Uznávaný elektronický podpis možná vděčí za své pojmenování tomu, že jej musí nejrůznější úřady uznávat jako právně platný a postavený na roveň podpisu vlastnoručnímu. Definován je ale úplně jinak, přece jen exaktněji: jako zaručený elektronický podpis, který je založen na kvalifikovaném certifikátu od akreditované certifikační autority.
Právě požadavkem na kvalifikovaný certifikát je přitom položen základ důvěryhodnosti výsledného podpisu a možnost spoléhat se na to, kdo je jeho autorem, resp. tzv. podepsanou či podepisující osobou. Je to člověk, jehož identita je uvedena v příslušném kvalifikovaném certifikátu. Ten nemůže být vydán nikomu smyšlenému či jakkoli „na cizí“ jméno – ale vždy jen reálně existující fyzické osobě, jejíž identitu si příslušná certifikační autorita (jako vydavatel certifikátu) náležitě ověří.
Jenže kvalifikovaný certifikát není jedinou podmínkou uznávaného podpisu. V některých jiných zemích – ale nikoli v České republice – je požadováno ještě to, aby pro vznik (i pro následné ověřování) elektronického podpisu byl použit tzv. bezpečný prostředek. Tedy takový, který někdo dopředu zkontroloval, zda dělá to, co dělat má, a nedělá něco, co by dělat neměl. U nás jsme se ale rozhodli jít jinou cestou: ještě přísnějším požadavkem na kvalitu certifikátu. Musí to tedy být kvalifikovaný certifikát, který vydala akreditovaná certifikační autorita.
Samotnou akreditaci si přitom můžeme představovat podobně jako bezpečný prostředek: Stát (skrze svůj orgán, který má elektronický podpis ve své gesci, dnes MV ČR) dopředu posoudil, zda příslušná certifikační autorita splňuje všechny požadavky, které zákon klade na vydavatele kvalifikovaných certifikátů. A pokud splňuje, vydá o tom své osvědčení právě v podobě akreditace.
U nás doma je to jednodušší
U nás doma, v České republice, jsou takto akreditovány všechny tři certifikační autority, které vydávají kvalifikované certifikáty: I.CA, PostSignum a eIdentity. Výsledkem je pak to, že každý „tuzemský“ kvalifikovaný certifikát je současně „kvalifikovaným certifikátem, vydaným akreditovanou certifikační autoritou“. Tedy takovým, jaký je požadován pro uznávaný elektronický podpis.
K rozpoznání uznávaného podpisu by proto mělo stačit podívat se, zda je založen na takovémto certifikátu. Programy, které jsou šity na míru tuzemské legislativě (což obvykle jsou programy tuzemské provenience) to dokážou samy – a díky tomu samy poznají, kdy jde o uznávaný elektronický podpis.
Složitější je to ale u programů, jako je například Adobe Reader či Acrobat, které tuzemskou legislativu neznají. Ty nám pouze řeknou, zda je podpis platný – ale jako jejich uživatelé si už musíme sami zjistit, zda jde o platný zaručený elektronický podpis nebo o platný uznávaný elektronický podpis.
Jak tedy poznáme „tuzemský“ kvalifikovaný certifikát? Principiálně jednoduše: Musí to mít v sobě napsáno. Takže pak ještě musíme vědět, jak a kam se podívat.
Jenže to má háček: Když si někdo vytvoří nějaký certifikát sám, jakoby „doma na koleně“, a tudíž pouze testovací, může si do něj napsat, co jen chce. Třeba i onu zmínku o tom, že jde o kvalifikovaný certifikát. Správně tedy musíme kontrolovat také vydavatele certifikátu (certifikační autoritu), abychom mohli spolehlivě vyloučit takovéto druhy podvodů.
V EU je to složitější
Ještě větší problém s uznávanými podpisy a jejich rozpoznáváním je ale něco jiného: Od jisté doby náš zákon o elektronickém podpisu, harmonizovaný s unijní úpravou elektronického podpisu, připouští, aby uznávaný podpis mohl být založen na kvalifikovaném certifikátu zahraniční provenience (myšleno v rámci EU). Podle očekávání ale požaduje, aby vydavatel takového certifikátu svým postavením odpovídal tuzemské akreditované autoritě.
A zde už to začíná být složitější, protože ne všechny členské země mají stejný systém akreditací jako my. Někde jsou místo akreditace příslušné autority jen tzv. dohledovány. Neboli „pod dohledem státu“, což asi věcně vyjde nastejno. Jenže jak poznáme, které zahraniční autority to jsou?
Evropská unie, jejímiž jsme členy, nechala proto sestavit něco jako „národní“ seznamy autorit, které odpovídají našim akreditovaným autoritám. Jmenují se TSL, což je zkratka Trusted Securities List (volně přeloženo seznam důvěryhodných služeb), a u nás jsou vyvěšeny na adrese www.tsl.gov.cz.
Jenže aby to nebylo tak jednoduché: I když máte v ruce nějaký „evropský“ certifikát a jeho vydavatele najdete na seznamu TSL příslušné členské země, stále ještě nemusí jít o kvalifikovaný certifikát. Platí to ostatně i pro tuzemské autority, které také mohou vydávat rozličné druhy certifikátů podle různých certifikačních politik. A zdaleka ne všechny jejich certifikáty jsou kvalifikované.
Takže i u „evropských“ certifikátů je nutné ještě kontrolovat, podle jaké certifikační politiky byly vydány. To je už dosti složité, a po běžném uživateli to asi není reálné požadovat. Naštěstí to není ani nutné, protože na již zmiňovaných stránkách www.tsl.gov.cz je kromě samotných seznamů TSL také on-line aplikace jménem CertIQ, která certifikát posoudí sama – a řekne, zda jej lze považovat za kvalifikovaný či nikoli.
Autor vyučuje na pražské Matematicko-fyzikální fakultě UK problematiku počítačových sítí a působí jako nezávislý konzultant a publicista