Jak jsem si pořídil elektronický podpis České pošty

Certifikační autoritu České pošty, s.p. naleznete na adrese www.postsignum­.cz. Úvodní stránka je na informace skoupá, jedná se o rozcestník na dvě certifikační autority České pošty: PostSignum QCA a PostSignum VCA. První je popsána jako „kvalifikovaná certifikační autorita“, druhá jako „komerční certifikační autorita“. Nic víc. Protože jsem netušil, kterou vybrat, vyzkoušel jsem nakonec oba odkazy. Tou hledanou byla QCA, to jsem ale poznal až podle ceníků. Nějaké jasné vysvětlení na úvodní stránce by rozhodně neškodilo.

Úvodní stránka sice nabízí základní informace, ale moudrý jsem z nich tedy rozhodně nebyl. Pravidla se podle textu měla nacházet v certifikačních politikách. Protože jsem fyzická osoba – živnostník, stáhl jsem si certifikační politiku certifikátů pro ověření elektronického podpisu fyzické osoby. Ačkoliv podle popisu na stránce by se mohlo zdát, že je to přesně to, co hledám, ve staženém PDF je až na straně 6 nenápadná poznámka, že tento certifikát je určen pro nepodnikající fyzické osoby. Protože další dokumenty se týkaly zaměstnanců nebo elektronických značek, zkusil jsem štěstí jinde. Částečně se na mne usmálo na stránce „Přehled postupů“, kde jsem se dozvěděl, že pro podnikající fyzické osoby platí to stejné, co pro osoby právnické, postup je prý ale zjednodušen.

Na stránce generování žádosti o certifikát si buď můžete vygenerovat certifikát přímo v Internet Exploreru verze 6 a vyšší, nebo v offline aplikaci. Doplul jsem sice na stránky v Opeře, ale pro účely tohoto článku jsem se rozhodl online generování vyzkoušet. Zásadní problém pro mne byl, který certifikát zvolit. Jsou zde totiž odkazy jen na elektronický podpis zaměstnance a fyzické osoby a dále pak odkazy na elektronické značky – to už vím, že není pro mne. Vylučovací metodou usuzuji, že z pohledu PostSignum jsem zřejmě zaměstnanec, i když žádný zaměstnanec ve skutečnosti nejsem. Rozhodně alespoň nejsem podle certifikační politiky fyzická osoba, i když fyzická osoba jinak jsem. Úvaha to byla stejně zbytečná. Internet Explorer se stránkou nepopral a skončil s hlášením, že „ActiveX objekt Cenroll se nepodařilo vytvořit“. Tipuji, že za to může moje nevraživost k technologii ActiveX, kterou hned po instalaci Internet Exploreru (IE) vypínám. A zapínat ji ani nehodlám. Navíc jsem se dočetl na jiném místě postupu, že certifikát se instaluje do aplikace, ze které se generoval, a že následně se musí exportovat. Protože bych rád certifikát používal i jinde, dalších pokusů s IE jsem raději zanechal.

Aplikace pro offline generování certifikátu má 21 MB a je zatím k dispozici pouze pro Windows. Podle často kladených dotazů ale bude časem i pro Linux, MacOS a dokonce i Solaris. 21 MB mě sice nevadí, ale pro modemisty je to prakticky nedosažitelný objem dat. Samotný instalátor se ukázal být ve skutečnosti samorozbalovacím archivem. Nabídne rozbalení do kořenové složky disku a tím jeho funkce končí. Bohužel se ovšem nerozbalí aplikace samotná, ale další instalátor. Navíc se ani automaticky nespustí. Na graficky vydařeném instalátoru mě zaujalo už jen požadované místo na disku 50 MB. Pokud jste očekávali, že zmíněných 50MB obsahuje videoprůvodce generováním certifikátu v DVD kvalitě, zklamu vás. Namísto toho se mi na počítač nainstaloval v pořadí již třetí Java Runtime Environment.

