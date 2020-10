Druhá možnost vyžadovala, abyste – proti snad všem bezpečnostním zásadám a doporučením – předali svému browseru (a v něm běžícímu javovskému appletu) přímo váš soukromý klíč, v souboru PKCS#12 i s přístupovým heslem, aby on s ním mohl vytvořit požadovaný elektronický podpis. Nezapomínejme, že jde o soukromý klíč, ke kterému byl vystaven kvalifikovaný certifikát! Takže je to něco jako předat platně podepsaný bianco šek někomu, koho až tolik neznáte a nemáte kontrolu nad tím, jak funguje – a jen doufáte, že váš bianco šek nezneužije. Mimochodem: předchozí právní úprava elektronických podpisů přímo zakazovala dávat soukromý klíč „z ruky“, zatímco ta stávající to sice umožňuje, ale podmiňuje to udržením vlastní výhradní kontroly nad použitím soukromého klíče (s vysokou úrovní důvěry).

Až do příchodu nové podpisové aplikace to fungovalo tak, že když jste si vybrali možnost elektronického podepsání (nikoli tedy přihlášení do datové schránky či dodatečné potvrzení), měli jste dvě různé možnosti, jak svůj podpis vytvořit ( podrobněji ).

Třetí z dostupných možností, tedy přímé elektronické podepsání, byla až do nedávna značně omezená (viz dále). Počátkem září si ale Finanční správa pro svůj Daňový portál konečně pořídila novou podpisovou aplikaci (jménem ePodpisFS), která již není vázána na konkrétní browser, nevyžaduje Javu a kromě platformy Windows je dostupná i pro macOS a linuxové Ubuntu. Co ale stále chybí, je podpora mobilních platforem.

Kupodivu ale zůstane zachována (zřejmě trvale) i ona nebezpečná možnost s odevzdáváním soukromého klíče. Nová podpisová aplikace ePodpisFS ji totiž také podporuje. Podle mého názoru to ale není dobře, kvůli bezpečnosti i požadavkům právní úpravy. Dříve to možná byla jediná možnost, jak se vyrovnat s omezením bezpečnějších variant jen na Windows a Internet Explorer 11, ale s příchodem nové podpisové aplikace to přestalo platit.

Jak na instalaci?

Chcete-li novou podpisovou aplikaci ePodpisFS začít používat, musíte si ji nejprve nainstalovat na svůj počítač. Ke stažení ji najdete zde. Postup instalace je obvyklý a je podrobněji popsán (pro Windows, macOS a Ubuntu).

Počátkem září, kdy aplikace ePodpisFS byla ještě nová, mohly některé bezpečnostní nástroje preventivně blokovat její instalaci, protože ji ještě dostatečně „neznaly“. Sám jsem na to narazil na počítači s MS Windows, kdy program Defender a jeho SmartScreen zablokoval spuštění jejího instalačního souboru.

V současné době by se to už stávat nemuselo. Nicméně i tak je dobré se ujistit, že si do svého počítače instalujete autentickou aplikaci ePodpisFS, a ne nějaký malware. Zvláště když jde o aplikaci pro elektronické podepisování, která využívá váš soukromý klíč.

Jednou možností je zkontrolovat elektronický podpis instalačního souboru (v MS Windows přes jeho vlastnosti, dle následujícího obrázku).

Další možností je zkontrolovat otisk staženého instalačního souboru: na Daňovém portálu najdete hodnotu tohoto otisku (hashe) a můžete si ji porovnat s otiskem vámi staženého souboru, zda se shodují.

Podepisování místo přihlašování?

V tomto článku vám neukážu, jak se pomocí nové aplikace ePodpisFS podepisuje „ostré“ daňové podání (nemám aktuálně na čem). Ale můžeme si ji předvést na přihlašování (s využitím kvalifikovaného certifikátu) k daňové informační schránce. Mimochodem, nepleťme si daňovou informační schránku s datovou schránkou – jsou to dvě různé věci. Přesto držitelé (zpřístupněných) datových schránek možná ani netuší, že pokud jsou daňovými subjekty, byla jim daňová informační schránka zřízena ze zákona.

