechodu z klasických papírových agend na agendy elektronické, je znalost elektronických podpisů doslova klíčová. A spoléhání se na platnost elektronických podpisů je v rámci elektronických agend ještě „mnohem klíčovější“.

V souvislosti s rozvojem e-governmentu i s nástupem datových schránek bych proto očekával masovou osvětu o elektronickém podpisu, která by na nástrahy elektronických agend připravila jak úředníky, tak i jejich klienty (občany). Zatím jsem ale žádnou takovouto osvětu nezaznamenal – a dokonce jsem nezaznamenal ani signály naznačující, že by něco takového bylo vnímáno jako potřebné.  

Dokonce jsem nezaznamenal ani výraznější zájem řešit potenciální problémy, které kolem datových schránek a elektronických podpisů již vyvstávají. Konkrétně třeba problému s expirací podpisu na dokumentu, na který jsem se snažil poukázat zde na Lupě již v červenci, v článku „Datové schránky: bez razítka to nepůjde“. Či problémů kolem autorizované konverze, popisovaných ve stejném článku.

To vše mne inspirovalo k napsání  této série článků, ve které bych chtěl alespoň trochu šířit osvětu kolem elektronického podpisu. A při té příležitosti také srozumitelněji a názorněji upozornit na některá problematická místa v legislativě kolem datových schránek. Vše spíše z pohledu klientů e-governmentu, neboli fyzických osob a firem (a ne až tak z pohledu úředníků a jejich agend, spisových služeb apod.).

Rád bych tím pomohl uživatelům datových schránek k tomu, aby aspoň tušili, jak vlastně přistupovat k elektronickým dokumentům a elektronickým podpisů. Aby věděli, čemu mohou věřit a čemu naopak věřit nemohou, a na co si mají dát pozor. To vše v maximálně praktickém provedení, s minimem teorie, ale naopak s konkrétními praktickými příklady.

Z jakých předpokladů můžeme vycházet?

Dokumenty, které úřady (orgány veřejné moci) doručují  občanům a firmám do jejich datových schránek, by měly mít formát PDF. V zákonech to sice nikde není takto striktně požadováno, ale vyplývá to ze skutečnosti, že jiné formáty není možné autorizovaně konvertovat z elektronické do listinné podoby.  Proto se v tomto seriálu omezím jen na formát PDF.

Stejně tak můžeme aplikovat předpoklad, že tyto dokumenty ve formátu PDF musí být opatřeny elektronickým podpisem – a to tzv. uznávaným elektronickým podpisem (jak se ve zkratce říká zaručenému elektronickému podpisu, založenému na kvalifikovaném certifikátu, vydaném akreditovanou certifikační autoritou) toho, kdo dokument vydal nebo vytvořil.  Opět to sice není přímo požadováno v zákoně, který zavádí datové schránky do praxe (tj. v zákoně 300/2008 Sb.), ale vyplývá to z jiných právních předpisů.

Co naopak nemůžeme předpokládat, je to že když už orgán veřejné moci nějaký dokument vyprodukuje a bude jej chtít doručit skrze datovou schránku, že jej kromě svého podpisu opatří také časovým razítkem. Samozřejmě tak učinit může – ale jako povinnost to nemá. A pokud tak neučiní, může nám (jako příjemcům dokumentu) způsobit nemalé potíže. Ale k tomu se dostaneme až později (nebo viz již zmiňovaný článek Datové schránky: bez razítka to nepůjde!).

Pouze interní podpis, na příklad Adobe Readeru

Ještě další předpoklad, který můžeme učinit, se týká rozlišení mezi „interním“ a „externím“ elektronickým podpisem. Tedy mezi tím, zda samotný elektronický podpis nějakého dokumentu je obsažen přímo uvnitř tohoto dokumentu (jako je tomu v případě „interního“ elektronického podpisu), nebo zda má charakter samostatného objektu (jako je tomu u „externího“ podpisu) a je třeba ho vhodně logicky provázat se samotným dokumentem (ve smyslu vytvoření vazby „toto je podpis tohoto dokumentu“).

Jelikož formát dokumentů PDF umožňuje (a zřejmě i předpokládá) použití „interních“ elektronických podpisů (a legislativa kolem datových schránek si tohoto aspektu nevšímá), usnadníme si situaci a budeme předpokládat pouze „interní“ elektronické podpisy.

