Vlákno názorů k článku Datové schránky: bez razítka to nepůjde! od cmartin - Pozn. na úvod: Platnost elektronického podpisu se stává...

Pozn. na úvod: Platnost elektronického podpisu se stává obtížně ověřitelnou ještě v další situaci, kterou málokdo uvažuje: vypršení platnosti certifikátu autority, která podpisový certifikát na němž je založen podpis původně vystavila. Životnost certifikátu autority je obvykle kolem třiceti let a přestává se používat pro vydávání běžných certifikátů dlouho před ukončením této doby. Přesto platí, že s jeho vypršením ověřitelnost platnosti jím autorizovaných běžných certifikátů bude dosti komplikovaná.

Podpis obsažený v pdf obsahuje přibalený crl z doby připojování podpisu. Je vidět v Adobe Readeru řady 9 ve vlastnostech podpisu. Nevím nakolik je to povinný element a jak by se zachovala podpisující aplikace, kdyby ho neměla k disposici. Lze si samozřejmě opatřit starý crl a vsunout ho do nového podpisu. Tomu by zabránilo připojení kvalifikované časové značky.

Jak je vlastně časová značka spojena s podpisem? Dokument může mít více podpisů a v podstatě by mělo být možné aby žadý měl vlastní časovou značku protože nemusely být nezbytně připojeny ve stejné době.

Pokud je časová značka nevyhnutelně spojená s podpisem (alespoň u diskutovaného pdf to tak vypadá protože je vidět jako vlastnost konkrétního podpisu) není principiálně možné ji připojit samostatně. Na druhou stranu pokud bych z jakéhokoli důvodu chtěl označit dokument časem jeho vzniku bez konkrétní představy o jeho budoucím využití, musel bych ho podepsat. Podpis ovšem není-li nějak vymezen jeho účel znamená souhlas s obsahem, vzetí na vědomí nebo ztotožnění se s významem, což při pouhém připojení časové snačky nemusím mít na mysli. Při připojování podpisu k pdf lze sice popsat účel připojení podpisu v textovém poli ale většina uživatelů to neví a z toho zbytku to prakticky nikdo nedělá.

Pokud by soud oveřoval platnost dokumentu, který byl původně obsažen v datové zprávě jen podle dochovaného záhlaví datové zprávy, vůbec by nemusel uspět protže pokud by zpráva původně obsahovala více dokumentů, které by při ověřování nebyly dostupné všechny současně (k tomu může po nějaké době dojít) nemuselo by být možné rekonstruovat původní hash obsahu (nejsem si jist jestli zfo obsahuje hashe jednotlivých vložených dokumentů i samostatně).

Certifikační autority vedou důvěryhodnou evidenci vydaných certifikátů po celou dobu své činnosti a pokud ukončují provoz předávají evidenci MV. Lze tedy zpětně zkoumat vydané certifikáty i když nijak snadno.
Autority vydávající časové značky vedou stejnou evidenci všech vydaných časových značek, mělo by tudíž být možné ověřit časovou značku i podle skutečnosti je-li vedena v evidenci vydavatele.

Kde soud není odborně způsobilý posoudit důkaz, přibírá znalce. Pro soudce není úplně snadné nepřipustit důkaz jen na základě toho, že nerozumí jeho technické podstatě.

Pokud bychom připustili pravdivost teze, že bez časového razítka to nejde, museli bychom zároveň říci, že to platí nejen pro státní správu. Znamená to, že pokud se koncept eGovernmentu ujme, bude prakticky každá firma, živnostník a řada občanů uživateli služeb autorit zaručených časových značek. Platícími uživateli samozřejmě protože tyto autority nemají právní formu charitativní organizace. Osobně se domnívám, že teze zmíněná v úvodu odstavce platí ...

Dokument předložený k autorizované konverzi, který neobsahuje elektronický podpis bude zkonvertován a na jeho ověřovací doložce bude vyznačeno, že neobsahoval elektronický podpis. Podle mého názoru tak za 30 Kč na tiskovou stránku získáte dokument se statutem "nepodepsaného papíru".

V případě pozitivního zjištění modifikace dokumentu tím, že neodpovídá datům elektronického podpisu jednoznačně souhlasím s názorem, že by takový dokument jít konvertovat neměl, nebo by mělo být v doložce výslovně zmíněno, že podpis nebyl platný z důvodu nesouhlasu s daty dokumentu.

ISDS citované v diskusi má v rovině důvěryhodnosti problém v tom, že zprávy odeslané fyzickou osobou jsou považovány za podepsané i když neobsahují (ani dokumenty v nich přiložené) elektronický podpis. Identita odesílatele se tak odvozuje jen ze znalosti jména a hesla pro přihlášení do ISDS, což mi osobně připadá málo bezpečné. Komunikace mezi klientem ISDS a serverem je sice šifrována certifikátem serveru ale keylogger na straně klienta povede ke krádeži identity až zoufale snadno.

...zprávy odeslané fyzickou osobou jsou považovány za podepsané i když neobsahují elektronický podpis.

Však taky hlavně proto se schránky zavádějí, aby nemusel mít každý občan el.podpis, když potřebuje něco poslat na OVM. Stejně tak i já jako FO důvěřuji (ze zákona musím :) dokumentu, který mi byl doručen prostřednictvím DS patřící orgánu veřejné moci, ať už byl podepsán, časově orazítkován či nikoliv. Problém je spíše v tom, jak tuto svou důvěru v případě potřeby přenést na třetí osobu.
Jako nejlevnější způsob vidím doplňovat žurnálové informace, které zůstávají viditelné i po 90 dnech po doručení, vedle identifikace odesilatele, příjemce a času ještě navíc kontrolním otiskem zprávy, nejlépe pro každý soubor obsažený v datové zprávě zvlášť. Pravdivost informace kdo komu kdy zprávu poslal je zaručena tím, že se tato informace zobrazuje na https://www.mojedatovaschranka.cz. Pomocí zobrazeného hashe bych stejným způsobem mohl prokazovat i co bylo posláno.

Identita odesílatele se tak odvozuje jen ze znalosti jména a hesla pro přihlášení do ISDS, což mi osobně připadá málo bezpečné.
K prohlížení obsahu schránky je zabezpečení systémem login/pwd nebo osobním certifikátem po šifrovaném kanále snad dostatečné, ale je fakt, že ostatní úkony, jako odeslání zprávy či změna způsobu autentizace by mohly být voliteně doplněny ještě možností používat jednorázové heslo dopravené odlišnou cestou, nejlépe SMS nebo aspoň emailem.