Nejprve ale malé upozornění: přihlašování (s kvalifikovanými certifikáty) je problematické. Certifikační politiky vydavatelů kvalifikovaných certifikátů totiž říkají, že kvalifikované certifikáty se smí používat jen k podepisování, přesněji pro ověřování podpisů, a nikoli k přihlašování. Nicméně Daňový portál tvrdí: nevyužíváme je k přihlašování, ale k podepisování žádosti o přístup k poskytované službě. A má to „posvěceno“ i v jednom ze svých zákonů (§ 69b odst. 3 zákona č. 280/2009 Sb., daňový řád):

Nahlížet do daňové informační schránky lze na základě přihlášení prostřednictvím datové zprávy ve formátu a struktuře zveřejněné správcem daně

a) podepsané uznávaným elektronickým podpisem, nebo

b) s ověřenou identitou podatele způsobem, kterým se lze přihlásit do jeho datové schránky.

Důvod, proč se kvalifikované certifikáty nemají (resp. nesmí) používat k přihlašování, je v samotném principu toho, jak vše funguje: protistrana, ke které se chcete přihlásit, pošle vašemu browseru určitou „výzvu“. Přestavujme si ji jako nějaký text, který ale standardně nevidíte. Pokud byste jej (kliknutím na nějaké „přihlásit“) nechali podepsat svým elektronickým podpisem, založeným na kvalifikovaném certifikátu, vznikl by „právně závazný“ elektronický podpis něčeho, co jste vůbec neviděli. Konkrétně tzv. uznávaný elektronický podpis (tj. buď kvalifikovaný elektronický podpis, nebo zaručený elektronický podpis, založený na kvalifikovaném certifikátu). Proto se pro přihlašování mají používat komerční certifikáty, se kterými takovéto uznávané elektronické podpisy nevznikají.

Takže jde vlastně o ochranu přihlašujícího se uživatele, aby nevědomky (a právně závazným způsobem) nepodepsal něco „špatného“, co na něj mohla zlá protistrana nastražit.

Bohužel je ale celá tato ochrana v poslední době v ČR významně ohrožena – s tím, jak naše národní právo má tendenci považovat za právně závazné úplně všechny varianty elektronických podpisů. Jak ty pouze zaručené (tj. založené na komerčním certifikátu) a používané pro přihlašování, tak dokonce i tzv. prosté elektronické podpisy, které ani s žádnými soukromými klíči a certifikáty nepracují a nelze se na ně vůbec spoléhat (podrobněji).

Zpět ale k přihlašování k daňové informační schránce: Daňový portál ukazuje text oné výzvy, kterou má uživatel podepsat svým uznávaným elektronickým podpisem (jde o onu „žádost o přístup“, viz obrázek“). A náš dozorový orgán (Ministerstvo vnitra) k tomuto postupu dává kladné stanovisko:

Použití kvalifikovaného certifikátu, resp. elektronického podpisu pro autentizaci je možné řešit výhradně tak, že osoba, která se autentizuje, podepisuje srozumitelný text, např. „Tímto se přihlašuji k systému…“ Je nepřípustné, aby podepisující osoba elektronicky podepisovala množinu dat, jejíž obsah nezná2). Elektronický podpis je vždy nutné chápat jako podpis, tj. projev vůle vztahující se ke konkrétním datům.

Mimochodem, stejný způsob přihlašování (s využitím kvalifikovaného certifikátu) umožňuje Daňový portál i k agendě vracení DPH v rámci EU, obecně pro vstup do autorizované části portálu.

Jak funguje aplikace ePodpisFS?

Ukažme si nyní, jak se s novou aplikací ePodpisFS pracuje – a to právě na přihlašování k daňové informační schránce (pro podepisování daňových podání by měl být postup analogický).

Po kliknutí na „Přihlásit aplikací ePodpisFS“ (viz předchozí obrázek) je uživatel vyzván browserem ke spuštění samotné aplikace. Současně je mu zobrazen text výzvy, kterou má podepsat.

Když se spuštěná aplikace dostane „ke slovu“ poprvé, nabídne dvě možnosti podepsání:

první je sice nadepsána „Datové úložiště operačního systému“, ale zahrnuje i další prostředky pro podepisování, které jsou aktuálně dostupné operačnímu systému (čipové karty a tokeny)

druhá je nadepsána „Vybrat soubor s certifikátem“, a neznalý uživatel by si tak ani nemusel uvědomit, že ve skutečnosti se po něm nechce jenom jeho certifikát (který je veřejný), ale také jeho soukromý klíč, který by neměl jen tak dávat z ruky. Jde tedy o onu nebezpečnou možnost s poskytnutím soukromého klíče.

Když je aplikace spuštěna následně, nabídne jako první možnost také naposledy použitý certifikát.

