Bylo to vysvětlené výše. Když se někam přihlásíte, musí všichni důvěřovat tomu, kdo vás ověřil, že to udělal správně. Už se to nedá nikdy ověřit znova. U podání přehledu pro zdravotní pojišťovnu je to skoro jedno – kdybyste měl nějaký přeplatek, může si ho někdo jiný nechat poslat na svůj účet, to moc velká škoda nebude; kdyby za vás někdo podal chybně vyplněný přehled, kde by tvrdil, že máte doplatit milion na pojistném, spravil byste to tak, že podáte opravný přehled a zaplatíte nějakou pokutu za pozdní podání. Taky žádná velká škoda nevznikla.
Ale představte si, že by takhle šlo prodávat baráky. Že by kupní smlouva na vaši nemovitost nemusela obsahovat váš podpis, ale uzavírala by se „přihlášením“ – tedy tak, že půjdete na poštu, tam předložíte občanku a poštovní úřednice zadá do katastru, že prodáváte váš barák. Tohle se ale dodatečně nedá nijak ověřit. Vy budete tvrdit, že jste na té poště nebyl, poštovní úředník bude tvrdit, že jste tam byl a ukázal mu občanku. Není jak rozhodnout, kdo z vás má pravdu.
Věříte všem poštovním úředníkům, že nikdo z nich nebude podvádět a nikdo z nich neudělá chybu? Věříte jim tolik, abyste svolil s tím, že váš barák je možné prodávat tímhle způsobem? Ale pokud máte datovou schránku, dal jste České poště technicky možnost vaším jménem odesílat datové zprávy. Takže věříte, že tam nebude chyba a že nikdo (třeba skupina lidí), kdo má potřebné možnosti, nebude mít zlý úmysl?
Tady jste narazil na zcela zásadní otázku: zda právní jednání v elektronické podobě má být „samonosné“, v podobě elektronických dokumentů, řádně elektronicky podepsaných jednající osobou (tj. „samonosné“ ve smyslu toho, že si přímo v sobě nese vše potřebné pro pozdější ověření své autenticity a věrohodnosti) – nebo zda máme jít cestou různých „dosvědčení“, kdy někdo jiný (nějakou formou) dosvědčuje, že jednající osoba projevila takovou a takovou vůli. Například že se určitým způsobem přihlásila do nějakého systému, v něm na něco klikla, nebo v něm zadala něco k odeslání – a provozovatel systému jí to nějakým způsobem dosvědčí.
Problém principu „dosvědčení“ je mj. v tom, že výsledné zachycení projevu vůle samo o sobě není plnohodnotně využitelné, ale vždy potřebuje vedle sebe ono své „dosvědčení“. Třeba když odešlete nějaké podání skrze datovou schránkou a místo jeho podepsání využijete fikce podpisu, příjemce nemůže vaše podání (el. dokument bez podpisu) jen tak vyjmout z obálky (datové zprávy), tu zahodit a dále pracovat již jen s vaším podáním (jak by to mohl udělat v případě „papíru“). Musí nějakým způsobem zachovávat i jeho dosvědčení, nahrazující chybějící podpis (např. v podobě samotné datové zprávy, protože právě ona by měla být důkazem autenticity nepodepsaného podání, resp. projevu vaší vůle – a která mimochodem ani neuvádí vaší konkrétní identitu). Příjemce stejně tak nemůže třeba jen jednoduše postoupit samotné vaše podání k vyřízení někomu jinému (přeposlat příslušný soubor), ale musí vhodným způsobem předat i ono „dosvědčení“.
Dalším aspektem je to, že pro „samonosná“ řešení se máme o co opírat (o ověřené a dostupné technologie, platné technické standardy a normy, certifikace, orgány posuzování shody atd.), můžeme to přezkoumávat i s odstupem času, a mohou to akceptovat i v zahraničí, protože to také znají. To u „dosvědčení“ toho moc pro opření se či k pozdějšímu přezkoumávání nemáme, a v zahraničí nad tím mohou leda tak kroutit hlavou.
Na druhou stranu: ani ten elektronický svět není černobílý a obě varianty mohou mít své opodstatnění – pro někoho, k něčemu či někdy mohou být vhodnější než druhá varianta. Problém, který osobně vidím zde v ČR, je výrazné preferování „dosvědčeného“ principu přes „samonosným“ řešením. Například v prosazování fikce podpisu u datových schránek jako primárního řešení (a ne jako nouzového řešení pro ty, co se neumí elektronicky podepsat). Nebo v zavedení tzv. legalizace elektronických podpisů novým zákonem o právu na digitální služby (kde je to čistě na principu „dosvědčení“). Nebo všechny ty náhražky řádného podepsání skrze přihlášení …..
