Hlavní navigace

Jak se podepisuje s novou elektronickou občankou?

16. 7. 2018
Doba čtení: 17 minut

Sdílet

 Autor: MVČR
Podle ministerstva vnitra je nová eObčanka kvalifikovaným prostředkem pro vytváření el. podpisů. Kvalifikované el. podpisy s ní ale zatím neuděláte, to půjde (snad) až později.

V závěrečném dílu této malé trilogie o nových elektronických občanských průkazech se podíváme podrobněji na možnosti jejich využití pro elektronické podepisování. V předchozích dílech jsem si popisovali nové občanky jako takové a dále možnost jejich využití pro elektronickou identifikaci (a také autentizaci).

Než se ale pustíme do podepisování s novými občankami (eObčanky), nejprve si připomeňme některé důležité souvislosti. Jsou totiž velmi důležité pro zasazení nových občanek do širšího kontextu. Jde zejména o to, kdo je bude potřebovat využít jako tzv. kvalifikovaný prostředek (jako tzv. QSCD, Qualified Signature Creation Device) pro vytváření kvalifikovaných elektronických podpisů. Stejně tak jde o jejich podporu ze strany certifikačních autorit (dnes: kvalifikovaných poskytovatelů).

Kdo potřebuje kvalifikovaný prostředek?

Jak jsem již několikrát podrobněji popisoval zde na Lupě (například: Elektronické podpisy: v září skončí výjimka, budou úředníci připraveni?), u nás (tj. v ČR) máme dlouhou tradici vyhýbání se kvalifikovaným elektronickým podpisům. Již v roce 2000 jsme si uzákonili výjimku (z unijní právní úpravy e-podpisů) a zavedli si uznávané elektronické podpisy, jako naši národní specialitu.

Od kvalifikovaných elektronických podpisů, které bychom jinak měli používat (alespoň „tam, kde o něco jde“), se uznávané podpisy liší právě v absenci požadavku na používání onoho kvalifikovaného prostředku (kterému se původně říkalo „bezpečný prostředek“).

Jinými slovy šlo o to, že jsme se nenutili do pořízení certifikované čipové karty či USB tokenu pro spolehlivé uložení soukromého klíče, které jsou nejčastější podobou onoho kvalifikovaného prostředku. Nadále jsme sice měli pádný důvod (i zákonem uloženou povinnost) si svůj soukromý klíč „chránit jako oko v hlavě“, ale už jsme si měli sami volit, co je dostatečně bezpečné.

Dnes je situace taková, že povinnost vlastnit a používat kvalifikovaný prostředek (pro vytváření elektronických podpisů alias QSCD) budou po 19. 9. 2018 mít (zjednodušeně) „ti úředníci, kteří elektronicky podepisují úřední dokumenty“. Protože oni se od uvedeného data již musí elektronicky podepisovat právě formou kvalifikovaných elektronických podpisů. A k tomu potřebují ony kvalifikované prostředky.

Zde (pro úředníky) ale použití nových eOP reálně nepřipadá v úvahu. Není to vhodné řešení ani právně (občanské průkazy jsou „osobní“, a nikoli „zaměstnanecké“), ale ani prakticky: všichni úředníci (kteří el. podepisují) budou onen kvalifikovaný prostředek potřebovat již bezprostředně po 19. 9. 2018, kdy pro ně končí dosavadní výjimka. A měl by jim je pořídit jejich zaměstnavatel, protože jej budou používat pro plnění svých pracovních povinností. Naopak své občanské průkazy si i úředníci budou měnit sami a nejspíše postupně, podle jejich expirace.

Když ne úředníci, tak občané?

Takže pro úředníky nemají nové eOP v roli kvalifikovaného prostředku (pro vytváření elektronických podpisů) význam. Ale jak je tomu pro ostatní občany? Včetně úředníků v situaci, kdy nevykonávají své pracovní povinnosti?

