eIDAS a problémy s důvěryhodností kvalifikovaných certifikátů

17. 7. 2017
Doba čtení: 4 minuty

Sdílet

Autor: EU
Důvěryhodnost seznamů certifikačních autorit pro elektronické podpisy je bohužel hned v několika případech zpochybněna.

Ke konci června působilo v Evropě celkem 161 kvalifikovaných certifikačních autorit pro elektronické podpisy, na které se dle nařízení eIDAS vztahovala tzv. roční výjimka. Do tohoto data měly projít auditem a národnímu orgánu dohledu předložit zprávu o posouzení shody, na jejímž základě je možné být zapsán na tzv. důvěryhodný seznam (TSL), respektive na něm setrvat v roli kvalifikované certifikační autority.  

Problémem však je, že eIDAS nedává národnímu orgánu dohledu na přezkoumání zprávy o posouzení shody konkrétní lhůtu. Naproti tomu v případě úmyslu zahájit poskytování nové kvalifikované služby má orgán dohledu na přezkoumání tříměsíční lhůtu. Ne všechny orgány dohledu jsou ve své činnosti důsledné a důvěryhodnost TSL i důvěra v tyto seznamy je tak hned v několika případech bohužel zpochybněna.

 


Partnerem seriálu o eIDAS, elektronických podpisech a službách vytvářejících důvěru je ASKON International.

Nešťastná definice přechodného období 

Základ dnešního problému s důvěryhodností autorit je třeba hledat v čl. 51, odst. 3, eIDAS, který pro kvalifikované certifikační autority zavádí roční přechodné období, v rámci kterého mohou působit na základě pověření dle staré Směrnice pro elektronické podpisy. 

Ověřovatel vydávající kvalifikovaná osvědčení podle směrnice 1999/93/ES předloží orgánu dohledu co nejdříve, nejpozději však 1. července 2017, zprávu o posouzení shody. Do předložení této zprávy o posouzení shody a dokončení jejího hodnocení orgánem dohledu se ověřovatel považuje za kvalifikovaného poskytovatele služeb vytvářejících důvěru podle tohoto nařízení.

Přechodná výjimka však, z mého pohledu poněkud nešťastně, určuje termín předložení zprávy o posouzení shody, nikoliv termín případné aktualizace příslušného TSL, na který má dle čl. 21 orgán dohledu (u nás Ministerstvo vnitra) v případě nových kvalifikovaných služeb tři měsíce.

Dojde-li orgán dohledu k závěru, že poskytovatel služeb vytvářejících důvěru a jím poskytované služby vytvářející důvěru splňují požadavky … , udělí orgán dohledu tomuto poskytovateli služeb vytvářejících důvěru a jím poskytovaným službám vytvářejícím důvěru status kvalifikovaného poskytovatele nebo kvalifikované služby a uvědomí o tom subjekt uvedený v čl. 22 odst. 3 za účelem aktualizace důvěryhodných seznamů podle čl. 22 odst. 1, a to do tří měsíců od obdržení oznámení … . 

Z logiky věci by tak 2. července 2017 (v 0:00) měly orgány dohledu (resp. správci TSL) v souladu s čl. 51 odst. 4 eIDAS zneplatnit na příslušných seznamech ty autority, které jim v daném termínu nepředložily zprávu o posouzení shody. 

Certifikační autority v Evropě 

Na základě informací z tzv. TSL browseru k 30. červnu 2017 působilo v Evropě celkem 161 kvalifikovaných autorit pro elektronické podpisy (přesně kvalifikovaných poskytovatelů služeb vytvářejících důvěru vydávajících kvalifikované certifikáty pro elektronický podpis). Nejvíce těchto subjektů bylo z jižního křídla Evropy, především z Itálie a Španělska. Většina autorit dnes působí stále na základě výjimky.