Souhlasím, nechtěl jsem to dosvědčení zatracovat úplně. Ostatně známe to i z nedigitálního světa, kde se jednoduché úkony dělají tak, že předložím občanku a věří se tomu, že ji dotyčný správně zkontroloval. Za problém považuju právě to, že se v ČR tahle zjednodušená forma cpe i tam, kde bych očekával lepší zabezpečení. Kdybychom převedli fikci podpisu datových schránek do fyzického světa, vypadalo by to tak, že bychom podání vůči veřejné správě nepodepisovali, ale šli bychom na poštu, tam bychom ukázali občanku, poštovní úředník by údaje z ní opsal, dal by k tomu kulaté razítko, a tím by se to považovalo z námi podepsané. V některých státech to takhle u málo podstatných úkonů myslím funguje. Ale nedovedu si představit, že by se u nás zavedlo jako univerzální princip podání platný pro veškerou veřejnou správu. Ale u datových schránek to prošlo, a takřka bez povšimnutí.
Tu praktickou nepřezkoumatelnost (zkoumat se to dá jen forenzními metodami) považuji za největší problém. Dokud se nic nestane, je to zdánlivě v pohodě, ale je to časovaná bomba. Co by se asi stalo, kdyby se někde objevil privátní klíč, kterým podepisují zprávy datové schránky – a nevědělo by se, jak dlouho k němu měl někdo nepovolaný přístup. Zrušíme platnost doručení všech zpráv za několik měsíců nebo let?
Ono půjde podat daňové přiznání bez podpisu, jenom na základě přihlášení?
Tohle nahrazování podpisu přihlášením je dost nebezpečné, protože přihlášení na rozdíl od elektronického podpisu nejde dodatečně nijak zkontrolovat. Prostě musíte bezmezně důvěřovat autoritě, která poskytuje autentizační služby, a už nikdy nijak nedokážete, že jste to nebyl vy, kdo se přihlásil. Leda byste dokázal, že jste byl někde v pralese bez přístupu k internetu. U elektronického podpisu je to úplně jiné – i kdyby certifikační autorita vystavila falešný certifikát, pořád to bude certifikát k jinému klíči a kdykoli v budoucnosti bude možné odlišit podpisy vytvořené pravým certifikátem od těch vytvořených falešným.
Bohužel lidé vidí, že „ušetří“ 400 Kč ročně, tlačí na používání přihlašování místo podpisu. A rozhodují o tom lidé, kteří problematice nerozumí, takže se bezpečnost takhle nesmyslně oslabuje.
(A to bez ohledu na to, zda půjde daňové přiznání opravdu podat jen na základě přihlášení, bez podpisu – největší zvěrstvo je, že se tohle zavedlo u datových schránek, všechno ostatní už jsou jen méně podstatné maličkosti.)
Elektronicky podepsané dokumenty mohou být zcela samonosné i v tom smyslu, který zmiňujete. Existuje totiž více variant (formátů, resp. úrovní) elektronických podpisů, které se liší podle toho, kolik dalších informací (certifikátů a CRL či OCSP odpovědí, časových razítek) do nich „nasypete“.
A "nasypávat" může jak ten, kdo podepsané dokumenty vytváří, tak i ten, kdo s nimi dále pracuje, nebo kdo se jen stará o udržování jejich digitální kontinuity.
Není to obdoba dosvědčení. Elektronický podpis certifikační autority na podpisovém certifikátu můžete ověřit třeba za dvacet let – stačí vám k tomu veřejný klíč té autority. CRL potřebujete, abyste si mohl ověřit, že ten certifikát nebyl odvolán – ale k tomu vám opět stačí získat CRL kdykoli mezi datem podpisu a koncem platnosti podpisového certifikátu, případně i později. Všechno jsou to věci, které je možné ověřovat kolikrát chcete a nezávisle na certifikační autoritě.
Naproti tomu na dosvědčení se musíte spolehnout a nemáte žádnou možnost, jak ho dodatečně ověřit. To, jestli poštovní úřednice správně zkontrolovala občanku, neověříte ani za hodinu, natož abyste to mohl zpětně ověřit za měsíc nebo za několik let. A s přihlašováním je to to samé – pokud poskytovatel autentizační služby tvrdí, že jste se přihlásil vy, musí mu to všichni věřit a nedá se to nijak zkontrolovat.
