Hlavní navigace

Datové schránky: pracujeme s epodpisy, V.

25. 9. 2009
Doba čtení: 18 minut

Sdílet

 Autor: 21971
Elektronický podpis umožňuje spolehlivě detekovat i sebemenší změnu podepsaného dokumentu v elektronické formě, skrze porušení jeho integrity. Zákon však této možnosti nevyužívá a pozměnění dokumentu neřadí mezi překážky autorizované konverze z elektronické do listinné podoby. Brání tedy něco tomu, aby si kdokoli mohl nechat autorizovaně konvertovat jakýkoli padělaný dokument?

V dnešním dílu tohoto seriálu si trochu odpočineme od certifikátů, které nás tolik trápily v předchozích dílech. Svým způsobem to bude i záměrné: dnes se totiž seznámíme s jednou z nejzákladnějších vlastností elektronického podpisu, která se týká integrity podepsaného dokumentu. A právě integrita je věc, jejíž vyhodnocení až tolik nezávisí na správné instalaci a platnosti certifikátů. Ale nebojte se: již příště se k certifikátům zase vrátíme. To až budeme  zjišťovat, právě skrze certifikáty, komu konkrétní elektronický podpis vlastně patří.

Dnes ale zůstaneme u toho, čemu se říká integrita (u dokumentu v elektronické formě). Ukážeme si, jak integrita souvisí s elektronickým podpisem, a jaké důsledky to má  pro praktické nakládání s elektronickými dokumenty. Také si probereme,  jak se k integritě dokumentů staví (či spíše nestaví) mechanismy autorizované konverze, zakotvené přímo v zákoně  – a jaké důsledky by to mohlo mít.

Pokusíme se například zamyslet nad otázkou, zda zákonodárce chtěl či nechtěl využít toho, co elektronický podpis umožňuje (tj. spolehlivě detekovat pozměnění dokumentu), a zda znemožnil autorizovanou konverzi pozměněných dokumentů. Když trochu předběhnu, naznačím, že tak neučinil (alespoň podle toho, jak já rozumím zákonu). Proto se pokusíme zjistit, zda neexistuje alespoň nějaká jiná zábrana proti tomu, aby někdo přinesl ke konverzi pozměněný (chcete-li: padělaný)  dokument a nechal si ho autorizovaně konvertovat. Dokonce s účinným „zahlazením stop“ po změně (padělání).

Opět dopředu naznačím, že určitá „zábrana“ existuje, v podobě malé pasáže  v návodu pro obsluhu CzechPointů – a bylo by jistě zajímavé posoudit, nakolik je tato zábrana účinná, když nemá oporu v zákoně. Navíc je vázána na lidský faktor, který může kdykoli selhat. Jak jsem si sám vyzkoušel, autorizovaně konvertovat pozměněný (padělaný) dokument je možné – a ani programovému vybavení CzechPointů pro provádění konverzí, který jinak podrobně zkoumá  obsah použitých certifikátů a časových razítek, takováto „drobnost“ nepřišla divná.

To vše pak vznáší docela zásadní otázku: jak dalece lze věřit autorizovaně konvertovaným dokumentům?

Kdo mi vydá můj elektronický podpis?

Začít můžeme malou odbočkou k samotnému principu elektronického podpisu. Umožní nám to lépe pochopit, co je integrita dokumentu.

Půjde přitom o opravu jednoho přílišného zjednodušení, se kterým se v praxi lze (bohužel) setkat poměrně často. Třeba i na informačním webu k datovým schránkám, kde se můžete stále dočíst:

Kde si zřídím elektronický podpis? V ČR jsou pouze tři certifikační autority, které vydávají e-podpisy.

Představa, že by vám někdo mohl „vydat váš elektronický podpis“ nejen že není reálná, ale je značně zavádějící. Navozuje totiž iluzi toho, že elektronický podpis konkrétní osoby je něco „stále stejného“, co by mohlo „existovat samo o sobě“. A odsud je pak již jen krůček k představě, že elektronický podpis by mohl být něco jako poštovní známka či razítko, které by šlo nějak nalepit či natisknout na jednotlivou zprávu nebo dokument.

