Vlákno názorů k článku
Elektronický podpis: první akreditace

Může prosím někdo fundovaně vysvětlit, kdo (kromě CA) může získat informace nad rámec obsahu certifikátu, aby mohl bezpečně identifikovat osobu? A komu takové údaje mohou být vůbec poskytnuty, aby vše nebylo v rozporu se zákonem o ochraně osobních údajů?

Totiž, podle certifikační politiky I.CA, pokud jsem ji pochopil správně, jsou POVINNÉ pouze následující atributy subjektu certifikátu:

1. Jméno
2. Příjmení
3. označení, že se jedná o kvalifikovaný certifikát

Všechny ostatní údaje jsou nepovinné, a ani při jejich uvedení nelze osobu jednoznačně identifikovat. Certifikáty podle všeho NEMOHOU obsahovat ani datum narození nebo RČ.

Kdo akceptuje potom takový certifikát?

To, jaké údaje mají být v certifikátu obsaženy, je především věcí osoby (subjektu) spoléhající se na podpis. Ona stanoví pravidla hry. Pokud tedy adresát mojich emailů například prohlásí, že v certifikátu musím mít i barvu očí či velikost bot, jinak se na mé podpisy nebude spoléhat, pak mám pouze dvě možnosti. Buď tyto údaje bude můj certifikát obsahovat, nebo s daným subjektm nebudu elektronicky komunikovat. Tím nechci nijak omlouvat dodatek § 11. Naopak, výše uvedené je doméhou spíše soukromého práva, kde platí smluvní volnost stran.

Nesouhlasím. Diskutujeme zde o KVALIFIKOVANÝCH certifikátech. Zprávy podepsané těmito certifikáty jsou povinny přijímat orgány státní moci na základě nařízení vlády. Pro ostatní účely, které ponechme stranou, nepotřebujeme kvalifikované certifikáty - můžeme použít nekvalifikované certifikáty nebo také žádné...

Ptám se tedy: vydá mi akreditovaný poskytovatel certifikát, který budu moci při komunikaci s veřejnou správou použít?

Vzhledem k citovanému ustanovení novely se domnívám, že nikoli, protože dle něj "KVALIFIKOVANOST" certifikátu již není postačující podmínkou, aby byl podpis vytvořený s takovým certifikátem akceptován.

Abychom předšli dalším nedorozuměním, pokusím se shrnout Vaše připomínky, jak jim rozumím já: "na jedné straně se říká, že v oblasti orgánů veřejné moci je možné používat jen kvalifikované certifikáty od akreditovaného poskytovatele. Dále se ovšem říká, že kvalifikované certifikáty pro oblast orgánů veřejné moci musí obsahovat jednoznačný identifikátor podepisující osoby. Nestačí tedy pouhá kvalifikace certifikátu, ale je nutné rozšířit jeho obsah." Doufám, že jsem porozuměl dobře...
Nemám nic proti tomu, aby si jednotlivé orgány veřejné moci upravily náležitosti jimi přijímaných certifikátů. Je otázkou, jakým způsobem to provést.
V zákoně nejsou zavedeny kvalifikované certifikáty z toho důvody, aby se určil obsah certifikátů pro orgány veřejné moci. Obecně jsou certifikáty určeny k přenosu veřejného klíče. Kvalifikovaný certifikát má tento přenost zjistit minimálně dostatečným, bezpečným způsobem (alespoň to byl záměr Směrnice 1999/93EC).
Identifikace a následná autentizace osoby pomocí asymetrické kryptografie a certifikátů je o něčem jiném.
S pozdravem
JH

>Nemám nic proti tomu, aby si jednotlivé orgány veřejné
>moci upravily náležitosti jimi přijímaných certifikátů.
to já mám opačný názor. V kamenném světě by to znamenalo, že každý úřad by měl právo si stanovit, jaký občanský průkaz bude požadovat jako průkaz totožnosti (a já si budu pokaždé muset nechat vystavit specifickou občanku pro ten který úkon s tím kterým úřadem).
Obávám se, že to je proti duchu snah o zavedení el. podpisů (tak jak jsem je dosud interpretoval).

BTW, když se o tomto aspektu diskutovalo na tiskovce I.CA, šéf UOOU Neuwirt zmiňoval, že by se vše dalo vyřešit zavedením tzv. národního identifikátoru (jak to po nás ostatně chce EU). Tím by asi nemělo být rodné číslo, ale mohlo by jím být např. číslo soc. pojištění (nebo něco jiného, hlavně ale bezvýznamového). Až se podaří uzákonit národní identifikátor, mohl by on být tím jednoznačně identifikujícím údajem ve všech certifikátech, které by pak mohly být univerzálně použitelné ...