To nám ostatně přinese i další výhodu: pro ověřování elektronických podpisů budeme moci využít prostředků, které jsou pro tento účel zabudovány do programu Adobe Reader. Samozřejmě to není jediná čtečka (aplikace pro čtení) dokumentů ve formátu PDF, ale vzhledem k její dostupnosti (zdarma) i rozšíření se snad můžeme omezit právě na tuto aplikaci – a spoléhat se na její závěry.  I pokud jde o ověřování zákonem vyžadovaných uznávaných elektronických podpisů (tj. zaručených podpisů, založených na kvalifikovaném certifikátu od akreditované certifikační autority).

Můžeme si to dovolit díky tomu, že naše legislativa nepožaduje, aby aplikace vyhodnocující elektronický podpis byla sama nějak certifikována (tj. aby orgány státu ověřily její fungování).

A pro přesnost: konkrétní příklady zde budu ukazovat na Adobe Readeru verze 9.1. V těch místech, kde se chování této verze liší od chování předchozích verzí, se budu snažit na to upozornit. Jak uvidíme v dalších dílech,  jeden zcela zásadní rozdíl ve způsobu vyhodnocování elektronického podpisu je již mezi verzí 9.0 a 9.1.  

Jaký může být výsledek ověření elektronického podpisu?

Pojďme nyní již k věci, a to skutečně přímo a prakticky. Řekněme si (a ukažme, na příkladu Adobe Readeru),  jak může dopadnout ověření platnosti konkrétního elektronického podpisu na PDF dokumentu. A hlavně jak tomu rozumět.

Možné výsledky jsou v zásadě tři:

  • ano (podpis „je v pořádku“)
  • ne (podpis „není v pořádku“)
  • nevím (Adobe Reader nedokáže posoudit platnost elektronického podpisu).

Adobe Reader na to má připraveny názorné ikonky, kterými dokresluje svůj celkový závěr ohledně platnosti  elektronického podpisu. Vidíte je na následujícím obrázku: horní řadu ikon přitom používá Adobe Reader verze 9.x, a spodní  verze 8.x.

ikony Readeru

Nás ale v tuto chvíli nebude zajímat ani tak tvar a barva těchto ikon, jako něco jiného: jak interpretovat uvedené stavy? Jak jim správně rozumět?

To, že jsem je označil jako „ano“, „ne“ (a „nevím“), a nikoli „podpis je platný“ či „podpis je neplatný“ skutečně má svůj významný důvod – a ten by měl být hlavním sdělením dnešního prvního dílu seriálu.

Jde o to,  že program Adobe Reader nám zde odpovídá na určitou otázku  – a jeho odpovědi na naši otázku mohou být „ano“, „ne“ a „nevím“. Tyto odpovědi ale nemůžeme odtrhnout od otázek, na které odpovídají, a používat (interpretovat) je nějak samostatně. Máme-li  těmto odpovědím správně rozumět, musíme se nejprve seznámit s tím, jak zněla otázka. A pak je posuzovat v kontextu těchto otázek.

Používal elektronický podpis už Josef Švejk?

Aby to bylo názornější, ukažme si vše na konkrétním příkladu, který vidíte na následujícím obrázku:

podpis Josefa Svejka

Snad mi budete věřit, že to není myšleno vážně, a že skutečně nejde o platný elektronický podpis Josefa Švejka. Přesto Adober Reader reagoval na žádost o ověření jeho platnosti odpovědí „ano“ (což signalizuje zelenou ikonkou). A pokud se podáváme na detail  informací o vyhodnocení podpisu, dokonce sám napsal, že podpis je platný.

detail podpisu Josefa Svejka

Přitom nejde o žádnou fotomontáž, a Adobe Reader zde vyhodnotil elektronický podpis (a řekl „ano“) podle všech pravidel a regulí.

Ostatně, můžete si to na svém Readeru vyzkoušet sami.  Nejprve ale musíte udělat jednu důležitou věc: musíte mu položit stejnou otázku, jakou jsem mu položil já. A v tom to právě je.

Ona otázka přitom není pouhou otázkou, ale vychází také z určitých předpokladů ohledně toho, čemu má Adober Reader důvěřovat. Zde, v tomto konkrétním příkladu, se potřebný předpoklad týká důvěryhodnosti podpisového certifikátu Josefa Švejka (který byl použit při podpisu zobrazovaného dokumentu). Pokud Readeru řeknete:

Důvěřuj tomuto konkrétnímu certifikátu, a za tohoto předpokladu mi ověř platnost podpisu….

pak vám Reader skutečně řekne „ano“ (a dostanete stejný výsledek, jaký je na předchozích obrázcích). 