Důvodem, proč něco takového není z principu možné, je skutečnost, že elektronický podpis je pokaždé jiný. Je totiž závislý na dokumentu či zprávě, kterou podepisuje. Jinými slovy: elektronické podpisy jedné a téže osoby pod různými dokumenty jsou vždy jiné (navzájem odlišné).

Jak vzniká elektronický podpis?

Abychom pochopili proč, můžeme vyjít z následující (byť také zjednodušené) představy: že elektronický podpis je výsledkem určitého „semletí“ dvou výchozích složek:

  • podepisovaného dokumentu (či zprávy), a
  • privátního klíče podepisující osoby
predstava vzniku el. podpisu

Ono „semletí“ je ve skutečnosti výpočtem, založeným na kryptografických technikách a algoritmech. Detaily si ale v tuto chvíli můžeme odpustit, stejně jako povahu a význam privátního klíče, protože pro pochopení toho, o čem se dnes bavíme, nejsou podstatné. Pro nás je důležité to, že kdykoli se změní jedna z výchozích složek, výsledek jejich „semletí“ bude vždy různý. O to se starají příslušné kryptografické techniky a algoritmy, které zaručují i to, aby z „výsledku semletí“ nešly zpětně extrahovat výchozí složky. Ba co více: aby se nedaly najít jiné výchozí složky, které by „po semletí“ daly stejný výsledek (stejný elektronický podpis).

Ale to si nechme na příště. Dnes je pro nás podstatná ta představa, že když „semeleme“ dvě různé zprávy, vždy se stejným privátním klíčem, bude výsledek pokaždé jiný. Což v praxi odpovídá tomu, že když stejný člověk opatří svým elektronickým podpisem (tj. s využitím stejného privátního klíče) dva různé dokumenty či zprávy, výsledek je také vždy různý.

Právě proto nemůže elektronický podpis existovat nějak „apriori“, jakoby sám o sobě a nezávisle na tom, co vlastně podepisuje (když jde o výsledek semletí-výpočtu dokumentu a privátního klíče). Je pokaždé jiný a závislý na tom, co je podepsáno.

To, co existuje „apriori“ a co se při podepisování nemění, je onen privátní klíč. Ani ten by nám ale neměl nikdo vystavovat, protože pak by si ho mohl snadno zkopírovat. Správně si ho musíme vygenerovat my sami. To, co nám vystavují certifikační autority, jsou až  (osobní podpisové) certifikáty  – což jsou vlastně jakási potvrzení o tom, že jsme to opravdu my, kdo máme v držení příslušný privátní klíč, a že k němu patří „do páru“ takový a takový veřejný klíč. Takovýto certifikát (i s příslušným veřejným klíčem) pak můžeme rozvěsit kdekoli nás jen napadne, či posílat spolu s podepsaným dokumentem (či „uvnitř“ dokumentu), protože skutečně může být plně veřejný.

Naopak svůj privátní klíč „nedáváme z ruky“ dokonce ani tehdy, když žádáme nějakou certifikační autoritu o to, aby nám („k němu“) vystavila svůj certifikát. Místo toho jí poskytneme jen jakési potvrzení o tom, že privátní klíč skutečně vlastníme a je v naší moci. Ale detaily si už opravdu nechme až na příště.

Jak poznat změnu dokumentu?

Zopakujme si  nyní ještě jednou to nejdůležitější z předchozího odstavce: že když stejný člověk (přesněji: pomocí stejného privátního klíče) podepíše různé dokumenty, výsledek „semletí“  (tj.: elektronický podpis) je pokaždé jiný.

Této skutečnosti lze rozumět i jinak: že když se nějaký dokument (od předchozího podpisu) změní, výsledek nového „semletí“ (a tím i nový elektronický podpis) by byl jiný. A kryptografické technicky a algoritmy jsou záměrně nastaveny tak, aby výsledek byl „podstatně jiný“, i když změna v dokumentu je „nejmenší možná“ (a jedná se třeba jen o změnu jednoho jediného bitu).

