Hlavní navigace

Elektronické podpisy: v září skončí výjimka, budou úředníci připraveni?

Autor: Depositphotos
Jiří Peterka

Už od září bude veřejná správa potřebovat certifikované čipové karty či USB tokeny a také nové certifikáty pro kvalifikované elektronické podpisy. Stihne si vše pořídit včas?

Doba čtení: 11 minut

Je sice teprve začátek června, ale určitě neuškodí si připomenout zářijový milník, který bude muset stihnout celá naše veřejná správa. Týká se podepisování elektronických dokumentů, kterých denně (či spíše každou hodinu) vzniká velké množství. No a ty dokumenty, které vznikají ve veřejné správě, již budou muset být podepisovány kvalifikovanými elektronickými podpisy. Dosud stačily takové, které nejsou kvalifikované, ale jen „zaručené, založené na kvalifikovaném certifikátu“.

Důvod je ten, že dnes ještě platí výjimka (v §19, odst. 1 zákona č. 297/2016 Sb.). Ale ta je časově omezena a skončí právě v září letošního roku. Konkrétně 19. 9. 2018.

Jakmile tato výjimka skončí, bude platit už jen „řádné“ pravidlo (v §5 zákona č. 297/2016 Sb.). Právě to požaduje, aby tzv. veřejnoprávní podepisující (zjednodušeně: úředníci, při podepisování úředních dokumentů) a další osoby vykonávající veřejnou moc (působnost) používali k podepisování již jen kvalifikované elektronické podpisy.

V čem je rozdíl?

Že vám není úplně jasný praktický rozdíl mezi tím, co je ještě možné dnes a co už bude – pro úředníky a spol. – nutné od září? Tedy mezi tím, čemu stačí být „zaručené, založené na kvalifikovaném certifikátu“ a co už bude muset být „kvalifikované“?

Právě o ten rozdíl tady jde – a spočívá v tom, že od září budou úředníci potřebovat tzv. kvalifikované prostředky. Pro elektronické podepisování to jsou tzv. kvalifikované prostředky pro vytváření elektronických podpisů (zkratkou QSCD, z anglického Qualified Signature Creation Device), jak se podle současné právní úpravy nazývají. Jde o „předmět“ (token), nejčastěji v podobě certifikované čipové karty či USB tokenu.

Důvod je ten, že kvalifikované elektronické podpisy (podle unijního nařízení eIDAS) vyžadují použití právě takovýchto kvalifikovaných prostředků (zatímco „zaručené elektronické podpisy, založené na kvalifikovaném certifikátu“, je nevyžadují).

V praxi se můžete setkat s nabídkou kvalifikovaných prostředků i pod označením „v souladu s eIDAS“ či „splňuje požadavky eIDAS“.

Takže, jinými slovy: do 19. září si ti úředníci, kteří podepisují elektronické dokumenty, musí pořídit takovýto token (kvalifikovaný prostředek, v podobě certifikované čipové karty či USB tokenu). Jak naznačuje i předchozí obrázek, jednotlivě stojí v řádu 700 až 800 Kč (a čtečka pro čipovou kartu zhruba stejně).

Ale nejenom to: k podepisování budou potřebovat také nový kvalifikovaný certifikát. Takový, které byl vydán k soukromému klíči, který už vznikl (byl vygenerován) přímo na tokenu.

Fyzické a právnické osoby mají na výběr

Zdůrazněme si také, že pro opačný směr komunikace s veřejnou správou – tedy pro podepisování elektronických dokumentů, představujících právní jednání (podání, úkon) vůči veřejné správě – obdobná výjimka platí bez časového omezení. Jinými slovy: fyzických a právnických osob se nutnost pořízení kvalifikovaných prostředků netýká. Ale samozřejmě si je pořídit (a používat) mohou.

Vyplývá to z ustanovení §6 zákona č. 297/2016 Sb., přičemž trvalá výjimka je obsažena v jeho odstavci 2, který nově definuje pojem „uznávaný elektronický podpis“: dělá z něj jakousi legislativní zkratku za dvě možnosti, z nichž jedna nevyžaduje kvalifikovaný prostředek (viz „zaručený elektronický podpis, založený na kvalifikovaném certifikátu“), zatímco druhá jej vyžaduje (viz „kvalifikovaný podpis“).

