Hlavní navigace

Stalo se: eIdentity, epodpis a věda mimo zákon...

17. 10. 2005
Doba čtení: 11 minut

Sdílet

Zákonodárcům se málem podařilo postavit mimo zákon vědce i programátory, zabývající se bezpečností počítačových systémů. Resort financí chce zavést používání elektronického podpisu třeba i násilím. Na českém trhu začne záhy působit třetí akreditovaný poskytovatel certifikačních služeb, společnost eIdentity. V čem chce konkurovat?

Nejzajímavější události uplynulých dnů se kupodivu odehrávaly spíše mimo tradiční oblast telekomunikací a operátorů. Asi nejvíce se toho sešlo kolem elektronických podpisů a počítačové bezpečnosti obecně. A bohužel to nebyly jen samé dobré zprávy.

Kryptologie (a nejen ona) mimo zákon?

Ministerstvo spravedlnosti připravilo již poměrně dávno (v červenci 2004) nový návrh trestního zákoníku. Ten postupně prošel výbory (hlavně ústavně právním) a prvním i druhým čtením před celou Poslaneckou sněmovnou (podrobněji). A teprve nyní si někdo všiml, jaká časovaná bomba se v návrhu nachází. O co konkrétně jde?

Stručně řečeno o to, že zákonodárce postavil mimo zákon veškeré aktivity spojené s nabouráváním „počítačových systémů“ a „nosičů informací“. To na první pohled vypadá chvályhodně, ale problém je v tom, že zákonodárce u toho moc nemyslel a vzal to opravdu „šmahem“. Hodil totiž do jednoho pytle všechny lidi, kteří se touto oblastí zabývají, a už se neptal na to, proč tak dělají. Takže (ve svém návrhu) postavil mimo zákon i ty, kteří se oblasti bezpečnosti IT systémů zabývají kvůli tomu, aby ji zlepšovali a posilovali, a ne aby ji nabourávali. Třeba i ty, kteří analyzují viry a další druhy škodlivého kódu kvůli tomu, aby proti nim našli obranu. Nebo lidi, kteří problematiku kryptologie a počítačové bezpečnosti vyučují na školách, zabývají se jí na vědecké bázi, referují o ní na konferencích atd. Dále všechny programátory, kteří vytváří nejrůznější prostředky pro zabezpečení. Nebo ty, kteří testují bezpečnosti konkrétních systémů pomocí tzv. penetračních testů atd.

Snad není potřeba to dále rozvádět a dále zdůvodňovat, že ne každý, kdo se oblastí bezpečnosti počítačových systémů zabývá, musí být automaticky lotr a zlosyn, a je třeba ho uvalit do želez. Udivující je spíše to, že si to neuvědomil předkladatel návrhu nového trestního zákoníku (ministerstvo spravedlnosti ČR, MSp) a nepostřehl to nikdo ani v rámci státního aparátu, legislativní rady vlády a samotného kabinetu. Vždyť takovýto návrh přece musel projít klasickým meziresortním připomínkovým řízením, ještě než jej schválila vláda. Pročpak si toho již tehdy nevšimlo třeba ministerstvo informatiky ČR? Stejně tak si toho ale dosud nevšimli ani poslanci v Poslanecké sněmovně.

© TV Nova
1953

Nakonec na to musela upozornit až odborná veřejnost, která začala bít na poplach. Sepsala petici (plné znění), pod kterou se ještě v průběhu září podepsala řada osobností z oboru a která podrobněji popisuje, v čem je problém. Skutečné výsledky se ale dostavily až poté, co se celou kauzu podařilo protlačit do televize Nova. Ta se jí zabývala minulé úterý ve svém hlavním večerním zpravodajství (možno shlédnout zde), a teprve pak začaly věci nabírat potřebný spád. Za hlavu se chytil předkladatel (MSp ČR) a jeho mluvčí konstatoval, že resort si je vědom problému a chystá opravu. Zareagovalo také ministerstvo informatiky, které vydalo následující stanovisko:

Ministerstvo informatiky chápe obavy kryptologů z nejednoznačného výkladu ustanovení § 205 návrhu nového trestního zákoníku (zveřejněné mimo jiné ve včerejší reportáži TV Nova) a podpoří ministerstvo spravedlnosti v jeho snaze znění návrhu zákona pozměňovacím návrhem zpřesnit.

