E-podpis v praxi s komplikacemi

Při styku pomocí zaručeného elektronického podpisu nemusí být kvůli minimu údajů v certifikátu vždy zřejmé, kdo ...


Při styku pomocí zaručeného elektronického podpisu nemusí být kvůli minimu
údajů v certifikátu vždy zřejmé, kdo s úřadem komunikuje. Do těchto certifikátů
je proto možné vkládat další identifikátory. Jejich použití je technicky
lákavé, avšak právně i bezpečnostně nežádoucí a uživatelsky nepraktické. Přitom
existují alespoň dvě metody, jak zmíněnou komplikaci vyřešit.
Dále v textu popsané metody přitom zajišťují plnou automatizaci zpracování
elektronicky podepsaných dokumentů, právní jistotu strany přijímající podepsané
dokumenty současně s omezením rizik narušení soukromí podepisujících, hladší
pracovní procesy a malé náklady.

Certifikát dnes
Tuzemský kvalifikovaný certifikát veřejného klíče (dále podpisový certifikát),
vydaný akreditovaným poskytovatelem certifikačních služeb (certifikační
autoritou, dále CA), určený pro ověřování elektronických podpisů, může ze
zákona o elektronickém podpisu (dále ZoEP) obsahovat až tak málo identifikace,
jako je jen jméno a příjmení osoby či jen pseudonym (vhodné pro podatelny
úřadů). Občanů jména např. Petr Novák jsou v ČR stovky, mnohonásobné mohou být
i certifikáty vystavené např. na "Ferda Mravenec Pseudonym".
CA sice uchovává další informace o certifikovaném, ale údaje neuvedené v
certifikátu poskytuje třetím stranám pouze na žádost soudu. Certifikovaný si
řídí své soukromí tím, které informace o sobě do certifikátu nechá vložit. V
případě komunikace zaměstnanců firem jejich protějškům identifikaci usnadňuje
povinné uvedení rejstříkového názvu organizace v políčku O (organizace), popř.
i OU (organizační jednotka), Title (funkce) a zejména adresa elektronické
pošty. Při styku B2C může být dostatečné zajištění platby. Problém identifikace
však přetrvává u skutečně masové automatizované komunikace, jaké čelí veřejná
správa či velké e-businessové organizace.
Použití rodného čísla v certifikátu je nevhodné. Kóduje chráněné osobní údaje,
existují jeho duplicity, u zaměstnance je nerelevantní a jako společný
identifikátor usnadňuje spojování databází.

Identifikátor MPSV
Ministerstvo práce a sociálních věcí ČR (MPSV) nalezlo řešení v dohodě s CA,
jež do vydávaných certifikátů volitelně uvádí identifikátor MPSV (viz první
obrázek), jednoznačně identifikující osobu v rámci informačního systému MPSV.
Bez identifikátoru bude komunikace s osobou odmítnuta. Metoda nicméně skrývá
nevýhody, jež se ozřejmí představou, že by stejně postupovalo více úřadů:
1. Certifikáty budou neustále doplňovány o další identifikátory. Tzn. vydávání
stále nových podpisových certifikátů (po 700 Kč!) dle platné certifikační
politiky povede vždy k novým podpisovým klíčům. Současné certifikáty, platné i
zneplatněné, vedou rovněž k nepřehlednosti a nesnadnosti komunikace dané osoby
i jejích protějšků.
2. Podpisové certifikáty jsou veřejné, identifikátory se kompromitují.
3. Úzké propojení systémů na jednu CA podvazuje konkurenci certifikátorů.
Zájemce by si teoreticky mohl nechat vytvořit identifikátory pro všechny úřady
předem (nejpozději při certifikaci), ale v praxi je to nerealistické. Druhá
potíž je zásadní identifikátory úřadů by v certifikátu vytvořily "superID".
Sice by bylo nevýznamové, ale jeho veřejnost útočníkům usnadní spojování
databází.
Identifikaci se snaží řešit i loňská novela 226/2002 Sb. zákona o elektronickém
podpisu (ZoEP), ve které byl přidán !11: "Pokud je zaručený elektronický podpis
založený na kvalifikovaném certifikátu užíván v oblasti orgánů veřejné moci,
musí kvalifikovaný certifikát obsahovat takové údaje, aby osoba byla
jednoznačně identifikovatelná."
Paradoxně jsou "takové údaje" obsaženy od certifikačního pravěku. Dvojice
vydavatel a sériové číslo (Issuer + SN) unikátně identifikuje certifikát a
potažmo osobu (pravost Issuer se zjistí ověřením podpisu CA). Zahrnutí
identifikátoru MPSV a jiných institucí situaci z technického ani zákonného
hlediska nezlepší vzniká nadbytečná identifikace. MPSV si sice se svým
identifikátorem poradí snadněji, certifikovaní ale budou zakoušet uvedené
nevýhody. Přitom dostačuje, aby se vytvořilo "spojení" mezi podpisovým
certifikátem a identifikátory. ZoEP vytváření odkazů na podpisový certifikát
nijak neomezuje. Následuje popis 2 takových metod.

