Minulé pondělí jsem zde na Lupě psal o svém pohledu na fungování dynamických biometrických podpisů. Byla to vlastně jen první část mé přednášky na kulatém stole ÚOOÚ v podobě článku, který bych dnes rád dokončil.
Na úvod si ale dovolím stručně zrekapitulovat to nejpodstatnější z předchozí první části: že dynamické biometrické podpisy nejsou řešením pro podepisování, ale nástrojem pro autentizaci konkrétní fyzické osoby. Jsou vlastně jakýmsi „unikátním vzorkem“ této konkrétní osoby, v podobném smyslu, jako je unikátním vzorkem konkrétní fyzické osoby například otisk prstu, způsob řeči, způsob chůze, DNA atd.
Má-li být takovýto „vzorek“ využit jako projev vůle příslušné fyzické osoby, musí být náležitě „ošetřen“ již samotný odběr tohoto vzorku (zda je poskytován dobrovolně, se znalostí účelu atd.), a samozřejmě i následná manipulace s ním (zda je skutečně využit jen za tím účelem, ke kterému byl poskytnut). Dále, má-li být poskytnutí vzorku projevem vůle vůči nějakému konkrétnímu dokumentu (obvykle: souhlasem s tímto dokumentem), musí být korektně a správně vyřešeno spojení tohoto vzorku se samotným dokumentem, jak po stránce technické, tak i po stránce procesní.
V praxi to dnes funguje tak, že řešení na bázi dynamického biometrického podpisu jsou využívána k uzavírání dvoustranných smluvních vztahů v komerční sféře, nejčastěji mezi velkými subjekty typu bank, operátorů, utilit, přepravců atd. a jejich klienty (zákazníky). Dynamický biometrický podpis zde slouží jako onen unikátní „vzorek“, reprezentující konkrétního klienta. Podstatné je, že tento vzorek „odebírá“ na svém zařízení druhá smluvní strana (banka, operátor atd.), která s ním také následně manipuluje: nasnímaný vzorek je po svém odběru dále zpracováván na zařízeních, které má pod svou kontrolou výhradně tato druhá strana. Ta nasnímaný vzorek také vkládá do samotného dokumentu, obvykle již v nějaké zašifrované podobě, a vše „fixuje“ do jednoho výsledného celku takovým způsobem, aby byla zajištěna jeho integrita (ochrana proti jakékoli změně). Této „fixace“ dosahuje tím, že dokument i s vloženým „vzorkem“ (dynamickým biometrickým podpisem) sama podepíše, svým „klasickým“ (kryptografickým) elektronickým podpisem.
Přirovnával jsem to k situaci kolem úředně ověřených podpisů – ty si také nemůžete podepsat sami, ale musíte „jít za někým“, kdo vám umožní připojit k nim váš podpis, a následně dokument sám podepíše. Nikoli ale jako jedna ze dvou smluvních stran, nýbrž jen jako ověřující osoba.
Pojďme nyní již k dalším rozdílům mezi dynamickými biometrickými podpisy a „klasickými“ (kryptografickými) elektronickými podpisy. I s vědomím toho, že jde o rozdíly mezi příslovečnými hruškami a jablky. Ale stále mají mnoho společného (coby „ovoce“).
Pravděpodobnost místo jednoznačnosti
V prvním přiblížení by se dalo konstatovat, že kryptografický elektronický podpis (dále jen el. podpis) je pokaždé jiný, protože závisí na podepisovaném dokumentu, zatímco dynamický biometrický podpis je pokaždé stejný, protože naopak nezávisí na dokumentu, vůči kterému vystupuje v roli podpisu. Z toho plyne ještě jeden další zásadní rozdíl: dynamický biometrický podpis si můžeme vytvořit dopředu a do zásoby, aniž bychom vůbec znali ten dokument, do kterého bude následně vložen. Nebo než takový dokument teprve vznikne.
To u elektronického podpisu nic takového nejde: díky tomu, že elektronický podpis závisí na podepisovaném dokumentu, nemůžeme jej vytvořit dopředu. Nemůžeme tedy podepsat „bianco šek“, neboli něco, co teprve vznikne, či se dodatečně změní. Přesněji: již podepsaný dokument se může změnit, ale ihned se to pozná (jako porušená integrita podepsaného dokumentu): podpis již nebude „sedět“ k pozměněnému dokumentu a bude neplatný.
