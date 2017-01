Před půl rokem, k 1. červenci 2016, došlo k dosud největší změně v oblasti elektronických podpisů. Právě tehdy totiž nabyly účinnosti relevantní pasáže unijního nařízení č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce, známější jako nařízení eIDAS. A to je jistě vhodnou příležitostí pro malé ohlédnutí a rekapitulaci toho, co a jak se od té doby změnilo. Či naopak nezměnilo, ač se změnit mělo.

Pro přehlednost celého článku si nejprve vyjmenujme nejdůležitější skutečnosti, které si následně rozvedeme podrobněji:

„národní“ legislativa, navazující na nařízení eIDAS, měla zpoždění – adaptační zákon k části nařízení o důvěryhodných službách nabyl účinnosti 19.9.2016. Adaptační zákon k části týkající se elektronické identifikace je zatím stále ve stádiu příprav.

tři tuzemské certifikační autority, původně akreditované podle předchozí právní úpravy, mají díky přechodným ustanovením nařízení eIDAS dočasný statut kvalifikovaného poskytovatele služeb vytvářejících důvěru (do 1.7.2017). Mají tak rok na získání tohoto statutu již podle nové právní úpravy, a v mezidobí mohou řádně fungovat.

kvalifikované (ale i komerční a jiné) certifikáty, vydané ještě podle původní právní úpravy, mohou jejich držitelé nadále používat, až do konce řádné doby jejich platnosti)

nové certifikáty, potřebné pro vytváření kvalifikovaných elektronických podpisů, vydávají již dvě autority: I.CA a PostSignum. Obě také nabízí kvalifikované prostředky pro vytváření elektronických podpisů

již se začínají používat elektronické pečeti, zavedené novým nařízením (místo našich el. značek). Přešel na ně už např. Obchodní rejstřík

naplňování povinností z nového nařízení a adaptačního zákona „není ideální“: nejrůznější výpisy z veřejných rejstříků stále nejsou opatřovány časovými razítky a jejich podpisy (značky, pečeti) nemají požadované referenční formáty. Výstupy autorizované konverze do elektronické podoby stále nemají předepsanou náležitost (kvalifikovaný el. podpis osoby, která konverzi provedla).

Nová legislativa

Nové nařízení eIDAS je přímo účinný (unijní) právní předpis, který má stejnou právní silu jako (národní) zákon. Vlastně v jednom ohledu má sílu větší: pokud je s ním národní zákon v rozporu, má nařízení přednost. Ale samo o sobě takovéto nařízení ještě národní zákony neruší.

Náš národní zákon, který původně upravoval problematiku elektronických podpisů (zákon č. 227/2000 Sb., o elektronickém podpisu) jsme si proto museli zrušit sami, spolu s jeho doprovodnými vyhláškami (konkrétně č. 378/2006 Sb. a č. 212/2012 Sb.). Stalo se tak skrze nově přijatý zákon č. 297/2016 Sb. o službách vytvářejících důvěru pro elektronické transakce, který je především tzv. adaptačním zákonem. To proto, že „adaptuje“ náš právní řád na nové nařízení a „dopracovává“ ta místa, která nařízení ponechává na národní úpravu. Což měly být především sankce za nedodržení konkrétních povinností.

Problém byl v tom, že nový adaptační zákon se sice začal připravovat s dostatečným časovým předstihem, ale nakonec se stejně nestihl přijmout včas. Účinnosti nabyl až 19.9.2016, a tak v mezidobí (od 1.7. do 18.9.2016) u nás existovalo jakési „dvouvládí“ – původní zákon č. 227/2000 Sb. o elektronickém podpisu ještě nebyl (adaptačním zákonem) zrušen, a tak platil nadále. Současně už ale platilo (bylo účinné) i nařízení, které mělo aplikační přednost.

V této souvislosti je vhodné si připomenout, že nařízení eIDAS není zdaleka jen o elektronických podpisech a obecně o „službách vytvářejících důvěru“. Je také o elektronické identifikaci, což je další „opravdu velké sousto“.

