Hlavní navigace

Jak stát dodržuje zákony? Měsíc po konci výjimek jsou kvalifikované elektronické pečeti stále vzácné

Jiří Peterka

Ani měsíc po konci výjimek se kvalifikované elektronické pečeti příliš neprosadily. Zatím na ně nepřešly ani datové schránky. A jak je to s autorizovanými konverzemi?

Doba čtení: 14 minut

Je to již měsíc, co skončily dvouleté výjimky v oblasti elektronického podepisování a nastal „cílový stav“, daný účinností unijního nařízení č. 910/2014 (zvaného eIDAS) a našeho adaptačního zákona č. 297/2016 Sb. (o službách vytvářejících důvěru). O tom, že přijde, a jak bude vypadat, se vědělo (a psalo nejenom zde na Lupě) dlouho dopředu. Přinejmenším dva roky, od účinnosti oněch dvouletých výjimek, které nyní skončily.

Stejně tak se dalo tušit, jaký asi bude v celé věci postup: ten obvyklý. Tedy dlouho nic, klid a pohoda. A teprve těsně před koncem hektický finiš, ve snaze stihnout vše doslova na poslední chvíli.

Pokud jde o přechod na kvalifikované elektronické podpisy, pak zde takovýto přístup měl jistou šanci – protože vše potřebné (jak kvalifikované certifikáty, tak i kvalifikované prostředky pro vytváření elektronických podpisů) již bylo běžně dostupné na trhu, a to přeci jen delší dobu.

To u elektronických pečetí byla situace jiná. Navíc se lišila podle toho, zda stačí elektronicky pečetit „ručně“ (a tedy jen malé počty dokumentů), nebo zda se musí jednat o strojové pečetění (velkého počtu automaticky generovaných dokumentů či zpráv). Protože pro „ruční“ pečetění se alespoň na poslední chvíli objevil dostupný prostředek, v podobě karty ProID+Q, s kvalifikovaným statutem jak pro elektronické podpisy, tak i pro elektronické pečeti.

Strojově se zatím moc nepečetí

Horší to bylo, a očividně stále je, se „strojovým“ pečetěním na kvalifikované úrovni. Připomeňme si, že to se týká především automaticky (strojově) generovaných výpisů z nejrůznějších veřejných i neveřejných rejstříků. Například výpisů ze základních registrů, z obchodního rejstříku, z rejstříku trestů, z katastru nemovitostí a dalších. Stejně tak se ale nutnost (kvalifikovaného) strojového pečetění může týkat i nejrůznějších strojově generovaných zpráv. Například emailových potvrzení různých podání, zasílaných elektronickou poštou na podatelny úřadů. A co třeba takové datové zprávy, procházející skrz informační systém datových schránek (ISDS)?

Jak už jsem podrobněji popisoval zde na Lupě v tomto článku, pro (kvalifikované) strojové pečetění připadají v úvahu v zásadě jen dvě možnosti: buď řešení v podobě tzv. vzdáleného pečetění, které je poskytované jako služba, a tudíž i průběžně zpoplatněné podle počtu pečetí, nebo pořízení tzv. HSM (Hardware Security Module) modulu. Obojí už je dnes k dispozici (vzdálené pečetění jako služba RemoteSeal od I.CA, řešení v podobě HSM modulu nabízí např. společnost Sefira) – ale reálná praxe ukazuje, že právě zde je největší „dluh“ (pokud tak lze nazvat nenaplnění požadavků zákona).

Použití kvalifikovaných elektronických pečetí na strojově generovaných výpisech jsem dosud zaznamenal jen u dvou jejich zdrojů: 

  • u (placených) výpisů z katastru
  • u výpisů z živnostenského rejstříku

Příklady z obou těchto zdrojů jsem podrobněji rozebíral v předchozím článku (o tom, jak vlastně poznat, zda konkrétní elektronický podpis či pečeť jsou kvalifikované), a tak si je na následujícím obrázku jen stručně připomeňme – s důležitým upozorněním, že česká lokalizace programu Adobe Acrobat Reader hodně nešťastně překládá anglický termín seal jako razítko, a nikoli jako pečeť.