Jak toho ale využít v praxi? Co když někdo podepíše konkrétní dokument a  spolu s podpisem (i svým certifikátem) ho někomu odešle – ale cestou někdo pozmění buď samotný dokument, nebo jeho podpis? Jak potom příjemce pozná, že k takovéto změně došlo – když on nemá k dispozici původně použitý privátní klíč, aby si mohl vytvořit nový podpis a porovnat ho s původním (přeneseným) podpisem?

Právě zde nastupuje ona magie, skrývající se ve schopnostech asymetrické kryptografie: právě díky ní příjemce nepotřebuje privátní klíč, který mu odesilatel (resp. autor podpisu) tak jako tak nemůže (resp. nesmí) poskytnout. K ověření toho, zda se od podpisu něco změnilo, stačí příjemci odpovídající veřejný klíč (tj. ten, který je „do páru“ s použitým privátním klíčem). A ten najde v podpisovém certifikátu toho, kdo podpis vytvořil.

Pokud jste se v tom již trochu ztratili, nevadí. Snad to bude názornější z následujícího obrázku:

princip vyhodnocovani el. podpisu

Příjemce (resp. ten, kdo ověřuje elektronický podpis), opět něco „semele“. Tentokráte to ale jsou jiné ingredience – a dokonce tři, místo dvou:

  • dokument
  • elektronický podpis dokumentu
  • veřejný klíč z certifikátu, použitého při vytvoření podpisu

Způsob „semletí“ těchto tří složek je samozřejmě jiný než v předchozím případě, při vzniku podpisu. Kromě počtu a významu „ingrediencí“ je to dáno i tím, co je výsledkem tohoto „semletí“. Nyní to již není elektronický podpis, ale jednobitová informace: ano, či ne.

Co znamená „ne“?

Pokud je výsledkem tohoto druhého „semletí“ (na straně příjemce, při ověřování podpisu) výsledek „ne“, je to signál (resp. důkaz) toho, že něco je skutečně špatně: že vzájemně „nesedí“ obsah dokumentu, jeho elektronický podpis a použité klíče (privátní i veřejný).

Pozor ale na to, že ještě nemusí jít o porušenou integritu, resp. o situaci, kdy někdo pozměnil obsah dokumentu po vytvoření jeho podpisu. Důvodem může být i záměna certifikátu: pokud jsme při vyhodnocování podpisu použili nesprávný certifikát, dostaneme výsledek „ne“, i když k žádné změně podepsaného dokumentu nedošlo. Použité klíče (privátní a veřejný) totiž nepatřily „k sobě“  a nebyly vzájemně komplementární.

Abychom správně pochopili důvod (a současně s tím  i vztah mezi privátním a veřejným klíčem), představujme si, že pracujeme s nějakou bezpečnostní skříňkou se dvěma dvířky: jedny se odemykají privátním klíčem, a tudy jde do skříňky dokumenty pouze vkládat. Chceme-li nějaký dokument ze skříňky zase vyjmout, musíme k tomu využít druhá dvířka, která se naopak odemykají veřejným klíčem.

vztah privatniho a verejneho klice

Tento obrázek nám znovu naznačuje samotnou podstatu elektronického podpisu: podepsat (vložit do bezpečnostní skříňky) může jen ten, kdo má ve svém držení privátní klíč. Naopak „vyjmout jej ze skříňky“ (ověřit si podpis) může kdokoli – a to, z jaké skříňky vlastně dokument vyjímá (čí podpis ověřuje), pozná podle údajů na certifikátu.

Příště budeme právě podle této závislosti zkoumat, komu podpis na dokumentu vlastně patří. Dnes si zdůrazníme snad již zřejmý poznatek: že pokud se spleteme a místo správného certifikátu použijeme  jiný certifikát, dostaneme při ověřování podpisu výsledek „ne“, i když podpis je ve skutečnosti „v pořádku“ a na podepsaném dokumentu se nic nezměnilo. Vlastně jsme jakoby otevřeli dvířka od jiné bezpečnostní skříňky.

Proto si ještě připomeňme, že je dobrým zvykem přikládat k elektronicky podepsanému dokumentu i použitý podpisový certifikát (tj. „ten se správným veřejným klíčem“). Naštěstí většina nástrojů pro tvorbu elektronického podpisu to standardně udělá za nás (automaticky a sama).