Ve druhém přihlížení ale zjistíme, že i dynamický biometrický podpis by měl být pokaždé jiný. Nikoli ovšem proto, že by přeci jen závisel na konkrétním dokumentu – ale proto, že závisí na individuálních charakteristikách fyzické osoby, jako je nálada, únava, stáří atd. Jinými slovy: lze předpokládat, že nikdo se nepodepíše dvakrát, či dokonce vícekrát, naprosto stejně. Vždy budou mezi jednotlivými „vzorky“ (dynamickými biometrickými podpisy) určité odchylky.
Existence těchto odchylek přináší významné pozitivum: pokud by se přesně stejný dynamický biometrický podpis „vyskytl“ někde vícekrát (vložený do různých dokumentů), byl by to zřejmý signál jeho zneužití.
Na druhé straně ale stejná vlastnost dynamických biometrických podpisů přináší velký problém: jakékoli posuzování shody, resp. toho, zda konkrétní dynamický biometrický podpis vytvořila konkrétní fyzická osoba, bude nutně muset být založeno na pravděpodobnosti. Ten, kdo to bude posuzovat, tedy nejspíše nějaký soudní znalec, bude muset zvolit míru této pravděpodobnosti. Zda stačí třeba 80 % shody, resp. pravděpodobnosti. Nebo to musí být 95 %, či dokonce 99 %?
V rámci nějakého soudního sporu, kdy posudek znalce (včetně zvolené míry) hodnotí soudce a poměřuje vůči tomu, „co je ve hře“, to asi je schůdné. Ale co mimo soudní spory? Co třeba při rutinním posuzování pravosti nějakého konkrétního podpisu, mimo soudní spor? Kdo a jak stanoví onu „správnou míru“ pro takovéto situace?
Opět je to zásadní rozdíl oproti elektronickému podpisu, kde se s žádnou pravděpodobností nepracuje. Zde je výsledek exaktní: pokud při ověřování máme všechny potřebné informace (zjednodušeně: víme, jakou hodnotu má podpis správně mít), můžeme odpovědět ano, nebo ne. Pokud nemáme všechny potřebné informace (například pokud nemůžeme zjistit stav revokace certifikátu), musíme stejně tak „exaktně“ konstatovat, že „nevíme“: že o stavu platnosti el. podpisu či značky nedokážeme nic říct. Ale rozhodně zde není prostor pro nějaké verdikty typu „na 99 % podpis patří dané osobě“.
Jak praktická je možnost ověření?
Možná v tuto chvíli namítnete, že ani u vlastnoručních podpisů na listinných dokumentech se jejich pravost nezkoumá hned, ale až v případě nějakého sporu. A když už se zkoumá, děje se tak dosti nepraktickým a drahým způsobem, kdy podpis musí posuzovat příslušný znalec (obvykle soudní znalec).
Ano, často tomu tak je, ale ne vždy. Tam, kde jde o „něco důležitějšího“, se buďto rovnou požaduje onen úředně ověřený podpis (kdy se nepracuje s žádným podpisovým vzorem), nebo se pravost podpisu posuzuje vůči existujícímu podpisovému vzoru, a to ještě před provedením požadovaného úkonu (jako například při výběru z účtu na přepážce banky, kdy podpis zkoumá bankovní úředník). Ani jedno se nedělá strojově (programem).
To elektronické podpisy jsou z tohoto pohledu mnohem praktičtější: celý jejich koncept je volen tak, aby exaktní ověření platnosti podpisu bylo nejen možné, ale i běžně a prakticky realizovatelné. Navíc „vlastními silami“, bez potřeby soudního znalce, na rutinní bázi a bez nutnosti existence jakéhokoli podpisového vzoru (který ani nemůže z principu existovat). Dokonce i strojově (programem). U uznávaných elektronických podpisů, kde identitu podepisující osoby ověřila (akreditovaná kvalifikovaná) certifikační autorita při vystavování příslušného (kvalifikovaného) certifikátu, se pak můžeme spoléhat i na pravost podpisu (neboli na to, kdo podpis vytvořil).