Ze samotného podpisu či pečeti ale není poznat, jakým způsobem vznikly – zda v rámci služby pro vzdálené pečetění (kdy HSM modul je u poskytovatele služby), nebo s použitím „vlastního“ HSM modulu u pečetící osoby. Nicméně u obou zmiňovaných zdrojů lze celkem snadno odhadnout, o kterou variantu se jedná:

  • pečeti na výpisech z katastru jsou založeny na kvalifikovaném certifikátu od společnosti PostSignum. Ta nenabízí službu vzdáleného pečetění, takže by se mělo jednat o použití HSM modulu přímo na pracovišti ČÚZK.
  • pečeti na výpisech z živnostenského rejstříku jsou založeny na kvalifikovaném certifikátu od společnosti I.CA a jsou zřejmě vytvářeny v rámci služby RemoteSeal od I.CA.

Jinak ostatní strojově generované výpisy, které jsem měl možnost získat, stále „jedou postaru“, a jsou tedy opatřovány pouze uznávanou elektronickou pečetí. Přesněji „zaručenou elektronickou pečetí, založenou na kvalifikovaném certifikátu pro elektronickou pečeť“.

Stále stejně (jako před měsícem) se kupodivu chová i rejstřík trestů právnických osob, který místo výpisu vrací (nepodepsané, resp. nezapečetěné) hlášení o technické chybě.

Jak je to s datovými schránkami?

Zajímavou otázkou je určitě i to, zda se používání kvalifikovaných elektronických pečetí týká i datových schránek, resp. celého systému ISDS (Informačního systému datových schránek).

Připomeňme si, že jednotlivé datové zprávy, přenášené skrz systém datových schránek, jsou na vstupu do systému opatřovány tzv. podacím časovým razítkem. Na výstupu (při svém stahování ze systému ISDS) byly původně opatřovány uznávanou elektronickou značkou MV ČR a od dubna 2011 též dalším časovým razítkem, vloženým do této značky.

S postupným přechodem od značek k pečetím začal i systém ISDS používat pečeti. Dnes se jedná pouze o „čistě“ uznávané elektronické pečeti neboli o „zaručené elektronické pečeti, založené na kvalifikovaném certifikátu pro elektronické pečeti“.

Poznat to ale není úplně jednoduché, protože ani samotný ISDS, ani aplikace Form Filler (na čtení datových zpráv ve formátu ZFO) neříkají nic o druhu elektronické pečeti (či původní elektronické značky). Proto je nutné se podívat přímo do certifikátu, o který se pečeť opírá. A jelikož prostředky operačního systému Windows neumí zobrazit obsah příslušné položky v lidsky čitelné podobě (viz minulý článek), lze použít náhradní řešení a podívat se na hodnotu identifikátoru OID v položce „Zásady certifikátu“.

Protože podle příslušné certifikační politiky vydavatele je zde uvedeno OID s hodnotou 0.4.0.194112.1.3 v případě certifikátů pro elektronické pečeti s nastaveným příznakem umístění soukromého klíče na kvalifikovaném prostředku (QSCD) a OID 0.4.0.194112.1.1 v opačném případě.

A právě tento opačný případ je případem současných datových schránek, které tak opatřují jednotlivé datové zprávy pouze „zaručenými elektronickými pečetěmi, založenými na kvalifikovaném certifikátu“, a nikoli kvalifikovanými elektronickými pečetěmi.

Stejně je tomu i s dodejkami a doručenkami. A také s „přerazítkováváním“ starších datových zpráv, pokud u nich systém ISDS nahrazuje starou elektronickou značku novou elektronickou pečetí.

Jak je to po právní stránce?

Zajímavé je, že příslušný zákon (č. 300/2008 Sb.) ani jeho prováděcí předpisy neukládají systému datových schránek, aby přepravované datové zprávy opatřoval dříve značkou a dnes pečetí.

§ 20 odst. 1 písm. a) zákona č. 300/2008 Sb. řeší pouze ono „podací“ časové razítko, kterým má být opatřena každá odesílaná datová zpráva. Původně, do účinnosti adaptačního zákona (zákona č. 297/2016 Sb., resp. jeho doprovodného „tlusťocha“), zde byl explicitně formulovaný požadavek na připojení kvalifikovaného časového razítka. Od uvedené doby je stejné ustanovení formulováno tak, že k odesílané zprávě mají být připojena „data prokazující existenci datové zprávy k okamžiku jejího odeslání z datové schránky“.

O připojení podpisu či pečeti zákon hovoří pouze u dodejky a doručenky. A to ještě s obdobnou změnou jako u časových razítek: zatímco původně byla explicitně požadována uznávaná elektronická značka (MV ČR jako zřizovatele systému), dnes se požadavek rozepisuje do povinnosti zabezpečit dodejku či doručenku způsobem „zajišťujícím integritu, případně původ dat“.