Zde si opět musíme připomenout, že pro „ostatní“ naše národní výjimka – z používání kvalifikovaných elektronických podpisů a tím i potřeby vlastnit kvalifikovaný prostředek pro jejich vytváření – platí i nadále, a to trvale, bez časového omezení. I tam, kde jde o komunikaci s veřejnou správou. Například když činíte nějaké podání v elektronické podobě vůči orgánu veřejné moci a máte povinnost jej podepsat, stačí vám podepsat jej pomocí svého uznávaného elektronického podpisu. Tedy bez nutnosti použít (a tím i bez povinnosti vlastnit) onen kvalifikovaný prostředek.

Takže opět: ani pro širší (občanskou) veřejnost není nezbytné, aby novou elektronickou občanku mohla využívat jako kvalifikovaný prostředek.

Když jsem se o tom bavil se zástupci jedné z našich (dříve akreditovaných) certifikačních autorit, pochopil jsem, že si tento aspekt dobře uvědomují – a řeší, zda se jim vůbec vyplatí podporovat nové eOP jako kvalifikované prostředky (pro vytváření elektronických podpisů) a vydávat „k nim“ kvalifikované certifikáty pro kvalifikované elektronické podpisy. Protože očekávanou cílovou skupinou budou nejspíše jen nadšenci, kteří „si to budou chtít vyzkoušet“, dost možná jen jednorázově – ale na tom se asi žádný velký byznys nepostaví. Ovšem náklady s tím spojené nejsou malé.

Jak je to s důkazem původu klíče?

Abychom docenili právě naznačený pohled certifikačních autorit (dnes, podle současné právní úpravy: poskytovatelů služeb vytvářejících důvěru), musíme se ještě zmínit o jednom důležitém aspektu: i když máte kvalifikovaný prostředek (pro vytváření elektronických podpisů), neznamená to automaticky, že každý elektronický podpis, který vytvoříte, je kvalifikovaný. To není.

Pro kvalifikovaný elektronický podpis potřebujete kvalifikovaný certifikát – ale ani ten nemůže být „libovolný“ (kvalifikovaný). Musí to být takový, který garantuje, že při podepisování je použit soukromý klíč uložený na kvalifikovaném prostředku. To ale může certifikát garantovat jen v případě, kdy je sám vystavován k soukromému klíči, který je už rovnou generován v kvalifikovaném prostředku (tj. uvnitř něj) a nemůže se z něj dostat ven (být exportován).

Praktickým důsledkem je to, že certifikační autorita (dnes: kvalifikovaný poskytovatel…) si troufne vystavit takovýto „kvalifikovaný certifikát pro kvalifikovaný elektronický podpis“ – konkrétně s nastaveným příznakem o uložení soukromého klíče v položce QC Statement – jen tehdy, pokud má dostatečnou jistotu, jakým způsobem (a na jaké kartě či tokenu) byl soukromý klíč generován.

Proto také autority standardně vystavují takového kvalifikované certifikáty (pro kvalifikovaný elektronický podpis) pouze pro takové kvalifikované prostředky (karty či tokeny), které sami prodávají.

Zde ale jde o poněkud nestandardní situaci: nové elektronické občanky coby kvalifikované prostředky (QSCD) nevydávají autority (kvalifikovaní poskytovatelé), ale někdo jiný (konkrétně MV ČR). Nejsou to tedy „jejich prostředky“, ale (z pohledu autorit) „cizí prostředky“.

Proto autority potřebují dostatečně spolehlivý důkaz o tom, jak soukromý klíč na nové eOP vzniká a jak je s ním nakládáno (včetně toho, že nejde exportovat). Zjednodušeně potřebují „důkaz o původu klíče“.

MV ČR nedávno deklarovalo, že autoritám poskytlo vše potřebné:

Kvalifikovaným poskytovatelům služeb vytvářejících důvěru vydávajícím kvalifikované certifikáty pro el. podpisy (k 3. 7. 2018 se jedná o První certifikační autorita, a. s., Česká pošta, s. p. a eIdentity a. s.) byly poskytnuty prostředky, jak ověřit tento důkaz o původu klíče. Je na rozhodnutí kvalifikovaných poskytovatelů, zda budou podporovat „nový“ občanský průkaz jako kvalifikovaný prostředek pro vytváření elektronických podpisů.