Atributové certifikáty
Atributové certifikáty se liší od známých podpisových certifikátů tím, že
neobsahují veřejný klíč certifikované osoby, ale jiné její ověřené údaje
(atributy). Atributový certifikát může např. obsahovat dispoziční práva, role,
funkce apod., v našem případě identifikátor osoby u určitého úřadu (viz druhý
obrázek).
Postupy CA při ověřování mohou být stejně přísné jako u kvalifikovaných
certifikátů, tj. shodně důvěryhodné. První výhodou je, že atributové
certifikáty lze vydávat v čase postupně před zahájením komunikace s dalším
úřadem. Původní podpisový a předchozí atributové certifikáty jsou přitom však
zachovány. Odpadá shánění množství dokladů při první certikaci. Druhou výhodou
je soukromí atributový certifikát může být u CA neveřejný (lze se doptat pouze
na stav platnosti) a certifikovaný ho poskytuje jen vybraným protějškům dle
svého uvážení. Atributový certifikát se odkazuje na podpisový certifikát. Je
podepsán CA nejjednodušeji tou, jež vydala podpisový certifikát, ale obecně
může být signován i jinou. Při vhodné certifikační politice vydávání
kvalifikovaných certifikátů může být atributový certifikát použit i s
pozdějšími podpisovými certifikáty, tj. být vystaven na delší dobu životnosti.
Atributové certifikáty zmiňuje již standard X.509v3 od Network Working Group z
roku 1997. Do popředí se dostávají až poslední dobou viz čerstvé dokumenty ETSI
102 044 nebo RFC 3281.

Certifikace notáři
Analogii atributových certifikátů mohou spravovat i samotné úřady. Protože
často nedisponují sítí poboček, v nichž by mohly odpovědně samy ověřovat, mohou
využít služeb klasických notářství. Stačí, aby zvláštní aplikace vhodným
způsobem uživateli vytiskla písmem pro OCR několik jeho údajů: identifikaci (z
podpisového certifikátu zejména Issuer + SN) a kýžený identifikátor organizace.
Dokument může být pro vyšší bezpečnost a integritu digitálně podepsán nebo
hašován (transformace textu do řetězce fixní délky reprezentujícího původní
předlohu), především však bude klasicky podepsán u notáře (30 Kč) a zaslán
běžnou poštou (viz třetí obrázek).
Úřad došlý papírový dokument naskenuje a po provedení funkce OCR získá spojení
z čísla certifikátu na svůj identifikátor, jež má opřeno o notářem ověřený
podpis osoby, tj. silnější ověření, než se vyžaduje v 99 procentech případů
styku se státní správou. Metoda má stejné výhody jako první, navíc není třeba
čekat na ustálení formátů atributových certifikátů v implementacích a bude
kompatibilní s podpisovými certifikáty mnoha CA. Ověřované podpisy rovněž mají
v českém právu své pevné zakotvení, praxi i rozvětvenou síť notářů a dalších
ověřovatelů. Úřad může vydat i atributový certifikát jako v první metodě a
zaslat jej uživateli elektronicky.
Autor je konzultantem elektronického podpisu (www.vkc.cz).









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.