Mimochodem, úplně stejný požadavek – původně na uznávanou elektronickou značku, nově na zabezpečení způsobem „zajišťujícím integritu, případně původ dat“ – je i v zákoně č. 365/2000 Sb., o informačních systémech veřejné zprávy, v souvislosti s vydáváním ověřených výstupů z informačních systémů veřejné správy.

Je ale požadavek na takovéto zabezpečení (způsobem „zajišťujícím integritu, případně původ dat”) to samé jako požadavek opatřit datovou zprávu kvalifikovanou elektronickou pečetí? Nebo by stačila nějaká nižší úroveň elektronických pečetí?

Podle mého názoru na to dává odpověď samotné nařízení eIDAS, které domněnku integrity a správnosti původu dat přisuzuje právě (a pouze) kvalifikovaným elektronickým pečetím.

Tato právní domněnka znamená, že v případě sporu se má za prokázané to, čeho se domněnka týká (tedy integrity a původu), a není tedy třeba to nějak znovu prokazovat. Pokud by ale někdo tvrdil opak, nesl by důkazní břemeno on, tj. své opačné tvrzení by musel prokázat.

Určité upřesnění pak přináší náš adaptační zákon (zákon č. 297/2016 Sb.), který ve svých § 8 a 9 říká, že tzv. veřejnoprávní podepisující (a osoby vykonávající veřejnou působnost) mají používat výhradně kvalifikované elektronické pečeti, zatímco ostatní subjekty (při komunikaci s veřejnoprávními subjekty) mají určitou úlevu a mohou vystačit jen s „čistě“ uznávanými elektronickými pečetěmi. Přesněji: se „zaručenými elektronickými pečetěmi, založenými na kvalifikovaném certifikátu pro elektronické pečeti“. Tedy bez kvalifikovaných prostředků pro vytváření elektronických pečetí.

Co autorizované konverze?

Problematika kvalifikovaných elektronických pečetí, ale stejně tak i kvalifikovaných elektronických podpisů, se určitým způsobem dotýká i oblasti autorizovaných konverzí. Jde zejména o konverze z elektronické do listinné podoby, u kterých je třeba při změně podoby zachovat také informaci o případném kvalifikovaném statutu elektronického podpisu či pečeti.

Jinými slovy: v doložce, která je povinnou součástí výstupu konverze z elektronické do listinné podoby, už nestačí jen informace o tom, že vstup byl opatřen uznávaným elektronickým podpisem či uznávanou elektronickou pečetí. Jelikož tento termín („uznávaný“) je jakousi legislativní zkratkou dvou různých variant, měla by doložka říkat i to, o kterou z variant šlo. Zda se jednalo o kvalifikovaný elektronický podpis (či pečeť), nebo jen o „zaručený elektronický podpis, založený na kvalifikovaném certifikátu“ (či pečeť).

Je to důležité proto, že některé právní úkony mají jako povinnou náležitost kvalifikovaný elektronický podpis či pečeť, zatímco jiné vystačí jen s oním „zaručeným elektronickým podpisem, založeným na kvalifikovaném certifikátu“. Příklad za všechny mohou být výše citovaná ustanovení § 8 a 9 adaptačního zákona (na předchozím obrázku).

Takže pokud by v doložce na výstupu konverze nebyla informace o konkrétním druhu podpisu či pečeti, znemožňovalo by to posoudit, zda konvertovaný dokument má všechny požadované náležitosti. Čímž by byla (podle mého názoru) narušena „právní ekvivalence“ mezi originálem a výstupem konverze, definovaná v § 22 odst. 2 zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, tak, že výstup z konverze „má stejné právní účinky jako dokument, jehož převedením výstup vznikl“.

Problém je ale v tom, že legislativci jsou zřejmě jiného názoru – že rozlišení konkrétní varianty uznávaného elektronického podpisu (zda jde o kvalifikovaný elektronický podpis, nebo o „zaručený elektronický podpis, založený na kvalifikovaném elektronickém certifikátu“) není nutné. Protože ustanovení § 25 odst. 2 zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, které předepisuje povinný obsah doložky, nic takového nepožaduje. Chce jen indikaci toho, že vstup byl opatřen uznávaným elektronickým podpisem, nebo uznávanou elektronickou značkou.