Pokud si uživatel vybere variantu „Datové úložiště operačního systému“, aplikace shromáždí informace o všech jí právě dostupných soukromých klíčích, ke kterým byl vystaven (aktuálně platný) kvalifikovaný certifikát, a nabídne uživateli jejich výčet. Zopakujme si, že „datovým úložištěm operačního systému“ naštěstí není myšleno jen (trvale dostupné) systémové úložiště certifikátů daného operačního systému, ale také další „nosiče“ soukromých klíčů, typu čipových karet a USB tokenů, které nemusí být trvale dostupné (ale momentálně jsou pro operační systém na daném počítači dostupné).

Pokud si uživatel zvolí některý z nabídnutých certifikátů, je další postup již jednoduchý a přímočarý: obslužný program příslušného nosiče (čipové karty, USB tokenu, či samotného systémového úložiště) vyzve uživatele k zadání potřebného hesla (které chrání soukromý klíč, ke kterému byl certifikát vystaven). A pokud je vše v pořádku, je elektronický podpis řádně vytvořen (pomocí příslušného soukromého klíče).

Pokud by se jednalo o elektronický podpis nějakého podání, například daňového přiznání, následovalo by jeho odeslání přes společné rozhraní správců daně. Zde, kde si vše ukazujeme na příkladu přihlašování k daňové informační schránce, se jedná o elektronický podpis žádosti o přístup do této schránky. Pokud je tedy vše v pořádku, portál žádosti vyhoví a uživatele pustí do jeho daňové informační schránky.

Není certifikát jako certifikát

Při praktickém používání nové aplikace ePodpisFS, pro potřeby tohoto článku, jsem narazil na jeden zajímavý aspekt jejího chování: když si ke svému počítači připojíte čipovou kartu či USB token, který kromě kvalifikovaných certifikátů obsahuje i nějaké nekvalifikované, nabídne vám jen ty kvalifikované. Což je v pořádku – když je vyžadován podpis, založený na kvalifikovaném certifikátu.

Jak jste si ale mohli všimnout na jednom z předchozích obrázků, v případě systémového úložiště to tak úplně neplatí – zde mi ePodpisFS nabídl také komerční certifikát od společnosti eIdentity. A nechal mne podepsat onu žádost o vstup soukromým klíčem, ke kterému byl vystaven tento komerční certifikát. Podepsaná žádost ale byla ihned zamítnuta, resp. přihlášení selhalo, podle následujícího obrázku kvůli technické chybě ověření platnosti podpisu.

Skutečným důvodem by ale mělo být to, že šlo o podpis, který nebyl založen na kvalifikovaném certifikátu. Nebyl to tedy uznávaný elektronický podpis (buď kvalifikovaný elektronický podpis, nebo zaručený elektronický podpis, založený na kvalifikovaném certifikátu), ale pouze zaručený elektronický podpis.

S tím může souviset i jeden další důležitý aspekt, který se ale (snad) nebude týkat podepisování daňových podání, ale jen přístupu do daňové informační schránky (a také k agendě vracení DPH v rámci EU, kam se také dá přihlašovat kvalifikovanými certifikáty). Jde o to, že daňový portál používá váš podpis jak k vaší autentizaci (tj. že jste to skutečně vy, a ne někdo jiný), tak i k vaší jednoznačné identifikaci (k jednoznačnému určení, kým jste). A jak plyne i z textace podepisované žádosti o přístup, k vaší jednoznačné identifikaci využívá tzv. identifikátor klienta MPSV (IK MPSV). Připomeňme si relevantní část podepisované žádosti:

Žádám o přístup ke službám Daňového portálu. K určení mé jednoznačné identity se použije údaj IK MPSV z kvalifikovaného certifikátu, který bude použit při elektronickém podpisu této žádosti.

To by ale mělo také znamenat, že pro přístup do daňové informační schránky nestačí jakýkoli kvalifikovaný certifikát – ale je nutný takový, který obsahuje i hodnotu IK MPSV svého držitele. Jak by dopadlo přihlášení s certifikátem bez takovéhoto identifikátoru, vám ale neukážu, protože všechny mé kvalifikované certifikáty jej obsahují. Nejspíše bych se ale do své daňové informační schránky nedostal.

Nicméně, a to je docela zajímavé: dříve, podle původní právní úpravy (dnes již zrušeného zákona č. 227/2000 Sb., o elektronickém podpisu) byl IK MPSV v kvalifikovaném certifikátu vyžadován (aby výsledný podpis vůbec byl uznávaným elektronickým podpisem). I když, striktně vzato, to nemusel být nutně IK MPSV, ale (aspoň teoreticky) i jiný identifikátor splňující specifické požadavky prováděcí vyhlášky.

