SlideShare a Scribd company logo
1 of 38
1
Jiří Peterka
2015
Co bychom měli vědět
o elektronických podpisech
2
v čem se liší?
• vlastnoruční podpis
• je ne-exaktní, je to křivka
• v praxi není nikdy stejný
• závisí třeba na rozrušení,
spěchu, náladě, …..
• ale měl by být stejný !!
• posuzujeme shodu křivky
s nějakým (podpisovým) vzorem
• (řádné) posouzení shody musí
dělat odborník (grafolog)
• výsledkem posouzení je
pravděpodobnostní výrok
• na 90% to je podpis osoby Y
• elektronický podpis
• je exaktní, je to číslo
0011010101010101….. 11010101110
• nezávisí na náladě, spěchu,
rozrušení atd.
• je pokaždé jiný !!
• (řádné) posouzení může dělat
kdokoli (např. příjemce)
• výsledek posouzení je jednoznačný
• podpis je platný
• podpis je neplatný
• platnost podpisu nelze zjistit
je digitálníje analogový
3
v čem se liší?
• vlastnoruční podpis
• nezávisí na podepisovaném
dokumentu
• lze podepsat „dopředu“
• aniž by bylo známo, co se
podepisuje
• lze podepsat „bianco šek“
• na již podepsaný dokument lze
dodatečně něco připsat
• aniž by to vlastnoručnímu
podpisu nějak „vadilo“
• existuje „sám o sobě“
• lze ho vytvořit dopředu
• do zásoby
• elektronický podpis
• závisí na podepisovaném
dokumentu
• nelze podepsat „dopředu“
• musí již být „vše napsáno“
• nelze podepsat „bianco šek“
• na již podepsaný dokument
nelze nic připsat
• jakoukoli změnou se podpis stane
neplatným
• neexistuje „sám o sobě“
• nelze ho vytvořit dopředu
• nelze mít „zásobu“ el. podpisů
4
co není elektronický podpis?
• „obrázek“ (s křivkou) může připojit kdokoli
• nejednalo by se (vždy) o projev vůle podepsané osoby
5
el. podpisem není ani „patička“
• elektronickým podpisem není ani textový podpis, přidávaný
na konec emailů
• tzv. patička
• odpovídá spíše razítku
• přidává se automaticky
• každý si do patičky
může napsat, co jen
chce!!
• patička nijak nezávisí na
obsahu samotné zprávy
• je pokaždé stejná
• kromě toho: i hlavičky emailu lze triviálně
zfalšovat
• viz odesílatel: josef@svejk.ck
6
jak vzniká (zaručený) el. podpis
• lze si představovat, že:
• (zaručený) elektronický podpis vzniká „semletím“ 2 ingrediencí
1. podepisovaného dokumentu
• tím se el. podpis stává závislým na podepisovaném dokumentu
• kvůli tomu nelze el. podpis vytvořit dopředu, nemůže existovat „sám o
sobě“
• ani ho nelze vytvořit do zásoby
2. soukromého klíče
• „něčeho“, co je charakteristické a
unikátní pro podepisující osobu
• co tato osoba nesmí „dát z ruky“,
protože jinak by se někdo jiný mohl
podepisovat za ní (jejím jménem)
011010101101010101010101010
PRI
podepisovaný
dokument
soukromý klíč
(data pro vytváření el.
podpisů)
program
(prostředek
pro vytváření el.
podpisů)
výpočet
advanced electronic signature, AdES
7
důsledek: zajištění integrity
• jestliže dojde ke změně již podepsaného dokumentu, na
jeho podpisu „se to pozná“
• podpis pozměněného dokumentu by měl jinou hodnotu, než
podpis původního dokumentu
• jinými slovy: původní podpis (svou hodnotou) nebude „sedět“
k pozměněnému dokumentu
• jde o důležitou vlastnost elektronického podpisu:
• dokáže rozpoznat, zda došlo k jakékoli (i sebemenší) změně
podepsaného dokumentu či nikoli
• zda byla porušena integrita (celistvost) dokumentu či nikoli
stejný
klíč
různé
podpisy
původní
dokument
pozměněný
dokument
8
princip asymetrické kryptografie
• asymetrie:
• k soukromému klíči existuje „protikus“: tzv. veřejný klíč
• veřejný proto, že není nutné ho jakkoli utajovat
• lze ho dát komukoli, kdo by ho mohl potřebovat (pro ověření podpisu)
• soukromý a veřejný klíč jsou „do páru“
• „patří k sobě“, jde o tzv. párová data
• k čemu je dobrá asymetrická kryptografie?
• co lze udělat jedním klíčem, lze „vrátit“ druhým klíčem
• pro podepisování se využije soukromý klíč
• pro ověřování platnosti se využije veřejný klíč
PRI PUBklíče „do páru“
soukromý klíč veřejný klíč
podepsání ověření
9
co je certifikát?
• je to (veřejné) osvědčení
• o tom, komu patří konkrétní soukromý klíč
• kdo je držitelem tohoto soukromého klíče
• od držení soukromého klíče odvozujeme, kdo je podepsanou
osobou (komu „patří“ el. podpis)
• protože soukromý klíč musel být použit při vytváření podpisu
• obvyklá praxe: certifikát se přikládá k samotnému podpisu
• problém:
• soukromý klíč nelze vložit do
(veřejného) certifikátu
• řešení (díky asymetrické
kryptografii)
• do certifikátu se vkládá
odpovídající veřejný klíč
Certifikát
tento veřejný klíč je "do páru"
se soukromým klíčem, který
má v držení osoba XY
CA
PUB
podpis
vydavatele
certifikátu
10
příklady certifikátů
• „vlastní“ certifikát
• mám odpovídající soukromý klíč
• „cizí“ (zaměstnanecký) certifikát
• nemám odpovídající soukromý klíč
11
certifikáty a certifikační autority
• není certifikační autorita jako
certifikační autorita !!!!
• zdaleka na každá je důvěryhodná
– a lze věřit jejím „produktům“
• existuje celá škála CA
• akreditované CA
• kvalifikované CA (v ČR nejsou)
• ………….
• interní CA
• „testovací“ CA
• není certifikát jako certifikát !!!!
• zdaleka ne každému certifikátu lze
důvěřovat
• existuje celá škála certifikátů
• kvalifikované certifikáty
• požadavky na ně jsou v zákoně
• komerční certifikáty
• v užším slova smyslu, placené
• ………
• testovací
• není el. podpis jako el. podpis !!!
• kdo vydává certifikáty?
• tzv. certifikační autorita (CA)
• v terminologii zákona: poskytovatel certifikačních služeb
• v praxi:
• certifikační autoritu si může udělat kdokoli, i „na koleně“
• a vydávat certifikáty s takovým obsahem, jaký ho napadne
• důležitý důsledek:
I.CA, PostSignum,
eIdentity
např. zabudovaná
v Adobe Readeru
12
hierarchie elektronických podpisů
• uznávaný elektronický podpis ( qualified el. signature)
• po technické stránce: je to zaručený elektronický podpis
• po právní stránce: certifikát musí být důvěryhodný
• certifikát musí být kvalifikovaný
• v ČR: certifikát musela vydat akreditovaná certifikační autorita
• CZ certifikát: musí obsahovat údaje, které jednoznačně identifikují držitele
• zaručený elektronický podpis ( AdES)
• „el. podpis, založený na asymetrické kryptografii“
• vzniká a funguje tak, jak jsme si dosud popisovali
• ale bez požadavku na kvalitu (věrohodnost) certifikátu
• může být založen na libovolném certifikátu – i testovacím !!!
• (prostý) elektronický podpis
• nemusí být (není) založen na asymetrické kryptografii
• nezajišťuje integritu podepsaného dokumentu
• například patička u emailu
nezaručuje
identitu
podepsané
osoby
13
příklad zaručeného el. podpisu ( AdES)
• nezaručuje (tvrzenou) identitu podepsané osoby
• „něco je v něm napsáno, ale na to se nemůžeme spoléhat“
14
jak poznat uznávaný el. podpis?
• pozor: Adobe Acrobat ani Reader je nepoznají !!!!!
• nerozlišují mezi zaručeným a uznávaným elektronickým podpisem !!
• protože jsou to zahraniční programy, neznají tuzemskou legislativu
• nepoznají kvalifikovaný certifikát od takového, který kvalifikovaný není
• nepoznají, zda obsahuje „údaj, který umožňuje jednoznačnou identifikaci“
• příklad: zaručený el. podpis literární Josefa Švejka
• programy tuzemské provenience dokáží rozlišit mezi
zaručeným a uznávaným podpisem
• protože již znají tuzemskou legislativu
• jsou jí přizpůsobené
zde se nepozná, že jde pouze
o zaručený, a nikoli o uznávaný
elektronický podpis
15
jak poznat uznávaný el. podpis?
• to, zda jde o zaručený nebo uznávaný podpis, lze zjistit pouze podle
druhu certifikátu, na kterém je podpis založen: musí být kvalifikovaný
• je nutné se „ručně“ podívat na detaily tohoto certifikátu !!!!
a také zkontrolovat
přítomnost „údaje, který
umožňuje jednoznačnou
