Elektronický podpis v praxi: Uznávaný, nebo jen zaručený?

Při každodenní práci s elektronickými podpisy často narazíme na to, že není podpis jako podpis. Musíme velmi pečlivě a důsledně rozlišovat mezi tím, kdy se jedná o zaručený elektronický podpis, a kdy o tzv. uznávaný elektronický podpis. Obě tyto kategorie vymezuje příslušný zákon (č. 227/2000 Sb., o elektronickém podpisu) a rozdíl mezi nimi je zcela zásadní.

Z pohledu využití je rozdíl v tom, že dokument s uznávaným elektronickým podpisem musí úřady akceptovat a dále s ním pracovat jako s vlastnoručně podepsaným listinným dokumentem. Řekneme-li to jinak, takovýto elektronický podpis musí úřady uznávat, což asi vedlo i k jeho pojmenování.

Naproti tomu dokument, opatřený pouze zaručeným elektronickým podpisem, úřady takto „uznávat“ nemusí, ba dokonce by ani neměly. Pokud jej akceptují, měly by se k němu chovat jako k nepodepsanému dokumentu. Má to přitom velmi racionální důvod, protože zaručený elektronický podpis zajišťuje jen jednu jedinou věc: že se podepsaný dokument od svého podpisu nezměnil. Tedy to, čemu se v odborné terminologii říká „zajištění integrity“. Ale už vůbec nezaručuje asi to nejpodstatnější: kdo podpis vytvořil, resp. kdo je podepsanou osobou.

U zaručeného elektronického podpisu totiž lze údaj o podepsané osobě libovolně zfalšovat. Vlastně si tam každý může napsat, co ho napadne. Díky tomu může existovat například zaručený elektronický podpis literární postavy Josefa Švejka jako na obrázku.

Ale stejně tak by se někdo mohl podepsat (formou zaručeného elektronického podpisu) vaším jménem, aniž byste o tom vůbec věděli. Už tušíte, proč se na zaručené podpisy nelze spoléhat a proč je úřady nemají uznávat?

Zajímavé je i to, že samotný termín „zaručený elektronický podpis“ je jen nesprávným překladem z původní unijní legislativy: v anglickém originále se hovoří pouze o „advanced electronic signatures“ neboli o podpisech „vyspělejších“ či  „pokročilejších“. To pouze my jsme si to nesprávně přeložili tak, aby to naznačovalo nějakou záruku a vytvářelo představu jakési „nejvyšší úrovně“ na škále možných variant elektronického podpisu. Tak tomu opravdu není a „zaručený“ podpis je na takovéto škále vlastně hodně nízko.

Naopak nejvýše je uznávaný elektronický podpis. U něj už údaje o podepsané osobě zfalšovat nelze. Takže třeba uznávaný elektronický podpis literární postavy Josefa Švejka už existovat nemůže. Podepsanou osobou zde může být jen skutečně existující fyzická osoba.

Kvalifikované certifikáty
Z věcného hlediska je rozdíl mezi zaručeným a uznávaným elektronickým podpisem právě a pouze v tom, na jakém certifikátu je podpis založen. V případě uznávaného podpisu musí jít o certifikát kvalifikovaný. Navíc takový, který vydala akreditovaná certifikační autorita (jde-li o „tuzemský“ certifikát). Zato v případě zaručeného elektronického podpisu se na certifikát žádné požadavky nekladou. Nemusí tedy být kvalifikovaný, ale může to být například i nějaký testovací certifikát.

Právě z druhu, a tím i „kvality“ certifikátu pak vyplývají výše naznačené důsledky: testovací certifikát, který stačí pro zaručený elektronický podpis, si může vyrobit každý doslova „doma na koleně“ a do něj si napsat, co chce. Třeba i to, že jde o certifikát literární postavy Josefa Švejka.

V případě kvalifikovaného certifikátu ale něco takového možné není: Ten, kdo vydává kvalifikované certifikáty, je nemůže vydat neexistující osobě. Musí postupovat podle požadavků zákona (i své certifikační politiky, která ze zákona vychází) a kvalifikovaný certifikát může vydat pouze skutečně existující fyzické osobě, jejíž identitu si pečlivě ověřila. Obvykle na to chce nejméně dva osobní doklady a osobní přítomnost žadatele.

Uznávaný, nebo jen zaručený?
Teď se ale na vše podívejme ryze prakticky: Když máme někde nějaký dokument v elektronické podobě, opatřený elektronickým podpisem, jak zjistíme, zda se jedná o uznávaný elektronický podpis nebo pouze o podpis zaručený?

Odpověď je v principu jednoduchá a vyplývá z výše uvedeného: Záleží na certifikátu, na kterém je podpis založen – pokud je kvalifikovaný a vydaný akreditovanou autoritou, jde o podpis uznávaný. Jenže jak to běžný uživatel pozná?

Zde jsou ve výhodě uživatelé, kteří pro práci s elektronicky podepsanými dokumenty používají programy šité na míru tuzemské legislativě. Jako třeba různé spisové služby či program na CzechPointech a další. Protože tyto programy dokážou samy rozlišit kvalifikovaný certifikát (od akreditované certifikační autority) od jiného certifikátu a z toho si pak již odvodí, zda jde o uznávaný elektronický podpis či pouze o podpis zaručený.

Problém je ale v případě programů, které nejsou šity na míru tuzemské legislativě. Jako třeba oblíbený Adobe Reader dostupný zdarma nebo Adobe Acrobat jako placený program. Ani jeden z nich netuší, že existují nějaké kvalifikované certifikáty, a nezná ani rozdíl mezi zaručeným a uznávaným podpisem. Řeknou vám pouze to, zda daný podpis je platný nebo naopak neplatný (nebo že nedokážou jeho platnost posoudit) – ale už vám nesdělí, o jaký druh elektronického podpisu jde. To si musíte zjistit sami.

Jak to uděláte, už jistě tušíte: Musíte se sami podívat „dovnitř“ podpisu, na příslušný certifikát, a sami zhodnotit jeho druh a „kvalitu“. Jenže ani to není úplně jednoduché. Již proto, že uznávaný elektronický podpis může být založen i na kvalifikovaných certifikátech zahraniční provenience. Takže si to nechme do dalšího dílu tohoto seriálu.

Autor vyučuje na pražské Matematicko-fyzikální fakultě UK problematiku počítačových sítí, a působí jako nezávislý konzultant a publicista.