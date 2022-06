Služba BankID Sign se může plést se samotnou službou BankID, ale jsou to dvě různé služby. Liší se tím, k čemu jsou určené a co dělají. Ale mohou se lišit i v tom, kolik bank je do jejich poskytování aktuálně zapojeno.

Autor: Jiří Peterka

Obě služby ale mají společné to, že stojí na stejných základech – na tom, že „banky znají své klienty“ a dokáží je identifikovat a autentizovat (neboli: určit jejich totožnost a ověřit, že jsou to skutečně oni, resp. že se za ně nevydává někdo jiný). A tak banky svým klientům vedou jejich elektronické identity, označované jako bankovní identity.

Dalším společným rysem obou služeb (BankID i BankID Sign) je to, že jsou to jakési komponenty či „stavební bloky“ určené k zabudování do jiných služeb. Jinými slovy: koncoví uživatelé si je sami pořídit (a pracovat s nimi) nemohou. Mohou je využívat až skrze ony jiné služby pro potřeby těchto jiných služeb.





Ostatně, u samotné služby BankID by její využití „jen pro sebe“ ani nemělo smysl, protože slouží k určení a ověření identity koncového uživatele vůči někomu dalšímu (nějakému poskytovateli další služby). Typicky pro přihlášení k nějaké komerční službě či ověření identity pro potřeby této služby. Aby si někdo skrze tuto službu ověřoval svou identitu sám vůči sobě, by moc smyslu nedávalo.

To u služby BankID Sign, sloužící k elektronickému podepisování, by její využití „sám pro sebe“ již smysl mělo, pro podepsání nějakého vlastního dokumentu – ale nabízeno není. A dovolím si předpokládat, že ani nebude. Místo toho je služba BankID Sign nabízena subjektům typu e-shopů, utilit, operátorů, přepravců, samotných bank atd. k zabudování do jejich elektronických služeb. Tedy subjektům, které uzavírají smluvní vztahy s velkými počty klientů a ze zřejmých důvodů chtějí vše realizovat elektronickou cestou. Službu BankID Sign využívají tyto subjekty k tomu, aby svým klientům umožnily podepisování příslušných smluvních dokumentů, byť jen na úrovni zaručeného elektronického podpisu.

Takovéto využití ostatně už oznámily např. Česká spořitelna, Air Bank, ČSOB, Komerční banka či OZP.

Charakteristické je zde to, že elektronický dokument k podepsání nepředkládá (ani nevybírá či jinak nezadává) klient. Zjednodušeně: nepodepisuje žádný „svůj“ elektronický dokument. Místo toho klient dostává k odsouhlasení dokument, který mu předkládá jeho protistrana (e-shop, utilita, operátor, pojišťovna atd., obecně poskytovatel služby, SeP). A svůj souhlas s obsahem dokumentu pak klient vyjadřuje právě prostřednictvím služby BankID Sign.

Tentýž elektronický dokument (s dvoustranným smluvním ujednáním) pak poskytovatel služby (e-shop, utilita atd., tj. SeP) již nad rámec služby BankID Sign opatří svou (kvalifikovanou či uznávanou) elektronickou pečetí, nebo nechá podepsat (kvalifikovaným či uznávaným) elektronickým podpisem svého zástupce, který je oprávněn za ni jednat. Tím má být dvoustranný vztah stvrzen.

Jak probíhá podepisování ze strany klienta?

Můžeme si to ukázat na příkladu Oborové zdravotní pojišťovny, která využívá službu BankID Sign při přijímání nových klientů. Konkrétně k tomu, aby tito mohli jednoduše elektronicky podepsat formulář pro přihlášení pojištěnce k OZP.

Postup si můžete prohlédnout na videu, nebo projít na následujícím obrázku: zájemce nejprve vyplní požadované údaje do formuláře (své jméno, adresu atd.), načež klikne na „Odeslat formulář“. Následně je dotázán, zda má svou bankovní identitu a chce svou přihlášku podepsat jejím prostřednictvím (reálně: prostřednictvím služby BankID Sign).