I pro elektronickou identifikaci budeme potřebovat vhodný „adaptační“ zákon – a jeho příprava postupuje ještě pomaleji, než v případě elektronických podpisů (resp. celé oblasti služeb vytvářejících důvěru). V současné době existuje pouze návrh nového zákona („o elektronické identifikaci a o změně některých zákonů“), který byl vloni teprve předložen do meziresortního připomínkového řízení. Určitý plán dalšího postupu můžete najít například v této prezentaci.

Fungování autorit

Změny se samozřejmě týkají i certifikačních autorit, vydávajících kvalifikované certifikáty: zatímco naše předchozí právní úprava počítala s jejich akreditací, nová právní úprava požaduje, aby se jednalo o „kvalifikované poskytovatele služeb vytvářejících důvěru“. Což vyžaduje nové posouzení toho, zda příslušná autorita splňuje vše, co po ní nové Nařízení požaduje. A to nějakou dobu trvá.

U nás se jedná o tři certifikační autority, které měly akreditaci podle původní právní úpravy: I.CA, PostSignum a eIdentity. Aby se zajistila nezbytná kontinuita v jejich fungování, Nařízení jim ve svých přechodných opatřeních (v článku 51) přiznává potřebný statut (kvalifikovaného poskytovatele služeb vytvářejících důvěru) na dobu jednoho roku, tedy do 1.7.2017. To je doba, kterou mají na „řádné“ získání toho statutu již podle nové právní úpravy a jejích podmínek.

Jinými slovy: všechny tři uvedené autority dnes mohou nadále fungovat a vydávat kvalifikované certifikáty. Což také dělají. A do poloviny roku 2017 musí provést všechny kroky, které požaduje nová právní úprava. Pokud by je snad nestihly, podle článku 51 odst. 4 Nařízení by k 2.7.2017 o svůj dnešní statut kvalifikovaného poskytovatele přišly.

Používání certifikátů

Kontinuita je pochopitelně zajištěna i u jejich produktů: kvalifikované certifikáty, vydané jako osobní podle původní právní úpravy (podle unijní směrnice 1999/93/ES a zákona č. 227/2000 Sb.), je možné nadále používat i spoléhat se na ně, protože svůj kvalifikovaný statut si zachovávají (do konce své řádné platnosti) i v rámci nové právní úpravy, díky článku 51 odstavci 2 nařízení.

Obdobně je tomu i kvalifikovaných systémových certifikátů, které jsou (resp. byly) naší národní specialitou, a jejichž „kontinuitu“ jsme si museli zajistit sami (konkrétně skrze § 19 odst. 8 zákona č. 297/2016 Sb. o službách vytvářejících důvěru pro elektronické transakce).

Praktický důsledek je ten, že uživatelé si kvůli změně právní úpravy nemuseli pořizovat nové certifikáty, ale mohli (mohou) nadále používat ty, které již vlastní (samozřejmě jen do konce řádné doby jejich platnosti). Ale pokud si zažádají o nový či tzv. následný certifikát, dostanou již takový, který je vydán podle nové právní úpravy. Protože certifikační autority mohou od 1.7.2016 vydávat nové kvalifikované certifikáty již jen podle nové právní úpravy.

Rozdíl mezi „původními“ a „novými“ kvalifikovanými certifikáty přitom není jen v odkazu na právní úpravu, jak ukazuje předchozí obrázek. U podpisových certifikátů je drobný rozdíl například i v údajích o držiteli certifikátu, kde je kromě celého jména (CN) nově uváděno jak křestní jméno (G), tak příjmení (SN).

Velmi podstatnou se nově stává položka QCstatements („prohlášení kvalifikovaného certifikátu“). Protože právě podle ní se pozná, zda jde o kvalifikovaný certifikát – a také jaký. Konkrétně zda jde o kvalifikovaný certifikát pro elektronický podpis či pro elektronickou pečeť, a zda je příslušný soukromý klíč umístěn v tzv. kvalifikovaném prostředku pro vytváření elektronických podpisů (zkratkou QSCD, od Qualified Signature Creation Device, případně Qualified Seal Creation Device).