Čemu důvěřuje Adobe Reader?

Než tak ale učiníte, schválně si ještě vyzkoušejte, jak váš Adobe Reader zareaguje na stejný požadavek – a to ještě než mu řeknete, že má uvedenému certifikátu důvěřovat. Tj. aniž uděláte cokoli dalšího, jen otevřete tento PDF dokument (s elektronickým podpisem Josefa Švejka) a nechte si ověřit platnost podpisu na něm. Pokud to Reader neudělá automaticky již při otevření PDF dokumentu, požádejte ho o to sami (buď přes menu: Dokument, Podepsat, Ověřit všechny podpisy, nebo kliknutím na příslušnou ikonku, viz obrázek).

overeni podpisu

Výsledek by měl být „nevím“ – protože Reader zde nemá žádné informace ohledně toho, zda může či nemůže důvěřovat certifikátu, použitému při vzniku podpisu na uvedeném dokumentu.

Chcete-li mu takovéto informace poskytnout, musíte dodržet obecný postup, který je společný snad pro všechny aplikace pracující s elektronickými  podpisy, a není  tudíž specifický jen pro Adobe Reader: musíte umístit příslušný certifikát na takové místo, kde si aplikace uchovává certifikáty, kterým má důvěřovat.

Jinými slovy: důvěryhodnost se vůči konkrétním certifikátům vyjadřuje jejich umístěním (resp. „instalací“) na konkrétní místo. Tomuto místu se obvykle říká „úložiště“ (úložiště certifikátů, anglicky: certificate store), a obvykle je ještě vnitřně strukturováno do různých „přihrádek“ – s tím, že každá z nich má poněkud jiný význam. Umístěním konkrétního certifikátu do různých „přihrádek“ v rámci úložiště pak obecně vyjadřujeme různé skutečnosti (předpoklady) ohledně jeho důvěryhodnosti.

Ale to vše bude námětem dalších dílů, kde uvidíme že věci jsou ještě o něco komplikovanější. Například i v tom, že různé aplikace používají obecně různá (tj. svá vlastní) úložiště, a jen někdy a jen za určitých okolností jsou ochotny sdílet úložiště, které je realizováno také na úrovni operačního systému. Pamatujme si proto dopředu jeden důležitý závěr: že vyjádření důvěry konkrétnímu certifikátu (jeho umístěním, resp. instalací do konkrétního úložiště) se týká jen těch aplikací, které s tímto úložištěm pracují, a nikoli všech aplikací, které mohou na daném počítači běžet.

Kdo by neznal Josefa Švejka?

Dnes si s tím ale ještě nebudeme komplikovat hlavu a ukážeme si, jak vyjádřit důvěru jednomu konkrétnímu certifikátu (podpisovému certifikátu Josefa Švejka) právě a pouze v rámci programu Adobe Reader.

Využijeme přitom i skutečnosti, že potřebný certifikát je již vložen do zde zkoumaného PDF dokumentu (s výrokem Josefa Švejka a jeho podpisem). Takovéto vkládání podpisových certifikátů je dobrým zvykem, který sice nepatrně zvětšuje objem dokumentu, ale na druhou stranu výrazně usnadňuje práci příjemci, který si chce podpis na dokumentu ověřit.

Jinými slovy: pokud si zde popisovaný dokument otevřete, již v něm příslušný certifikát najdete. Můžete – a měli byste – si ho prohlédnout. Nejsnáze to uděláte tak, že si v Readeru rozkliknete detaily podpisu, viz následující obrázek, a zde kliknete na „Podrobnosti certifikátu“.

detail podpisu Josefa Svejka

To, co bychom na každém certifikátu měli posuzovat ze všeho nejdříve, je kdo a komu ho vystavil. Již při prvním pohledu na předmětný certifikát vidíme, že vystavitel i držitel se shodují. Jde tedy o tzv. „self signed“ certifikát, neboli takový, který si někdo vystavil sám sobě, a také si jej sám podepsal (proto: self-signed, neboli „s vlastním podpisem“). 

detail certifikatu Josefa Svejka

Můžete se o tom přesvědčit i detailnějším pohledem na certifikát, viz další obrázek.

detail certifikatu Josefa Svejka

Jistě, jde o certifikát, který jsem pro potřeby tohoto článku vystavil já, na svém počítači. A jako držitele, a současně i vystavitele certifikátu, jsem uvedl literární postavu Josefa Švejka.