Porušená integrita dokumentu

Předpokládejme nyní, že jsme v roli příjemce, který vyhodnocuje podpis na přijatém dokumentu – a že jsme k tomuto vyhodnocení použili správný certifikát. Přesněji: správný veřejný klíč, obsažený v certifikátu. A že výsledek našeho „semletí“ stále zní: ne.

Nyní, když jsme vyloučili záměnu certifikátu, již můžeme konstatovat, že chyba je ve vztahu samotného dokumentu a jeho podpisu: že mezi sebou „nesedí“. Tedy že od vzniku podpisu došlo ke změně, buď v samotném dokumentu, nebo v jeho podpisu, nebo v obou současně.

Z jednobitového „ne“ samozřejmě nepoznáme, kde ke změně došlo. Nerozlišíme mezi dokumentem a jeho podpisem, ani nepoznáme ne kterém místě v dokumentu se tak stalo. Nepoznáme dokonce ani to, zda je změna rozsáhlejší nebo jen minimální (třeba jen v jediném bitu). Ale i tak je to pro nás důležitá informace: pokud odpověď zní „ne“, víme že něco se změnilo. A právě to je podstatou stavu, který se označuje jako „porušená integrita“.

Pokud tedy dostaneme nějaký podepsaný dokument v elektronické formě a při ověřování platnosti podpisu zjistíme porušenou integritu, nemůžeme se spolehnout na to, že obsah dokumentu zůstal beze změny (od okamžiku podpisu).

Ještě než se pustíme dále, připomeňme si důležitou skutečnost: že mezi (neporušenou) integritou a platným elektronickým podpisem není rovnítko. Porušená integrita stačí k tomu, aby elektronický podpis na dokumentu nebyl platný. Obráceně to je trochu jinak: neporušená integrita je nutnou podmínkou pro platnost podpisu. Není ale podmínkou postačující: aby elektronický podpis byl platný, musí být splněny ještě další důležité předpoklady  – týkající se zejména věrohodnosti a platnosti certifikátu, použitého pro ověření, viz předchozí díly.

Proto si znovu ukažme již jednou použitý obrázek (se „semletím“ při vyhodnocování podpisu) a zdůrazněme si, že jeho výsledek ještě není verdiktem o platnosti či neplatnosti elektronického podpisu  jako takového. Je pouze verdiktem o integritě podepsaného dokumentu.

princip vyhodnoceni el. podpisu

Podpis skutečně může být neplatný i v případě neporušené integrity (výsledku „ano“ dle obrázku).

Jak v praxi poznáme porušenou integritu?

Rozpoznat porušenou integritu na konkrétním dokumentu by mělo být velmi jednoduché: měl by nám to vždy říci ten nástroj, který k ověření elektronického podpisu používáme. A co je důležité: verdikt o porušené integritě bude nezávislý na tom, zda použitý certifikát je či není právě považován za důvěryhodný. Důvodem je již zmiňovaná skutečnost, že porušená integrita je postačující podmínkou pro neplatnost elektronického podpisu (zatímco neporušená integrita je nutnou, ale nikoli postačující podmínkou pro platnost podpisu).

Na následujícím obrázku vidíte konkrétní příklad toho, jak Adobe Reader vyhodnotil můj elektronický podpis pod konkrétním dokumentem. Na otázku o jeho platnosti rovnou řekl „ne“ a zdůvodnil to tím, že dokument byl od podpisu změněn či poškozen.

porušení integrita v Adobe Readeru

Schválně si vyzkoušejte, jak tento dokument (s interním podpisem) vyhodnotí i váš Adobe Reader: měl by dospět ke stejnému výsledku (že dokument „byl od podepsání změněn nebo poškozen“), a to bez ohledu na to, jestli důvěřuje použitému podpisovému certifikátu či nikoli.

Předmětný dokument jsem přitom vytvořil sám, a sám jsem ho také pozměnil. Jde o odpověď na můj dotaz ombudsmanovi, kterou jsem obdržel do své datové schránky – ale nikoli v formátu PDF, nýbrž ve formátu MS Word, bez elektronického podpisu. Tak jsem tento dokument sám převedl do PDF, a přitom opatřil vlastním uznávaným elektronickým podpisem. A následně jsem (pomocí hexadecimálního editoru) pozměnil jeden jediný bit tohoto PDF souboru – což bohatě stačí na to, aby to Adobe Reader detekoval jako porušení integrity dokumentu.