identifikaci“
16
jak poznat, komu patří uznávaný el. podpis?
• uznávaným el. podpisem se
rozumí (od 1.7.2012 do 30.6.2016):
• zaručený elektronický podpis založený
na kvalifikovaném certifikátu vydaném
akreditovaným poskytovatelem
certifikačních služeb a obsahujícím
údaje, které umožňují jednoznačnou
identifikaci podepisující osoby,
• konkrétní podobu údajů specifikuje
nová vyhláška 212/2012 Sb.
• ….. založený na „zahraničním
certifikátu“ (z EU, vydaný v rámci
služeb na seznamu důvěryhodných …..)
…..
• bez požadavku na jednoznačnou
identifikaci
• vyhláška 212/2012 Sb.:
• údaj, který umožňuje jednoznačnou
identifikaci podepisující osoby, se
uvádí ve struktuře desetimístného
čísla v desítkové soustavě v rozsahu
1 100 100 100 až 4 294 967 295.
vyhovuje
17
údaje, identifikující držitele
• identifikátor dle vyhlášky může být „schován“ v jiných položkách
certifikátu a vyjádřen „méně viditelným“ způsobem
1 680 937 599
18
elektronická značka
• v některých situacích není vhodné/únosné, aby elektronický podpis
vytvářel člověk
• například: pro datové zprávy, přenášené skrze ISDS, pro výpisy z rejstříků, …..
• ale:
• elektronický podpis nemůže vytvářet stroj
• zákon zavádí předpoklad, že se osoba seznámila s obsahem toho, co podepisuje
• proto existuje: elektronická značka
• technicky je stejná jako (zaručený) elektronický podpis
• ale vyžaduje tzv. kvalifikovaný systémový certifikát !!!!!
• uznávanému elektronickému podpisu odpovídá uznávaná el. značka
• kvalifikovaný systémový certifikát musí být od akreditované certifikační autority
• není zde požadavek na jednoznačnou identifikaci (jako u uznávaného podpisu)
• představa fungování:
• člověk jednorázově nastaví stroj, a ten pak podle tohoto nastavení již sám „označuje“
(místo: podepisuje) jednotlivé dokumenty/zprávy
• chybí zde předpoklad o „seznámení se s obsahem“
19
příklad elektronické značky
u programů, které neznají
tuzemskou legislativu, je
nutné zjistit, zda se podpis
opírá o (kvalifikovaný)
systémový certifikát
20
elektronický podpis je věčný. Ale …..
• platnost elektronického podpisu není omezena v čase
• protože právo nezná „podpis na dobu určitou“
• neexistuje možnost ukončit platnost podpisu k nějakému časovému okamžiku
• omezena v čase je (z ryze praktických důvodů) naše
schopnost ověřit, že el. podpis je platný !!!!!!
• praktický důsledek:
• po určitou dobu jsme schopni ověřit, že podpis je platný
• později (mnohdy již „za pár měsíců“) už nejsme schopni ověřit platnost toho samého
podpisu na tomtéž dokumentu
pokud ověřujeme k tomuto
okamžiku, jsme schopni
prokázat, že podpis je platný
pokud ověřujeme k tomuto okamžiku,
již nejsme schopni ověřit platnost
podpisu
platnost podpisu
naše schopnost ověřit platnost podpisu
21
příklad (podpis bez časového razítka)
• obecně: možnost ověřit platnost elektronického podpisu
je vázána na platnost podpisového certifikátu
• toho certifikátu, na kterém je el. podpis založen
• tj. možnost ověření končí s koncem platnosti
certifikátu
• příklad:
• podpis na dokumentu byl vytvořen 12.1.2015
• a je založen na certifikátu s platností do 22.1.2015
• důsledek:
• podpis lze ověřit jako platný jen do 22.1.2015
22
postup ověřování platnosti podpisu
• při ověřování platnosti elektronického podpisu
kontrolujeme splnění určitých podmínek
• konkrétně:
• zda je certifikát platný (zda trvá řádná doba jeho platnosti)
• zda certifikát nebyl předčasně zneplatněn (revokován)
• zde nebyla porušena integrita podepsaného dokumentu
• důležité:
• splnění těchto podmínek kontrolujeme k určitému časovému
okamžiku t (jde o tzv. rozhodný okamžik)
• ve smyslu: byl certifikát platný v okamžiku t? Nebyl v okamžiku t revokovaný?
• na volbě okamžiku t velmi záleží !!!!!
• teoreticky:
• okamžikem t by měl být okamžik vzniku elektronického podpisu
• známe ale tento okamžik?
23
rok 2017
dokonce jsme na
vše upozorněni!!
kdy elektronický podpis vznikl?
• ale:
• na správnost tohoto údaje se nelze spoléhat !!!
• pochází ze systémových hodin počítače, které lze libovolně „přetočit“
• pozorování:
• čas vzniku podpisu je v něm
přímo uveden
24
co je časové razítko?
• po technické stránce:
• (kvalifikované) časové razítko je jako (zaručený) elektronický
podpis někoho, kdo musí mít ze zákona správně seřízené hodinky
• abychom se mohli spoléhat:
1. na zajištěnou integritu (neměnnost) toho, co je opatřeno čas. razítkem
2. na správnost časového údaje v razítku
• časové razítko lze přidat:
1. ihned při podpisu
• souběžně s podpisem
2. někdy později
• důsledek:
• časové razítko osvědčuje, že
„orazítkovaná“ data již
existovala „v čase T“
• v čase přidání časového razítka
podepsáno 11.11.2011
časové razítko
přidáno 20.11.2011
rozdíl 9 dnů
25
proč přidávat časové razítko?
• formální důvody:
• po OVM to vyžadují platné předpisy
• praktické důvody:
• prodlužuje to dobu, po kterou je možné ověřit platnost podpisu
• bez časového razítka: max. 12 měsíců
• možnost ověření končí s koncem platnosti podpisového certifikátu
• s časovým razítkem: prodlužuje se o 4 až 5 let
• možnost ověření končí s koncem platnosti certifikátu časového razítka
• umožňuje to „zachovat platnost el. podpisu“ i při revokaci
(zneplatnění) certifikátu
• například když držitel certifikátu přestává být zaměstnancem
• bez časového razítka: podpis, vytvořený před okamžikem revokace, musí být
vyhodnocen jako neplatný
• s časovým razítkem: podpis, vytvořený před okamžikem revokace, je (může
být) vyhodnocen jako platný
26
příklad (podpis s časovým razítkem)
• stejně jako předchozí příklad:
• podpis na dokumentu byl vytvořen 12.1.2015
• a je založen na certifikátu s platností do 22.1.2015
• navíc:
• k podpisu bylo přidáno časové razítko
• založené na certifikátu s platností do 2.10.2020
• garantuje, že v okamžiku přidání razítka (12.1.2015) podpis již existoval
• díky tomu může být rozhodným okamžikem t okamžik přidání časového razítka !!!!!
• důsledek:
• platnost podpisu je možné ověřit do 2.10.2020
12.1.2015 22.1.2015 2.10.2020
+
konec platnosti
podpisového certifikátu
konec platnosti
certifikátu čas.
razítka
t
27
CRL seznamy, aneb: časové razítko nestačí
• přidání časového razítka nemusí stačit
• k prodloužení doby, po kterou je možné ověřit platnost podpisu
• problém:
• k úspěšnému ověření je nutné zkontrolovat, zda k rozhodnému
okamžiku t nebyl podpisový certifikát revokován
• potřebnou informaci (tzv. CRL seznam) zveřejňují certifikační autority
• ale: tato informace přestává být dostupná, jakmile skončí řádná
platnost certifikátu !!!!
• řešení:
• získat potřebnou informaci (CRL seznam) někde jinde
• takto to dělají např. CzechPointy (sbírají ji „do zásoby“)
• „přibalit“ tuto informaci (CRL
seznam) k samotnému podpisu
ještě v době, kdy je dostupná
na pravé
tlačítko myši
28
zajištění tzv. digitální kontinuity
• digitální kontinuita = udržování el. dokumentů v takovém
stavu, aby jejich podpisy (a značky) bylo možné ověřit jako
platné
• po tak dlouhou dobu, jak je potřeba
• řešení:
• (postupné) přidávání časových razítek
• nové razítko je nutné přidat dříve, než skončí možnost ověření předchozího
razítka
• dnes v praxi: 1x za cca 5 let
• (postupné) přidávání dalších informací, nutných pro pozdější
ověření platnosti podpisů
• CRL seznamy, odpovědi OCSP serverů
• používání takových formátů el. podpisů (i samotných el.
dokumentů), které takovýto postup umožňují
29
LTV: dlouhodobě ověřitelné el. podpisy
• LTV: Long Term Validation
• koncept elektronických podpisů s možností ověření i po libovolně
dlouhé době
• představa: je to určitý „kontejner“, který umožňuje