Možná se vyjadřuji příliš obecně, nebo mluvíme o něčem jiném :-) Pokud budeme rozumět certifikátem určitý bezpečnostní obal veřejného klíče, pak si strana, která se spoléhá může stanovit svá pravidla, za jakých se bude na náš podpis spoléhat. Pokud budeme certifikátem rozumět prostředek k identifikaci a podpisem prostředek k autentizaci, pak Vám dávám za pravdu a certifikát musí obsahovat údaje, které jednoznačně identifikují osobu. A jistě by národní identifikátor byl vhodnou položkou. Zřejmě je to jen o přístupu. Myslím, že naše názory se tolik neliší.

položím tedy otázku jinak: bude-li úřad A trvat na údaji X a úřad B na údaji Y, a já budu chtít komunikovat el. cestou s oběma úřady, co k tomu budu potřebovat? Půjdu za akreditovaným poskytovatelem certifikačních služeb a nechám si za úplatu vystavit jeden kvalifikovaný certifikát, který budu moci použít pro komunikaci s úřady A i B? Nebo bude muset mít akreditovaný poskytovatel v nabídce více různých kvalifikovaných certifikátů (minimálně jeden pro úřad A a druhý pro úřad B), a já si budu muset pořídit oba dva? Nebo bude akreditovaný poskytovatel vydávat takové kvalifikované certifikáty, které obsahují údaj X a současně údaj Y? Když si pak vzpomene úřad C, že by tam rád měl údaj Z, budu si muset nechat vystavit nový certifikát?

Můžu po úřadech požadovat, aby si své certifikáty doplnily o mnou požadované údaje, abych mohl úředníka jednoznačně identifikovat?

Novela se týká všech certifikátů používaných v oblasti orgánů veřejné moci, tedy, chápu-li to dobře, i certifikátů příslušných úřadů....

Dobrý večer snad již naposledy
Hodně jste mi to ulehčil :-) Záleží na dohodě úřadů, na konceptuálním přístupu celé státní správy. Pokud budou trvat na svých identifikátorech (například z důvodu, že ve svých registrech používají každý různé klíče), co nám zbude? Snadnější a pro všechny občany přijatelnější by jistě bylo zavedení jednotného identifikátoru, který jste zmiňoval.
Hezký večer
JH

Vy tvrdíte, že el. podpis ve spojení s certifikátem může nebýt prostředkem pro autentizaci zpravy (resp. subjektu, ktery ji vytvoril)??????

Pak doporucuji precist zacatek samotneho zakona:

"certifikátem datová zpráva, která je vydána poskytovatelem certifikačních služeb, spojuje data pro ověřování podpisů s podepisující osobou a umožňuje ověřit její totožnost,"

dále

" a) elektronickým podpisem údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě,"

----
Dále mylně uvádíte, ze certifikat je bezpecnostnim obalem klice. Certifikat je bezpecnostnim obalem trojice {klic; identifikace subjektu; dalsi potrebne info}. Zabalit bezpecne JEN klic nefunguje a doufám, že vite proč...
Doporucuji Vam prostudovat prislusne TECHNICKE normy, napr. PKI X.509.

Dobrý večer i Vám,
nechci se již po sté zapojovat do příspěvků, ale dovolím si ještě jen pár slov k Vaší reakci.
"...umožňuje ověřit totožnost" není to samé jako prokázání totožnosti :-)
Netvrdím, že el. podpis ve spojení s certifikátem může nebýt prostředkem pro autentizaci zprávy.
Elektronický podpis, tak jak je definovaný v zákoně, může mít skutečně mnoho forem a z toho vyplívajících způsobů ověření totžnosti.
RFC2459 si čtu každý večer na dobrou noc :))
Mějte se a přeji vše nej
JH

Klídek Pavle, klídek. Přítomnost certifikátu stejně neříká nic o tom, že by snad došlo k platnému a vědomému aktu podepsání či odsouhlasení obdržených informací. Je to jenom automatizovatelný akt proveditelný bez přítomnosti člověka.