Autority, se kterými jsem se o tom bavil, mi to potvrdily – s tím, že potřebují určitý čas na to, aby potřebné úpravy ve svých systémech implementovaly. Tedy pokud k tomu vůbec přistoupí, viz výše zmiňované úvahy o tom, zda se jim to vůbec vyplatí.

S tím korespondují i informace, které zveřejnilo samo vnitro, jako informace získané od autorit. I tyto informace naznačují, že autority by měly začít podporovat nové eOP jako kvalifikované prostředky až za nějakou dobu. Viz (například) pro Českou poštu, resp. PostSignum:

Česká pošta, s. p.: Předpokládaný termín zahájení podpory „nových“ občanských průkazů pro uložení el. podpisu je v průběhu července 2018 (aktuálně probíhají vývojové práce) – podmínkou je, že držitel si vygeneruje žádost o vydání certifikátu a na pobočku se dostaví za účelem ověření totožnosti. Pokud bude žádost o certifikát generována na „nový“ občanský průkaz prostřednictvím aplikace iSignum, bude moci být vydán kvalifikovaný certifikát pro el. podpis s příznakem uložení na bezpečném prostředku. S takovýmto druhem el. podpisu bude možné komunikovat i s veřejnou správou mimo ČR (bude se jednat o tzv. kvalifikovaný elektronický podpis). Pokud bude ke generování použitá jiná aplikace, bude moci být vydán pouze kvalifikovaný certifikát pro el. podpis bez příznaku uložení na bezpečném prostředku (s takovýmto druhem el. podpisu bude možné komunikovat s veřejnou správou v ČR).

V době psaní tohoto článku ale ani aplikace iSignum ještě nové eOP nepodporovala.

Jsou nové eOP vůbec QSCD?

S podporou nových eOP coby kvalifikovaného prostředku souvisí jedna zajímavá otázka: jsou nové občanky vůbec QSCD, neboli kvalifikovaný prostředek pro vytváření elektronických podpisů?

Obvyklý a nařízením eIDAS předpokládaný způsob, jak něco takového zjistit, je podívat se do unijního seznamu takovýchto kvalifikovaných prostředků. Najdete ho zde a prezentuje se jako určitý kompilát notifikací konkrétních prostředků od jednotlivých členských států.

Tento seznam ale není konstitutivní (tj. nezakládá kvalifikovaný statut konkrétnímu zařízení tím, že je na něm uvedeno) a je pouze informativní (jak ostatně sám uvádí, viz obrázek). Je členěn na části podle jednotlivých členských zemí, které zde uvádí tři okruhy informací:

  • které subjekty byly, resp. jsou oprávněny provádět certifikace (dle článku 30 nařízení),
  • které prostředky byly dříve (před účinností nařízení eIDAS) certifikovány jako bezpečné a díky přechodným ustanovením nařízení jsou dnes považovány za kvalifikované
  • které prostředky byly (nově) certifikovány jako kvalifikované (již podle nového nařízení)

Příklad části unijního seznamu, s informacemi za Slovenskou republiku (v právě popsaném členění), ukazuje následující obrázek. Jeho obsah vychází z národního seznamu, který spravuje slovenský orgán dohledu (tamní NBÚ). Ten je současně i tím (národním) orgánem, který posuzuje shodu kvalifikovaných prostředků s požadavky nařízení eIDAS (dle článku 30 tohoto nařízení).