• postupné přidávání čas. razítek (podpisových i dokumentových)
• přidávání dalších informací, nutných pro pozdější ověření
• zejména informací o stavu revokace certifikátů
• v podobě tzv. CRL seznamů, nebo odpovědí OCSP serverů
Certifikát
Certifikát
Certifikát
CRL
……
……
……
LTV LTV
Certifikát
Certifikát
CertifikátCRL
……
……
……
při vzniku podpisu při ověřování
30
formáty CAdES, XAdES a PAdES
• jde o formáty (el. podpisů a značek), které jsou připraveny pro
dlouhodobě ověřitelné podpisy (pro koncept LVT)
• PAdES: pro PDF dokumenty, XAdES: pro XML, CAdES: obecné
• mají více úrovní (a jen nejvyšší umožňují dlouhodobé ověření)
• A (archivní): CAdES - A, XAdES-A, PAdES-A
• LTV (s možností dlouhodobého ověření): CAdES-LTV, XAdES-LTV, PAdES-LTV
• T (s časovým razítkem): CAdES-T, XAdES-T, PAdES-T
• EPES (s expl. politikou podpisu): CAdES-EPES, XAdES-EPES, PAdES-EPES
• BES (základní verze): CAdES-BES, XAdES-BES, PAdES-BES
• úrovně BES (a PAdES-EPES) jsou tzv. referenčními formáty
• jejich používání požaduje Rozhodnutí Komise 130/2011/ES
• ze dne 25.2.2011, účinné od 1.8.2011
• v ČR se příliš nedodržuje !!!
• většina el. podpisů má starší formát CMS/PKCS#7
v ČR
nedostupné
31
jak je to s ověřováním podpisů?
• vlastnoruční podpisy
• ověřuje se pravost podpisu
• ověřují se dodatečně
• až když dojde ke sporu
• do té doby se s podpisem nakládá
jako s pravým
• neexistuje (obecné) pravidlo, které
by požadovalo ověření dopředu
• výjimky:
• pokud to požaduje nějaký specifický
předpis, kontroluje se „hned“
• kontroluje se shoda s dostupným
podpisovým vzorem
• výjimka: pokud je vlastnoruční podpis
čitelný a nekoresponduje s obsahem
podepsaného dokumentu
• např.: podání je od pana Nováka,
podepsána je krasopisně paní Dvořáková
• el. podpisy (i značky, razítka)
• ověřuje se jejich platnost
• ověřují se dopředu !!!!
• ještě než se někdo (příjemce)
začne spoléhat na platnost
podpisu a jednat podle toho !!!
• jde o důsledek §5 čl. 2 ZoEP
• zákona č. 227/2000 Sb.
• hovoří o odpovědnosti držitele
soukromého klíče, ……
• které se zprostí, pokud prokáže, že
„že ten, komu vznikla škoda,
neprovedl veškeré úkony potřebné k
tomu, aby si ověřil, že …
elektronický podpis je platný ….“
POZOR: než začnete pracovat s el. dokumentem,
musíte být schopni ověřit platnost jeho podpisu
32
důsledky
• pro příjemce dokumentu:
• nejprve si musí ověřit, že el. podpis (značka) na el. dokumentu lze
(v okamžiku příjmu) ověřit jako platný
• jinak by ho měl odmítnout a požadovat takový exemplář dokumentu,
u kterého podpis lze ověřit jako platný
• protože jinak případná škoda „jde za ním ….“
• pro držitele dokumentu:
• musí se (průběžně) starat o to, aby se el. podpis (značka, razítka)
na el. dokumentu dal ověřit jako platný
• po celou dobu, kdy jej chce „používat“ (např. někomu předložit)
• jinými slovy: musí se (aktivně) starat o zajištění digitální kontinuity
svých dokumentů
• ve smyslu „přerazítkovávání“
33
jiný pohled na digitální kontinuitu
• podstatou je názor, že „přerazítkovávání je zbytečné“
• že podpisy a značky stačí „jednorázově ošetřit“, a že to „vydrží navěky“
• že po celou dobu „života“ el. dokumentů není potřeba se o ně jakkoli aktivně starat
• že stačí jen 1 časové razítko
• je pro to nacházena i opora v zákoně:
• zákon č. 499/2004 Sb. o archivnictví a spisové službě
• §69a/5: Neprokáže-li se opak, dokument v digitální podobě se považuje za pravý, byl-li
podepsán uznávaným elektronickým podpisem nebo označen uznávanou elektronickou
značkou …. a …. opatřen kvalifikovaným časovým razítkem.
• ale:
• jakmile skončí možnost ověřit platnost podpisu, nedá se tato poučka aplikovat !!!
• nelze již prokázat, že dokument byl podepsán PLATNÝM podpisem
• takže: stejně je nutné přidávat další časová razítka !!!!!
označováno jako tzv. vyvratitelná domněnka (fikce) pravosti
hlavní smysl a přínos této vyvratitelné domněnky je v tom, že je určitým
„můstkem“ mezi platností el. podpisu (což je technický pojem) a pravostí
dokumentu (což je právní pojem), ve smyslu: z platnosti vyplývá pravost
34
ještě k legislativě
• základ právní úpravy el. podpisu tvoří zákon č. 227/2000 Sb.
„o elektronickém podpisu“
• který vychází z unijní směrnice č. 1999/93/ES
• důsledek: právní úprava el. podpisu je v zemích EU „víceméně“ stejná
• existují ale i významné rozdíly !!!!
• příklad významné odlišnosti:
• směrnice EU i většina zákonů členských zemí požaduje použití
tzv. bezpečného prostředku (pro uznávaný el. podpis)
• soukromý klíč musí být na (certifikované) čipové kartě nebo USB tokenu
• v ČR není použití bezpečného prostředku vyžadováno
• uživatel může mít svůj soukromý klíč kdekoli ….
• třeba jen v systémovém úložišti svého počítače (málo bezpečné)
• místo toho je v ČR požadována akreditace certifikační autority
35
prováděcí vyhláška č. 212/2012 Sb.
• plný názvem:
• Vyhláška o struktuře údajů, na základě kterých je možné jednoznačně
identifikovat podepisující osobu, a postupech pro ověřování platnosti
zaručeného elektronického podpisu, elektronické značky, kvalifikovaného
certifikátu, kvalifikovaného systémového certifikátu a kvalifikovaného časového
razítka (vyhláška o ověřování platnosti zaručeného elektronického podpisu)
• nahrazuje původní vyhlášku č. 496/2004 Sb.
• která se týkala fungování elektronických podatelen
• měla by definovat:
• údaj, který jednoznačně identifikuje držitele certifikátu
• ale to nedělá – nestanoví význam identifikátoru (jen rozsah a počet cifer)
• úkony, nutné pro ověření platnosti el. podpisu
• definuje je
• ale nestanovuje pravidla, podle kterých by se dalo konstatovat, že podpis je
platný či naopak neplatný názor: vyhláška je nepoužitelná
36
další vývoj v oblasti legislativy
• 23.7.2014: přijato nařízení EU č. 910/2014 (eIDAS)
• o elektronické identifikaci a službách vytvářejících důvěru pro
elektronické transakce na vnitřním trhu a o zrušení směrnice
1999/93/ES
• jde o nařízení Evropského parlamentu a Rady EU
• tj. přímo účinný právní předpis, účinný od 28.8.2014
• netransponuje se do CZ legislativy, ale platí (je účinný) ihned a přímo
• pasáže, týkající se el. podpisu, budou účinné od 1.7.2016 !!!!!!!
• pravděpodobný vývoj, avizovaný MV ČR:
• bude zrušen stávající zákon o el. podpisu (č. 227/2000 Sb.)
• a nejspíše i vyhláška 212/2014 Sb.
• bude přijat nový „prováděcí zákon“
• který dořeší věci, které nařízení ponechalo na národní úroveň (např. pokuty)
• budou muset být upraveny též další zákony:
• č. 300/2008 Sb. – kvůli datovým schránkám
• č. 499/2004 Sb. – kvůli spisovým službám
37
změny, týkající se el. podpisů (k 1.7.2016)
• skončí naše výjimka z požadavku na používání bezpečného
prostředku
• pokud jde o „právně uznatelný“ (tj. uznávaný) el. podpis
• změní se (nejenom) terminologie:
• místo uznávaný el. podpis bude kvalifikovaný el. podpis
• a bude vyžadovat využití bezpečného prostředku pro vytváření elektronických
podpisů – fakticky: certifikovanou čipovou kartu / USB token !!!!!
• místo elektronické značky bude elektronická pečeť
• již nebude moci patřit fyzické osobě, jen právnické osobě či OVM
• bude možný tzv. server signing
• aneb: el. podepisování jako služba
• „můj soukromý klíč je uložen u poskytovatele služby. Když potřebuji podepsat
nějaký el. dokument, pošlu jej poskytovateli s požadavkem, aby jej podepsal
mým soukromým klíčem“
• úzké místo: jak poskytovateli spolehlivě prokáží, že jsem to skutečně já ??
38
děkuji za pozornost
Jiří Peterka
http://jiri.peterka.cz
http://www.earchiv.cz
http://www.bajecnysvet.cz
http://www.muzeuminternetu.cz
nabídka mnou vedených kurzů elektronického podpisu