Drobný problém je v tom, že nejčastěji používané softwarové nástroje pro zobrazování obsahu certifikátů položce QcStatements ještě nemusí rozumět, a tudíž nejsou schopny ji správně zobrazit. Příkladem jsou systémové utility operačního systému MS Windows, které stále nedokáží tuto položku interpretovat, a tak zobrazí její obsah jen jako nestrukturovaná data (na následujícím obrázku vlevo nahoře). Lépe je na tom Adobe Reader, který už většinu údajů v rámci položky QcStatements dokáže správně interpretovat (vpravo nahoře).

Asi nejlépe je na tom český Signer od Software602 (na obrázku dole).

Kdo dnes vydává certifikáty pro kvalifikovaný el. podpis?

Velmi zajímavou otázkou je dnes určitě to, která z našich autorit již vydává kvalifikované certifikáty, umožňující vytvářet kvalifikované elektronické podpisy. Stručná odpověď by mohla znít tak, že I.CA to dělala již dříve (za původní právní úpravy), a pokračuje v tom i dnes. Nově, od listopadu 2016, tak činí i PostSignum.

Pro detailnější odpověď si připomeňme, že kvalifikované elektronické podpisy jsou nejvyšší formou elektronických podpisů (co do své věrohodnosti a dalších vlastností), a jsou vázány na použití tzv. kvalifikovaných prostředků pro vytváření elektronických podpisů (zkratkou QCSD, od: Qualified Signature Creation Device). Dříve, podle předchozí právní úpravy, se tyto prostředky neoznačovaly přívlastkem „kvalifikované“, ale přívlastkem „bezpečné“ (zkratkou SSCD, od: Secure Signature Creation Device).

Fakticky jde o certifikovanou čipovou kartu či USB token, s tím že soukromý klíč (ke kterému je vystavován kvalifikovaný certifikát) musí vznikat (být generován) uvnitř tohoto prostředku a nesmí jej opustit (nesmí být možný jeho export).

To v praxi znamená, že certifikační autorita může vystavit kvalifikovaný certifikát pro kvalifikovaný el. podpis jen k takovému soukromému klíči, u kterého si může spolehlivě ověřit, že byl vygenerován uvnitř kvalifikovaného (bezpečného) prostředku a nemůže jej opustit. To ale také znamená, že autorita musí „znát“ příslušný prostředek – v tom smyslu, že její vlastní systémy a prostředky dokáží takovýto prostředek spolehlivě rozpoznat a pracovat s ním. Typicky jde o takový prostředek (čipovou kartu či token), který autorita sama nabízí a prodává.

Samozřejmě existují seznamy takovýchto kvalifikovaných (dříve: bezpečných) prostředků, a i pro ně platí „kontinuita“: díky článku 51 Nařízení mají prostředky, certifikované jako bezpečné podle původní právní úpravy, statut kvalifikovaných prostředků i podle nové právní úpravy.

To se u nás týká I.CA, která již několik let podporuje (a tzv. vydává) čipovou kartu Starcos 3, certifikovanou již v roce 2010 ještě jako bezpečný prostředek pro vytváření elektronických podpisů podle původní právní úpravy. Díky tomu mohla I.CA již dříve vydávat kvalifikované certifikáty pro kvalifikované elektronické podpisy – ovšem jen tomu, kdo si pořídil příslušnou kartu Starcos a soukromý klíč si nechal vygenerovat uvnitř této karty.

Jinak se ale jednalo o „běžný“ kvalifikovaný certifikát, alespoň ve smyslu stejného produktu a ceny. Faktický rozdíl byl jen v nastavení příznaků v rámci položky QCStatements, v závislosti na způsobu generování soukromého klíče.

Příklad vidíte na následujícím obrázku, který současně dokládá jednu zajímavou skutečnost: dnešní Adobe Reader dokáže správně rozpoznat kvalifikované elektronické podpisy (i další související skutečnosti, jako je použití bezpečného prostředku) podle předchozí právní úpravy (založené na unijní směrnici 1999/93/ES). Podle současné právní úpravy, založené na nařízení eIDAS (č. 910/2014), to ještě nedokáže.

