Datovou zprávu propiskou nepodepíšete
Pokud mají datové schránky zjednodušit a zpříjemnit komunikaci občanů s úřady, musí všichni zúčastnění přistoupit na pravidla hry týkající se elektronických podpisů a podpisových certifikátů. Informovanost v tomto směru stále pokulhává.
Jestliže uživatel datové schránky obdrží datovou zprávu obsahující dokument od orgánu veřejné moci, má být opatřen tzv. uznávaným elektronickým podpisem. Elektronický podpis se může stát pro uživatele docela dobrým sluhou v případě, že jej správně pochopí – pak je jeho používání jednoduché, rychlé a bezpečnější než u klasického podpisu. Ovšem v případě, že se uživatel neztotožní s jeho věcnou podstatou a domnívá se, že ke správnému užívání elektronického podpisu žádné další vědomosti nepotřebuje, může pro něj být elektronický podpis docela nebezpečnou nástrahou.
Při přechodu z klasických papírových agend na agendy elektronické je znalost problematiky elektronických podpisů nutná a klíčová. S dalším rozvojem eGovernmentu a s nástupem datových schránek do běžné praxe by proto měla následovat masová osvěta o používání elektronického podpisu, aby se na elektronické agendy dostatečně kvalifikovaně připravili nejen úředníci, ale i jejich klienti – občané.
Ve svém seriálu článků Datové schránky: pracujeme s e-podpisy seznamuje Jiří Peterka současné, ale především potenciální uživatele datových schránek s tím, jak vlastně přistupovat k elektronickým dokumentům a elektronickým podpisům, nabízí recept, jak poznat čemu mají věřit a čemu naopak věřit nemohou, a varuje, na co by si v budoucnu měli dát pozor.
Do schránek patří PDFka
Dokumenty, které orgány veřejné moci doručují občanům a firmám do jejich datových schránek, by měly mít formát PDF. Není to sice nikde jasně vymezeno, ale vyplývá to ze skutečnosti, že u jiných formátů nelze provádět autorizovanou konverzi z elektronické do listinné podoby. Dokumenty ve formátu PDF musí být opatřeny tzv. uznávaným elektronickým podpisem (tak se ve zkratce nazývá zaručený elektronický podpis založený na kvalifikovaném certifikátu vydaném akreditovanou certifikační autoritou) toho, kdo dokument vydal nebo vytvořil.
Akreditované certifikační autority mohou vystavit (osobní) certifikát jen skutečně existující osobě za předpokladu, že si předtím zcela spolehlivě ověří její skutečnou identitu. Uživatel si musí uvědomit, že není certifikát jako certifikát: některé může považovat za důvěryhodné, jiné nikoli. Pokud uživatel nemá dostatečné informace k posouzení důvěryhodnosti certifikátu, měl by zvážit kontext, v jakém důvěru vyjadřuje, a účel, ke kterému potřebuje konkrétní certifikát používat.
Komu věřit?
Důvěryhodnost certifikátů by pak měl uživatel primárně posuzovat podle toho, kdo je vystavil a podle jakých pravidel. Akreditované certifikační autority musí bezpodmínečně zveřejnit pravidla, podle kterých certifikáty vystavují (tzv. certifikační politiky), a potom také ručí za certifikáty, které vystavily. Jestliže lze důvěřovat konkrétní certifikační autoritě, lze důvěřovat i certifikátům, které tato autorita vystavila.
Uživatel by měl stále mít na zřeteli základní princip elektronického podpisu, který mu přes asymetrickou kryptografii, na níž je elektronický podpis založen, zajišťuje, že existuje kontinuální vazba mezi konkrétním elektronickým podpisem a podpisovým certifikátem.
Naštěstí má uživatel datové schránky situaci přece jen zjednodušenou v následujícím aspektu: může se omezit a spolehnout jen na akreditované certifikační autority, jejichž důvěryhodnost za něho posoudil stát. Dnes jsou v ČR takovéto autority tři (v pořadí získání akreditace):
- I. CA (První certifikační autorita)
- CA PostSignum (Certifikační autorita České pošty)
- CA eIdentity
Každá z nich musí definovat a zveřejnit pravidla svého fungování včetně pravidel pro vydávání různých druhů certifikátů. Pravidla jsou obecně označována jako certifikační politiky a pro každý druh vydávaného certifikátu obvykle platí samostatná, tedy jiná certifikační politika.
Certifikát uznaný státem
Jestliže stát posuzuje fungování některých certifikačních autorit a dává jim svou akreditaci, pak si může diktovat, aby pro určité účely byly používány pouze certifikáty vydané těmito akreditovanými certifikačními autoritami – a to ještě jen takové, které jsou v zákoně přesně popsány co do svých vlastností a parametrů. Jde o tzv. kvalifikované certifikáty.
Výše uvedené argumenty zcela jednoznačně definuje zákon č. 227/2000 Sb., který v paragrafu 11 říká: „V oblasti orgánů veřejné moci je možné za účelem podpisu používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb (dále jen „uznávaný elektronický podpis“).“
Pro potřeby komunikace v oblasti orgánů veřejné moci bude postačující podmínkou vyjádření důvěry třem výše vyjmenovaným certifikačním autoritám, které jsou akreditovány od státu. Jestliže uživatel například vyjádří důvěru akreditované certifikační autoritě PostSignum provozované Českou poštou, už nebude muset individuálně vyjadřovat svou důvěru konkrétním certifikátům, které tato certifikační autorita vystavila. Při vstupu na webový portál ISDS by jej tak již neměla znepokojovat hláška o neznámém serverovém certifikátu, protože jde o certifikát vystavený právě akreditovanou certifikační autoritou PostSignum.
Odpovědět na příspěvek