Minulý týden přinesl další várku zajímavých událostí kolem datových schránek. A jelikož některé z nich považuji za docela zásadní a důležité, dovolím si věnovat celé dnešní vydání seriálu Stalo se právě tématu datových schránek. A o co v kostce jde?
Například o to, že provozovatelé datových schránek si zřejmě již uvědomili problém s externími elektronickými podpisy a začali jej řešit.
Ministerstvo vnitra minulý týden vypsalo veřejné zakázky na PR kolem datových schránek. Jednu na „Budování vztahů s veřejností v souvislosti s novelou zák. 300/2008 Sb.“, a druhou na „Pilotní komunikační podporu – DATOVÉ SCHRÁNKY“.
Hlavně ale: na akci Business Tuesday minulý týden znovu zaznělo, že u elektronického podpisu má být „postupováno“ stejně jako u toho klasického a že elektronický podpis je platný, dokud se neprokáže opak. Dovolím si před touto tezí důrazně varovat, vysvětlit proč a ukázat, k jakým důsledkům by její aplikování mohlo vést.
Problém externích podpisů
Přesně před týdnem jsem zde na Lupě psal o tom, že datové schránky mají problém s externími elektronickými podpisy. Tedy s takovými podpisy, které nejsou přímo obsaženy v samotném dokumentu (např. v PDF dokumentu, tj., v souboru ve formátu PDF), ale mají podobu samostatného souboru (a existuje logická vazba, která říká něco ve smyslu „tento soubor obsahuje elektronický podpis tamtoho souboru“).
Sám jsem si to uvědomil v okamžiku, kdy mi (na konci srpna) přišla datová zpráva z Plzeňského kraje, opatřená takovýmto externím podpisem – a informační systém datových schránek si s ní neuměl poradit.
Celý problém s externími podpisy je přitom zásadnější a nejde zřejmě jen o nějaké opomenutí v implementaci, která by se dalo jednoduše napravit. Potíž je v tom, že s externími podpisy se nepočítá už jaksi „z principu“ – zákon vůbec neřeší rozdíl mezi externím a interním podpisem, a tudíž externí podpisy nijak nevylučuje. Jenže prováděcí vyhlášky a provozní dokumentace je šita na míru pouze interním podpisům.
Dokonce do té míry, že pozitivní výčet datových formátů, které lze vložit do datové zprávy a přenést, neobsahuje formáty používané pro externí podpisy. Zřejmě si tedy nikdo včas neuvědomil, že podpisy mohou být i externí.
Teď se ale zdá, že lidé kolem datových schránek si problém s externími podpisy přeci jen uvědomili a něco s ním dělají. Soudím tak podle toho, že na informačním webu k datovým schránkám se mezi aktualitami objevila následující zpráva, avizující rozšíření přípustných formátů právě o ty, které se používají pro externí podpisy, značky a razítka. Ocitujme si tuto zprávu v plném znění:
Nové přípustné formáty datové zprávy
Vyhláška č. 194/2009 Sb. upravuje pouze přípustné formáty datové zprávy dodávané do datové schránky. Datovou zprávou se dle § 19 zákona č. 300/2008 Sb. rozumí dokument orgánů veřejné moci a úkon prováděný vůči orgánu veřejné moci prostřednictvím datové schránky. Zákon 300/2008 Sb. a související právní předpisy umožňují a v některých případech dokonce přímo ukládají, aby tyto datové zprávy byly elektronicky podepsány a bylo k nim připojeno časové razítko. Tím pádem je nutné, aby informační systém datových schránek umožňoval kromě doručování vlastních dokumentů i doručování elektronických podpisů a časových razítek v běžně rozšířených formátech.