Kvalifikovaný el. podpis už i s certifikáty od PostSignum

Zatímco I.CA pracuje s certifikovanými čipovými kartami (bezpečnými, dnes: kvalifikovanými prostředky) již delší dobu, PostSignum je až do nedávné doby nenabízela. Měla sice řešení na bázi „bezpečného klíče“ v podobě USB tokenu – ale nejednalo se o bezpečný (dnes: kvalifikovaný) prostředek pro vytváření elektronických podpisů ve smyslu původní či nové právní úpravy.

Kvalifikovaný prostředek pro vytváření elektronických podpisů nabízí PostSignum až od 11. listopadu 2016. Jedná se opět u USB token (s názvem TokenMe), tentokráte ale již takový, který splňuje potřebné požadavky původní i nové právní úpravy na bezpečný (dnes: kvalifikovaný) prostředek pro vytváření elektronických podpisů. Jeho certifikace proběhla již v roce 2010 v Paříži, a vloni v květnu byla uznána i zde v ČR.

Vydávání (fakticky: prodej) kvalifikovaného prostředku pak umožnilo autoritě PostSignum, aby i ona vydávala kvalifikované certifikáty pro kvalifikované elektronické podpisy. Opět jsou to stejné kvalifikované certifikáty (co do produktu i ceny) jako ty, které nejsou vázány na kvalifikovaný prostředek – a faktický rozdíl je tak pouze ve způsobu, jakým je generován soukromý klíč (přímo v TokenME), a v následném nastavení příslušných údajů v položce QCStatements.

Zajímavostí je, že každý TokenMe, který si zákazník koupí, je od autority předem „personalizován“ (viz příručka)– tím, že je do něj nahrán (bez možnosti exportu) unikátní soukromý klíč, kterým se (spolu)podepíše žádost o vystavení nového certifikátu. Díky tomu autorita ze žádosti spolehlivě pozná nejenom druh prostředku, který byl použit (TokenME), ale i konkrétní exemplář tokenu (který si ve svých interních systémech spáruje s identitou žadatele).

A ještě jeden praktický aspekt: jediná možnost, jak získat nový TokenME od PostSignum, je objednat si ho v PostShop-u. Přijde vás na 740 Kč vč. DPH (690 Kč je za samotný token, plus 50 Kč na „expediční poplatek“). Pro jeho praktické používání už ale nepotřebujete žádnou čtečku (jelikož jde o USB token, jednoduše ho zasunete do USB portu ve svém počítači). Nezbytný ovládací software, bohužel dostupný jen pro platformu Windows, si zdarma stáhnete zde.

Pro srovnání: kvalifikovaný prostředek pro vytváření el. podpisů od I.CA, v podobě karty Starcos, stojí prakticky stejně – přijde na 732 Kč, vč. DPH. Potřebujete k němu ale vhodnou čtečku (stejnou, jaká se používá k eOP s čipem, či k čipovým kartám pro internetbanking apod.). Pokud ji nemáte, od I.CA přijde samostatně nejméně na 660 Kč i s DPH.

A ještě jedno důležité upozornění (které jsem podrobněji rozebíral v letním seriálu o nařízení eIDAS): zatímco unijní právní úprava již od roku 1999 pro komunikaci s veřejnou správou požaduje používání kvalifikovaných elektronických podpisů (a tím i použití právě popisovaných kvalifikovaných prostředků), u nás jsme si původně prosadili časově neomezenou výjimku z této povinnosti. Nově, s účinností nového adaptačního zákona (č. 297/2016 Sb.) jsme si tuto výjimku prodloužili: pro OVM o dva roky (tj. do 18.9.2018), a pro ostatní (fyzické a právnické osoby) opět bez časového omezení.

Důsledek je ten, že povinnost používat kvalifikované el. podpisy, a tím i kvalifikované prostředky (pro vytváření el. podpisů) budou mít všechny orgány veřejné moci (přesněji: ti jejich zaměstnanci, kteří se elektronicky podepisují), a to od 19.9.2018. Do té doby si tedy musí pořídit některý z kvalifikovaných prostředků, a nechat si vystavit potřebný kvalifikovaný certifikát.