Není certifikát jako certifikát

Odnesme si z toho další důležité ponaučení: že vystavit takovýto certifikát s vlastním podpisem  (self-signed) je možné (a velmi snadné). A je vlastně úplně jedno, na koho takový certifikát zní (na čí jméno je vystaven). Může to být opravdu kdokoli, i nějaká neexistující postava. Stejně tak si do takového certifikátu může každý napsat opravdu cokoli, co uzná za vhodné. Viz detaily o Josefu Švejkovi, včetně jeho smyšlené e-mailové adresy apod.

Později, až se budeme bavit o certifikátech vystavovaných akreditovanými certifikačními autoritami, zjistíme že ony by si něco takového  rozhodně nemohly dovolit. Akreditované certifikační autority mohou vystavit (osobní) certifikát jen skutečně existující osobě, když si předtím zcela spolehlivě ověří její skutečnou identitu.

To vše by nám mělo znovu připomenout, že není certifikát jako certifikát: některým můžeme věřit (považovat je za důvěryhodné), jiným nikoli. V úvahu však připadá i možnost „nevím“, kdy nemáme dostatek informací k posouzení důvěryhodnosti certifikátu. Záleží ovšem i na kontextu, v jakém důvěru vyjadřujeme, a na účelu, ke kterému chceme konkrétní certifikát používat. Někdy mohou být dostatečně důvěryhodné i „self-signed“ certifikáty.

Důvěryhodnost certifikátů bychom měli primárně posuzovat podle toho, kdo je vystavil, a podle jakých pravidel. Například u akreditovaných certifikačních autorit je to tak, že  musí zveřejnit pravidla, podle kterých certifikáty vystavují (tzv. certifikační politiky). Pak také ručí za certifikáty, který vystaví.

Takže pokud budeme důvěřovat konkrétní certifikační autoritě, můžeme důvěřovat i  certifikátům, které  tato autorita vystaví. Jak to konkrétně to ale vyjádříme, tak aby tomu rozuměly i námi používané aplikace, si ukážeme v dalších dílech.

Jak vyjádřit důvěru certifikátu Josefa Švejka?

Zde se ale jedná o certifikát, který nevystavila žádná důvěryhodná certifikační autorita, nýbrž někdo úplně jiný (já, jako autor článku). Ani to však nevylučuje, abyste i vy udělili takovémuto certifikátu svou důvěru. Zde pro potřeby testování (a s pojistkou v podobě toho,  že vyjádření důvěry předmětnému certifikátu po otestování zase odvoláme). V reálné praxi je ale nanejvýš vhodné takovéto věci dělat jen tehdy, pokud skutečně víte, co a proč děláte.

Takže pokud máte chuť si to vyzkoušet, musíte umístit (vložit, nainstalovat) certifikát Josefa Švejka do  úložiště důvěryhodných certifikátů svého Adobe Readeru. Přitom se nenechte zmást tím, že tato aplikace se o vlastním úložišti vyjadřuje (v české lokalizaci) jako  „seznamu důvěryhodných identit“.

Nejjednodušší je začít od zobrazení obsahu samotného certifikátu, a přejít na záložku „Důvěryhodnost“. Zde již najdete tlačítko pro přidání certifikátu k  „důvěryhodným identitám“ Adobe Readeru.

instalace certifikatu Josefa Svejka

Následně vás Reader bude varovat, že změnou obsahu jeho úložiště důvěryhodných certifikátů mu změníme pravidla, podle kterých on vyhodnocuje konkrétní podpisy. Ale aby se to mohlo konkrétně projevit, musíte si nechat každý podpis znovu ověřit.

instalace certifikatu Josefa Svejka

Takže to vezmeme na vědomí, zvláště když záhy budeme podpis Josefa Švejka sami znovu ověřovat.

Ještě předtím se nás ale Adobe Reader zeptá na další věc: jak přesně má rozumět tomu, že daný certifikát vkládáme do jeho úložiště (seznamu důvěryhodných identit)? Zde je důležité, abychom nechali zaškrtnutou volbu „Použít tento certifikát jako důvěryhodný kořen“. Pro certifikáty s vlastním podpisem je to nutnost, ale podrobnější důvody si nechme na další pokračování. A možnosti certifikace PDF dokumentů si zatím také nebudeme všímat, pro naše účely není až tak podstatná.

instalace certifikatu Josefa Svejka

No a teď, když jsme úspěšně nainstalovali podpisový certifikát Josefa Švejka do úložiště důvěryhodných certifikátů Adobe Readeru, si můžeme nechat znovu ověřit páně Švejkův elektronický podpis. Nyní by už by to mělo dopadnout jinak než při prvním pokusu: místo „nevím“, reprezentovaného žlutou ikonkou, by výsledkem měla být zelená ikonka, znamenající „ano“.

detail podpisu Josefa Svejka

Jak odvolat své vyjádření důvěry

Pokud vše dopadlo, tak jak má, zkusme si ještě opačný postup: odvolání důvěry v daný certifikát. Princip je opět jednoduchý: musíme ho odstranit z úložiště důvěryhodných certifikátů příslušné aplikace.