Ano, na poskytovatele autentizačních služeb jsou kladené vysoké nároky. Ale na certifikační autority také, přesto je tam ta pojistka, že je možné vše zpětně kontrolovat. A není to náhoda – to, že je možné věci zpětně kontrolovat, je jeden ze základních pilířů PKI. Už se mnohokrát ukázalo, že se tahle opatrnost vyplácí – protože i světově uznávané certifikační autority dělají chyby. My teď budeme mít možná nižší desítky poskytovatelů autentizačních služeb – to by bylo, aby někdo z nich neudělal chybu. To není nic proti MojeID, za mne patří k těm důvěryhodnějším poskytovatelům, kteří jsou nebo budou ve hře.
XML s přiznáním můžete odeslat přímo datovou schránkou. Taky bez podpisu, podpis je nahrazený přihlášením. Tedy to samé ověření, jako při přístupu přes EPO.
Datové schránky by byly pro lidi nepoužitelné (nezkousnutelné), kdyby měli nejprv dokumenty podepisovat elektronickým podpisem a pak terpve odesílat datovkou. Znám mnoho lidí, kteří už jen datovku zvládají jen s vypětím všech sil.
Bezpečnost musí být vybalancovaná s použitelností. Věřím, že v budoucnu bude podpis potřeba.
(BTW zrovna minulý týden mě správce daně požádal, že mi pošle dokument poštou, protože datovka je pro něj složitější administrativa)
Předpokládám, že myslíte datové schránky. Já jsem se ptal na to, zda se taková funkce přidá a daňový portál. Je potřeba se téhle nebezpečné věci zbavovat, ne ji naopak rozšiřovat.
Nemyslím si, že by primárně šlo o pohodlí, spíš o cenu. Podepsat něco elektronicky eObčankou je stejně jednoduché, jako se s ní přihlásit. To, že je něco pohodlné, ještě neznamená, že je to bezpečné nebo správné. Jak jsem psal výše, asi byste nechtěl, aby šlo smlouvu o prodeji nemovitosti uzavírat tak, že půjdete na poštu, tam si vás úřednice ověří podle občanky a v systému zaklikne, že nemovitost opravdu prodáváte. Naštěstí to nyní nejde ani v elektronické obdobě, ale to jenom proto, že datovou schránku nemůžete použít pro uzavření smlouvy o prodeji nemovitosti, protože je vyžadován ověřený podpis.
Daňové přiznání můžete poslat datovou schránkou – to je to, co jsem psal na konci, že Pandořinu skříňku už dávno otevřely datové schránky. Ale zatím to bohužel vypadá, že než aby se tenhle nesmysl omezoval, šíří se dál a dál. U daňového přiznání zas tak o moc nejde, kdyby někdo za vás podal falešné daňové přiznání, škody budou poměrně malé.
Tím seznamem důvěryhodných certifikátů je v EU seznam LOTL (List of Trusted Lists), který zastřešuje národní důvěryhodné seznamy (Trusted List-y).
CVUT na to jde salamounsky. Nekdy nedavno se v interni administrative zacaly sirit pozadavky na elektronicke podepisovani nejruznejsich dokumentu, ale skola vedela, ze kdyby mela zamestnancum zprovoznovat ctecky karet a dalsi HW, tak by to nedopadlo dobre... Takze pouzili nejaky centralizovany key storage, kde ma kazdy zamestnanec svuj klic ulozeny a zaheslovany. Pri generovani internich dokumentu vyzadujicich podpis se aplikace zepta na heslo klice a pak dokument posle podepisovacimu stroji. A ten kazdou podpisovou akci chce jeste stvrdit tlacitkem (a spolu s tim zobrazi podepisovany dokument).
Je to podle meho takova obezlicka, ale v zasade docela funkcni. Jen to proste neni dvoufaktor, no... (nevim, mozna rektor musi podepisovat pres smartcard :) ).
Mělo by to být na https://overeno.mojeid.cz. Nevím, zda už je to veřejné nebo je to stále v betaverzi na pozvánky.
Který (coby https://ec.europa.eu/tools/lotl/eu-lotl.xml) je podepsaný certifikátem vydaným jednou z těch CA. Takže ve výsledku "self signed".