U nás máme obdobný národní seznam, a to na stránkách našeho orgánu dohledu (kterým je MV ČR). Ovšem je to seznam kvalifikovaných prostředků (pro vytváření elektronických podpisů), které u nás tzv. vydávají kvalifikovaní poskytovatelé. Nové eOP na něm tak nenajdeme už jen proto, že vydavatelem nových elektronických občanek coby QSCD (kvalifikovaných prostředků pro vytváření elektronických podpisů) je Ministerstvo vnitra ČR – které je sice orgánem dohledu (nad kvalifikovanými poskytovateli), ale samo není kvalifikovaným poskytovatelem.

Zajímavé ale je, že na rozdíl od Slovenska (a dalších zemí EU) se tento náš národní seznam nijak nepromítá do toho „kompilovaného“ unijního. Vlastně zde nemáme žádnou „svou část“. Na unijním seznamu nejsou uvedeny žádné informace týkající se ČR – ani o subjektech určených k posuzování shody (kvalifikovaných prostředků s požadavky, které jsou na ně kladeny), ani o konkrétních prostředcích, které byly u nás uznány za kvalifikované. Nemáme tedy „nahlášen“ ani žádný subjekt, který by certifikoval kvalifikované prostředky dle článku 30 nařízení (ani jsme jej neměli podle původní směrnice).

Důvodem je zřejmě odlišný pohled na celý koncept certifikace kvalifikovaných prostředků: Slovensko, ale třeba také Estonsko i další unijní země, chápou certifikaci ve smyslu posuzování celých „koncových“ prostředků. Zjednodušeně: celých karet či USB tokenů. Nikoli ve smyslu certifikace použitých technologií (čipů, operačních systémů a jednotlivých appletů) – ale až „toho výsledného celku“, který je nabízen koncovému uživateli k využití. Proto se také v příslušných pasážích unijního seznamu objevují právě takovéto „výsledné celky“ (celé karty, tokeny atd.).

Naopak jiné země, jako třeba Francie, dávají na unijní seznam jak „celé prostředky“, tak i v nich využívané technologie – v podobě konkrétních appletů, provozovaných v určitém systémovém prostředí nad určitým (hardwarovým) čipem.

Příkladem může být to, co vidíte na následujícím úryvku z unijního seznamu: jde o dvojici appletů IAS Classic V4.4 a MOC Server 1.1, provozovaných v systémovém prostředí MultiApp V4 (vše od společnosti Gemalto), nad čipem M7892 G12 od společnosti Infineon Technologies, a.s. Tato kombinace tedy byla ve Francii úspěšně certifikována jako QSCD, a to sdružením ANSSI (Agence Nationale de Sécurité des Systèmes d'Information). Držitelem certifikace je (resp. žadatelem o ni byla) společnost Gemalto.

Ovšem Česká republika (zřejmě, mohu-li tak soudit z faktického stavu) zaujímá jiný názor – že pro to, aby nějaký „koncový prostředek“ (čipová karta či USB token) byl kvalifikovaným prostředkem, je rozhodující to, že implementuje certifikovanou technologii.

Pokud se podíváte na jednotlivá oznámení, kterými se u nás prohlašují konkrétní vydávané prostředky za kvalifikované, pak je to zdůvodňováno právě tím, že implementují certifikovanou technologii. Příklad vidíte na následujícím obrázku. Ten se mimochodem týká i karty IDPrime MD 3840, která se vydává jako kvalifikovaný prostředek jak u nás, tak i na Slovensku, a je na ní dobře vidět rozdíl v celkovém přístupu: zatímco my její kvalifikovaný charakter opíráme o použití certifikované technologie (certifikované ve Francii, tamním subjektem ANSSI) a na unijním seznamu ji „za sebe“ neuvádíme, na Slovensku ji jako kvalifikovaný prostředek certifikoval tamní NBÚ (pro autoritu Disig) a na unijním seznamu je („za Slovensko“) uvedena.

Problém je v tom, že když je jako QSCD certifikována nějaká konkrétní technologie, jsou přitom vznášeny určité požadavky na to, jak smí (resp. musí) být implementována, resp. začleněna do nějakého koncového produktu. A někdo musí zkontrolovat, zda se tak stalo a příslušné podmínky byly dodrženy.