V konkrétním případě Adobe Readeru je nejsnazší vyjít z jeho hlavního menu a položky „Dokument“. Ta nám nabídne možnost „Správa důvěryhodných identit“, kterou navolíme.

instalace certifikatu Josefa Svejka

Následně si dáme pozor, abychom si v úložišti Readeru vybrali právě certifikáty (viz horní listbox). Pokud tak učiníme, zobrazí se nám jednotlivé certifikáty obsažené v úložišti.

odebrani certifikatu Josefa Svejka

Pak už stačí jen vybrat si ten certifikát, který máme na mysli, zvolit možnost „Odebrat“, a tu následně potvrdit.

odebrani certifikatu Josefa Svejka

Ponaučení

Pokud chcete, můžete si popsaným způsobem zkoušet celý postup vyjadřování (a odvolávání) důvěry, skrze instalaci či odebírání certifikátů z/do úložiště, kolikrát chcete. Přitom si všímejte toho, jak v závislosti na tom dopadá vyhodnocování platnosti elektronického podpisu, ke kterému se certifikát vztahuje.

A především mějte na paměti toto hlavní ponaučení z celého tohoto článku: že výrok aplikace, kterou požádáme o vyhodnocení platnosti elektronického podpisu, nesmíme brát jako absolutní. Vždy  – a to i v kladném případě, kdy verdikt zní „ano“ – je výsledek vyhodnocení  jen relativní, vztažený k předpokladům, které vyjadřuje aktuální nastavení aplikace (konkrétně to, co jí řekneme, že má považovat za důvěryhodné). Výsledek ověření jednoho a téhož podpisu tak může někdy znít “ano“, jindy „nevím“, a někdy dokonce i „ne“.

A to neplatí jen pro Adobe Reader, ale obecně, pro všechny aplikace. Příkladem s elektronickým podpisem Josefa Švejka (a jeho „self-signed“ certifikátem) jsem se jen snažil platnost tohoto obecného principu názorně demonstrovat.

Pamatujte na to i při posuzování podpisů na PDF dokumentech, které dostanete skrze datovou schránku. Zde se vám klidně může stát (a na mnoha počítačích také skutečně stane), že když požádáte Adobe Reader o vyhodnocení podpisu na takovémto dokumentu, odpoví vám  „nevím“. A přitom to vůbec nebude znamenat, že by podpis na uvedeném dokumentu nebyl platným uznávaným elektronickým podpisem. Jen jste „kladli nesprávnou otázku“ (tj. neměli správně nastaven svůj Adobe Reader).

U elektronických podpisů pod PDF dokumenty (od orgánů veřejné moci) bude situace přece jen jednodušší v tom, že požadavek na uznávaný elektronický podpis (ve smyslu platných zákonů) přesně určuje, jak má být Adobe Reader nastaven (a obecně každá aplikace, která má uznávaný podpis vyhodnocovat). Jak takového správného nastavení  dosáhnout, si ale nechme na příští pokračování tohoto seriálu.

EBF16

Jen si ještě řekněme to, co určitě již tušíte: že zde předváděný podpis Josefa Švejka rozhodně nebyl uznávaným podpisem. Už jen proto, že literární postavě Josefa Švejka by žádná akreditovaná certifikační autorita kvalifikovaný osobní certifikát nevystavila.

Ale aby to zase nebylo tak jednoduché: ani to neznamená, že na platném uznávaném elektronickém podpisu nemůže být (místo jména  příjmení autora) uvedeno cokoli, třeba nějaký pseudonym. Tak proč ne třeba pseudonym „Josef Švejk“?

Anketa

Podařilo se vám provést popisované úkony?

45 názorů Vstoupit do diskuse
poslední názor přidán 31. 8. 2009 13:16

Školení: Měření a vyhodnocování kampaní

  •  
    Jak připravit a plánovat kampaně
  • Jak vyhodnocovat a využít důležité metriky
  • Jak to dělat u různých obchodních aktivit

Detailní informace o školení Měření a vyhodnocování kampaní»