More Related Content

Viewers also liked

Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...
Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...
Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...Jiří Peterka
 
Není podpis jako podpis, aneb: jak se vyznat v různých variantách elektronick...
Není podpis jako podpis, aneb: jak se vyznat v různých variantách elektronick...Není podpis jako podpis, aneb: jak se vyznat v různých variantách elektronick...
Není podpis jako podpis, aneb: jak se vyznat v různých variantách elektronick...Jiří Peterka
 
Ochrana osobních údajů a bezpečnost dat - novinky v GDPR
Ochrana osobních údajů a bezpečnost dat - novinky v GDPROchrana osobních údajů a bezpečnost dat - novinky v GDPR
Ochrana osobních údajů a bezpečnost dat - novinky v GDPRPIERSTONE
 
Big Data: reálné aplikace pro business - Odborna snidane 30. 11. 2016
Big Data: reálné aplikace pro business - Odborna snidane 30. 11. 2016Big Data: reálné aplikace pro business - Odborna snidane 30. 11. 2016
Big Data: reálné aplikace pro business - Odborna snidane 30. 11. 2016Profinit
 
DPO (Pokyny k funkci pověřence pro ochranu osobních údajů dle GDPR, WP29)
DPO (Pokyny k funkci pověřence pro ochranu osobních údajů dle GDPR, WP29)DPO (Pokyny k funkci pověřence pro ochranu osobních údajů dle GDPR, WP29)
DPO (Pokyny k funkci pověřence pro ochranu osobních údajů dle GDPR, WP29)Eva Skornickova
 
Data Governance a datová kvalita v roce 2017. Příprava na GDPR.
Data Governance a datová kvalita v roce 2017. Příprava na GDPR.Data Governance a datová kvalita v roce 2017. Příprava na GDPR.
Data Governance a datová kvalita v roce 2017. Příprava na GDPR.Profinit
 
Prezentace společná témata pro elektronizaci v sociálních a zdravotních systé...
Prezentace společná témata pro elektronizaci v sociálních a zdravotních systé...Prezentace společná témata pro elektronizaci v sociálních a zdravotních systé...
Prezentace společná témata pro elektronizaci v sociálních a zdravotních systé...Michal Rada
 
GDPR (Obecné nařízení o ochraně osobních údajů, EP 2016/679)
GDPR (Obecné nařízení o ochraně osobních údajů, EP 2016/679)GDPR (Obecné nařízení o ochraně osobních údajů, EP 2016/679)
GDPR (Obecné nařízení o ochraně osobních údajů, EP 2016/679)Eva Skornickova
 
Má elektronický podpis identifikovat podepsanou osobu? A pokud ano: jak?
Má elektronický podpis identifikovat podepsanou osobu? A pokud ano: jak?Má elektronický podpis identifikovat podepsanou osobu? A pokud ano: jak?
Má elektronický podpis identifikovat podepsanou osobu? A pokud ano: jak?Jiří Peterka
 
eIDAS Reference Guide
eIDAS Reference GuideeIDAS Reference Guide
eIDAS Reference GuideSafeNet
 
E-government eIDAS - June 2016
E-government eIDAS - June 2016E-government eIDAS - June 2016
E-government eIDAS - June 2016Link to WhatsApp
 

Viewers also liked (11)

Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...
Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...
Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...
 
Není podpis jako podpis, aneb: jak se vyznat v různých variantách elektronick...
Není podpis jako podpis, aneb: jak se vyznat v různých variantách elektronick...Není podpis jako podpis, aneb: jak se vyznat v různých variantách elektronick...
Není podpis jako podpis, aneb: jak se vyznat v různých variantách elektronick...
 
Ochrana osobních údajů a bezpečnost dat - novinky v GDPR
Ochrana osobních údajů a bezpečnost dat - novinky v GDPROchrana osobních údajů a bezpečnost dat - novinky v GDPR
Ochrana osobních údajů a bezpečnost dat - novinky v GDPR
 
Big Data: reálné aplikace pro business - Odborna snidane 30. 11. 2016
Big Data: reálné aplikace pro business - Odborna snidane 30. 11. 2016Big Data: reálné aplikace pro business - Odborna snidane 30. 11. 2016
Big Data: reálné aplikace pro business - Odborna snidane 30. 11. 2016
 
DPO (Pokyny k funkci pověřence pro ochranu osobních údajů dle GDPR, WP29)
DPO (Pokyny k funkci pověřence pro ochranu osobních údajů dle GDPR, WP29)DPO (Pokyny k funkci pověřence pro ochranu osobních údajů dle GDPR, WP29)
DPO (Pokyny k funkci pověřence pro ochranu osobních údajů dle GDPR, WP29)
 
Data Governance a datová kvalita v roce 2017. Příprava na GDPR.
Data Governance a datová kvalita v roce 2017. Příprava na GDPR.Data Governance a datová kvalita v roce 2017. Příprava na GDPR.
Data Governance a datová kvalita v roce 2017. Příprava na GDPR.
 
Prezentace společná témata pro elektronizaci v sociálních a zdravotních systé...
Prezentace společná témata pro elektronizaci v sociálních a zdravotních systé...Prezentace společná témata pro elektronizaci v sociálních a zdravotních systé...
Prezentace společná témata pro elektronizaci v sociálních a zdravotních systé...
 
GDPR (Obecné nařízení o ochraně osobních údajů, EP 2016/679)
GDPR (Obecné nařízení o ochraně osobních údajů, EP 2016/679)GDPR (Obecné nařízení o ochraně osobních údajů, EP 2016/679)
GDPR (Obecné nařízení o ochraně osobních údajů, EP 2016/679)
 
Má elektronický podpis identifikovat podepsanou osobu? A pokud ano: jak?
Má elektronický podpis identifikovat podepsanou osobu? A pokud ano: jak?Má elektronický podpis identifikovat podepsanou osobu? A pokud ano: jak?
Má elektronický podpis identifikovat podepsanou osobu? A pokud ano: jak?
 
eIDAS Reference Guide
eIDAS Reference GuideeIDAS Reference Guide
eIDAS Reference Guide
 
E-government eIDAS - June 2016
E-government eIDAS - June 2016E-government eIDAS - June 2016
E-government eIDAS - June 2016
 

Similar to Co bychom měli vědět o elektronických podpisech

Problém digitální kontinuity, alias dlouhověkost elektronických dokumentů
Problém digitální kontinuity, alias dlouhověkost elektronických dokumentůProblém digitální kontinuity, alias dlouhověkost elektronických dokumentů
Problém digitální kontinuity, alias dlouhověkost elektronických dokumentůJiří Peterka
 
Letem světem elektronické identifikace
Letem světem elektronické identifikaceLetem světem elektronické identifikace
Letem světem elektronické identifikaceJiří Peterka
 
Jak rozumět dynamickým biometrickým podpisům?
Jak rozumět dynamickým biometrickým podpisům?Jak rozumět dynamickým biometrickým podpisům?
Jak rozumět dynamickým biometrickým podpisům?Jiří Peterka
 
Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)
Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)
Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)Michal ZOBEC
 
Ujasněme si základní pojmy
Ujasněme si základní pojmyUjasněme si základní pojmy
Ujasněme si základní pojmyJiří Peterka
 
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchPetr Dvorak
 
Bankovní identita - zkušenosti z pilotních projektů
Bankovní identita - zkušenosti z pilotních projektůBankovní identita - zkušenosti z pilotních projektů
Bankovní identita - zkušenosti z pilotních projektůJakub Hamerník
 
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizikaMobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizikaPetr Dvorak
 

Similar to Co bychom měli vědět o elektronických podpisech (9)

Problém digitální kontinuity, alias dlouhověkost elektronických dokumentů
Problém digitální kontinuity, alias dlouhověkost elektronických dokumentůProblém digitální kontinuity, alias dlouhověkost elektronických dokumentů
Problém digitální kontinuity, alias dlouhověkost elektronických dokumentů
 
Letem světem elektronické identifikace
Letem světem elektronické identifikaceLetem světem elektronické identifikace
Letem světem elektronické identifikace
 
Jak rozumět dynamickým biometrickým podpisům?
Jak rozumět dynamickým biometrickým podpisům?Jak rozumět dynamickým biometrickým podpisům?
Jak rozumět dynamickým biometrickým podpisům?
 
Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)
Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)
Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)
 
Ujasněme si základní pojmy
Ujasněme si základní pojmyUjasněme si základní pojmy
Ujasněme si základní pojmy
 
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeních
 
Biometrie
BiometrieBiometrie
Biometrie
 
Bankovní identita - zkušenosti z pilotních projektů
Bankovní identita - zkušenosti z pilotních projektůBankovní identita - zkušenosti z pilotních projektů
Bankovní identita - zkušenosti z pilotních projektů
 
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizikaMobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
 

More from Jiří Peterka

Jaké byly hlavní milníky čtvrtstoletí Internetu v ČR? Jak Internet vypadal kd...
Jaké byly hlavní milníky čtvrtstoletí Internetu v ČR? Jak Internet vypadal kd...Jaké byly hlavní milníky čtvrtstoletí Internetu v ČR? Jak Internet vypadal kd...
Jaké byly hlavní milníky čtvrtstoletí Internetu v ČR? Jak Internet vypadal kd...Jiří Peterka
 
Internetová archeologie: jak Internet vypadal kdysi dávno
Internetová archeologie: jak Internet vypadal kdysi dávnoInternetová archeologie: jak Internet vypadal kdysi dávno
Internetová archeologie: jak Internet vypadal kdysi dávnoJiří Peterka
 
Přístup vs. připojení, aneb mají se zákony vyjadřovat přesně?
Přístup vs. připojení, aneb mají se zákony vyjadřovat přesně?Přístup vs. připojení, aneb mají se zákony vyjadřovat přesně?
Přístup vs. připojení, aneb mají se zákony vyjadřovat přesně?Jiří Peterka
 
Potřebujeme síťovou neutralitu?
Potřebujeme síťovou neutralitu?Potřebujeme síťovou neutralitu?
Potřebujeme síťovou neutralitu?Jiří Peterka
 
Počítačové sítě II, lekce 11: Broadband a síťová neutralita
Počítačové sítě II, lekce 11: Broadband a síťová neutralitaPočítačové sítě II, lekce 11: Broadband a síťová neutralita
Počítačové sítě II, lekce 11: Broadband a síťová neutralitaJiří Peterka
 
Počítačové sítě II, lekce 10: Mobilní komunikace
Počítačové sítě II, lekce 10: Mobilní komunikacePočítačové sítě II, lekce 10: Mobilní komunikace
Počítačové sítě II, lekce 10: Mobilní komunikaceJiří Peterka
 
Počítačové sítě II, lekce 9: xDSL, FTTx, PON
Počítačové sítě II, lekce 9: xDSL, FTTx, PONPočítačové sítě II, lekce 9: xDSL, FTTx, PON
Počítačové sítě II, lekce 9: xDSL, FTTx, PONJiří Peterka
 
Počítačové sítě II, lekce 8: POTS, ISDN a xDSL
Počítačové sítě II, lekce 8: POTS, ISDN a xDSLPočítačové sítě II, lekce 8: POTS, ISDN a xDSL
Počítačové sítě II, lekce 8: POTS, ISDN a xDSLJiří Peterka
 
Počítačové sítě II, lekce 7: Telekomunikační přenosové technologie
Počítačové sítě II, lekce 7: Telekomunikační přenosové technologiePočítačové sítě II, lekce 7: Telekomunikační přenosové technologie
Počítačové sítě II, lekce 7: Telekomunikační přenosové technologieJiří Peterka
 
O aktuálních otázkách (a také o tom, co jsme kdysi s panem Sovou provedli ČTÚ)
O aktuálních otázkách (a také o tom, co jsme kdysi s panem Sovou provedli ČTÚ)O aktuálních otázkách (a také o tom, co jsme kdysi s panem Sovou provedli ČTÚ)
O aktuálních otázkách (a také o tom, co jsme kdysi s panem Sovou provedli ČTÚ)Jiří Peterka
 
Co je kybernetická bezpečnost?
Co je kybernetická bezpečnost?Co je kybernetická bezpečnost?
Co je kybernetická bezpečnost?Jiří Peterka
 
O čem je síťová neutralita?
O čem je síťová neutralita?O čem je síťová neutralita?
O čem je síťová neutralita?Jiří Peterka
 
Počítačové sítě II, lekce 6: sítě WLAN II
Počítačové sítě II, lekce 6: sítě WLAN IIPočítačové sítě II, lekce 6: sítě WLAN II
Počítačové sítě II, lekce 6: sítě WLAN IIJiří Peterka
 
Počítačové sítě II, lekce 2: Internetworking II
Počítačové sítě II, lekce 2: Internetworking IIPočítačové sítě II, lekce 2: Internetworking II
Počítačové sítě II, lekce 2: Internetworking IIJiří Peterka
 
Počítačové sítě II, lekce 1: Internetworking
Počítačové sítě II, lekce 1: InternetworkingPočítačové sítě II, lekce 1: Internetworking
Počítačové sítě II, lekce 1: InternetworkingJiří Peterka
 
Historie a současný stav české mobilní telefonie
Historie a současný stav české mobilní telefonieHistorie a současný stav české mobilní telefonie
Historie a současný stav české mobilní telefonieJiří Peterka
 
Rodina protokolů TCP/IP, téma 9: Transportní protokoly
Rodina protokolů TCP/IP, téma 9: Transportní protokoly Rodina protokolů TCP/IP, téma 9: Transportní protokoly
Rodina protokolů TCP/IP, téma 9: Transportní protokoly Jiří Peterka
 
Rodina protokolů TCP/IP, téma 8: Protokol IPv6
Rodina protokolů TCP/IP, téma 8: Protokol IPv6Rodina protokolů TCP/IP, téma 8: Protokol IPv6
Rodina protokolů TCP/IP, téma 8: Protokol IPv6Jiří Peterka
 
Rodina protokolů TCP/IP, téma 7: IP adresy verze 6
Rodina protokolů TCP/IP, téma 7: IP adresy verze 6Rodina protokolů TCP/IP, téma 7: IP adresy verze 6
Rodina protokolů TCP/IP, téma 7: IP adresy verze 6Jiří Peterka
 
Rodina protokolů TCP/IP, téma 5: Protokol IPv4
Rodina protokolů TCP/IP, téma 5: Protokol IPv4Rodina protokolů TCP/IP, téma 5: Protokol IPv4
Rodina protokolů TCP/IP, téma 5: Protokol IPv4Jiří Peterka
 

More from Jiří Peterka (20)

Jaké byly hlavní milníky čtvrtstoletí Internetu v ČR? Jak Internet vypadal kd...
Jaké byly hlavní milníky čtvrtstoletí Internetu v ČR? Jak Internet vypadal kd...Jaké byly hlavní milníky čtvrtstoletí Internetu v ČR? Jak Internet vypadal kd...
Jaké byly hlavní milníky čtvrtstoletí Internetu v ČR? Jak Internet vypadal kd...
 
Internetová archeologie: jak Internet vypadal kdysi dávno
Internetová archeologie: jak Internet vypadal kdysi dávnoInternetová archeologie: jak Internet vypadal kdysi dávno
Internetová archeologie: jak Internet vypadal kdysi dávno
 
Přístup vs. připojení, aneb mají se zákony vyjadřovat přesně?
Přístup vs. připojení, aneb mají se zákony vyjadřovat přesně?Přístup vs. připojení, aneb mají se zákony vyjadřovat přesně?
Přístup vs. připojení, aneb mají se zákony vyjadřovat přesně?
 
Potřebujeme síťovou neutralitu?
Potřebujeme síťovou neutralitu?Potřebujeme síťovou neutralitu?
Potřebujeme síťovou neutralitu?
 