Zjednodušeně: když si pro naše eOP pořídíme certifikovanou technologii (onu výše zmiňovanou dvojici appletů IAS Classic V4.4 a MOC Server 1.1, v systémovém prostředí MultiApp V4 nad čipem M7892 G12), přičemž applet IAS Classic použijeme vlastně dvakrát (jednou jako applet pro identifikaci, podruhé pro podepisování), applet MOC Server necháme nevyužitý, přidáme si vlastní systémový applet a vše u nás zkompletujeme a personalizujeme (ve Státní tiskárně cenin) – pak musí být ještě ověřeno, že přitom byly dodrženy všechny podmínky jak od výrobce technologie, tak i podmínky certifikace této technologie.

Pokud mám správné informace, dodržení těchto podmínek dozorovalo Ministerstvo vnitra (a zdrojový kód nově vytvořeného systémového appletu byl prý prozkoumán nezávislou odbornou institucí). Ovšem nic z toho se nepromítlo do oznámení MV ČR, že:

Občanský průkaz se strojově čitelnými údaji a s kontaktním elektronickým čipem vydávaný od 1. července 2018 je kvalifikovaným prostředkem pro vytváření elektronických podpisů ve smyslu nařízení EU č. 910/2014, ….

Protože jediným zdůvodněním toho, že certifikace se z implementované technologie „přenesla“ i na novou občanku jako celek, je samotné využití této certifikované technologie jako takové:

…. jelikož implementuje certifikované technologie „IAS Classic V4.4 with MOC Server 1.1 on MultiApp V4“ umístěné na čipu M7892 G12. 

Obávám se, že to je „trochu málo“. Čímž nijak nezpochybňuji vlastnosti celého koncového prostředku (celé eOP). Jde mi o deklarovaný způsob dovození jeho kvalifikovaného statutu, který mi nepřijde „dostatečný“. A to nejenom u nových eOP, ale u všech „našich“ kvalifikovaných prostředků, protože u všech je způsob dovození jejich kvalifikovaného statutu prezentován stejně (jen z titulu implementované technologie).

Co nabízí nová občanka jako QSCD?

Ověřit si, jak funguje nová občanka jako QSCD, jsem z výše popsaných důvodů nemohl – žádný z našich kvalifikovaných poskytovatelů zatím nevydává takové kvalifikované certifikáty pro elektronický podpis, které by umožňovaly vytvářet kvalifikované elektronické podpisy. 

Mohl jsem vyzkoušet pouze to, že si na novou eOP nahraji kvalifikovaný certifikát i se soukromým klíčem, který byl vygenerován jinde (ne v eOP). Což umožňuje vytvářet jen uznávané elektronické podpisy. Přesněji: zaručené elektronické podpisy, založené na kvalifikovaném certifikátu. Protože samotný pojem „uznávaný elektronický podpis“ je vlastně legislativní zkratkou za dvě jinak samostatné možnosti: kvalifikované elektronické podpisy a ony „zaručené elektronické podpisy, založené na kvalifikovaném certifikátu“.

Z tohoto pohledu je dobré vědět, že nová eOP má 16 kontejnerů pro uložení soukromých klíčů a odpovídajících certifikátů – ale v praxi jich nejspíše využijete podstatně méně. Jde přitom o čtyři čtveřice kontejnerů, z nichž každá má jiné určení.

Na následujícím obrázku vidíte plně zaplněnou tu čtveřici, která bude využita asi nejčastěji – protože právě ona slouží k uchovávání soukromých klíčů, generovaných jinde (mimo eOP), a to pomocí algoritmu RSA. Přípustný rozsah klíčů je do 4096 bitů a pro import jsou podporovány pouze formáty PFX a P12.

Další čtveřice (na předchozím obrázku na druhém řádku, s nadpisem „RSA max. 4096 b. (el. podpis)“) zřejmě slouží pro soukromé klíče, generované přímo na eOP (a pro odpovídající certifikáty). Toto jsem ale nemohl vyzkoušet, důvody viz výše.