Pečeti místo značek

Další významnou změnou, kterou přineslo nové nařízení (a jeho adaptační zákon), je přechod od elektronických značek k elektronickým pečetím.

Rozdíl mezi nimi není jen terminologický, ale i principiální: elektronické značky byly (alespoň u nás) zavedeny jako „strojový elektronický podpis“. Tedy jako elektronický podpis, generovaný automatem (strojem), podle dopředu nastavených instrukcí. A bez právní presumpce seznámení se s obsahem, se kterým naopak byl (ale nově už není) spojen uznávaný elektronický podpis. Příkladem může být generování nejrůznějších výpisů z elektronických rejstříků, které probíhá bez přímé účasti člověka.

Nová právní úprava, daná nařízením eIDAS, ale neřeší to, zda podpis probíhá strojově, či zda jej skutečně vytváří člověk. Stejně tak (u podpisů) nepracuje s presumpcí seznámení se s obsahem. Při zavádění elektronických pečetí staví pomyslnou „dělící čáru“ podle toho, komu má být podpis přisouzen: pokud fyzické osobě, jedná se o elektronický podpis. Pokud právnické osobě (včetně OVM), jedná se o elektronickou pečeť. S tím důležitým omezením, že právnická osoba (OVM) nemůže svou elektronickou pečetí opatřit cokoli – ale jen to, do „pochází od ní“ (čeho je původcem). Protože s el. pečetí je spojena presumce původu (co je opatřeno pečetí je „od toho, komu pečeť patří“).

Nový adaptační zákon (konkrétně § 8 odst. 1 zákona č. 297/2016 Sb.) předpokládá, že orgány veřejné moci by měly elektronicky podepisovat (opatřovat kvalifikovaným elektronickým podpisem) ty dokumenty, které produkují v rámci své působnosti. Pouze tam, kde jim podepisování neukládá nějaký právní předpis, či nevyplývá-li to z povahy právního jednání, mají připojovat své (kvalifikované) elektronické značky.

Navíc i pro elektronické značky platí dvouleté přechodné období: mohou být používány ještě po dva roky (viz § 19 odst. 2 zákona č. 297/2016 Sb.).

To je ale trochu problém: (uznávané) elektronické značky jsou založeny na (kvalifikovaných) systémových certifikátech, a konkrétně PostSignum je od 3. října 2016 přestala vydávat. Místo nich začala ke stejnému datu vydávat certifikáty pro elektronické pečeti – takže ten, kdo dosud pracoval se značkami, může plynule přejít na používání pečetí. Důležitá je ale jedna věc: certifikáty pro elektronické pečeti, které PostSignum nově vydává, nejsou kvalifikovanými certifikáty.

Nicméně to, že nejde o kvalifikované certifikáty (pro elektronické pečeti), nebrání jejich dočasnému použití tam, kde by správně měly být používány tzv. uznávané pečeti (kvalifikované pečeti, či zaručené pečeti, založené na kvalifikovaném certifikátu pro elektronické pečeti): příslušné přechodné ustanovení v adaptačním zákoně (§ 19 odst. 2 písm. b) zákona č. 297/2016 Sb.) je formulováno tak, že (po přechodnou dobu 2 let) připouští i použití ne-kvalifikovaných certifikátů pro elektronické pečeti. Za podmínky, že je vydává kvalifikovaný poskytovatel služeb vytvářejících důvěru. Což PostSignum je.

V praxi se s takovýmito pečetěmi můžeme setkat již dnes, například u elektronických výpisů z obchodního rejstříku. Původně byly opatřovány uznávanými elektronickými značkami toho soudu, pod který spadá subjekt výpisu – a tyto značky byly založeny na kvalifikovaných systémových certifikátech od CA PostSignum, jejichž řádná doba platnosti končila před koncem roku 2016.

Nové kvalifikované systémové certifikáty jim ale PostSignum již vydat nemohla – a tak si soudy již opatřily nové certifikáty pro elektronickou pečeť (byť nikoli kvalifikované, ale od kvalifikovaného poskytovatele služeb vytvářejících důvěru, viz výše). No a vzhledem k tomu jsou aktuálně generované výpisy z OR již opatřeny elektronickými pečetěmi příslušných soudů. Přesněji: zaručenými elektronickými pečetěmi, založenými na certifikátu pro elektronickou pečeť od kvalifikovaného poskytovatele služeb vytvářejících důvěru.