Takže fyzické a právnické osoby (při komunikaci s veřejnou správou) mají – a budou mít trvale – na vybranou, zda při elektronickém podepisování použít, či nepoužít kvalifikovaný prostředek. Naproti tomu úředníci – po 19. 9. 2018 – již na výběr mít nebudou a pro elektronické podepisování budou muset používat kvalifikované prostředky. Tudíž je i mít.

Jaké výhody mají kvalifikované prostředky?

Důležitou vlastností kvalifikovaného prostředku (pro vytváření elektronických podpisů) je to, že soukromý klíč z něj nejde dostat ven (tzv. jej vyexportovat). I v tom smyslu, že „z vnějšku“ není možné zjistit jeho hodnotu. Nezapomínejme totiž, že soukromý klíč je vlastně jedno velké konkrétní číslo.

Pokud navíc zajistíme to, že soukromý klíč bude generován přímo v kvalifikovaném prostředku (tokenu), můžeme mít rozumnou jistotu toho, že od našeho klíče nebudou existovat žádné kopie a že nikdo nebude znát jeho hodnotu (což je vlastně to samé jako mít jeho kopii). Bude to tedy mnohem bezpečnější než řešení bez kvalifikovaného prostředku – které nevylučuje existenci jeho kopií a umožňuje mít soukromý klíč uložený kdekoli. Nejčastěji v systémovém úložišti operačního systému (případně v úložišti konkrétní aplikace), kde může, ale také nemusí být chráněn heslem. A kde ani nemusíte poznat, že ho někdo použil bez vašeho vědomí, například když jste právě byli někde pryč od svého počítače. Nebo že si váš soukromý klíč někdo vyexportoval a má tak jeho kopii (kterou může používat zcela bez vašeho vědomí).

Navíc je zde i významný psychologický faktor: pokud máte svůj soukromý klíč uložen na kvalifikovaném prostředku, pak máte „něco hmotného“, na co víte, že si máte dávat pozor. Podobně, jako si jistě dáváte pozor na své osobní doklady, průkazy či platební karty. Určitě je nenecháváte jen tak někde ležet k volnému použití někým, kdo by šel kolem, ale nosíte je s sebou či je máte bezpečně uložené na vhodném místě.

I použití je „logičtější“ a lépe přizpůsobené běžným zvyklostem: víte, že když se chcete podepsat, musíte nejprve něco udělat: někam vložit (zapojit) něco hmotného – svůj token (kvalifikovaný prostředek). Ten je pak dobré, když už se dále nepodepisujete, zase vyjmout (odpojit). Navíc máte tu výhodu, že svůj token můžete takto použít na jakémkoli počítači (je-li vybaven potřebnými ovladači).

To se soukromým klíčem, trvale uloženým v systémovém úložišti na vašem počítači, je to jinak. Možná na první pohled pohodlnější (nemusíte nikam nic vkládat), ale zase méně bezpečné. Protože takto uložený soukromý klíč je k dispozici obecně komukoli, kdo má k počítači přístup, ať již „místně“, či na dálku (a zná heslo, pokud je jím soukromý klíč a certifikát chráněn). V prostředí kanceláří, kde se uživatelům o jejich počítače starají správci, to je dosti významný faktor.

Navíc zde nemáte možnost svůj soukromý klíč nějak snadno a rychle „vyjmout“ a vzít si ho s sebou. Můžete jej pouze vymazat ze systémového úložiště (či úložiště aplikace) a příště jej zase nahrát – což jistě jde (pokud to umíte), ale není to úplně postup pro běžného uživatele.

S kvalifikovaným prostředkem jako s platební kartou

Trochu to připomíná situaci kolem používání platebních karet: jsou takové operace (např. platby na terminálech či výběry z bankomatů), které vyžadují fyzickou přítomnost karty. A pak jsou také on-line platby, které fyzickou přítomnost karty (ani její existenci v materiální podobě) nevyžadují a stačí jen znalost příslušných údajů.

Snad není třeba rozvádět, jak se liší situace, kdy vám někdo ukradne vaši platební kartu, od situace, kdy se někdo jen dozví údaje o vaší kartě. V prvním případě máte velkou šanci si toho hned všimnout a nechat kartu zablokovat, zatímco ve druhém případě to dlouho nemusíte ani poznat. Ostatně, i proto banky přistupují k on-line platbám opatrněji a někdy je na svých kartách ani standardně nepovolují.

