Elektronické podpisy v místní správě a samosprávě Zákon o elektronickém podpisu č. 227/2000 Sb., který byl Parlamentem ČR přijat 29. června minulého roku, nabyl účinnosti 1. října 2000. Pojem elektronického podpisu a jím podepsané datové zprávy se tak poprvé dostává do právního řádu České...
Elektronické podpisy v místní správě a samosprávě
Zákon o elektronickém podpisu č. 227/2000 Sb., který byl Parlamentem ČR přijat 29. června minulého roku, nabyl účinnosti 1. října 2000. Pojem elektronického podpisu a jím podepsané datové zprávy se tak poprvé dostává do právního řádu České republiky.
Přijetí zákona o elektronickém podpisu (dále jen ZoEP), resp. nabytí jeho účinnosti však neznamená, že teprve od 1. října je možné (je legální) elektronický podpis (EP) používat.
Řada lidí již dávno své zprávy elektronicky podepisuje a využívá služeb některého z poskytovatelů certifikačních služeb (v praxi jsou ovšem spíše nazývané "certifikační autority"). Za hlavní přednost takové komunikace je zpravidla považována možnost příjemce datové zprávy ověřit, že zpráva přichází od určitého konkrétního odesilatele a možnost ověřit, že obsah datové zprávy nebyl změněn poté, co byl elektronickým podpisem opatřen.
Dále se elektronické podpisy používají např. pro účely autentizace při řízení přístupu k síťovým datovým zdrojům. Ve všech uvedených případech probíhá ověření pomocí tzv. certifikátů (digitálních certifikátů), zpravidla za součinnosti třetích důvěryhodných stran, již zmíněných poskytovatelů certifikačních služeb.
Je potřeba zdůraznit, že začátek účinnosti zákona o elektronickém podpisu nebrání stávajícím "uživatelům" elektronického podpisu ani potenciálním zájemcům, aby svá data používaná k elektronickému podpisu dále používali a podle svého uvážení si vybírali poskytovatele certifikačních služeb, a to zpravidla na základě své důvěry v něj nebo na základě kvality služeb, které nabízí (částečně tomu brání, v oblasti veřejné moci, pouze ustanovení § 11).
Specifika "orgánů veřejné moci"
Zákon o elektronickém podpisu v § 11 stanoví, že "v oblasti orgánů veřejné moci" bude možné používat výhradně zaručené elektronické podpisy založené na kvalifikovaných certifikátech vydaných akreditovanými poskytovateli certifikačních služeb.
K této definici podotkněme, že zde je určitá nejasnost, zákon totiž nestanoví, zda je míněna vzájemná komunikace mezi orgány veřejné moci nebo komunikace těchto orgánů s jinými subjekty, např. občan se státním orgánem, nebo také veškerá interní komunikace v rámci jednotlivých úřadů (v tom případě by se tento paragraf vztahoval také na veškerou elektronickou poštu ve všech "úřadech" včetně např. pozvání na oběd apod.).
Elektronické podpisy
Existuje celá řada různých typů elektronických podpisů a celá řada různých typů digitálních certifikátů a certifikačních autorit.
Zákon o elektronickém podpisu v současnosti rozlišuje dva typy podpisů:
[*] elektronický podpis,
[*] zaručený elektronický podpis.
Pojem elektronický podpis je nejširší množinou, která zahrnuje v podstatě cokoliv. Elektronickým podpisem jsou jakékoliv údaje v elektronické podobě, které jsou připojené k datové zprávě a které umožňují ověření totožnosti podepsané osoby. Jedná se v podstatě o obyčejný podpis např. pozdrav na konci e-mailu, který odpovídá věrohodností asi tak "třem křížkům".
Pojem zaručený elektronický podpis (ZEP) už je vymezenou podmnožinou, která představuje bezpečný podpis; tento podpis je možné přijímat jako ekvivalent závazného písemného podpisu. Musí totiž splňovat určité bezpečnostní požadavky definované v zákoně.
Dále, připravovaná vyhláška k § 6 ZoEP, zavádí další pojem:
[*] kvalifikovaný elektronický podpis.
Kvalifikovaným elektronickým podpisem je takový zaručený elektronický podpis, který:
- je založen na kvalifikovaném certifikátu,
- byl vytvořen pomocí prostředku pro bezpečné vytváření elektronických podpisů.