Pokud zájemce zvolí tuto možnost, OZP (zde v roli poskytovatele služby, SeP) vygeneruje PDF dokument s vyplněným formulářem a předá jej službě BankID Sign coby určitému prostředníkovi (mezi poskytovatelem služby, tj. OZP, a poskytovatelem identity, alias IdP, zde: bankou).

Služba BankID Sign pak vyzve uživatele (budoucího klienta OZP), aby si vybral banku, s jejíž bankovní identitou se chce přihlásit. Musí to samozřejmě být taková banka, která podporuje službu BankID Sign (což nemusí být stejná množina bank, které podporují službu BankID). Před podpisem uživatel také dostane ke kontrole to, co vlastně podepisuje – může si stáhnout podepisovaný dokument (v souboru PDF) a zkontrolovat si jeho otisk.

No a pokud se uživatel rozhodne dokument podepsat, je další postup již stejný jako při jakémkoli jiném využití bankovní identity – služba BankID Sign přesměruje uživatele ke zvolené bance. Samotný dokument k podepsání banka nedostává, od prostředníka (BankID Sign) dostane pouze jeho jméno, popis a otisk. Tudíž neví, jaký konkrétní obsah uživatel podepisuje. Může jen odhadovat (podle jména a popisu), čeho se asi týká.

Klient se k jím zvolené bance přihlásí a banka se ho zeptá, zda chce podepsat. Přitom mu ukáže to, co o dokumentu sama ví, tedy jeho jméno, počet stran, popis a hlavně otisk. Podle otisku si pak uživatel může ověřit, zda má dát souhlas s podepsáním skutečně toho dokumentu, který mu byl v předchozím kroku nabídnut ke stažení.

Pokud uživatel v komunikaci se svou bankou odsouhlasí podepsání, banka vrátí zpět prostředníkovi (službě BankID Sign) údaje o uživateli (jde zřejmě jen o jméno a příjmení i s tituly, plus tzv. pseudonym, podrobněji v dalším článku) a své dobrozdání o tom, že jde skutečně o jeho projev vůle.

Jak podepisuje služba BankID Sign?

Další kroky již probíhají „na pozadí“, bez přímé účasti uživatele coby podepisující osoby: služba BankID Sign nechá u své interní certifikační autority vygenerovat párová data (soukromý a veřejný klíč) a k nim vystaví „jednorázový“ (a to nikoli kvalifikovaný) certifikát na jméno uživatele, které se dozvěděla od banky. Na tomto certifikátu pak služba BankID Sign založí zaručený elektronický podpis, který připojí k PDF dokumentu (bez časového razítka). Následně ke stejnému dokumentu připojí kvalifikovanou elektronickou pečeť provozovatele služby BankID Sign, kterou je společnost Bankovní identita, a.s.

Ani tím ale celý proces ještě nekončí – PDF dokument, který je prostřednictvím služby BankID Sign takto „podepsán“ za jednu smluvní stranu, následně převezme ještě druhá smluvní strana (poskytovatel služby, SeP, ve výše uváděném příkladu s přihláškou pojištěnce by se jednalo o OZP). Ta k dokumentu připojí buď svou elektronickou pečeť, nebo elektronický podpis někoho, kdo za ni jedná.

Finální výstup z elektronicky uzavřené přihlášky k Oborové zdravotní pojišťovně vám zde neukážu, protože jsem přeci jen nechtěl doopravdy uzavřít smluvní vztah a přejít k jiné pojišťovně. Nicméně základní rozbor toho, jak vypadá „podpis prostřednictvím služby BankID Sign“, si můžeme udělat na výstupu z jeho veřejného dema. Stejně tak si ale můžete sami vyzkoušet nové elektronické podepisování prostřednictvím „narozeninové aplikace“, skrze kterou můžete pomocí služby BankID Sign podepsat své přání k prvnímu výročí zprovoznění služeb BankID.