Vlastně, jak už jsem uvedl výše, je úplně jedno, zda jde o změnu jediného bitu či celého obsahu dokumentu.

Co na to říká zákon?

Pojďme nyní už k tomu, jak se k integritě dokumentu staví zákony a prováděcí vyhlášky kolem datových schránek. Zejména pokud jde o autorizovanou konverzi.

Začít můžeme u otázky, zda zákonodárce vůbec tušil, že elektronický podpis umožňuje detekovat porušení integrity dokumentu v elektronické formě, pokud by k ní došlo po vzniku podpisu. To už ale nejde zpětně zjistit, alespoň ne přímo.

A navíc: možná to není správná otázka. Možná by bylo třeba začít jinak, a to otázkou: chtěl zákonodárce vůbec nějak omezit možnost autorizovaně konvertovat takové dokumenty, které někdo pozměnil?

Ačkoli to může znít jako nesmysl, i odpověď „ne“ má svou logiku. Konverze totiž nezkoumá obsah toho, co je konvertováno, a jen stvrzuje shodu originálu (vstupu) a kopie (výstupu). Tak je tomu i u ověřených (listinných) kopií, a tak to konstatuje i předepsaná konverzní doložka u konverze mezi listinnou a elektronickou podobou dokumentu: že vstup se shoduje s výstupem. Proč by se tedy mělo při konverzi zkoumat, jestli se obsah vstupu (konvertovaného dokumentu) nějak liší od podoby, kterou měl stejný dokument někdy ještě dříve, před konverzí?

Proti této logické úvaze ale existuje významný protiargument: proč napomáhat možnosti padělání, když jsme schopni rozpoznat každou změnu? Proč umožnit konverzi takových dokumentů, když budeme mít oprávněné pochybnosti o jejich věrohodnosti? Nebo alespoň: proč na to explicitně neupozornit?

Ostatně, tento protiargument je u konverzí z listinné do elektronické podoby skutečně zohledněn, skrze paragraf 24, článek 5 zákona č. 300/2008. Ten  konstatuje, že konverze se neprovádí:

jsou-li v dokumentu v listinné podobě změny, doplňky, vsuvky nebo škrty, které by mohly zeslabit jeho věrohodnost

Ale co opačný směr konverze, z elektronické do listinné podoby dokumentu? Zde by téhož efektu šlo dosáhnout velmi jednoduše, a navíc mnohem exaktněji a spolehlivěji, konstatováním že: „konverze se neprovádí … je-li porušena integrita dokumentu v elektronické formě“. Případně: „.. byl-li dokument od svého podpisu pozměněn“. Nic takového ale v zákoně (ani v prováděcí vyhlášce č. 193/2009 Sb.) není.

Když ne integrita, tak alespoň platný podpis?

To, že porušená integrita (či „pozměnění dokumentu“) není vyjmenována mezi překážkami pro konverzi z elektronické do listinné podoby, by ještě nemuselo vadit. Vzhledem k tomu, že porušená integrita automaticky znamená neplatnost elektronického podpisu, dalo by se vše ošetřit silnějším požadavkem, ve smyslu:  „konverze se neprovádí … není-li dokument v elektronické podobě opatřen platným uznávaným elektronickým podpisem“.

V zákoně (300/2008 Sb.) však není ani takovýto požadavek.

Je v něm ale něco „relativně blízkého“. V paragrafu 24, článku 5 se konstatuje, že konverze se neprovádí:

v případě provedení konverze na žádost, nebyl-li dokument obsažený v datové zprávě podepsán uznávaným elektronickým podpisem nebo označen uznávanou elektronickou značkou toho, kdo dokument vydal nebo vytvořil

Všimněte si rozdílu:  je v jediném slovíčku, ale právě to je podstatné. Není totiž vyžadován PLATNÝ uznávaný podpis (resp. značka), ale jen uznávaný podpis jako takový.