Formáty:
CER, CRT, DER, PK7 – formáty certifikátů dle standardu X.509
P7B, P7C, P7F, P7M, P7S – formáty certifikátů a elektronických podpisů dle
PKCS#7
TST – formát pro elektronické razítko
Povšimněte si už samotné textace této zprávy: věcně je v pořádku (správně konstatuje potřebu podpory formátů pro externí podpisy). Už ale neříká, zda již došlo ke změně příslušné vyhlášky, která přípustné formáty taxativně vymezuje (resp. přílohy č. 3 k vyhlášce č. 194/2009 Sb., o stanovení podrobností užívání a provozování informačního systému datových schránek).
Jsou datové zprávy vůbec podepisovány?
Na citované zprávě je zajímavá ještě jedna věc: pokračuje ve „vnášení chaosu“ do toho, co vlastně je datové zpráva a co dokument. Argumentuje tím, že zákon (byť jen v některých případech) ukládá, aby „datové zprávy byly elektronicky podepsány a bylo k nim připojeno časové razítko“. A kvůli tomu rozšiřuje repertoár přípustných formátů pro datové zprávy.
Problém s externími podpisy se ovšem týká dokumentů, vkládaných do datových zpráv (zatímco samotné datové zprávy mají své podepisování a opatřování časovým razítkem již dávno vyřešené, ¨v rámci své XML struktury). Rozhodně tedy nejde o „Nové přípustné formáty datové zprávy“, jak hlásá titulek, ale o nové formáty příloh, vkládaných do datových zpráv. Není to tak, že by se měnil XML formát datové zprávy (či se místo XML mohlo používat něco jiného). To si jen legislativci stále ještě neujasnili rozdíl mezi datovou zprávou a jejím obsahem – resp. stále sklízí důsledky toho, jak to celé pomotali v samotném zákoně č. 300/2008 Sb.
A mimochodem: zajímavé je i konstatování v uvedené zprávě, že „ zákon a vyhlášky umožňují a v některých případech dokonce přímo ukládají, aby tyto datové zprávy byly elektronicky podepsány a bylo k nim připojeno časové razítko“. Takto, jak je to napsáno (jako souběh podpisu i razítka), to neplatí ani pro datové zprávy, ani pro dokumenty vkládané do datových zpráv.
V případě dokumentů (od orgánů veřejné moci) lze z jiných právních předpisů odvodit povinnost opatřit je uznávaným elektronickým podpisem. Ale už nikoli časovým razítkem – což způsobuje závažný problém, na který jsem upozorňoval již v tomto článku.
No a v případě datových zpráv je tomu přesně naopak: zde zákon (č. 300/2008 Sb., ve svém paragrafu 20) ukládá povinnost opatřit zprávu kvalifikovaným časovým razítkem. Ale už neříká nic o elektronickém podpisu zprávy! Jinými slovy: datová zpráva nemusí být elektronicky podepsána, resp. opatřena elektronickou značkou.
Elektronickým podpisem (přesněji: elektronickou značkou) jsou ze zákona opatřovány pouze dodejky a doručenky (viz stejný paragraf č. 20 zákona 300/2008 Sb.). Ale ty zase nemusí (a nejsou) opatřovány časovým razítkem. Vzhledem k tomu, že u dodejek a doručenek je důležitý právě časový faktor, mi absence časového razítka přijde také dosti podstatná.
Pro úplnost je vhodné dodat, že rozhraní webových služeb poskytuje i takové služby, které si „stahují“ ze schránky konkrétní zprávy a přitom si je nechávají od ISDS elektronicky podepsat, resp. opatřit elektronickou značkou (například služby Signed MessageDownload a SignedSentMessageDownload). Ale to je přeci jen něco jiného, protože tento podpis vzniká v úplně jinou dobu. Nikoli v době, kdy je zpráva přijata, ale v době, kdy je zpráva „stahována“ z datové schránky. Rozdíl může být až 90 dnů, či dokonce několik let (v případě využití datového trezoru České pošty). A navíc: tento podpis nemá oporu v zákoně, který se o něm nezmiňuje.
Jak je to s platností elektronického podpisu?