Jaké jsou výhody tohoto kvalifikovaného elektronického podpisu? Teprve použití kvalifikovaného elektronického podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na použitém kvalifikovaném certifikátu.
Hierarchie jednotlivých typů elektronických podpisů je schematicky znázorněna na obr. 1.
Co z toho vyplývá
Je zjevné, že v praxi se budou jistě využívat všechny definované typy elektronických podpisů, tak jako se nyní využívají také všechny typy "fyzických" podpisů. Bude vždy záležet na okolnostech, někdy jsou požadavky definovány pro konkrétní typ právního úkonu. Je totiž rozdíl mezi nákupem knihy (smlouva je ve fyzickém světě, tj. ve fyzické prodejně, stvrzována jen neformálně zaplacením kupní ceny) a např. nákupem nemovitosti (smlouva musí být podepsána s notářským ověřením). Podobné rozdíly jsou a nadále budou existovat také v elektronickém světě.
Pro oblast veřejné moci je však nutné znovu připomenout § 11, ze kterého vyplývá zásadní omezení: je povoleno používat výhradně zaručené elektronické podpisy.
Digitální certifikáty
Všeobecně lze říci, že certifikát je možno si pořídit následujícími metodami:
[*] každá osoba si může vydávat vlastní (tzv. "self-signed") certifikáty, podepsané sám sebou (např. běžné v produktech PGP, ovšem použitelnost je pochopitelně pouze mezi osobními známými, nikoliv např. pro banku či úřad); nespadá do oblasti řízené zákonem,
[*] kterákoliv organizace si může zřídit vlastní (interní) certifikační autoritu, a vydávat certifikáty pro interní potřebu; v komerční sféře je možno zcela volně, nespadá do oblasti řízené zákonem; pro oblast veřejné moci je zakázáno - viz § 11,
[*] nakupovat certifikáty od veřejných certifikačních autorit (CA) dle specifických požadavků u jednotlivých typů CA.
Jaké typy certifikátů existují? Kromě toho, že ZoEP rozlišuje certifikáty "obyčejné" a "kvalifikované", lze obecně rozlišovat více typů certifikátů:
- osobní (pouze tyto spadají do působnosti ZoEP),
- serverové,
- objektové (pro SW).
Zákon rozlišuje tři typy poskytovatelů certifikačních služeb (viz obr. 2):
[*] "obyčejný" poskytovatel certifikačních služeb (PCS),
[*] poskytovatel certifikačních služeb vydávající kvalifikované certifikáty (PCS-QC),
[*] akreditovaný poskytovatel certifikačních služeb (APCS).
"Obyčejným" poskytovatelem certifikačních služeb přitom je v podstatě každá "interní" certifikační autorita, která nemá zájem fungovat na komerční bázi. Těchto "obyčejných" PCS se zákon v podstatě příliš netýká.
K čemu lze použít digitální certifikát?
Digitální certifikát se dá využít pro řadu bezpečnostních funkcí, např.:
[*] autentizaci při přístupu k síti, serveru nebo systému (např. SSL, IPSec, Single Sign On),
[*] tvorbu a ověření elektronického podpisu,
[*] šifrování dat (souborů, e-mailu atd.).
Škála možného využití certifikátů je znázorněna na obr. 3.
Co bude dál?
Aby mohl být zákon o elektronickém podpisu naplněn, je nezbytné vydat k některým ustanovením prováděcí vyhlášky. Pro pochopení složitosti tohoto procesu připomeňme, že některé vyhlášky (pouze k § 6 a § 17) jsou již nyní připravovány Úřadem pro ochranu osobních údajů v návaznosti na příslušné směrnice a standardy v Evropské unii.
Dále, pro oblast veřejné moci, je netrpělivě očekáváno vydání vládního nařízení, které by mělo upřesnit pravidla a aktuální nejasnosti vyplývající z formulací § 11 (viz výše).
Je ale nutné přiznat, že existují i další nejasnosti, které zatím nejsou řešeny, a není zatím ani jasné, kdo se jejich řešení vůbec ujme (např. problémy časových značek, křížových certifikací, uznávání zahraničních certifikátů, vznik atestačních institucí atd.). Některé z uvedených problémů přitom nejsou zatím řešeny ani na úrovni Evropské unie.
Ivan Svoboda, Daniel Grunt,
vedoucí projektů bezpečnosti
informačních systémů,
implementace systémů PKI
T-SOFT, s. r. o.,