Od kdy ale právě popsaná potřeba (rozlišovat konkrétní druh elektronického podpisu či pečeti) reálně vznikla? Opět podle mého názoru již s účinností adaptačního zákona (zákona č. 297/2016 Sb.), který zavedl onu výše popisovanou legislativní zkratku – a tedy již k 19. září 2016. Bez ohledu na to, že pak ještě dva roky běžely ony výjimky, díky kterým se kvalifikované elektronické podpisy (a pečetě) někde ještě nemusely používat. Důležité je ono „nemusely“ – protože se samozřejmě používat mohly (a s koncem dvouletých výjimek i skutečně používaly).

Jak se měnily doložky autorizovaných konverzí

Když zůstaneme u autorizovaných konverzí na žádost, prováděných podle zákona č. 300/2008 Sb. na kontaktních místech veřejné správy (na CzechPOINTech), pak u nich mají (konverzní) doložky vždy jednotný obsah, daný použitými šablonami. A ty nebyly dlouho měněny. Nebo alespoň ne tak, aby rozlišovaly mezi kvalifikovaným a jiným statutem elektronických podpisů.

Na následujícím obrázku vidíte, jak to vypadalo ještě letos (2018) v létě, na konci července. Všimněte si, že obsah doložky z této doby už nějakým způsobem reflektuje existenci nařízení eIDAS (účinného od 1. 7. 2016) a souvisejícího adaptačního zákona (č. 297/2016 Sb., účinného od 19. 9. 2016) – a to alespoň v tom, že zmiňuje „kvalifikované poskytovatele služeb vytvářejících důvěru“. Ale třeba při zmínce o časovém razítku obsah doložky ještě nereflektuje změnu terminologie: z původního „časového razítka“ se totiž stalo „elektronické časové razítko“.

Hlavně ale: elektronický dokument na vstupu byl (v popisovaném příkladu) opatřen kvalifikovaným elektronickým podpisem. Nicméně doložka říká něco jiného: že jde jen o „zaručený elektronický podpis, založený na kvalifikovaném certifikátu“. Ještě koncem července letošního roku (2018) tedy konvertující CzechPOINTy nedokázaly správně rozpoznat kvalifikovaný elektronický podpis.

Naučily se to až později: na dalším obrázku vidíte obsah (konverzní) doložky z 19. října 2018, kde už je (jiný konkrétní) kvalifikovaný elektronický podpis správně rozpoznán a popsán.

Pokud jde o elektronické pečeti, zde se situace vyvíjela obdobně – jen díky konkrétním příkladům mohu dovozovat, že ke změně došlo až poměrně nedávno. Protože ještě 29. září 2018 doložky neznaly kvalifikované pečeti, jak dokládá následující obrázek (jde o výstup z konverze výpisu z RŽP, jaký je i na dnešním druhém obrázku).

Všimněte si, že zde jsou elektronické značky a elektronické pečeti ještě „házeny do jednoho pytle“ (není mezi nimi rozlišováno) – takže vlastně nelze na první pohled poznat, že se v daném případě jedná o pečeť (a nikoli o značku). To lze odhadnout už z načasování (kvalifikované systémové certifikáty pro elektronické značky se už delší dobu nevydávají), a přesně to lze vyčíst z údajů o certifikátu, o který se „značka či pečeť“ opírá.

Ze samotné doložky opět nepoznáte, zda jde o kvalifikovaný systémový certifikát nebo kvalifikovaný certifikát pro elektronické pečeti. Ale podle jeho sériového čísla si ho můžete vyhledat v evidenci vydaných certifikátů příslušného vydavatele (poskytovatele služeb vytvářejících důvěru) a zde se dozvědět, o jaký druh certifikátu se jedná. Příklad pro certifikát na předchozím obrázku ukazuje následující obrázek.

Z obsahu certifikátu je v daném případě patrné, že jde o kvalifikovaný certifikát pro elektronické pečeti, navíc s nastaveným příznakem o uložení soukromého klíče v kvalifikovaném prostředku pro vytváření elektronických pečetí. Z toho je možné dovodit, že autentizační prvek na konvertovaném dokumentu je elektronickou pečetí, a to kvalifikovanou elektronickou pečetí. Ani to ale z doložky na popisovaném příkladu (datované 24. 9. 2018) nepoznáte.

Nicméně v době mezi 24. 9. 2018 a 19. 10. 2018 došlo ke změně, protože doložka z 19. 10. 2018 už dokáže správně identifikovat elektronickou pečeť. Včetně toho, že jde o kvalifikovanou elektronickou pečeť – jak dokládá následující obrázek.

Co je na doložkách stále špatně?