Další dvě čtveřice pak jsou koncipovány stejně jako první dvě čtveřice – ovšem pro soukromé klíče, generované pomocí algoritmů založených na eliptických křivkách (ECDSA), s velikostí klíče do 521 bitů.

K tomu všemu si dodejme, že použití soukromých klíčů v jednotlivých kontejnerech je vázáno na zadání správné hodnoty PINů: v případě „importovaných“ soukromých klíčů (na obrázcích u čtveřic na prvním a třetím řádku) je to PIN (který se zadává jen při prvním přístupu v rámci dané relace) a v případě klíčů generovaných přímo na eOP (na obrázcích u čtveřic na druhém a čtvrtém řádku) by to měl být QPIN (který se zadává při každém přístupu).

Musím tedy opravit své tvrzení v prvním článku, že QPIN se týká přístupu ke kvalifikovaným certifikátům – správně se týká vytváření kvalifikovaných elektronických podpisů (resp. klíčů generovaných přímo na čipu).

Jak se k eOP dostanou vaše programy?

Zastavme se ještě na chvíli u toho, jak se vámi používané programy dostanou k vaší občance a ke klíčům a certifikátům, které jsou na ní uloženy. Alespoň na platformě MS Windows.

Zjednodušeně řečeno: ty programy, které „jdou cestou Windows“, by se k vaší občance a jejímu obsahu měly dostat samy a automaticky (samozřejmě až po instalaci čtečky a příslušných ovladačů, zahrnutých v aplikaci eObčanka). A to díky tzv. minidriveru, přes který je pro ně nová občanka dostupná. Dokonce tak, že její obsah jakoby splývá s obsahem systémového úložiště, a aplikační programy tak obvykle ani nedokáží rozlišit umístění klíče a certifikátu.

Aktivně zpřístupnit svou eOP musíte jen těm programům, které „jdou vlastní cestou“ (jako například Firefox a Thunderbird) – a tudíž vyžadují vhodné ovladače, přes které je možné se dostat k obsahu eOP. Takovéto ovladače jsou (při instalaci aplikace eObčanka) nahrány do příslušných systémových adresářů (ve Windows obvykle C:\Windows\System32 a C:\Windows\SysWOW64) a je třeba je příslušné aplikaci zpřístupnit k využití. Podrobněji viz následující obrázky či tento návod.

Naučí se lidé elektronicky podepisovat?

Na závěr malé zamyšlení: elektronické podepisování podporovaly i původní občanky. Ovšem s jedním podstatným rozdílem oproti těm novým: u předchozích občanek byla podpora elektronického podepisování volitelnou a zpoplatněnou možností: pokud jste tuto funkci chtěli, museli jste si za zabudovaný čip připlatit, a to 500 Kč (jednorázově). Což udělalo jen relativně málo lidí, nejspíše nadšenců. Jak už jsem psal v prvním článku této malé trilogie, jednalo se o 32 000 zájemců, což odpovídá mizivým 0,38% všech vydaných eOP. Navíc většina starých občanek s čipem byla vydána hned na začátku (v roce 2012), potom už zájem o ně výrazně opadával.

Dnes je situace odlišná v tom, že (kontaktní) čip mají automaticky všechny nové občanské průkazy (a ten je tak vlastně bez příplatku). Prostředek pro vytváření elektronických podpisů, včetně možnosti podstatně spolehlivějšího uložení soukromého klíče, tak vlastně postupně získají všichni. Zda jej skutečně využijí, je už na nich. Připomeňme si, že uživatel si musí příslušné funkce pro elektronické podepisování aktivovat sám, nastavením PINu a QPINu, viz první článek.

Podpora ze strany státu ale bohužel nejde tak daleko, aby držitel dostal s novou eOP rovnou i potřebný obsah, nezbytný pro samotné elektronické podepisování. Tedy aby kvalifikovaný certifikát a odpovídající soukromý klíč byly na čipu již „od výroby“. Nehledě na nezbytnou čtečku, kterou si držitel také musí pořídit sám (příklady zde, zde či zde).