Platný podpis, nebo jen „nějaký“ podpis?

Možná v tuto chvíli namítnete, že by se to mělo rozumět nějak samo sebou: že když má být na dokumentu podpis, tak by měl být platný (a jinak že se konverze provést nemůže). Bylo by to logické – ale existuje k tomu významný protiargument: sám zákon požaduje, aby v konverzní doložce bylo uvedeno, zda konvertovaný elektronický dokument byl opatřen platným elektronickým podpisem či značkou:

(2) Ověřovací doložka konverze do dokumentu v listinné podobě je součástí výstupu a obsahuje …..

… údaj o tom, zda byl vstup podepsán platným uznávaným elektronickým podpisem nebo označen platnou uznávanou elektronickou značkou …

Proč by ale zákon něco takového požadoval, pokud by opatření platným podpisem či značkou bylo podmínkou pro možnost autorizované konverze? Pak by totiž tento údaj byl konstantou. Musel by mít vždy stejnou hodnotu, a to: „ano“.

Je žádoucí bránit konverzi elektronického dokumentu s porušenou integritou?

Zákon tedy – alespoň podle toho, jak mu rozumím já – nebrání konverzi takového dokumentu v elektronické podobě, který má porušenou integritu.

Znovu si ale dovolím připomenout výchozí úvahu: zda zákonodárce vůbec chtěl této možnosti nějak bránit. Co když vyšel z předpokladu, že konverze mění aktuální stav vstupu na výstup a vůbec nezkoumá, zda se dokument nějak měnil v čase před konverzí?

Pokud by tomu tak bylo, pak by to svým způsobem mělo určitou logiku: pokud by ke konverzi byl předložen dokument s porušenou integritou, podpis na něm by kvůli tomu byl neplatný – a na konverzní doložce by se tato skutečnost odrazila. Vzhledem k výše uvedenému požadavku („obsahuje … údaj o tom, zda byl vstup podepsán platným uznávaným podpisem …“) by na doložce muselo být nějaké jasné „NE, PODPIS NEBYL PLATNÝ“.

Pro toho, kdy by  s takto konvertovaným dokumentem chtěl posléze pracovat, by to měl být signál, že s dokumentem je něco špatně, a na jeho obsah se tudíž nelze spoléhat. Takže jako řešení by to vlastně bylo korektní (i když by určitě bylo vhodnější uvést konkrétní důvod neplatnosti podpisu).

Realita je ale bohužel jiná. Pokud se podíváme na předepsaný formát doložky, zákonem požadovaný údaj o platnosti či neplatnosti elektronického podpisu v něm nenajdeme.

vzor konverzni dolozky

Údaj o platnosti není ani u elektronického podpisu, ani u časového razítka (pokud je jím dokument opatřen, což nemusí). Jsou zde uvedena pouze sériová čísla použitých certifikátů a identita jejich vydavatele.

Lze autorizovaně konvertovat pozměněný dokument?

Znamená to tedy, že když si někdo přinese k autorizované konverzi nějaký pozměněný dokument v elektronické podobě, že mu ho na CzechPointech nejenom zkonvertují, a do konverzní doložky dokonce ani nepoznamenají, že dokument měl pozměněnou integritu?

Nedalo mi to, abych tuto možnost nevyzkoušel. Vzal jsem výše popisovaný soubor, který jsem sám podepsal svým uznávaným podpisem a následně soubor pozměnil v jediném bitu, tak aby byla porušena jeho integrita. Z CzechPointu na městském úřadu Prahy 5 mne s požadavkem na autorizovanou konverzi rovnou vyhodili, prý na to ještě nemají potřebné vybavení, a že musím na Českou poštu.

Na první provozovně České pošty na Praze 5, do které jsem zašel, konverze v pořádku proběhla, a už byla vytištěna i listinná podoba dokumentu včetně konverzní doložky. Jelikož se ale nepodařilo odeslat kopii konverzní doložky do centrály Czech Pointu (právě nefungovala potřebná komunikace), nakonec jsem odešel s nepořízenou. Zkusil jsem tedy štěstí na hlavní poště v Jindřišské ulici v Praze, kde už vše proběhlo hladce (včetně odeslání konverzní doložky do centrální evidence Czech Pointů). Výsledek vidíte na obrázku.

dokument
dolozka

Důsledky raději ani nedomýšlím a záměrně je zde nebudu rozvádět.