Minulý týden proběhla také další z akcí Business Tuesday, tentokráte s názvem „Datové schránky – technologie pro nový business?“. Zabývala se hlavně tím, jak bude možné využívat datové schránky od ledna příštího roku, pro přenos faktur, a od poloviny příštího roku i pro další formy komunikace i mezi „privátními“ subjekty (fyzickými a právnickými osobami navzájem). Dosud mohou tyto „privátní“ subjekty komunikovat jen se subjekty z veřejného sektoru (s orgány veřejné moci), a nikoli mezi sebou.
Nicméně i tak se na uvedené akci mluvilo také o zcela základních věcech, které se týkají datových schránek jako takových, a v neposlední řadě i problematiky elektronického podpisu. A mj. zde znovu zazněla teze, kterou jsem zaznamenal již několikrát na obdobných akcích: že elektronický podpis je prý platný, dokud se neprokáže opak.
Tentokráte to z úst pana Petra Stieglera, ředitele sekce rozvoje služeb a e-governmentu České pošty, zaznělo v poněkud rozvinutější podobě a „postavené“ již na pouhém zpochybnění elektronického podpisu (nikoli na prokázání jeho neplatnosti). Zde je doslovný přepis (a zde zvukový záznam):
Elektronická archivace je docela složité téma a já možná bych vám doporučil se o něj trošičku zajímat. V této souvislosti ony datové schránky jsou zajímavé tím, že otevírají jakoby úplně nové otázky IT, a v této souvislosti nadhodím: když nebudete mít co dělat před spaním a nebude se vám chtít spát, zkuste si přečíst novelu zákona č. 499 o archivnictví a spisové službě, přijata v červnu, která ne v úplně obecné rovině, ne úplně přímo ale zavádí myslím si docela dobrý právní princip, který v podstatě říká, že u elektronického podpisu by mělo být postupováno podobně jako u toho podpisu běžného – znáte – nevíte, ale elektronický podpis jakoby expiruje po nějaké době a ta novela říká že i když ten podpis vyexpiruje, tak jednak bychom měli posuzovat jeho platnost k době jeho vzniku, což koneckonců také děláme u těch běžných podpisů – říkáme si: měl pan Svoboda právo to podepsat v době kdy podepsal tu smlouvu, byl tím jednatelem – to je první věc, a druhá je právní zásada že ten podpis nebude zpochybněn a bude brán jako pravý dokavad to někdo neudělá. Dokavad někdo nepřijde a řekne: to je falzifikát, já jsem se na to díval, to je nějaký divný, to se mi nelíbí, to je nějaký divný. Stejně jako je tomu konec konců u papírového dokumentu, dokavaď ten jednatel nepřijde a neřekne „to není můj podpis, to jsem nepodepsal já, to udělal někdo jiný“, tak ten originál bereme dál.
Dovolím si předpokládat, že to pan Stiegler nemyslel skutečně jen ve smyslu pouhého zpochybnění („kdy někdo přijde a řekne, že se mu podpis nelíbí“). To bychom asi mohli rovnou zapomenout na jakoukoli vymahatelnost práva.
Budu tedy předpokládat, že to bylo myšleno stejně, jak to pan Stiegler říkal při jiných příležitostech, naposledy na konferenci o datových schránkách v poločase: že elektronický podpis platí, dokud se neprokáže opak.
On je totiž základní problém stejně už někde jinde. A to u předpokladu, že „u elektronického podpisu by mělo být postupováno podobně jako u toho podpisu běžného“. Již to je – alespoň podle mého názoru – zcela zásadní chyba a kvůli ní jsou chybné i další důsledky, které jsou z tohoto předpokladu odvozené.
V čem se liší vlastnoruční a elektronické podpisy?
Musíme si totiž uvědomit, že mezi „běžným“ podpisem (dovolím si ho pracovně označovat jako vlastnoruční) a tím elektronickým je jeden zásadní a principiální rozdíl. Unikátnost vlastnoručního podpisu se opírá o individuální lidské charakteristiky, a schopnost napodobit vlastnoruční podpis někoho jiného (tj. zfalšovat ho) se s časem a s vývojem technologií nemění.