Zdůrazněme si také, že když už je u elektronických podpisů jednoznačné ověření možné a prakticky realizovatelné, je dokonce zákonem nařízené: §5/2 zákona o elektronickém podpisu říká, že než se začnete spoléhat na platnost něčího podpisu a jednat podle toho, musíte udělat vše potřebné pro ověření platnosti tohoto podpisu. Pokud tak neučiníte a vznikne nějaká škoda, ponesete ji vy.
Jenže u dynamických biometrických podpisů takováto možnost ověření „vlastními silami“ neexistuje. Vlastně je to u nich stejné jako u úředně ověřených vlastnoručních podpisů na listinných dokumentech: pravost podpisu (neboli: to, že je skutečně vytvořil ten, kdo je prezentován jako podepsaná osoba), obvykle stvrzuje vydavatel dokumentu. Tedy subjekt typu banky, operátora, utility atd. (ve smyslu definice v předchozím článku), který také do dokumentu vkládá „vzorek“ svého klienta (dynamický biometrický podpis), a sám pak dokument podepisuje svým elektronickým podpisem. Tento subjekt odpovídá i za správnou identifikaci svého klienta, jehož „vzorek“ odebírá.
V případě sporu, pokud by klient tvrdil, že nejde o jeho dynamický biometrický podpis, musel by zřejmě nastoupit znalec, který by si od dotyčného nechal vytvořit nový dynamický biometrický podpis pro porovnání (spíše hned několik podpisů), a pak posuzoval míru shody. Celkově tedy jde o řešení bez dopředu existujícího podpisového vzoru.
Alespoň principiálně připadá v úvahu i řešení s podpisovým vzorem, který by existoval nějak apriorně a nezávisle na konkrétním dokumentu a konkrétním vzorku (dynamickém biometrickém podpisu). Ale jak si záhy popíšeme, existence takovéhoto podpisového vzoru by byla spojena s řadou dosti zásadních problémů.
Celkově si ale dovolím konstatovat, že nemožnost praktického a rutinního (strojového) ověření je zásadní nevýhodou dynamických biometrických podpisů. Pokud by snad někdy měly nahradit (kryptografické) elektronické podpisy, došlo by zde k velké „ztrátě kvality“. Pocítily by to zejména elektronické podatelny, které již dnes přijímají obrovské počty podepsaných elektronických dokumentů a strojově vyhodnocují platnost jejich elektronických podpisů či značek.
Výhody asymetrické kryptografie
Nepraktičnost, až přímo nebezpečnost jakýchkoli podpisových vzorů u dynamického biometrického podpisu souvisí s tím, že mají blízko k symetrické kryptografii – zatímco „klasické“ (kryptografické) podpisy jsou založeny na asymetrické kryptografii, a mohou tak těžit z jejích výhod.
Podstatou asymetrické kryptografie je existence dvojice objektů (klíčů), které jsou vzájemně „do páru“: jeden z nich se používá pro samotné podepisování, a druhý pro ověřování podpisů. Výhodou je pak to, že první z nich, používaný pro podepisování, potřebuje pouze ten, kdo se podepisuje, a tudíž jej nemusí (nepotřebuje) nikomu dávat. Proto tento první klíč může být tzv. soukromý, a jeho držitel jej neměl dávat z ruky. Naopak druhý klíč, potřebný pro ověření podpisu, lze bez obav dát komukoli, kdo by jej mohl chtít a potřebovat. V praxi je zvykem přibalovat ho (v rámci certifikátu) ke každému elektronickému podpisu. Lze tak činit bez obav o to, že by ze znalosti veřejného klíče bylo možné (reálné) vypočítat klíč soukromý.
To dynamický biometrický podpis s takovouto asymetrií nepracuje a nemá dva objekty, z nichž jeden má soukromý a druhý plně veřejný charakter. Pracuje jen s jedním objektem (samotným vzorkem), který tudíž má charakter tajného klíče (jako u symetrické kryptografie), a který je nutné pečlivě chránit i poskytovat současně: je nutné jej poskytnout všem „povolaným“, a naopak chránit před všemi „nepovolanými“. Ne že by to nešlo realizovat – ale je to značně nepraktické (složité, nákladné atd.).
Velmi komplikované by to bylo třeba právě u podpisových vzorů dynamických biometrických podpisů: pokud by měly existovat, musely by být realizovány tak, aby v nich uložené dynamické podpisy mohly být využity pro ověřování, ale současně byly chráněny proti svému zneužití. Jakpak by se to asi dalo udělat?
