Nahradí dynamické biometrické podpisy ty současné elektronické?

Co je dynamický biometrický podpis?

Idea DBP je založena na zjištění, že proces vytváření podpisu je stejně unikátní a prakticky nenapodobitelný jako otisk prstu  nebo vzory na duhovce či sítnici oka. Nejedná se ani tak o výsledný grafický vzor podpisu, ale o gesta v průběhu jeho vytváření – rychlost, sílu, přítlak a podobně. K zaznamenání těchto charakteristik pak slouží speciální tablet, na který se podepisující osoba podepíše.

Z pohledu zastánců DBP má tato technologie oproti současným elektronickým podpisům, založených na certifikátech a asymetrické kryptografii, zejména následující výhody:

• Neomezená doba platnosti, podpis není založen na expirujícím certifikátu.

• Snadno „přenosný“, není nutné instalovat certifikát a související klíče na každý počítač, kde se chci podepisovat. Podpisový tablet je jednoduché a levné zařízení.

• Vidím, co podepisuji, podpis má vizuální podobu snadno pochopitelnou pro běžného uživatele.

• DBP může používat kdokoliv, kdo se umí podepsat, není nutno s předstihem zařizovat certifikát.

• Technologické zázemí může snadno poskytnout i někdo jiný než podepisující osoba. Dá se dokonce předpokládat, že to obvykle bude nějaká firma či instituce, která vybuduje potřebnou infrastrukturu pro použití svými zákazníky.

Potíže s podpisy

Základní východisko, tedy skutečnost, že je možné styl provedení podpisu chápat jako dostatečně unikátní, nijak nezpochybňuji¹. Nicméně i pokud přijmeme jeho pravost, zůstává celá řada dalších problémů, zejména:

• Způsob svázání podpisu s dokumentem.

• Obtížnost ověření podpisu.

• Snadné získání „podpisového materiálu“ podvodným způsobem.

• Nemožnost revokace „podpisového materiálu“.

• Nedostatečná kontrola podepisující osoby nad prostředky pro výrobu podpisu.

Pojďme jednotlivé problémy pojmout ve větší šíři.

Svázání podpisu s dokumentem

V případě „klasického“ elektronického podpisu, založeného na asymetrické kryptografii², platí, že podpis je funkcí dokumentu a klíče podepisující osoby. Znamená to, že takový elektronický podpis neexistuje a principiálně a technologicky nemůže existovat samostatně, bez dokumentu samotného. Neexistuje – a ani existovat nemůže – elektronický ekvivalent podepsání „prázdného papíru“. Stejně tak není možné elektronický podpis vzít z jednoho dokumentu a přesunout ho na jiný dokument³.

Oproti tomu dynamický biometrický podpis, tedy charakteristika zapsaných tahů, existuje zcela samostatně a k dokumentu musí být „přilepen“ jinými prostředky. Přičemž u všech mně známých implementací jsou ony „jiné prostředky“ asymetrická kryptografie. Čímž padá první zmiňovaná výhoda, která je často prezentována jako hlavní: tedy časová stálost bez expirace.

Obtížnost ověření podpisu

Elektronický podpis může ověřit kdokoliv, kdo má k dispozici veřejný klíč (certifikát), odpovídající soukromému klíči, jímž byl podpis vytvořen. Tedy v podstatě kdokoliv, protože certifikát bývá k podpisu typicky přiložen, navíc existují veřejné registry vydaných certifikátů. Pro ověření není potřeba žádná součinnost podepisující osoby, ba dokonce lze jej provést i v případě, že podepisující osoba bude ověřování záměrně sabotovat.

Digitální biometrický podpis ovšem v dokumentu nemůže být uvedený „jen tak“, v otevřené podobě, protože pak by bylo možné ho vyextrahovat a přidat k libovolnému dalšímu dokumentu. Vlastní biometrická data jsou tedy v dokumentu uložená v zašifrované podobě, chráněná dalším klíčem. A jenom vlastník tohoto klíče si může podpis skutečně ověřit porovnáním zaznamenaných biometrických dat s podpisem „podezřelé“ osoby. Všichni ostatní musejí spoléhat na prohlášení tohoto vlastníka.

Aby mohl být DBP použit ve veřejné sféře, musela by se vytvořit sofistikovaná infrastruktura pro vytváření a ověřování podpisů, což by ovšem výrazně snížilo dostupnost podpisu a kladlo ho na roveň – co do složitosti pořízení a pravděpodobně též nákladnosti – úředně ověřených podpisů.

Dále pak je nutné mít nějaký důvěryhodný vzor, proti kterému by bylo lze biometrická data porovnávat, nakolik se shodují. Zde existují v zásadě dvě cesty:

První vede k vytvoření jakéhosi důvěryhodného registru podpisových vzorů, kam by se člověk musel nejprve zaregistrovat, aby mohl DBP používat. V takovém případě ovšem padá další z podstatných výhod, tedy že se uživatel nemusí předem nikde registrovat. Proces registrace by byl patrně srovnatelný s ověřením při vydávání kvalifikovaného certifikátu.