Pokud bychom chtěli být striktní, pak na nejnovější podobě konverzních doložek z elektronické do listinné podoby (z 19. 10. 2018, viz obrázky výše) najdeme stále určité nedostatky.

Tak například zde úplně chybí informace o formátu elektronického podpisu či pečeti na vstupu – zda šlo o tzv. referenční formát, který vymezuje nařízení eIDAS a jeho prováděcí předpisy. Je to důležité nejenom proto, že referenční formáty jsou po technické stránce „robustnější“, ale i proto, že samotné nařízení požaduje povinné akceptování podpisů (a pečetí) pouze v těchto formátech. Neboli: podpisy či pečetě v ne-referenčních formátech (např. PAdES Basic) nemusí být jejich příjemci (ve veřejné správě) vždy akceptovány.

Další nesprávnosti se týkají informací o časovém razítku, pokud je jím vstup opatřen. I když se jedná o kvalifikované elektronické časové razítko, doložka ho stále prezentuje jen jako „elektronické časové razítko“, tedy bez uvedení jeho kvalifikovaného statutu. Přitom požadavky zákona na obsah doložky explicitně mluví o kvalifikovaném elektronickém časovém razítku.

Přímo z doložky tak není možné posoudit, zda byl splněn požadavek § 11 adaptačního zákona, podle kterého veřejnoprávní podepisující (a osoby vykonávající veřejnou působnost) opatřují své kvalifikované elektronické pečeti kvalifikovanými časovými razítky.

Připomeňme si to na následujícím obrázku, který jsme si už jednou uváděli – jako ukázku toho, že nově už doložky správně identifikují i kvalifikované elektronické podpisy. Část zmiňující elektronické časové razítko je na obrázku zvýrazněna červeně. Všimněte si, že hovoří jen o stavu razítka (že je platné), ale nikoli o tom, že se jedná o kvalifikované časové razítko.

Jak ukazuje žlutě zvýrazněná část obrázku, ještě by bylo vhodné přeformulovat i další části doložky, tak aby místo o (obecnějším) „uznávaném“ elektronickém podpisu mluvily konkrétně o podpisu kvalifikovaném, tak jako na začátku doložky. Protože ne každý si hned uvědomí, že jde o onu nešťastnou legislativní zkratku, a kvalifikovaný elektronický podpis je tak zvláštním případem uznávaného elektronického podpisu.

Nesprávná je i modře zvýrazněná část, která mluví o „čísle“ (kvalifikovaného) elektronického časového razítka. Zde je dobré si uvědomit, že časová razítka, stejně jako podpisy či pečeti, nemají žádná čísla, ani sériová, pořadová či jiná. To mají až certifikáty, na kterých jsou tyto prvky založeny. A i zde je ono číslo „2D CB E7“ ve skutečnosti sériovým číslem toho certifikátu, o který se elektronické časové razítko opírá. Jde o jeden z několika certifikátů, které používá autorita časového razítka poskytovatele služeb vytvářejících důvěru, kterým je Česká pošta, s.p.

Úplně správně tak nejsou ani zeleně zvýrazněné části doložky, identifikující poskytovatele služeb vytvářejících důvěru, který vydal časové razítko, resp. certifikát pro elektronický podpis. V případě razítka se sice skutečně jedná o Českou poštu, s.p., a v případě podpisového certifikátu o První certifikační autoritu, a.s. – ale to, co je uvedeno na začátku, není součástí jména, resp. názvu příslušného poskytovatele.

Jde o ono „PostSignum Qualified CA 3“ resp. „I.CA Qualified 2 CA/RSA 02/2016“, což jsou textové řetězce, fakticky identifikující dceřinou autoritu příslušného poskytovatele služeb (České pošty, resp. I.CA). Přesněji jsou to hodnoty položek CN (Common Name) certifikátů, které tyto dceřiné autority používají, a to pro vydávání dalších certifikátů. Obvykle z nich lze dovozovat alespoň charakter konkrétní kvalifikované služby vytvářející důvěru, ke které se určitá informace vztahuje.

Takže např. v polovině roku 2014 si Česká pošta založila novou dceřinou autoritu „PostSignum Qualified CA 3“ výhradně pro jednorázové vydávání certifikátů, které pak jsou průběžně používány pro vydávání (kvalifikovaných) elektronických časových razítek. Následně si takto vydala certifikáty s CN jako „PostSignum TSA – TSU 1“, „PostSignum TSA – TSU 2“ atd., na kterých pak jsou založena jednotlivá (kvalifikovaná) elektronická časová razítka, viz výše.

Našli jste v článku chybu?