Nicméně to, že se jedná o elektronickou pečeť (a nikoli o el. podpis či značku) mnohdy na první pohled ani nepoznáte. Většina programů totiž ještě nedokáže elektronické pečeti správně rozpoznat. Třeba Adobe Acrobat Reader to nepozná, a jako jeho uživatel to musíte rozpoznat sami, pohledem na detail certifikátu (viz obrázek).

A třeba oblíbená možnost ověření před konverzí na CzechPOINTu, řešená přes jeho úschovnu dokumentů, skončí dokonce chybou.

Nejlépe je na tom český program Signer od Software602, který nejenom že rozpozná elektronickou pečeť jako takovou, ale díky znalosti tuzemské legislativy (a našich výjimek a přechodných opatření) správně rozpoznal i typ pečeti: že jde o zaručenou el. pečeť, založenou na certifikátu pro elektronickou pečeť od kvalifikovaného poskytovatele služeb vytvářejících důvěru.

Kde jsou ještě mezery?

Předchozí obrázek, s výsledky v programu Signer, názorně dokládá, jak ve veřejné správě stále nejsou naplňovány požadavky nové právní úpravy.

Konkrétně: § 11 zákona č. 297/2016 Sb. ukládá „veřejnoprávním podepisujícím“, aby ke svým elektronickým podpisům (a stejně tak pečetím) přidávali i časová razítka. Jak jsem ale podrobněji popisoval zde na Lupě již v říjnu loňského roku, elektronické výpisy z nejrůznějších rejstříků veřejné správy stále nejsou opatřovány časovým razítkem. A nejsou jimi opatřovány ani dnes. Mimochodem, právě proto program Signer odmítnul ověřit platnost el. pečeti – protože se neměl podle čeho spolehnout na dobu, kdy podpis již existoval (aby mohl řádně ověřit, že podpisový certifikát nebyl revokován).

Dalším nešvarem pak je používání jiných formátů pro podpisy a pečetě, než jsou tzv. referenční formáty, které požaduje nařízení eIDAS, a které detailněji specifikuje jeden z prováděcích aktů k tomuto nařízení. Jak také ukazuje předchozí obrázek (viz červené zakroužkování), el. pečeť na výpisu z obchodního rejstříku je ve formátu PAdES Basic, který referenčním formátem není. Navíc byla tato konkrétní pečeť vytvořena ještě s hashovací funkcí SHA1, která se měla přestat používat již před několika lety (jako již nedostatečně silná).

Konverzní doložky stále bez kvalifikovaného podpisu

Neřešený zůstal další problém, na který jsem také upozorňoval již v říjnu loňského roku. Jde o způsob podepisování ověřovacích doložek autorizované konverze z listinné do elektronické formy: podle § 25 odst. 1 písm. h) zákona č. 300/2008 Sb. o elektronických úkonech a autorizované konverzi dokumentů je jejich povinnou náležitostí také kvalifikovaný elektronický podpis osoby, která konverzi provedla.

Fakticky to znamená, že obsluha CzechPOINTů, kde je konverze prováděna (a stejně tak obsluha všech dalších pracovišť, které mohou autorizovanou konverzi provádět), by měla být vybavena kvalifikovaným prostředkem pro vytváření elektronických podpisů (viz výše), a s jejich využitím se podepisovat doložky formou kvalifikovaného podpisu. Jenže tomu tam není, a podpisy na ověřovacích doložkách stále nejsou kvalifikovanými elektronickými podpisy (ale jen zaručenými el. podpisy, založenými na kvalifikovaném certifikátu).

Podle mého názoru je to v rozporu s již citovaným podle § 25 odst. 1 písm. h) zákona č. 300/2008 Sb. Ale existují i opačné názory, které i na tuto explicitní náležitost ověřovací doložky aplikují onu dvouletou výjimku pro OVM (výjimku z povinnosti podepisovat se formou kvalifikovaných el. podpisů).