Naproti tomu unikátnost elektronického podpisu se opírá o „uměle navýšenou“ výpočetní náročnost. Tak, aby výpočet, potřebný pro eventuelní zfalšování podpisu, trval nejméně nějaké tisíce let a tudíž nebyl (za aktuálních technologických možností) reálný. Jenže schopnosti technologií, a hlavně dostupná „výpočetní síla“, se rychle zvyšují. Co není reálné dnes, může být za X let zcela běžné (třeba i na běžném mobilním telefonu, abych to trochu odlehčil).
Ono X dnes ještě neznáme. Může to být třeba 10 let, 20 let, nebo jen 5 let apod. Ale právě kvůli tomuto aspektu nemůžeme počítat s tím, že by elektronické podpisy a razítka mohly platit skutečně dlouhodobě („věčně“), jako je tomu u vlastnoručních podpisů.
Technologie elektronického podpisu na toto samozřejmě pamatují, a to postupným zvyšováním nároků na použité kryptografické techniky a postupy – tak, aby výpočetní náročnost „zfalšování“ průběžně zůstávala dostatečně mimo aktuální možnosti technologií. Používají se tedy stále dokonalejší kryptografické algoritmy, přechází se na delší klíče atd.
A hlavně: platnost již vytvořených podpisů, značek i razítek, a stejně použitelnost klíčů a certifikátů, vydaných v určité době, musí být časově omezena – tak, aby je vývoj technologií nepředběhl. Právě proto elektronické podpisy v čase expirují, a stejně tak mají omezenou platnost a použitelnost v čase i vydávané certifikáty (aby se při vydání nových již mohly zohlednit případné změny v délkách klíčů a použitých algoritmech).
Jak to bude v roce 2009+X?
Abychom si to přiblížili názorněji, představme si, že se v roce 2009+X dva lidé hádají o platnost dokumentu, který měl jeden z nich (ve prospěch druhého) elektronicky podepsat v roce 2009, pomocí „tak silných“ kryptografických nástrojů, jaké byly v roce 2009 požadovány pro řádný (uznávaný) elektronický podpis.
V roce 2009+X ale už může takovýto podpis („na úrovni roku 2009“) vytvořit kdokoli a na počkání. Takže v roce 2009+X není žádný problém vytvořit jakýkoli dokument a opatřit jej „správným“ podpisem „z roku 2009“, jménem jakékoli jiné osoby. Jak potom – třeba právě soud – dokáže rozsoudit ony dvě rozhádané osoby? Podle elektronického podpisu „z roku 2009“ to již nepůjde.
Zdůrazněme si tedy znovu, že omezování časové platnosti certifikátů a z toho vyplývající expirace podpisů, značek a razítek (typicky 1 rok u podpisů a 3 roky u razítek), rozhodně nejsou samoúčelným opatřením, ale mají svůj pádný důvod: po uplynutí příslušné lhůty ztrácí smysl bavit se o tom, zda nějaký podpis, značka či razítko jsou či nejsou platné, či zda nebyly zfalšovány.
Proto přicházet s tezí, že „elektronický podpis je platný, dokud se neprokáže opak“, bez jakýchkoli upřesňujících dodatků či předpokladů, mi přijde více než jen nevhodné.
Ukažme si, že tato teze může mít zcela zásadní dopady již v současnosti, aniž bychom museli počítat s dlouhodobějším horizontem a čekat oněch X let. Současně si na tomto příkladu můžeme připomenout problém, který vzniká absencí časového razítka.
Jde o příklad sice poněkud umělý, ale rozhodně ne nemožný. Jeho cílem je navodit situaci, kdy není možné rozhodnut o platnosti elektronického podpisu – a v tuto chvíli by teze „platí, dokud se neprokáže opak“ měla přesně opačné důsledky, než správná teze „platí, pokud se prokáže platnost“.