Petře, já vám vůbec nerozumím. Zprávu podepisuji já jako odesílatel a tím, že ji příjemce obdržel a zkontroloval, potom považuje můj právní úkon za platný, jak nyní umožňuje ObčZ. Po příjemci vůbec nechci, aby cokoli podepisoval nebo schvaloval. Ten může maximálně souhlasit nebo nesouhlasit s obsahem mé zprávy, ale to je tak všechno ;-)

Hypotetický příklad, kterého bych se nerad dočkal:

Přijdu do I.CA, zažádám o kvalifikovaný certifikát, zaplatím nemalý obnos 700 Kč, a nadšený už si nesu domů kvalifikovaný certifikát, jedině u kterého mi vláda garantuje, že s ním můžu komunikovat s veřejnou správou. Vyplním daňové přiznání, podepíšu jej elektronicky a posílám emailem na FÚ. Další den mi FÚ odpoví, že můj certifikát je sice kvalifikovaný a platný, ale nedostačující, protože obsahuje jméno, příjmení a adresu ale chybí v něm datum narození nebo rodné číslo a že toto nemohou akceptovat, neboť nejsem jednoznačně identifikován.

I.CA mi lepší kvalifikovaný certifikát nevydá a jiná akreditovaná CA neexistuje, takže mám smůlu a v každém případě jsou to vyhozené peníze....

Skutecne rozumite spatne. To, ze je zprava podepsana elektronickym podpisem - a to uvazujme hypoteticky pripad, ze je (prijemci) znama identita osoby ktere byl takovy podpis vystaven - nedokazuje, ze danou datovou zpravu skutecne podepsala ona osoba. A vetsina zakonych norem je postavena na "vuli" prislusnych subjektu, nikoli na " podpisu" - ano, pritomnost podpisu je (jednim a pomerne zavaznym, ale nikoli samostatne postacujicim) zpusobem jak potvrdit projev vule. Napriklad i nepochybne vlastnorucne podepsana smlouva bude neplatna, pokud se ukaze, ze ji dotycny podepsal omylem (napriklad byl ve stavu kdy nebyl schopen rozpoznat co vlastne dela, nebo byl podveden co se obsahu smlouvy tyce a pod.). Totez plati i pro podpis elektronicky, kde navic lze namitnout, ze podpis byl "odcizen" a zneuzit jinou osobou (u vlastnorucniho podpisu by to zrejme vyloucil grafolog). Pak je proste takovy dokument "nepodepsany". Ano, je pravda, ze drzitel podpisu odpovida za jeho zneuziti - to ale znamena, ze nahradi prokazatelne zpusobenou skodu, nikoliv, ze budou platne i ty smlouvy, ktere vlastne "nepodepsal". Myslim, ze predevsim o tom byl prispevek na ktery reagujete.

To, o cem mluvite vy je zase o necem jinem - tedy o tom, zda statni organ bude povinen prijmout dokument opatreny kvalifikovanym podpisem podle prislusneho zakona jako "podepsany", nebo zda si bude moci klast na "nalezitosti" podpisu dalsi pozadavky. A to je o trochu necem jinem ...

Děkuji pane Lukeš. To je přesně ta pointa. Myslím že nebude dlouho trvat a objeví se užitečné viry schopné podepsat za kohokoliv cokoliv....

Toho se, popravde receno, za svoji osobu nijak zvlast neobavam (tim ale netvrdim, ze takovy virus nebude ohrozovat laickou verejnost) - certifikat musi byt chranen pred pouzitim, napriklad heslem a to samozrejme viru nereknu, takze virus bude moci certifikat poskodit, smazat, nekam odeslat, ale nemel by byt schopen ho pouzit. Ano, dovedu si predstavit, ze bdue napriklad ve vhodnou chvioi "odezirat" co pisu na klavesnici - ale tak jako je ma starost zajistit, ze mi nikdo nebude stat "za zady" tak je uplne stejne moje starost abych neco takovehleho proste nepripustil take (a ja vim, ze se pred necim takovym neda chranit definitivne, ale da se pred necim takovym chranit VELMI ucinne). Vychazim ze sve zkusenosti, ktera rika, ze prakticky nejsem zadnymi viry napadan - ackoliv zrovna moje el. adresa je pomerne exponovana (a nevyzadanych dopisu dostavam denne nekolik desitek, skoro stovku) a ackolvi se nezrikam zcela pouzivani programu, ktere sezenu "nekde po Intenetu".

Samozrejme, pokud nekdo svuj elektronicky popdis umisti na pocitac, kde spousti "kde co" ziskane "kde mozne", nez trochy soudnosti klika na kazdou prilohu, ktera mu prijde, pouziva Outlook (Express) ackolvi je jasne, ze drtiva vetsina utoku je smerovana PRAVE na uzivatele tohoto MUA - tak ten skutecne napaden byt muze a nemuze se divit. Asi tak jako se nemuze divit ten, komu jsou ukradeny a zneuzity platebni karty, ktere bezne nechava valet ruzne volne po stolech a nebo mu vycuhuji ze zadni kapsy kalhot.