Zajímavé srovnání a představu o tom, kolik z těchto autorit skutečně prošlo posouzením shody, přináší pohled na počet kvalifikovaných poskytovatelů elektronických pečetí, které ve většině případů certifikační autority nabízejí jako svoji další službu. Na rozdíl od elektronických podpisů se však na elektronické pečetě (a časová razítka) nevztahovala podle mínění většiny členských států ona roční přechodná výjimka. 

Zatímco tak k 30. červnu bylo v Evropě 161 autorit pro elektronické podpisy, elektronické pečeti vydávalo pouze 21 z nich a časová razítka 32 autorit. Od 3. července 2017 (1. a 2. července připadlo na víkend) začalo docházet k prvním aktualizacím TSL, kdy byly pomalu přidávány právě kvalifikované autority pro elektronické pečetě a razítka.

Kdy 24hodinová lhůta nemusí stačit 

U elektronických podpisů však došlo k první (a zatím jediné) změně až 5. července, kdy na jednu stranu bylo na příslušný TSL naráz zapsáno pět autorit z Bulharska a zároveň odebrány čtyři autority ze Španělska, jedna z Belgie a jedna z Litvy. 

Pokud se přes TSL browser nyní na vybrané autority (např. belgickou SWIFT nebo certifikační autoritu AGPMD španělského ministerstva) podíváme, zjistíme, že změna statusu z „granted“ na „withdrawn“ byla vyznačena k 3. červenci 2017 (0:00), tedy až se zpětnou platností.

Litevský telekomunikační regulátor (Communications Regulatory Authority), který shodou okolností sám působí jako orgán dohledu a měl by tak jít ostatním příkladem, změnu vyznačil v průběhu 5. července 2017 se zpětnou platností od 2. července 2017 (tj. v noci ze soboty na neděli). 

Výše uvedené příklady ukazují, že ani 24hodinová lhůta pro znovuověření certifikátů nemusí být dostatečná a zároveň je dobré si vytvářet vlastní zálohy příslušných TSL určené např. pro prokázání provedení zpětných změn. 

V nadcházejícím období přitom nelze vyloučit další pokles počtu kvalifikovaných autorit. Vzhledem k tomu, že v Evropě působí pouze 11 subjektů posuzování shody (z toho tři z České republiky), je otázkou, kolik autorit již auditem skutečně prošlo, kolik z nich audit (s tichým souhlasem národního orgánu dohledu) postupuje v těchto dnech a kolik jich s auditem nezačalo a čeká, až budou ze seznamu vyškrtnuty. 

Při využívání agregovaných TSL je nutné si uvědomit, že ani nový a graficky pěkně vyvedený Trusted List Browser od Evropské komise není právně závazný a zodpovědnost za příslušný seznam je vždy na příslušném členském státě a jeho orgánu dohledu (resp. správci TSL). 

Marketing meeting Ai a tvorba obsahu

V této souvislosti je zajímavý příklad od našich východních sousedů, kdy Slovensko si jako jediný stát v Evropě ono roční přechodné období vyložilo „po svém“ a k 1. červenci 2016 zapsalo všech svých pět autorit automaticky i jako kvalifikované poskytovatele pro elektronické pečeti i časová razítka.  

Bylo by přitom s podivem, kdyby všech pět autorit rovnou k 1. červenci loňského roku prošlo auditem ze strany subjektu posuzování shody, když na Slovensku žádný takový subjekt dosud není a první český subjekt získal příslušné pověření až 20. ledna 2017. Slovensko tak díky svému „unikátnímu“ přístupu získalo na dlouhou dobu evropské prvenství v počtu kvalifikovaných autorit.

Autor článku

Autor se dlouhodobě zabývá především problematikou českého i evropského eGovernmentu. Ve sdružení CZ.NIC má na starosti projekty s veřejnou správou a rovněž evropské projekty zaměřené na IPv6 (GEN6) a vzájemné uznávání eID (STORK 2.0 a eSENS).

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).