Podstatu problému a možné důsledky asi nejlépe shrnul jeden za signatářů petice v již zmiňované reportáži televize Nova:

1954

[Je to] velký omyl, který vznikl drobnou chybou a mohl by přinést ohromnou mezinárodní ostudu." (Pozn.: Komentář kryptologa Vlastimila Klímy si můžete přečíst na serveru Root.cz)

Takže doufejme, že se podaří co nejdříve napravit tuto „malou chybu člověka s velkými dopady na celou naši společnost“.

Daně pouze přes Internet

Když už jsme u aktivit úředníků a byrokratů, nedá mi to nezmínit další zprávu z minulého týdne. Přišla s ní MF dnes, resp. server iDnes, a hovoří o tom, že resort financí by rád „podpořil“ podávání daňových přiznání v čistě elektronické formě (tj. s využitím elektronického podpisu). To samo o sobě není nijak překvapující, protože i pro daňové správce musí být elektronická forma efektivnější.

Zajímavá je hlavně forma podpory, kterou lze přirovnat spíše k vynucení, či dokonce násilí: resort prý plánuje to, že by se určitá daňová přiznání dala podávat už jen v této formě. Konkrétně zmiňována byla přiznání k DPH (která již dnes vedou co do četnosti podání v elektronické formě) a pak také přiznání k dani z příjmu u osob, které využívají služeb daňových poradců. Zatím je ale vše ve stádiu návrhu, který má ministerstvo financí (MF) ČR chystat pro časový horizont let 2006 až 2007, aby prý i podnikatelé měli čas na přípravu. V dalším sledu by pak došlo i na přiznání k dani z přijmu firem, a nakonec i na drobné živnostníky a zaměstnance.

Osobně vidím hlavní problém v nedostatečné připravenosti obou stran (správců i plátců daně) na takto radikální změnu. Její přijetí by fakticky znamenalo povinné používání Internetu a elektronického podpisu, a to všemi plátci daní bez rozdílu. Skutečně jsme na něco takového připraveni? Resp. budeme na to připraveni v navrhovaném časovém horizontu? Jako vhodnější bych viděl jinou motivaci, místo „násilí“ – třeba nějaké daňové zvýhodnění (plynoucí z toho, že i stát má se zpracováním přiznání v el. formě menší náklady).

V každém případě budeme mít v brzké době možnost posoudit dopady „násilného zavádění“ nových forem elektronické komunikace na jiném příkladu. K počátku roku 2006 totiž nabude účinnosti nový správní řád (zákon č. 500/2004 Sb.), který orgánům veřejné správy ukládá povinnost vést správní řízení i v elektronické formě. Tedy nejen přijímat podání v elektronické formě, ale i vydávat svá rozhodnutí a doručovat je v elektronické formě. Z pohledu občanů tedy půjde o možnost (mohou si vybrat mezi klasickou a elektrickou formou), ale z pohledu orgánů veřejné moci jde fakticky o povinnost – když si občan vybere elektronickou formu komunikace s úřadem, musí to úřad respektovat a odpovídat mu také v elektronické for­mě.

Zajímavé je, že již dnes se objevují tendence odložit tuto povinnost (přesněji celý nový správní řád) o celý kalendářní rok; jedním z argumentů je nepřipravenost na jeho realizaci. S příslušným návrhem přišla v Parlamentu ODS, resp. její stínový ministr spravedlnosti (viz jeho tiskové prohlášení).

eIdentity: třetí akreditovaná certifikační autorita

Pojďme ale již k pozitivnějším zprávám z uplynulých dnů. Na konci září, konkrétně 27. září 2005, nabylo účinnosti správní rozhodnutí ministerstva informatiky ČR, které udělilo akreditaci „pro výkon činnosti akreditovaného poskytovatele certifikačních služeb“ společnosti eIdentity, a.s., a to v oblasti:

  • vydávání kvalifikovaných certifikátů,
  • vydávání kvalifikovaných systémových certifikátů.

Po I.CA, která získala svou akreditaci 18. března 2002 , a České poště, která ji získala v letošním roce (3. srpna 2005), je společnost eIdentity již třetím akreditovaným poskytovatelem certifikačních služeb v ČR. Čím ale hodlá oslovit zákazníky a jak se hodlá prosazovat na trhu, na kterém nebude první (to byla I.CA) a zřejmě ani nejlacinější a s největším počtem registračních míst (to je nyní Česká pošta)? Na svém webu eIdentity dopředu zveřejnila svůj ceník, ze kterého vyplývá. že její cena za kvalifikovaný certifikát bude na úrovni cen I.CA (tj. cca 700 korun), a tedy výrazně nad cenou České pošty (190 korun).