Existuje nějaká zábrana vůči konverzi dokumentů s porušenou integritou?

Moje praktická zkušenost ukázala ještě jeden zajímavý poznatek: obsluha na konverzním pracovišti (CzechPointu) používá obslužný program, skrze který ovládá konverzi: vybírá dokument ke konverzi a tiskne jej na tiskárně. Stejně tak tento obslužný program sám přiděluje konverzi správné pořadové číslo, a také sám sestavuje a vyplňuje konverzní doložku. Mimo jiné do ní vkládá sériová čísla použitých certifikátů i údaje o jejich vydavateli.

To znamená, že tento program dokáže sám „sáhnout“ do konvertovaného dokumentu ve formátu PDF a přečíst si z něj to, co potřebuje. Když se umí dostat do certifikátů, uložených v PDF dokumentech a v nich si najít jejich sériová čísla, proč si nevyžádá také informaci o tom, zda dokument je opatřen platným podpisem či nikoli? Případně proč je tento podpis neplatný? Resp. proč si to program nevyhodnotí sám?

To, že můj dokument s porušenou integritou tímto programem úspěšně prošel a byl konvertován, dokládá že program na Czech Pointech sám nevyhodnocuje integritu dokumentu (resp. platnost podpisu), a tudíž se ani sám neohlíží na výsledek.

Jak jsem ale posléze zjistil, určitá zábrana proti konverzi dokumentů s porušenou integritou přece jen existuje, byť má jen „procesní charakter“. Pokud si nalistujete provozní řád CzechPointů pro oblast konverze, pak zde na str. 7 najdete následující pokyn pro obsluhu:

Stiskem tlačítka Otevřít dokument načtete dokument do Adobe Readeru. Zde zkontrolujte údaje o platnosti elektronického podpisu.

Pak už je uvedena jen následující tabulka, která naznačuje, že obsluha by se měla orientovat podle ikony, jakou Adobe Reader signalizuje výsledek ověření podpisu:

navod pro Czech Pointy

No, jako zábrana mi to přijde hodně slabé. Nejen kvůli tomu, že je to závislé na lidském faktoru, který může chybovat. Ale hlavně proto, že jde o opatření „velmi malé právní síly“  – a alespoň podle mého názoru v rozporu se zákonem. Co by se například stalo, kdyby někdo chtěl tuto cestu využít, a při odmítnutí konverze obsluhou Czech Pointu argumentoval zněním zákona?

Nebo ještě jinak: pokud zákonodárce vůbec chtěl zabránit možnosti konverze dokumentů s porušenou integritou, měl to stanovit jasně a srozumitelně, tak aby tomu všichni rozuměli (a to stejně). A na správné úrovni, tedy rovnou v zákoně. Ne to nechat na nějakou velmi podzákonnou normu, jakou je provozní řád Czech Pointu. A už vůbec neměl vyjadřovat tak zásadní věc skrze vyobrazení nějaké ikonky, která se notabene s novým verzemi Adobe Readeru mění.

UX DAy - tip 2

To pak bude vydáván nový provozní řád pokaždé, když firma Adobe vydá novou verzi svého Readeru (s novou ikonkou, signalizující výsledek ověření podpisu)? Nebo co když obsluha Czech Pointu usoudí, že „ten červený křížek vypadá jinak než v tom provozním řádu, tak to asi bude v pořádku ….“

A snad jen pro úplnost: autorizované konverze se nedělají jen na CzechPointech, kde probíhají tzv. „na žádost“. Z moci úřední provádí autorizované konverze obecně všechny orgány veřejné moci, pro výkon své působnosti. Nově pak konverze mohou provádět advokáti. A nemusí k tomu využívat Czech Pointy. Takže stavět zábrany skrze provozní řád CzechPointů je už z principu špatně.

Měla by existovat možnost autorizované konverze i takových dokumentů, které mají porušenou integritu?

Byl pro vás článek přínosný?

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).