Druhá cesta spočívá v porovnání podpisu se vzorem získaným ex post. V takovém případě je ovšem nutná dosažitelnost, nebo dokonce i součinnost, podepisující osoby. V případě, že osoba bude nedosažitelná (v extrémním případě mrtvá), nebude možné podpis ověřit, protože nebude k dispozici vzor.

Dále pak se mi nepodařilo najít relevantní informace pro případ, nakolik je možné charakteristiky podpisu změnit vůlí podepisující osoby, například ve chvíli, kdy podepisující osoba už ve chvíli, kdy se podepisuje, ví, že bude chtít tento akt později zpochybnit.

Snadné získání „podpisového materiálu“ podvodným způsobem

Získat soukromý klíč potřebný k vytvoření elektronického podpisu je úkol relativně komplikovaný a v některých případech téměř nemožný. Klíč uživatel používá výhradně k vytváření elektronického podpisu⁴. Při správném zacházení si je uživatel vždy vědom, že se elektronicky podepisuje a že klíč používá.

Získání dat k dynamickému biometrickému podpisu je řádově jednodušší a lze jej poměrně snadno provést i bez vědomí uživatele. Podepisujeme se v běžném životě mnohokrát a častokrát zcela automaticky, při přejímání poštovních zásilek, při vstupu do některých budov… Někdy se toto podepisování již nyní děje v elektronické podobě na tablet⁵. Tuto formu používají některé kurýrní společnosti, testovací centra při skládání testů pro odborné certifikace a v některých státech i pro potvrzení plateb platebními kartami⁶.

Získat biometrická data podvodným způsobem může zjednodušit i skutečnost, že existují tablety, na které se píše jako na podložku pod obyčejným papírem, a to perem, které je k nerozeznání od funkční propisky⁷. Není mi známo, zda stávající modely poskytují dostatečná data pro získání kvalitních biometrických dat (protože k tomuto účelu nejsou navržena), ale jakmile se DBP případně rozšíří, nebude problém takové zařízení vytvořit.

Lze tedy snadno získat biometrické údaje bez vědomí podepisující osoby, a nebo sice s jejím vědomím, ale pod krycím účelem.

Nemožnost revokace „podpisového materiálu“

Pokud dojde ke kompromitaci klíče pro elektronický podpis, lze jej standardizovanými prostředky snadno zneplatnit (revokovat) a vygenerovat si nový. Pokud by došlo ke kompromitaci podpisových dat pro DBP, znamená to výrazně větší problém. Pokud jsou charakteristiky vůlí uživatele změnitelné, znamená to minimálně zvykat si na jiný podpis. Pokud jsou nezměnitelné, je nutné přijmout dodatečná opatření a implementovat další zábrany v podobě „cancellable biometrics“ schémat. Takové postupy jsou ale, pokud je mi známo, spíše ve stádiu teoretických úvah a akademických pokusů.

Nedostatečná kontrola podepisující osoby nad prostředky pro výrobu podpisu

V případě elektronického podpisu má, nebo minimálně může mít, podepisující osoba výhradní kontrolu nad prostředky, jimiž je podpis vytvářen. Ostatně, pro zaručené elektronické podpisy to zákon výslovně uvádí, když ZEP definuje jako podpis, který „byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou“⁸.

Udržet pod svou výhradní kontrolou veškeré podpisové prostředky, včetně generování klíčů a žádosti o certifikát, sice není úplně snadné a naše certifikační autority vám s tím právě nepomohou, ale je to možné a celkem snadno realizovatelné.

V případě DBP je z logiky věci častější případ, kdy se osoba podepisuje na zařízení, které nemá ve svém vlastnictví a pod svou kontrolou. Vzhledem k možnosti zachycení „surových“ podpisových dat to představuje značné bezpečnostní riziko. Také argument, že osoba „vidí co podepisuje“, je zcela iluzorní, protože celý vjem je zprostředkováván softwarem, který bude typicky pod kontrolou jiné než podepisující osoby.

Závěr

Z důvodů uvedených výše nepokládám za principiálně možné, aby dynamické biometrické podpisy nahradily elektronické podpisy založené na asymetrické kryptografii. Právo na život ovšem nepochybně mají – nicméně jejich význam bych viděl spíše v oblasti autentizace uživatelů. Tedy stejně, jako se dnes používají ostatní biometrické faktory: otisky prstů, vzory duhovky či sítnice…

DBP mohou mít význam v uzavřených systémech, kde se třeba podpisové záznamy ihned digitalizují a dále se s nimi pracuje v elektronické podobě – typickým příkladem budiž třeba ono zmiňované převzetí zásilky. Přidání biometrických charakteristik může zvýšit důvěryhodnost celého systému.

Použití biometrických podpisů jako podpisů pro obecné dokumenty se sice pocitově nabízí a předpokládám, že řadě lidí přijde přirozené a psychicky snesitelnější. Po věcné stránce jsou ale nabízené výhody razantně převáženy nevýhodami, které použití DBP v otevřených systémech téměř vylučují.