Příběh pana Hodného a pana Zlého
Představme si tedy jistého pana Hodného, který si pořídí kvalifikovaný certifikát od akreditovaného poskytovatele certifikačních služeb, aby se mohl elektronicky podepisovat. Jenže někdo se mu záhy naboural do jeho počítače a podařilo se mu zkopírovat si jeho privátní klíč. Pan Hodný to naštěstí zjistil a okamžitě dal svůj kvalifikovaný certifikát revokovat.
Co ale čert nechtěl: zkopírovaný privátní klíč pana Hodného se dostal do rukou pana Zlého. A ten si jménem pana Hodného napsal dlužní úpis na nějakou nenulovou částku (detaily nejsou podstatné), a to v elektronické podobě – kterou opatřil elektronickým podpisem pana Hodného (k čemuž využil jeho privátní klíč). Přitom si dal dobrý pozor na to, aby vytvořený elektronický dokument neopatřil časovým razítkem. A pro zvýšení důvěryhodnosti do samotného textu dlužního úpisu napsal nějaké datum ještě před zcizením privátního klíče pana Hodného (a toto datum si také schválně nastavil na hodinách svého počítače v okamžiku, kdy vytvářel elektronický podpis).
Dále už to šlo ráz na ráz: oba se sešli u soudu. Pan Zlý zde argumentoval tím, že dlužní úpis vznikl ještě před revokací privátního klíče pana Hodného, a že dlužní úpis je autentický. Pan Hodný tvrdil pravý opak: že podpis vznikl až po kompromitaci jeho privátního klíče, a že dlužní úpis je podvod.
Soud má ale problém: kvůli absenci časového razítka nedokáže posoudit, kdy elektronický podpis na dokumentu vznikl. Jelikož je soudce vzdělaný v problematice elektronického podpisu, ví, že nemůže věřit údajům o čase, které jsou uvedeny přímo v dokumentu či v jeho elektronickém podpisu (neboť ty si mohl pan Zlý nastavit tak, jak chtěl).
Nicméně pokud by v této situaci platila teze, že “elektronický podpis je platný, dokud se neprokáže opak“, měl by u soudu navrch pan Zlý (protože pan Hodný není schopen prokázat neplatnost podpisu). A naopak, pokud by tato teze neplatila (a místo toho by se musela naopak prokázat platnost podpisu), měl by zase navrch pan Hodný (protože pan Zlý by nedokázal prokázat platnost jeho elektronického podpisu).
Pan Hodný, nebo pan Vykutálený?
Tolik k možným praktickým dopadům teze o tom, že „elektronický podpis je platný, dokud se neprokáže opak“. Ještě než ale zapomeneme použitý příklad, využijme ho ještě jednou, tentokráte pro zdůraznění podstaty problému s absencí časového razítka. A to už za předpokladu platnosti opačné teze: že elektronický podpis je platný, pokud se podaří prokázat jeho platnost. I zde totiž číhají různé nástrahy.
V uvedeném příkladu by totiž mohlo být všechno také trochu jinak. Co když je „pan Hodný“ ve skutečnosti jen pseudonym pana Vykutáleného, který si od někoho jiného (nějakého pana Bohatého) skutečně půjčil určitou finanční částku, ale s úmyslem vyhnout se jejímu vrácení? Mohl by postupovat tak, že se zaručí dlužním úpisem v elektronické formě, řádně podepsaným vlastním uznávaným elektronickým podpisem – ale při následném sporu bude argumentovat neplatností svého podpisu.
Aby se měl o co opřít, potřebuje dosáhnout toho, aby jeho dlužní úpis v elektronické formě nebyl opatřen časovým razítkem. Pak už stačí jen ve vhodnou chvíli revokovat svůj certifikát, použitý pro podpis, a tvrdit, že mu ho někdo ukradl (resp. si ho někdo zkopíroval, a proto byl revokován). Jak potom soud rozhodne o tom, zda podpis vznikl ještě před revokací (jak tvrdí pak Bohatý), nebo až po ní (jak tvrdí pan Hodný/Vykutálený)? Jen ze samotného podpisu, bez dalších důkazů a bez časového razítka, to rozhodnout nejde ….