Odpověď na takovéto otázky přišla až v pátek minulý týden, kdy se společnost eIdentity představila novinářům na tiskové konferenci. Trochu na čas, vzhledem k datu udělení akreditace, si mohla dát i díky tomu, že poskytování svých služeb plánuje až na začátek listopadu.

Bundlování už i u certifikátů

Pokud jde o samotné vydávání certifikátů, zde hodlá eIdentity zaujmout zákazníka například skrze „bundlování“. Třeba tak, že ke kvalifikovanému certifikátu zákazníkovi přibalí ještě svůj komerční certifikát. Jakou by to ale mělo logiku?

Kvalifikované certifikáty jsou určeny k ověřování elektronických podpisů, přesněji pro identifikaci a autentizaci podepisující osoby, a také pro zajištění integrity zprávy (aby se spolehlivě poznalo, zda byla či nebylo pozměněna). Stejně jako jiné druhy certifikátů se ale dají použít i pro zajištění důvěrnosti zprávy, neboli toho, aby se její obsah nedostal do rukou nepovolané osoby. Řeší se to skrze šifrování obsahu zprávy, ale na to již nejsou kvalifikované certifikáty explicitně určeny. Český zákon o el. podpisu to sice explicitně nezakazuje (a problematiku šifrování vlastně ani moc neřeší), ale praxe (i v zahraničí) a evropské direktivy to doporučují.

Pro šifrování by tedy měl být vhodnější „běžný“ (tj. komerční) certifikát, zatímco kvalifikovaný certifikát by se používal jen k podpisování. Pravdou také je, že kvalifikované certifikáty od I.CA lze využít k šifrování (a umožňuje to jak jejich nastavení, tak i příslušná certifikační politika). U kvalifikovaných certifikátů od České pošty a eIdentity to jejich certifikační politiky zakazují (a příslušný příznak o možnosti využití pro šifrování dat není v certifikátech nastaven). Totéž by zřejmě mělo platit i pro využití certifikátů pro identifikaci a autorizaci uživatele.

Případný „bundle“, alias balíček tvořený kvalifikovaným a komerčním certifikátem, pak řeší i potřebu šifrování a měl by být výhodnější nejen díky nižší ceně (oproti součtu cen za dva samostatné certifikáty), ale také jednodušším vystavením – když už si vystavující certifikační autorita ověřuje identitu žadatele přísnějším způsobem (pro potřeby kvalifikovaného certifikátu), může na základě stejného ověření současně vydat i certifikát komerční. Obě strany by na tom ušetřily čas, námahu i náklady.

Jednodušší proces vystavování

S procesem vystavování certifikátů souvisí i další odlišnost, kterou se eIdentity chce prezentovat a odlišit od svých konkurentů. Hodlá totiž proces vystavování (i následné „údržby“, jako je třeba vystavování následných certifikátů) maximálně zjednodušit, samozřejmě v mantinelech toho, co požaduje zákon. Takže třeba placení by se odehrávalo bezhotovostně a předem. Teprve po zaplacení by zákazník měl možnost vygenerovat si nezbytný pár klíčů, potřebný k žádosti o vystavení certifikátů, a vydal se k vystaviteli (přesněji: k jeho registrační autoritě) pro ověření své identity. To má mít i bezpečnostní aspekt – zkrátí se tím doba, po kterou budou mít lidé („někde“ na svém počítači) vygenerované klíče bez zpracované a přijaté žádosti a vydaného certifikátu. V praxi prý dochází k tomu, že různé systémové aktualizace takováto „dočasně uložená data“ nenávratně mažou.

Zpočátku přitom eIdentity bude mít jen jedno registrační místo, ve svém sídle. Ještě do konce roku pak hodlá zřídit další registrační autority v dalších lokalitách.

Jaká bude nabídka?

V současné době má eIdentity v nabídce (i v ceníku) následující produkty:

  • kvalifikované certifikáty (s nebo bez identifikátoru ministerstva práce a sociálních věci, u zaměstnaneckých s vyznačením pracovní pozice v organizaci),
  • kvalifikované systémové certifikáty (tj. certifikáty určené pro ověřování elektronických značek),
  • komerční certifikáty pro elektronický podpis,
  • komerční certifikáty pro šifrování,
  • komerční certifikáty pro identifikaci,
  • komerční serverové certifikáty (pro SSL/TSL).