Kvalifikované elektronické podpisy, vyžadující použití kvalifikovaného prostředku, lze přirovnat k operacím vyžadujícím přítomnost platební karty. Naše uznávané elektronické podpisy, přesněji ty „zaručené, založené na kvalifikovaném certifikátu“, pak lze připodobnit k on-line platbám bez fyzické přítomnosti karty. Samozřejmě také fungují a dají se používat – ale míra bezpečnosti je nižší. A obdoba pojištění, jaké bývá k dispozici u platebních karet, ve světě elektronických podpisů chybí.  

Celkově pak lze konstatovat, že ona výjimka (z nutnosti používat kvalifikované prostředky), kterou jsme si – zde v ČR – prosadili oproti unijní úpravě elektronických podpisů již v roce 2000, je vlastně významným ústupkem od požadavku na určitou vyšší míru bezpečnosti (ale i praktičnosti) v souvislosti s elektronickým podepisováním. Jakoby jsme našim uživatelům řekli: jste dostatečně znalí a zkušení na to, abyste si sami zvolili dostatečně bezpečný způsob uložení svého soukromého klíče a zabezpečení svého počítače. Proto vás nenutíme do pořízení a používání kvalifikovaného prostředku.

Jaká je běžná praxe, raději nedomýšlím.

I proto bych pořízení kvalifikovaného prostředku pro vytváření elektronických podpisů doporučil všem, kteří se elektronicky podepisují. Bez ohledu na to, zda jim to právní úprava nařizuje, či nikoli.

Proč je potřeba nový certifikát?

Pojďme ještě k další důležité věci, která s přechodem ke kvalifikovaným elektronickým podpisům velmi úzce souvisí: k potřebě pořídit si – ke kvalifikovanému prostředku – také nový kvalifikovaný certifikát. Protože jinak, tedy se „starým“ certifikátem, nebudou vznikat kvalifikované podpisy ani tehdy, když si původní soukromý klíč i s odpovídajícím certifikátem nahrajete do kvalifikovaného prostředku a pak se s ním budete podepisovat. Půjde stále jen o „zaručený elektronický podpis, založený na kvalifikovaném certifikátu“, a nikoli o kvalifikovaný podpis.

Důvody jsem podrobněji popisoval zde na Lupě již v roce 2016, v článku eIDAS a elektronické podpisy: jak poznáme, o jaký podpis jde? Proto jen rekapitulace toho podstatného.

Platná právní úprava (nařízení eIDAS) sice mluví o „použití kvalifikovaného prostředku“, ale to v praxi nejde úplně dobře ohlídat. Není možné, aby každému podepisujícímu vždy stál někdo za zády a nějak dosvědčoval, že použil právě kvalifikovaný prostředek. Proto se v praxi vychází z trochu jiného kritéria: z umístění soukromého klíče (v kvalifikovaném prostředku).

Potřebná informace o umístění soukromého klíče totiž může být obsažena v (kvalifikovaném) certifikátu a díky tomu být k dispozici při ověřování konkrétního podpisu. Jak jsme si podrobněji popisovali ve zmiňovaném článku, vkládá se do položky QC Statement (v českém překladu nejčastěji: „Prohlášení kvalifikovaného certifikátu“, případně též „Výpisy QC“).

Z takto uložené informace (tj. o umístění soukromého klíče) pak programy, které používáme pro práci s elektronickými podpisy, dovozují to, zda se jedná, či nejedná o kvalifikovaný elektronický podpis: pouze pokud je certifikát kvalifikovaný a je v něm (v položce QC Statement) uvedeno, že soukromý klíč (v nesprávném překladu: privátní klíč) je umístěn v (resp. „na“) kvalifikovaném prostředku pro vytváření elektronických podpisů (zkratkou QSCD, z anglického Qualified Signature Creation Device), je zaručený elektronický podpis vyhodnocen jako kvalifikovaný elektronický podpis.

Pokud by se tedy jednalo o „starší“ certifikát, který nemá v položce QC Statement příslušný příznak (o umístění soukromého klíče v QSCD), nebylo by při následném ověřování platnosti zaručeného elektronického podpisu podle čeho poznat, zda při podepisování byl využit kvalifikovaný prostředek.

Kdy a jak žádat o nový certifikát?