Odkud vítr vane
Vraťme se na závěr ještě jednou k tezi, že elektronický podpis platí, dokud se neprokáže opak. Odkud asi pochází?
Pan Stiegler sám zmiňuje zdroj: zákon č. 499/2004Sb. o archivnictví (skrze jeho novelu v podobě zákona č. 190/2009 Sb.). Zde skutečně je určité ustanovení, které říká, že „dokud se neprokáže opak, ….“. Jenže se týká něčeho jiného: nikoli platnosti elektronického podpisu, ale „pravosti“ digitálního dokumentu. Navíc má důležité předpoklady, bez kterých ho není možné aplikovat. A jelikož jde o ustanovení zákona o archivnictví a spisové službě, řeší toto ustanovení potřeby archivnictví.
Ostatně, ocitujme si toto ustanovení doslova:
Neprokáže-li se opak, dokument v digitální podobě se považuje za pravý, byl-li podepsán platným uznávaným elektronickým podpisem nebo označen platnou elektronickou značkou osoby, která k tomu byla v okamžiku podepsání nebo označení oprávněna, osoby odpovědné za převedení z dokumentu v analogové podobě nebo změnu formátu dokumentu v digitální podobě nebo osoby odpovědné za provedení autorizované konverze dokumentů a opatřen kvalifikovaným časovým razítkem.
Můj výklad tohoto ustanovení, využívající výše použitého příměru s podpisem a technologiemi v roce 2009 a v roce 2009+X, je následující:
Pokud byl nějaký dokument „pravý“ v roce 2009 (prokazatelně opatřen platným podpisem či značkou a „zafixován v čase“ pomocí časového razítka), můžeme i v roce 2009+X věřit tomu, že je stále „pravý“ – dokud se neprokáže opak.
Představuji si, že archiváři potřebují takovéto ustanovení kvůli tomu, aby mohli archivovat dokumenty v digitální (či elektronické) podobě. Aby se jim nestalo, že někdo zpochybní pravost toho, co oni před lety vložili do archivu, a co z něj po letech zase vyjmou.
Představme si třeba, že letos (v roce 2009) potřebují archiváři něco vložit do archivu – a tak nejprve zkontrolují, zda je to platně podepsáno a „zafixováno v čase“ (tj. opatřeno platným podpisem či značkou, a také časovým razítkem), nebo to rovnou platně podepíší sami, vlastním podpisem a razítkem. Jenže když pak tentýž dokument po X letech z archivu zase vyjmou, už by nemělo smysl zkoumat platnost elektronických podpisů z roku 2009 (neboť technologie z roku 2009+X už umožňují tehdejší podpisy libovolně zfalšovat, viz výše).
Proto nastupuje výše uvedené ustanovení, které jakoby transponuje původní ověření pravosti dokumentu (skrze ověření podpisu a razítka ještě v době před vložením do archivu) i do současnosti (do doby vyjmutí z archivu). A platí do té doby, než někdo prokáže opak. Třeba že s dokumentem někdo v archivu manipuloval. Nebo že původní ověření platnosti (před vložením do archivu) nebylo korektní, apod.
Toto ustanovení ale rozhodně není možné okleštit: není možné vzít pouze jeho důsledek a zcela zapomenout na premisy, ze kterých tento důsledek vychází. Tedy třeba tvrdit, že cokoli co se vyjme z archivu je „pravé“, dokud se neprokáže opak – aniž by se ověřovala pravost již při vkládání do archivu. Nebo že elektronický podpis je platný, aniž by někdo někdy prokazoval jeho platnost – a je považován za platný jen proto, že nikdo ještě neprokázal jeho neplatnost.