Současné nařízení eIDAS ovšem přišlo s tím, že kvalifikované certifikáty takovéto identifikátory (resp. další atributy) obsahovat mohou – ovšem jen dobrovolně (nelze po nich vyžadovat, aby je obsahovaly). V důsledku toho se svého času omezovaly úkony, které je možné realizovat elektronickou cestou s elektronickým podpisem žádosti, jako například vystavování voličských průkazů.

Nešlo by to přímo přes NIA?

Na závěr celého článku si neodpustím malé zamyšlení a výhled do budoucna: nová podpisová aplikace, fungující na více systémových platformách a nevyžadující konkrétní browser, je určitě krokem vpřed. Tedy alespoň pro podepisování nejrůznějších daňových podání, což by mělo být jejím hlavním určením.

Pro přístup do daňové informační schránky (a vracení DPH z EU) bych ale očekával jiné řešení – opuštění dosavadní náhražky s podepisováním žádosti o přístup a přechod na standardní varianty přihlašování, dostupné pro celý náš eGovernment. Tedy využití možností, které již dnes nabízí NIA a které aktuálně zahrnují přihlašování přes novou eOP, prostředek „Jméno, heslo a SMS“ (nově: NIA ID), kartu Starcos a nejnověji i mojeID. A časem bude zahrnovat i bankovní identitu.

Pravdou je, že již dnes se do daňové informační schránky dostanete i tímto způsobem, tedy přes NIA. Ovšem jen pokud jste držiteli vlastní datové schránky – pak můžete jít do své daňové informační schránky oklikou přes přihlášení do své datové schránky, kde vám bude nabídnuta i možnost přihlášení (do datové schránky) přes NIA. Stejná možnost by pak měla existovat i pro samotná daňová podání: místo jejich elektronického podepsání, o kterém je tento článek, je můžete potvrdit přihlášením do své datové schránky – a pro toto přihlášení je vám již dnes nabídnuta možnost přihlášení přes NIA.

Znovu si ale zdůrazněme, že obě tyto komplikované „objížďky“ (z Daňového portálu do NIA, cestou přes datovou schránku) jsou dostupné jen pro ty uživatele, kteří mají vlastní datovou schránku. Proč ale není možné již dnes „jít přímo“ a přihlašovat se do daňové informační schránky (či autentizovat svá podání na portálu) přímo přes NIA, kteroukoli z možností, které NIA aktuálně nabízí? Bez nutnosti mít datovou schránku?

Odpověď je celkem jednoduchá: brání tomu zákon. Konkrétně daňový řád, který s takovouto možností dnes ještě nepočítá. Pro potvrzení (autentizaci) podání umožňuje pouze ony tři možnosti, které jsme si vyjmenovávali již na začátku článku (viz aktuální znění § 71 zákona č. 280/2009 Sb., daňový řád). A pro „nahlížení“ do daňové informační schránky dnes připouští jen ony dvě možnosti (přes datovou schránku, nebo s podepsáním žádosti o přístup), viz aktuální znění § 69b odst. 3 téhož zákona.

Půjde to, ale až příští rok

Nicméně již od 1. ledna 2021 by se situace měla změnit, alespoň po legislativní stránce. Dle budoucího znění § 71 odst. 1 písm. c) daňového řádu budou pro daňová podání nově připadat v úvahu další dvě možnosti (kromě těch tří dosavadních), a to:

s využitím „přístupu se zaručenou identitou“ – což přes odkaz na definici v § 2 písm. t) zákona č. 365/2000 Sb., o informačních systémech veřejné správy, reálně zahrnuje i přihlašování přes NIA

„prostřednictvím daňové informační schránky“ – zřejmě odesláním přímo z této schránky, nebo s využitím přihlášení do ní.

Samotné přihlášení do daňové informační schránky naopak od 1. 1. 2021 (konečně) přijde o zde popisovanou variantu přihlašování přes podepisování žádosti o přístup. Podle budoucího znění § 69a odst. 2 zákona č. 280/2009 Sb., daňový řád, zůstane jen možnost přihlásit se přes datovou schránku, a nově přibudou dvě další možnosti:

s využitím „přístupu se zaručenou identitou“ (tj. včetně přihlašování přes NIA)

pomocí přidělených přístupových údajů (přidělovaných na žádost správcem daně)

Uvidíme tedy, za jak dlouho po legislativních změnách (již dnes stanovených na přelom roku) dojde na Daňovém portálu i ke změnám praktickým: kdy přibude možnost „jít přímo přes NIA“ a kdy konečně zmizí relikt v podobě přihlašování pomocí podepisování žádosti o přístup.