Počítačové sítě II, lekce 11: Broadband a síťová neutralita
Počítačové sítě II, lekce 11: Broadband a síťová neutralitaPočítačové sítě II, lekce 11: Broadband a síťová neutralita
Počítačové sítě II, lekce 11: Broadband a síťová neutralita
 
Počítačové sítě II, lekce 10: Mobilní komunikace
Počítačové sítě II, lekce 10: Mobilní komunikacePočítačové sítě II, lekce 10: Mobilní komunikace
Počítačové sítě II, lekce 10: Mobilní komunikace
 
Počítačové sítě II, lekce 9: xDSL, FTTx, PON
Počítačové sítě II, lekce 9: xDSL, FTTx, PONPočítačové sítě II, lekce 9: xDSL, FTTx, PON
Počítačové sítě II, lekce 9: xDSL, FTTx, PON
 
Počítačové sítě II, lekce 8: POTS, ISDN a xDSL
Počítačové sítě II, lekce 8: POTS, ISDN a xDSLPočítačové sítě II, lekce 8: POTS, ISDN a xDSL
Počítačové sítě II, lekce 8: POTS, ISDN a xDSL
 
Počítačové sítě II, lekce 7: Telekomunikační přenosové technologie
Počítačové sítě II, lekce 7: Telekomunikační přenosové technologiePočítačové sítě II, lekce 7: Telekomunikační přenosové technologie
Počítačové sítě II, lekce 7: Telekomunikační přenosové technologie
 
O aktuálních otázkách (a také o tom, co jsme kdysi s panem Sovou provedli ČTÚ)
O aktuálních otázkách (a také o tom, co jsme kdysi s panem Sovou provedli ČTÚ)O aktuálních otázkách (a také o tom, co jsme kdysi s panem Sovou provedli ČTÚ)
O aktuálních otázkách (a také o tom, co jsme kdysi s panem Sovou provedli ČTÚ)
 
Co je kybernetická bezpečnost?
Co je kybernetická bezpečnost?Co je kybernetická bezpečnost?
Co je kybernetická bezpečnost?
 
O čem je síťová neutralita?
O čem je síťová neutralita?O čem je síťová neutralita?
O čem je síťová neutralita?
 
Počítačové sítě II, lekce 6: sítě WLAN II
Počítačové sítě II, lekce 6: sítě WLAN IIPočítačové sítě II, lekce 6: sítě WLAN II
Počítačové sítě II, lekce 6: sítě WLAN II
 
Počítačové sítě II, lekce 2: Internetworking II
Počítačové sítě II, lekce 2: Internetworking IIPočítačové sítě II, lekce 2: Internetworking II
Počítačové sítě II, lekce 2: Internetworking II
 
Počítačové sítě II, lekce 1: Internetworking
Počítačové sítě II, lekce 1: InternetworkingPočítačové sítě II, lekce 1: Internetworking
Počítačové sítě II, lekce 1: Internetworking
 
Historie a současný stav české mobilní telefonie
Historie a současný stav české mobilní telefonieHistorie a současný stav české mobilní telefonie
Historie a současný stav české mobilní telefonie
 
Rodina protokolů TCP/IP, téma 9: Transportní protokoly
Rodina protokolů TCP/IP, téma 9: Transportní protokoly Rodina protokolů TCP/IP, téma 9: Transportní protokoly
Rodina protokolů TCP/IP, téma 9: Transportní protokoly
 
Rodina protokolů TCP/IP, téma 8: Protokol IPv6
Rodina protokolů TCP/IP, téma 8: Protokol IPv6Rodina protokolů TCP/IP, téma 8: Protokol IPv6
Rodina protokolů TCP/IP, téma 8: Protokol IPv6
 
Rodina protokolů TCP/IP, téma 7: IP adresy verze 6
Rodina protokolů TCP/IP, téma 7: IP adresy verze 6Rodina protokolů TCP/IP, téma 7: IP adresy verze 6
Rodina protokolů TCP/IP, téma 7: IP adresy verze 6
 
Rodina protokolů TCP/IP, téma 5: Protokol IPv4
Rodina protokolů TCP/IP, téma 5: Protokol IPv4Rodina protokolů TCP/IP, téma 5: Protokol IPv4
Rodina protokolů TCP/IP, téma 5: Protokol IPv4
 