Mimochodem, svého času už byl připraven návrh novely zákona o elektronickém podpisu, který by dynamické biometrické podpisy explicitně zavedl do naší legislativy a postavil je na roveň (kryptografickým) elektronickým podpisům. A ten skutečně požadoval, aby jednotlivé vzory byly veřejně dostupné, a současně chráněné proti zneužití. Ale už neříkal, jak to udělat.
A co digitální kontinuita?
Na závěr to možná nejpodstatnější: klasickým (kryptografickým) elektronickým podpisům je často vyčítáno, že mají všelijaká časová omezení. Že certifikáty se vydávají jen na omezenou dobu (ty podpisové obvykle jen na 1 rok), a že po určité době již přestává být možné ověřit platnost nějakého podpisu (nikoli že tato platnost končí, ale že přestává být možné zjistit stav platnosti).
Ano, to vše je pravdou, a pro běžnou praxi je to hodně nepříjemné – protože si to vynucuje určitá „nápravná opatření“, v podobě aktivní péče o elektronické dokumenty (zjednodušeně: jejich pravidelné přerazítkovávání). Obecně jde o problém tzv. digitální kontinuity, jehož neřešení je přímo časovanou bombou českého eGovernmentu.
Jenže je také nutné si uvědomit, že všechna tato omezení, nakolik bolestná, jsou nezbytně nutná – jako opatření proti zneužití (prolomení) elektronických podpisů. Bylo by to celé na delší povídání, ale v zásadě jde o to, že je nutné průběžně kontrovat rostoucí síle počítačů, využívaných k prolomení těch kryptografických algoritmů, které jsou v rámci elektronických podpisů používány. Děje se tak skrze průběžné zvyšování výpočetní složitosti prolomení – a toho se dosahuje použitím delších klíčů a silnějších hašovacích funkcí. Právě proto je nutná ona „aktivní péče“ o elektronické dokumenty, spočívající v aplikaci delších klíčů a silnějších hašovacích funkcí (nejsnáze skrze ono pravidelné přerazítkovávání).
Zastánci dynamických biometrických podpisů, kteří jimi chtějí nahradit klasické (kryptografické) elektronické podpisy, často říkají, že jejich technologie žádná časová omezení nemá, a je tudíž výhodnější, jednodušší, praktičtější atd. Nejspíše ale zapomínají na to, že jejich „vzorky“ se vkládají do elektronických dokumentů, které jsou posléze podepisovány (vydavateli těchto dokumentů) právě pomocí klasického (kryptografického) elektronického podpisu. Jinými slovy a obecněji: způsob spojení „vzorku“ (dynamického biometrického podpisu) se samotným dokumentem také musí podléhat průběžnému zvyšování výpočetní složitosti svého prolomení – tak, aby se dalo předejít tomu, že někdo časem úspěšně vymění původní „vzorek“ uvnitř dokumentu za jiný (tzv. kolizní), a nepůjde to poznat.
Jenže ono je to ve skutečnosti ještě horší: jak je to se složitostí napodobení samotného dynamického biometrického podpisu? Jak již víme, jde vlastně o nalezení takové sady dat, která by při expertním zkoumání (znalcem) vykazovala požadovanou míru shody s nějakými, již existujícími daty. Třeba s těmi, které jsou někde uloženy jako výše popisovaný podpisový vzor. Nebo s daty, získanými z jednoho či více skutečných podpisů skutečné fyzické osoby.
Obecná odpověď na tuto otázku je jasná: složitost hledání takovýchto dat je nějaká – ale je konstantní. Nelze ji libovolně a podle potřeby zvyšovat, jako je tomu u „klasických“ elektronických podpisů. Takže dříve či později bude v silách počítačů (na druhé straně barikády) vygenerovat takový dynamický biometrický podpis, který úspěšně projde i přes sebelepšího znalce a jeho expertní zkoumání. A to nikoli proto, že by znalec svou práci dělal špatně.
Je to vlastně stejné, jako u obdobných biometrických charakteristik, třeba u způsobu řeči: je jen otázkou času, kdy technologie pokročí natolik, aby dokázaly napodobit hlas konkrétního člověka tak dobře, že to nepozná ani sebelepší znalec. Co pak?