Aby rozpoznávání kvalifikovaných elektronických podpisů mohlo fungovat tak, jak jsme si právě naznačili (přes položku QC Statement v kvalifikovaném certifikátu), musíme ještě vyloučit možnost, aby se soukromý klíč mohl nacházet i nějak mimo kvalifikovaný prostředek. Třeba aby existovala jeho kopie (resp. klíč stejné hodnoty), uložená jakkoli, ale mimo příslušný kvalifikovaný prostředek. Protože pak není možné rozlišit, která instance soukromého klíče byla k vytvoření podpisu použita – zda ta umístěná v kvalifikovaném prostředku, nebo některá jiná. A pouze v prvním případě by se jednalo o kvalifikovaný podpis, zatímco v tom druhém nikoli.

Tento problém se řeší tak, že certifikační autorita vystaví kvalifikovaný certifikát s nastaveným příznakem (o uložení soukromého klíče v kvalifikovaném prostředku) jen k takovému soukromému klíči, který byl vygenerován rovnou uvnitř kvalifikovaného prostředku (tj. v čipu přímo na kartě či tokenu). Tím i bez možnosti „dostat ho ven“.

Aby autorita měla jistotu, že jde skutečně o tento případ, musí ke generování párových dat (soukromého i veřejného klíče) dojít pod její kontrolou, až v rámci generování žádosti o vystavení kvalifikovaného certifikátu. Není možné si vygenerovat klíče (byť uvnitř kvalifikovaného prostředku) nějak dopředu, a teprve následně žádat o vystavení certifikátu (s nastaveným příznakem o uložení). Protože to by autorita nemohla mít jistotu ohledně toho, co se se soukromým klíčem dělo v mezidobí od jeho vytvoření do generování žádosti.

Naopak, generování žádosti o vydání certifikátu probíhá prostřednictvím kódu, který dodala sama autorita – a tak když je v rámci toho generován i soukromý klíč, může mít autorita (díku „svému kódu“) dostatečnou jistotu ohledně uložení soukromého klíče i způsobu a kvality jeho generování (na čemž také velmi záleží, viz třeba zranitelnost Roca).

Praktické důsledky pro uživatele

Z pohledu uživatele, resp. žadatele o nový certifikát, to má tři zásadní důsledky. Prvním je ten, že již při generování žádosti o nový kvalifikovaný certifikát je nutné mít příslušný kvalifikovaný prostředek pro vytváření elektronických podpisů (token). Při volbě umístění soukromého klíče (neboli místa, kde bude vygenerován a kam bude uložen) je pak nutné zvolit to, které odpovídá kvalifikovanému prostředku. Nikoli systémovému úložišti operačního systému či jinému úložišti na právě používaném počítači. Příklad s generováním žádosti o kvalifikovaný certifikát od I.CA (na „její“ čipovou kartu) vidíte na následujícím obrázku.

Druhý důsledek je ten, že certifikační autorita (dnes správně „poskytovatel služeb vytvářejících důvěru“) vám vydá kvalifikovaný certifikát s nastaveným příznakem o umístění soukromého klíče na kvalifikovaném prostředku (QSCD) jen tehdy, jde-li o takový prostředek, který ona sama „zná“. V tom smyslu, že s ním počítá onen „její kód“ (její programové prostředky, používané pro generování žádosti).

Reálně to znamená, že vám takovýto certifikát vystaví jen ke kvalifikovanému prostředku (tokenu), který sama nabízí, resp. prodává. 

Konečně třetí a velmi podstatný důsledek jsme si vlastně již říkali: abyste mohli vytvářet kvalifikované elektronické podpisy, potřebujete mít „nový“ kvalifikovaný certifikát, vydaný k soukromému klíči vygenerovanému již v tomto kvalifikovaném prostředku. Protože pouze takovýto kvalifikovaný certifikát bude mít nastaven potřebný příznak o umístění soukromého klíče v položce QC Statement.

PR Summit tip Alza

Naopak, pokud již máte nějaký „starší“ kvalifikovaný certifikát – ve smyslu: bez nastaveného příznaku – můžete si ho (i s odpovídajícím soukromým klíčem) dodatečně nahrát na nově pořízený kvalifikovaný prostředek a používat pro podepisování. Ale výsledné elektronické podpisy nebudou kvalifikované, ale pouze uznávané.

Přesněji: „zaručené, založené na kvalifikovaném certifikátu“, protože náš národní pojem „uznávaný elektronický podpis“ zahrnuje jako kvalifikované elektronické podpisy, tak i „zaručené elektronické podpisy, založené na kvalifikovaném certifikátu“. Příklad vidíte na posledním dnešním obrázku.

Našli jste v článku chybu?