Co bychom měli vědět o elektronických podpisech

  • 1. 1 Jiří Peterka 2015 Co bychom měli vědět o elektronických podpisech
  • 2. 2 v čem se liší? • vlastnoruční podpis • je ne-exaktní, je to křivka • v praxi není nikdy stejný • závisí třeba na rozrušení, spěchu, náladě, ….. • ale měl by být stejný !! • posuzujeme shodu křivky s nějakým (podpisovým) vzorem • (řádné) posouzení shody musí dělat odborník (grafolog) • výsledkem posouzení je pravděpodobnostní výrok • na 90% to je podpis osoby Y • elektronický podpis • je exaktní, je to číslo 0011010101010101….. 11010101110 • nezávisí na náladě, spěchu, rozrušení atd. • je pokaždé jiný !! • (řádné) posouzení může dělat kdokoli (např. příjemce) • výsledek posouzení je jednoznačný • podpis je platný • podpis je neplatný • platnost podpisu nelze zjistit je digitálníje analogový
  • 3. 3 v čem se liší? • vlastnoruční podpis • nezávisí na podepisovaném dokumentu • lze podepsat „dopředu“ • aniž by bylo známo, co se podepisuje • lze podepsat „bianco šek“ • na již podepsaný dokument lze dodatečně něco připsat • aniž by to vlastnoručnímu podpisu nějak „vadilo“ • existuje „sám o sobě“ • lze ho vytvořit dopředu • do zásoby • elektronický podpis • závisí na podepisovaném dokumentu • nelze podepsat „dopředu“ • musí již být „vše napsáno“ • nelze podepsat „bianco šek“ • na již podepsaný dokument nelze nic připsat • jakoukoli změnou se podpis stane neplatným • neexistuje „sám o sobě“ • nelze ho vytvořit dopředu • nelze mít „zásobu“ el. podpisů
  • 4. 4 co není elektronický podpis? • „obrázek“ (s křivkou) může připojit kdokoli • nejednalo by se (vždy) o projev vůle podepsané osoby
  • 5. 5 el. podpisem není ani „patička“ • elektronickým podpisem není ani textový podpis, přidávaný na konec emailů • tzv. patička • odpovídá spíše razítku • přidává se automaticky • každý si do patičky může napsat, co jen chce!! • patička nijak nezávisí na obsahu samotné zprávy • je pokaždé stejná • kromě toho: i hlavičky emailu lze triviálně zfalšovat • viz odesílatel: josef@svejk.ck
  • 6. 6 jak vzniká (zaručený) el. podpis • lze si představovat, že: • (zaručený) elektronický podpis vzniká „semletím“ 2 ingrediencí 1. podepisovaného dokumentu • tím se el. podpis stává závislým na podepisovaném dokumentu • kvůli tomu nelze el. podpis vytvořit dopředu, nemůže existovat „sám o sobě“ • ani ho nelze vytvořit do zásoby 2. soukromého klíče • „něčeho“, co je charakteristické a unikátní pro podepisující osobu • co tato osoba nesmí „dát z ruky“, protože jinak by se někdo jiný mohl podepisovat za ní (jejím jménem) 011010101101010101010101010 PRI podepisovaný dokument soukromý klíč (data pro vytváření el. podpisů) program (prostředek pro vytváření el. podpisů) výpočet advanced electronic signature, AdES
  • 7. 7 důsledek: zajištění integrity • jestliže dojde ke změně již podepsaného dokumentu, na jeho podpisu „se to pozná“ • podpis pozměněného dokumentu by měl jinou hodnotu, než podpis původního dokumentu • jinými slovy: původní podpis (svou hodnotou) nebude „sedět“ k pozměněnému dokumentu • jde o důležitou vlastnost elektronického podpisu: • dokáže rozpoznat, zda došlo k jakékoli (i sebemenší) změně podepsaného dokumentu či nikoli • zda byla porušena integrita (celistvost) dokumentu či nikoli stejný klíč různé podpisy původní dokument pozměněný dokument
  • 8. 8 princip asymetrické kryptografie • asymetrie: • k soukromému klíči existuje „protikus“: tzv. veřejný klíč • veřejný proto, že není nutné ho jakkoli utajovat • lze ho dát komukoli, kdo by ho mohl potřebovat (pro ověření podpisu) • soukromý a veřejný klíč jsou „do páru“ • „patří k sobě“, jde o tzv. párová data • k čemu je dobrá asymetrická kryptografie? • co lze udělat jedním klíčem, lze „vrátit“ druhým klíčem • pro podepisování se využije soukromý klíč • pro ověřování platnosti se využije veřejný klíč PRI PUBklíče „do páru“ soukromý klíč veřejný klíč podepsání ověření
  • 9. 9 co je certifikát? • je to (veřejné) osvědčení • o tom, komu patří konkrétní soukromý klíč • kdo je držitelem tohoto soukromého klíče • od držení soukromého klíče odvozujeme, kdo je podepsanou osobou (komu „patří“ el. podpis) • protože soukromý klíč musel být použit při vytváření podpisu • obvyklá praxe: certifikát se přikládá k samotnému podpisu • problém: • soukromý klíč nelze vložit do (veřejného) certifikátu • řešení (díky asymetrické kryptografii) • do certifikátu se vkládá odpovídající veřejný klíč Certifikát tento veřejný klíč je "do páru" se soukromým klíčem, který má v držení osoba XY CA PUB podpis vydavatele certifikátu
  • 10. 10 příklady certifikátů • „vlastní“ certifikát • mám odpovídající soukromý klíč • „cizí“ (zaměstnanecký) certifikát • nemám odpovídající soukromý klíč
  • 11. 11 certifikáty a certifikační autority • není certifikační autorita jako certifikační autorita !!!! • zdaleka na každá je důvěryhodná – a lze věřit jejím „produktům“ • existuje celá škála CA • akreditované CA • kvalifikované CA (v ČR nejsou) • …………. • interní CA • „testovací“ CA • není certifikát jako certifikát !!!! • zdaleka ne každému certifikátu lze důvěřovat • existuje celá škála certifikátů • kvalifikované certifikáty • požadavky na ně jsou v zákoně • komerční certifikáty • v užším slova smyslu, placené • ……… • testovací • není el. podpis jako el. podpis !!! • kdo vydává certifikáty? • tzv. certifikační autorita (CA) • v terminologii zákona: poskytovatel certifikačních služeb • v praxi: • certifikační autoritu si může udělat kdokoli, i „na koleně“ • a vydávat certifikáty s takovým obsahem, jaký ho napadne • důležitý důsledek: I.CA, PostSignum, eIdentity např. zabudovaná v Adobe Readeru
  • 12. 12 hierarchie elektronických podpisů • uznávaný elektronický podpis ( qualified el. signature) • po technické stránce: je to zaručený elektronický podpis • po právní stránce: certifikát musí být důvěryhodný • certifikát musí být kvalifikovaný • v ČR: certifikát musela vydat akreditovaná certifikační autorita • CZ certifikát: musí obsahovat údaje, které jednoznačně identifikují držitele • zaručený elektronický podpis ( AdES) • „el. podpis, založený na asymetrické kryptografii“ • vzniká a funguje tak, jak jsme si dosud popisovali • ale bez požadavku na kvalitu (věrohodnost) certifikátu • může být založen na libovolném certifikátu – i testovacím !!! • (prostý) elektronický podpis • nemusí být (není) založen na asymetrické kryptografii • nezajišťuje integritu podepsaného dokumentu • například patička u emailu nezaručuje identitu podepsané osoby
  • 13. 13 příklad zaručeného el. podpisu ( AdES) • nezaručuje (tvrzenou) identitu podepsané osoby • „něco je v něm napsáno, ale na to se nemůžeme spoléhat“
  • 14. 14 jak poznat uznávaný el. podpis? • pozor: Adobe Acrobat ani Reader je nepoznají !!!!! • nerozlišují mezi zaručeným a uznávaným elektronickým podpisem !! • protože jsou to zahraniční programy, neznají tuzemskou legislativu • nepoznají kvalifikovaný certifikát od takového, který kvalifikovaný není • nepoznají, zda obsahuje „údaj, který umožňuje jednoznačnou identifikaci“ • příklad: zaručený el. podpis literární Josefa Švejka • programy tuzemské provenience dokáží rozlišit mezi zaručeným a uznávaným podpisem • protože již znají tuzemskou legislativu • jsou jí přizpůsobené zde se nepozná, že jde pouze o zaručený, a nikoli o uznávaný elektronický podpis
  • 15. 15 jak poznat uznávaný el. podpis? • to, zda jde o zaručený nebo uznávaný podpis, lze zjistit pouze podle druhu certifikátu, na kterém je podpis založen: musí být kvalifikovaný • je nutné se „ručně“ podívat na detaily tohoto certifikátu !!!! a také zkontrolovat přítomnost „údaje, který umožňuje jednoznačnou identifikaci“
  • 16. 16 jak poznat, komu patří uznávaný el. podpis? • uznávaným el. podpisem se rozumí (od 1.7.2012 do 30.6.2016): • zaručený elektronický podpis založený na kvalifikovaném certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb a obsahujícím údaje, které umožňují jednoznačnou identifikaci podepisující osoby, • konkrétní podobu údajů specifikuje nová vyhláška 212/2012 Sb. • ….. založený na „zahraničním certifikátu“ (z EU, vydaný v rámci služeb na seznamu důvěryhodných …..) ….. • bez požadavku na jednoznačnou identifikaci • vyhláška 212/2012 Sb.: • údaj, který umožňuje jednoznačnou identifikaci podepisující osoby, se uvádí ve struktuře desetimístného čísla v desítkové soustavě v rozsahu 1 100 100 100 až 4 294 967 295. vyhovuje
  • 17. 17 údaje, identifikující držitele • identifikátor dle vyhlášky může být „schován“ v jiných položkách certifikátu a vyjádřen „méně viditelným“ způsobem 1 680 937 599
  • 18. 18 elektronická značka • v některých situacích není vhodné/únosné, aby elektronický podpis vytvářel člověk • například: pro datové zprávy, přenášené skrze ISDS, pro výpisy z rejstříků, ….. • ale: • elektronický podpis nemůže vytvářet stroj • zákon zavádí předpoklad, že se osoba seznámila s obsahem toho, co podepisuje • proto existuje: elektronická značka • technicky je stejná jako (zaručený) elektronický podpis • ale vyžaduje tzv. kvalifikovaný systémový certifikát !!!!! • uznávanému elektronickému podpisu odpovídá uznávaná el. značka • kvalifikovaný systémový certifikát musí být od akreditované certifikační autority • není zde požadavek na jednoznačnou identifikaci (jako u uznávaného podpisu) • představa fungování: • člověk jednorázově nastaví stroj, a ten pak podle tohoto nastavení již sám „označuje“ (místo: podepisuje) jednotlivé dokumenty/zprávy • chybí zde předpoklad o „seznámení se s obsahem“