Původní plány sice takové byly (že nové eOP už budou vydávány i s kvalifikovaným certifikátem), ale nakonec z nich sešlo. Nejspíše proto, že stát nevlastní žádnou vhodnou certifikační autoritu (kvalifikovaného poskytovatele služeb vytvářejících důvěru, který vydává kvalifikované certifikáty) – existují jen komerční autority, kterým by stát musel za vydané kvalifikované certifikáty pro elektronický podpis platit. A tak si musí držitel občanky zajistit (a také zaplatit) vše potřebné sám.

Připomeňme si také, že pro běžného občana je statut kvalifikovaného prostředku u nové eOP vlastně irelevantní – vzhledem k naší obnovené výjimce (viz výše) občanům (ale stejně tak i firmám) stačí používat „čistě“ uznávané elektronické podpisy (přesněji: zaručené elektronické podpisy, založené na kvalifikovaném certifikátu). A to i když komunikují s veřejnou správou. Takže disputace o tom, z čeho má být dovozován kvalifikovaný statut prostředků pro vytváření elektronických podpisů (QSCD), je nemusí trápit. Pro ně je důležité, že v nové elektronické občance získávají něco přeci jen bezpečnějšího, než co představuje uchovávání soukromého klíče „přímo v počítači“, obvykle v systémovém úložišti operačního systému.

Stejně tak občané (ani firmy) vlastně ani nepotřebují kvalifikované certifikáty s příznakem uložení soukromého klíče na QSCD, a to z důvodů podrobněji rozebíraných výše – protože ani pro komunikaci s veřejnou správou nepotřebují používat kvalifikované elektronické podpisy, ale stačí jim ony „čisté“ uznávané elektronické podpisy. Takže ani podpora nových eOP ze strany autorit pro ně také není až tak důležitá.

I když: vše se týká jen tuzemské veřejné správy, a nikoli té zahraniční. Protože v zahraničí naši specifickou výjimku nemají – a tak zde obecně vyžadují kvalifikované elektronické podpisy (které zase vyžadují kvalifikované prostředky).

V neposlední řadě je zde ještě důležitá otázka celkového přístupu k elektronické komunikaci, založené na předávání dokumentů: z mého pohledu se u nás dosud dávala přednost takovým řešením, která umožňovala vyhnout se podepisování elektronických dokumentů. Mám tím na mysli hlavně aktivně propagovanou fikci podpisu u podání vůči veřejné správě, činěných prostřednictvím datových schránek. Se všemi jejími problematickými aspekty, které jsem zde na Lupě již mnohokrát popisoval (naposledy zde).

UX DAy - tip 2

Mnohdy je to dokonce prezentováno tak, že v tradičním kamenném světě je sice normální se pod listinné dokumenty podepisovat, ale v elektronickém světě je naopak normální se nepodepisovat, ale využívat oné fikce podpisu – vycházející z představy, že odeslání z určité konkrétní datové schránky garantuje původ dokumentu a dokáže tak nahradit podpis držitele této schránky (resp. osoby oprávněné jednat za držitele).

Jestliže tedy nyní přichází nové elektronické občanky s podporou elektronického podepisování (a to pro všechny, ne pouze pro nadšence), bude tato možnost skutečně využita? Podle mého názoru to hodně závisí na tom, zda dojde k celkovému obratu v dosavadním přístupu a „pohledu na věc“: bude podepisování již i v elektronickém světě prezentováno jako pravidlo, a ne jako výjimka (když pravidlem je využití fikce podpisu)? Přijde osvěta propagující elektronické podepisování – tak, aby se lidé naučili elektronicky podepisovat a možnosti nových elektronických občanek skutečně využívali? Držím palce, aby se tak stalo.

Byl pro vás článek přínosný?

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).