Je jasne, ze tam, kde neni zakladni gramotnost nutna pro zachazeni s pocitacem, tam je pouziti "pocitaoveho" podpisu velice problematicke a nebezpecne. Takze tento pripad jsem ani na mysli nemel. Ja mel na mysli zejmena zamerne zneuzivani ze strany opravneneho drzitele podpisu, ktery ma, de-facto, moznost platnost sveho podpisu kdykoliv odvolat. A to me pripada jako podstatne zavaznejsi problem nez ten, ktery jste mel na mysli vy, protoze mnou popsany problem nepostihuje samotneho "vinika", ale nekoho jineho - druhou stranu ...

• Zakon o el. podpisu stanovi, ze zaruceny el. podpis umoznuje identifikaci podepisujíci osoby ve vztahu k datove zprave.
• Certifikatem pak je "datova zprava, ktera ... spojuje data pro overovani podpisu s podepisujici osobou a umoznuje overit jeji totoznost".
• Zakon o ochrane osobnich udaju povazuje za osobni udaj "jakykoliv udaj tykajici se urceneho nebo urcitelneho subjektu udaju".

Z toho ja, jako pravni laik dovozuji - ze "certifikat", u kteho neni mozne overit totoznost osoby, ktera jej drzi vubec neni certifikatem ve smyslu zakona o el. podpisu. Je ale pravda, ze zakon nerika KOMU ma byt jednoznacna totoznost zrejma - to zrejme znamena, ze postacuje, pokud je presna identita znama prislusne CA - a ta neni povina tuto informaci v zasade nikomu sdelovat, tj. pri prijemce podepsanych zprav je jednoznacna identita osoby nezjistitelna. Ani zakonna povinnost zajistit provozovani bezpecneho a verejne pristupneho seznamu vydanych kvalifikovanych certifikatu vec neresi, protoze zakon neupravuje co presne ma byt jeho obsahem. To se, zrejme, pokousi upravit prave zminovana novela, kdyz uvadi, ze Pokud je zaručený elektronický podpis zalozený na kvalifikovaném certifikátu uzíván v oblasti orgánů veřejné moci, musí kvalifikovaný certifikát obsahovat takové údaje, aby osoba byla jednoznačně identifikovatelná. - jenze s ohledem na uz puvodni dikci zakona tedy, ze certifikat (osoby) umoznuje overit jeji totoznost nejde o zadny pokrok, protoze to dle meho nazoru rika (pro urcitou skupinu certifikatu) naprosto totez co v zakonu je jiz ulozeno pro vsechny certifikaty. Ovsem, ani tuto novelu nelze dle meho nazoru chapat jako obecne zmocneni pro jednotlive konkretni urady aby si urcovaly dalsi nalezitosti certifikatu "po libosti" - tj. pokud budu mit ve svem kvalifikovanem certifikatu jmeno a rodne cislo, pak tento certifikat naprosto jednoznacne identifikuje moji osobu jakemukoliv organu - a to vcetne vsech organu statnich. Domnivam se tedy, ze urad bude povinen, pokud je vybaven elektronickou podatelnou a prijima elektronicky podepsana podani, takovou zpravu prijmout a zpracovat, protoze bude mit vsechny nalezitosti stanovene zakonem. Urad nepochybne muze stanovit, ze doplnujici udaj musi byt obsazen v samotne datove zprave (napriklad se da ocekavat, ze financni urad bude vyzadovat aby v danovem priznani bylo uvedeno danove identifikacni cislo), neni, dle meho ale opravnen vyzadovat aby nejaky konkretni a zakonem nevyzadovany udaj byl obsazen primo v certifikatu samotnem.

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Kolize se zakonem na ochranu osobnich informaci podle meho nazoru ale nemuze nastat prakticky v zadnem pripade - pokud ja, jako zadatel pozadam o vydani kvalifikovaneho certifikaty, pak jsem nepochybne srozumnen s tim, ze zadam o vydani certifikatu podle platneho zakona o el. podpisu - z nehoz je zrejme, ze udaje umoznujici jednoznacne identifikovat moji osobu musi byt dostupne prinejmensim vsem osobam, vuci kterym takto ziskany podpis pouziju. To lze, dle meho, povazovat za souhlas (vyzadovany zakonem o ochrane osobnich dat) s predavanim techto dat v rozsahu vyzadovanem zakonem o el. podpisu.

Abych to shrnul - tim, ze pozadate o certifikat (podle meho nazoru dokonce nejen kvalifikovany), davate tim souhlas ke vsem potrebnym a souvisejicim ukonum - a k nim poskytovani urcitych osobnich udaju tretim osobam patri.