V aplikaci si musíte zvolit heslo pro přístup k certifikátu. Aplikace vyžaduje poměrně silné heslo, sestávající z povinné kombinace malých a velkých písmen a číslic o délce nejméně osm znaků. Dále zvolíte umístění souborů a vygenerujete nový certifikát. Bohužel ani zde jsem si nebyl zcela jist, jaký certifikát to vlastně chci vygenerovat. Zvolil jsem opět kvalifikovaný certifikát zaměstnance a nemohl jsem se přitom zbavit dojmu, že PostSignum mě ke všemu mate používáním odlišných názvů na různých místech pro to stejné. Ve formuláři mne překvapila povinná kolonka číslo zaměstnance, zato do nepovinné funkce si můžete hrdě vepsat třeba generální ředitel.

Po vygenerování žádosti o certifikát vás aplikace vybídne k jeho uložení. Jediné akceptované médium je bohužel disketa. Do budoucna se, alespoň podle často kladených dotazů, snad podpora médií zlepší i o CD. Zarazila mne však jiná věc – pokud (tak jako já) z neznalosti zvolíte disketu již v prvním kroku, na disketu se neuloží pouze žádost, ale i samotný klíč k žádosti, který by se na PostSignum vůbec dostat neměl. Pracovník PostSignum by si tak teoreticky mohl vytvořit duplikát vašeho certifikátu. Samozřejmě by k tomu potřeboval vaše heslo, ale jak si ukážeme dál, k tomu se u neznalého uživatele může dostat také.

Protože jsem si nebyl zcela jist svým postupem, napsal jsem e-mail na podporu PostSignum. Velmi mne překvapila promptní, profesionální a velmi obsáhlá odpověď. E-mailem jsem byl mimo jiné odkázán na uživatelskou příručku (která jinak poněkud zapadla v sekci „Ke stažení“), ve které jsou ke konci podrobné návody. Díky nim jsem si předem připravil a vytiskl všechny potřebné formuláře a dokumenty. Celkem toho bylo ve dvou kopiích 12 stránek.

Samotný certifikát jsem vyřizoval na pobočce České pošty v jednom z velkých českých měst. Vyřizování probíhalo v malé kanceláři, kde byli dva pracovníci České pošty. Střídavě si ode mne brali různé formuláře, přepisovali je do počítače a zase mi je vraceli k podpisu. Celá operace trvala něco přes 30 minut, podle vytíženosti obou pracovníků jsem to přepočítal asi na ³/₄ „pracovníkohodiny“. Během té doby jsem se nejméně 12krát podepsal pod nějaký z formulářů a marně jsem přemítal, jestli vůbec kdy v mém životě nějaký úkon vyžadoval více byrokracie. Celá legrace mě přišla skutečně na propagovaných 190 korun, fakturu společně se smlouvou mi pošta pošle jak jinak než poštou. Musím dodat, že jsem byl zřejmě jedním z prvních zákazníků a celý postup nebyl úplně zaběhaný a pružný, pracovníci pošty se potýkali i s drobnými technickými problémy. Přesto se nemůžu ubránit dojmu, že náklady pošty musí být vyšší než účtovaná cena.

Závěrem si neodpustím malé rýpnutí do bezpečnosti celého procesu. Během návštěvy si totiž musíte zvolit heslo pro zneplatnění certifikátu. Z mně nejasných důvodů PostSignum zvolil obdobnou sílu hesla jako pro samotný certifikát, konkrétně povinnou kombinaci velkých a malých písmen, číslic a nestandardního znaku o délce nejméně osm znaků. Protože taková nezapamatovatelná hesla uživatelé běžně nepoužívají, musí si nějaké vymyslet. A protože podobné si nedávno byli nuceni vymyslet při generování žádosti, nepochybně je bude lákat použít heslo stejné, doplněné o onen nestandardní znak. Obávám se, že bezpečnosti to rozhodně neprospěje, účinnější by určitě bylo volit pro zneplatnění nějaké méně silné, snadno zapamatovatelné heslo. Možné důsledky pro bezpečnost podpisu si v tomto případě, zejména v kombinaci s nevhodně nahranou žádostí na disketě, jistě domyslíte sami.

Elektronický podpis je bezesporu užitečným nástrojem pro usnadnění obchodní korespondence a komunikace se státní správou. I přes složitost procesu jeho získání hodnotím počin České pošty kladně a věřím, že přispěje k masivnějšímu využívání e-podpisu v ČR. Nemohu se ovšem ubránit dojmu, že celý proces by se dal výrazně zjednodušit a automatizovat. Skutečně je nutné vynaložit 12 fyzických podpisů na jeden elektronický?