Jen drobné upřesnění: obě možnosti (tedy veřejné demo i narozeninová aplikace) jsou příslovečnou „výjimkou potvrzující pravidlo“: že BankID Sign slouží k uzavírání dvoustranných smluvních vztahů. Zde jde jen o jednostranný akt, resp. o podpis testovacího dokumentu jen jednou stranou, a nikoli dvěma stranami. Stále se ale jedná o podpis „pevně daného“ dokumentu, a nikoli takového, který vytvořil sám uživatel (podepisující osoba).

Následující obrázek ukazuje, jak vypadá výstup z veřejného dema. Můžeme si jej představit také jako dvoustranný dokument, který je zatím podepsán jen za jednu jednající stranu (klienta) a teprve čeká na přidání podpisů či pečetí druhé strany (poskytovatele).

Najdeme zde oba již dříve avizované autentizační prvky:

zaručený elektronický podpis na jméno fyzické osoby, získané od banky. Tento podpis je tzv. vizualizovaný (též: viditelný) a jeho vizualizaci vidíte v pravém spodním rohu těla dokumentu.

kvalifikovanou elektronickou pečeť společnosti Bankovní identita, a.s. Tato není vizualizovaná a v programu Adobe Acrobat Reader je „vidět“ jen v jeho Panelu podpisů.

V čem je problém s ověřením?

Proč ale Adobe Reader (viz předchozí obrázek) hlásí, že „nejméně jeden podpis má problém“ – a to právě zaručený elektronický podpis, který by měl patřit podepisující, resp. již podepsané (fyzické) osobě?

Pokud bychom dali na vlastní návod provozovatele služby, vlastně by to žádný problém být neměl a všechno by mělo být v pořádku – podle tohoto návodu to zřejmě „má svítit žlutě“. Navíc podle tohoto návodu nejde o dvojici podpis + pečeť, ale o dva podpisy.

Podobně dopadne ověřování zaručeného elektronického podpisu jinými nástroji. Nejde totiž o nějakou záludnost či nedostatek na straně Readeru. Problém je v samotném podpisu a spočívá v tom, že je založen na certifikátu „na jedno použití“, který vydala interní certifikační autorita společnosti Bankovní identita a.s.

Tato autorita (BankID Document CA ani jí nadřazená autorita) ale není kvalifikovaná, a jelikož není ani zařazena na žádném z obvyklých seznamů důvěryhodných autorit (např. v rámci programů AATL firmy Adobe či MRCP firmy Microsoft), běžně používané nástroje pro práci s elektronickými podpisy (včetně Adobe Acrobat Readeru) ji neznají. Proto neví, zda mohou jimi vydávaným certifikátům důvěřovat – a tak nemohou ověřit platnost podpisů, které jsou na takovýchto certifikátech založeny. Proto ono výsledné „pokrčení rameny“, neboli konstatování, že platnost podpisu je neznámá, a sdělení, že nejméně jeden podpis má problémy.

Zajímavé také je, že zaručený elektronický podpis je na jedné straně „moderní“ v tom, že využívá podpisový algoritmu ECDSA, založený na eliptických křivkách. Současně je ale bohužel nepříjemně „nemoderní“ v tom, že nemá dnes obvyklý a doporučovaný referenční formát (má pouze starší formát PAdES Basic). Podle informací od poskytovatele služby se prý už pracuje na změně a přechodu na referenční formáty.

To elektronická pečeť, připojovaná službou BankID Sign „za“ zaručený elektronický podpis, je už jen „nemoderní“, když také nemá referenční formát, a její podpisový algoritmus není založen na eliptických křivkách. Podpora eliptických křivek by ale musela začít již u vydavatele kvalifikovaného certifikátu pro elektronickou pečeť, kterým je v daném případě společnost eIdentity.

V pokračování tohoto článku si ukážeme, jak dopadne pokus o ověření zaručeného elektronického podpisu pomocí další nástrojů a služeb a co by bylo nutné udělat, aby Adobe Reader dokázal ověřit zaručený elektronický podpis jako platný. Ukážeme si také, jak dopadne pokus o autorizovanou konverzi. Konečně ve třetím článku se podíváme na to, jak přesně je identifikována podepsaná osoba (klient) a jak moc se na její podpis lze spoléhat.