Do budoucna (zřejmě někdy v polovině příštího roku) by měla přibýt v nabídce také časová razítka. Počítá se prý i s vydáváním e-mailových certifikátů (tj. certifikátů garantujících právě a pouze e-mailovou adresu). Naopak s vydáváním testovacích certifikátů (které negarantují vůbec nic a jsou určeny skutečně jen k testování, resp. seznamování uživatelů s el. podpisy) prý eIdentity nepočítá.

Čekají nás virtuální certifikační autority?

Další zajímavostí v (budoucí) nabídce společnosti eIdentity je „hosting či outsourcing komerčním certifikačním autoritám třetích stran“. Co si pod tím představit?

Při určitém zjednodušení to lze přirovnat ke způsobu fungování virtuálních operátorů. Ti také nemají vlastní infrastrukturu, ale pronajímají si ji od jiného operátora, který ji má, ale neodkáže ji plně vytížit. Ve světě (nikoli v ČR) je to používáno například v mobilních sítích, kde mobilní operátoři nedokáží sami „prodat“ celou kapacitu svých sítí, a tak ji přenechávají virtuálním mobilním operátorům. Ti pak na ní poskytují své služby, které prodávají dále, již pod svou značkou, svým zákazníkům.

U certifikačních služeb a PKI (Public Key Infrastructure) existuje stejný problém: poskytovatelé služeb (certifikační autority) museli k získání akreditace vybudovat velmi nákladnou infrastrukturu a získat drahý know-how. Při relativně malém objemu zakázek a relativně nízkých cenách za své služby mají problém s dostatečným využitím své infrastruktury, a tak je pro ně její pronájem zajímavou alternativou. Vzhledem k požadavkům zákona zřejmě nepřichází v úvahu pronájem infrastruktury někomu, kdo by chtěl získat akreditaci na své služby a vydávat kvalifikované certifikáty jako akreditovaný poskytovatel certifikačních služeb. Ale u vydávání komerčních certifikátů by snad žádný problém neměl být.

Otázkou je spíše to, zda je na trhu vůbec prostor pro další poskytovatele certifikačních služeb, a to jak komerčních, tak kvalifikovaných. Dnes tedy máme tři akreditované poskytovatele a ještě řadu další bez akreditace. Dokáží se všichni uživit? To ukáže až čas. Podle dostupných informací v současné době již nikdo jiný o akreditaci nežádá.

Co plánuje MI ČR?

Na tiskové konferenci společnosti eIdentity byl přítomen i zástupce toho orgánu státu, který vystavil příslušnou akreditaci – konkrétně náměstek ministryně pro oblast egovernmentu, pan Hořejší. Nastínil i něco z plánů MI ČR v oblasti podpisů.

Například to, že ministerstvo plánuje vydávat čtvrtletní statistiku, hodnotící celkový vývoj kolem elektronického podpisu. Měla by zřejmě zahrnovat jak údaje o využívání různých agend, založených na podpisu, tak třeba i přehled o počtu vydaných kvalifikovaných certifikátů (od akreditovaných poskytovatelů). Těch by v současné době mělo být vydáno na 20.000 (včetně těch z kampaně „epodpis obcím“). Odhad pana náměstka byl takový, že za rok by toto celkové číslo mohlo, v optimálním případě, vzrůst až na jeden až dva miliony.

BRAND24

V souvislosti s touto vizí mi to nedalo nezeptat se na pohled MI ČR na nedávno zveřejněné záměry ministerstva financí (popisované v úvodu článku), týkající se zavedení výhradně elektronické podoby některých daňových agend. Odpovědi jsem rozuměl tak, že jde o aktivitu samotného resortu financí, která zatím nebyla koordinována s resortem informatiky. MI se k ní ale nestaví nijak negativně. To je ostatně logické, když samo aktivně bojuje za zavádění elektronického podpisu a elektronických agend v celé oblasti egovernmentu, a má to i v popisu práce.

Proto jsem se zeptal i na formu, neboli na rušení „papírové formy“ agend a povinné využití formy elektronické. Tedy vlastně na zavádění elektronického podpisu násilím. A tady už byla odpověď přece jen rezervovanější. Samotné MI ČR by zřejmě nelámalo vše přes koleno a postupovalo opatrněji, se souběhem obou forem: papírovou formu by „utnulo“ až podle situace a celkového vývoje. Například až tehdy, až by elektronickou formu agend využívalo nejméně 80 procent všech klientů.

Jak hodnotíte záměr MF ČR zavádět elektronický podpis "násilím" (rušením papírových forem)?

Byl pro vás článek přínosný?

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).