  • 19. 19 příklad elektronické značky u programů, které neznají tuzemskou legislativu, je nutné zjistit, zda se podpis opírá o (kvalifikovaný) systémový certifikát
  • 20. 20 elektronický podpis je věčný. Ale ….. • platnost elektronického podpisu není omezena v čase • protože právo nezná „podpis na dobu určitou“ • neexistuje možnost ukončit platnost podpisu k nějakému časovému okamžiku • omezena v čase je (z ryze praktických důvodů) naše schopnost ověřit, že el. podpis je platný !!!!!! • praktický důsledek: • po určitou dobu jsme schopni ověřit, že podpis je platný • později (mnohdy již „za pár měsíců“) už nejsme schopni ověřit platnost toho samého podpisu na tomtéž dokumentu pokud ověřujeme k tomuto okamžiku, jsme schopni prokázat, že podpis je platný pokud ověřujeme k tomuto okamžiku, již nejsme schopni ověřit platnost podpisu platnost podpisu naše schopnost ověřit platnost podpisu
  • 21. 21 příklad (podpis bez časového razítka) • obecně: možnost ověřit platnost elektronického podpisu je vázána na platnost podpisového certifikátu • toho certifikátu, na kterém je el. podpis založen • tj. možnost ověření končí s koncem platnosti certifikátu • příklad: • podpis na dokumentu byl vytvořen 12.1.2015 • a je založen na certifikátu s platností do 22.1.2015 • důsledek: • podpis lze ověřit jako platný jen do 22.1.2015
  • 22. 22 postup ověřování platnosti podpisu • při ověřování platnosti elektronického podpisu kontrolujeme splnění určitých podmínek • konkrétně: • zda je certifikát platný (zda trvá řádná doba jeho platnosti) • zda certifikát nebyl předčasně zneplatněn (revokován) • zde nebyla porušena integrita podepsaného dokumentu • důležité: • splnění těchto podmínek kontrolujeme k určitému časovému okamžiku t (jde o tzv. rozhodný okamžik) • ve smyslu: byl certifikát platný v okamžiku t? Nebyl v okamžiku t revokovaný? • na volbě okamžiku t velmi záleží !!!!! • teoreticky: • okamžikem t by měl být okamžik vzniku elektronického podpisu • známe ale tento okamžik?
  • 23. 23 rok 2017 dokonce jsme na vše upozorněni!! kdy elektronický podpis vznikl? • ale: • na správnost tohoto údaje se nelze spoléhat !!! • pochází ze systémových hodin počítače, které lze libovolně „přetočit“ • pozorování: • čas vzniku podpisu je v něm přímo uveden
  • 24. 24 co je časové razítko? • po technické stránce: • (kvalifikované) časové razítko je jako (zaručený) elektronický podpis někoho, kdo musí mít ze zákona správně seřízené hodinky • abychom se mohli spoléhat: 1. na zajištěnou integritu (neměnnost) toho, co je opatřeno čas. razítkem 2. na správnost časového údaje v razítku • časové razítko lze přidat: 1. ihned při podpisu • souběžně s podpisem 2. někdy později • důsledek: • časové razítko osvědčuje, že „orazítkovaná“ data již existovala „v čase T“ • v čase přidání časového razítka podepsáno 11.11.2011 časové razítko přidáno 20.11.2011 rozdíl 9 dnů
  • 25. 25 proč přidávat časové razítko? • formální důvody: • po OVM to vyžadují platné předpisy • praktické důvody: • prodlužuje to dobu, po kterou je možné ověřit platnost podpisu • bez časového razítka: max. 12 měsíců • možnost ověření končí s koncem platnosti podpisového certifikátu • s časovým razítkem: prodlužuje se o 4 až 5 let • možnost ověření končí s koncem platnosti certifikátu časového razítka • umožňuje to „zachovat platnost el. podpisu“ i při revokaci (zneplatnění) certifikátu • například když držitel certifikátu přestává být zaměstnancem • bez časového razítka: podpis, vytvořený před okamžikem revokace, musí být vyhodnocen jako neplatný • s časovým razítkem: podpis, vytvořený před okamžikem revokace, je (může být) vyhodnocen jako platný
  • 26. 26 příklad (podpis s časovým razítkem) • stejně jako předchozí příklad: • podpis na dokumentu byl vytvořen 12.1.2015 • a je založen na certifikátu s platností do 22.1.2015 • navíc: • k podpisu bylo přidáno časové razítko • založené na certifikátu s platností do 2.10.2020 • garantuje, že v okamžiku přidání razítka (12.1.2015) podpis již existoval • díky tomu může být rozhodným okamžikem t okamžik přidání časového razítka !!!!! • důsledek: • platnost podpisu je možné ověřit do 2.10.2020 12.1.2015 22.1.2015 2.10.2020 + konec platnosti podpisového certifikátu konec platnosti certifikátu čas. razítka t
  • 27. 27 CRL seznamy, aneb: časové razítko nestačí • přidání časového razítka nemusí stačit • k prodloužení doby, po kterou je možné ověřit platnost podpisu • problém: • k úspěšnému ověření je nutné zkontrolovat, zda k rozhodnému okamžiku t nebyl podpisový certifikát revokován • potřebnou informaci (tzv. CRL seznam) zveřejňují certifikační autority • ale: tato informace přestává být dostupná, jakmile skončí řádná platnost certifikátu !!!! • řešení: • získat potřebnou informaci (CRL seznam) někde jinde • takto to dělají např. CzechPointy (sbírají ji „do zásoby“) • „přibalit“ tuto informaci (CRL seznam) k samotnému podpisu ještě v době, kdy je dostupná na pravé tlačítko myši
  • 28. 28 zajištění tzv. digitální kontinuity • digitální kontinuita = udržování el. dokumentů v takovém stavu, aby jejich podpisy (a značky) bylo možné ověřit jako platné • po tak dlouhou dobu, jak je potřeba • řešení: • (postupné) přidávání časových razítek • nové razítko je nutné přidat dříve, než skončí možnost ověření předchozího razítka • dnes v praxi: 1x za cca 5 let • (postupné) přidávání dalších informací, nutných pro pozdější ověření platnosti podpisů • CRL seznamy, odpovědi OCSP serverů • používání takových formátů el. podpisů (i samotných el. dokumentů), které takovýto postup umožňují
  • 29. 29 LTV: dlouhodobě ověřitelné el. podpisy • LTV: Long Term Validation • koncept elektronických podpisů s možností ověření i po libovolně dlouhé době • představa: je to určitý „kontejner“, který umožňuje • postupné přidávání čas. razítek (podpisových i dokumentových) • přidávání dalších informací, nutných pro pozdější ověření • zejména informací o stavu revokace certifikátů • v podobě tzv. CRL seznamů, nebo odpovědí OCSP serverů Certifikát Certifikát Certifikát CRL …… …… …… LTV LTV Certifikát Certifikát CertifikátCRL …… …… …… při vzniku podpisu při ověřování
  • 30. 30 formáty CAdES, XAdES a PAdES • jde o formáty (el. podpisů a značek), které jsou připraveny pro dlouhodobě ověřitelné podpisy (pro koncept LVT) • PAdES: pro PDF dokumenty, XAdES: pro XML, CAdES: obecné • mají více úrovní (a jen nejvyšší umožňují dlouhodobé ověření) • A (archivní): CAdES - A, XAdES-A, PAdES-A • LTV (s možností dlouhodobého ověření): CAdES-LTV, XAdES-LTV, PAdES-LTV • T (s časovým razítkem): CAdES-T, XAdES-T, PAdES-T • EPES (s expl. politikou podpisu): CAdES-EPES, XAdES-EPES, PAdES-EPES • BES (základní verze): CAdES-BES, XAdES-BES, PAdES-BES • úrovně BES (a PAdES-EPES) jsou tzv. referenčními formáty • jejich používání požaduje Rozhodnutí Komise 130/2011/ES • ze dne 25.2.2011, účinné od 1.8.2011 • v ČR se příliš nedodržuje !!! • většina el. podpisů má starší formát CMS/PKCS#7 v ČR nedostupné
  • 31. 31 jak je to s ověřováním podpisů? • vlastnoruční podpisy • ověřuje se pravost podpisu • ověřují se dodatečně • až když dojde ke sporu • do té doby se s podpisem nakládá jako s pravým • neexistuje (obecné) pravidlo, které by požadovalo ověření dopředu • výjimky: • pokud to požaduje nějaký specifický předpis, kontroluje se „hned“ • kontroluje se shoda s dostupným podpisovým vzorem • výjimka: pokud je vlastnoruční podpis čitelný a nekoresponduje s obsahem podepsaného dokumentu • např.: podání je od pana Nováka, podepsána je krasopisně paní Dvořáková • el. podpisy (i značky, razítka) • ověřuje se jejich platnost • ověřují se dopředu !!!! • ještě než se někdo (příjemce) začne spoléhat na platnost podpisu a jednat podle toho !!! • jde o důsledek §5 čl. 2 ZoEP • zákona č. 227/2000 Sb. • hovoří o odpovědnosti držitele soukromého klíče, …… • které se zprostí, pokud prokáže, že „že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že … elektronický podpis je platný ….“ POZOR: než začnete pracovat s el. dokumentem, musíte být schopni ověřit platnost jeho podpisu
  • 32. 32 důsledky • pro příjemce dokumentu: • nejprve si musí ověřit, že el. podpis (značka) na el. dokumentu lze (v okamžiku příjmu) ověřit jako platný • jinak by ho měl odmítnout a požadovat takový exemplář dokumentu, u kterého podpis lze ověřit jako platný • protože jinak případná škoda „jde za ním ….“ • pro držitele dokumentu: • musí se (průběžně) starat o to, aby se el. podpis (značka, razítka) na el. dokumentu dal ověřit jako platný • po celou dobu, kdy jej chce „používat“ (např. někomu předložit) • jinými slovy: musí se (aktivně) starat o zajištění digitální kontinuity svých dokumentů • ve smyslu „přerazítkovávání“
  • 33. 33 jiný pohled na digitální kontinuitu • podstatou je názor, že „přerazítkovávání je zbytečné“ • že podpisy a značky stačí „jednorázově ošetřit“, a že to „vydrží navěky“ • že po celou dobu „života“ el. dokumentů není potřeba se o ně jakkoli aktivně starat • že stačí jen 1 časové razítko • je pro to nacházena i opora v zákoně: • zákon č. 499/2004 Sb. o archivnictví a spisové službě • §69a/5: Neprokáže-li se opak, dokument v digitální podobě se považuje za pravý, byl-li podepsán uznávaným elektronickým podpisem nebo označen uznávanou elektronickou značkou …. a …. opatřen kvalifikovaným časovým razítkem. • ale: • jakmile skončí možnost ověřit platnost podpisu, nedá se tato poučka aplikovat !!! • nelze již prokázat, že dokument byl podepsán PLATNÝM podpisem • takže: stejně je nutné přidávat další časová razítka !!!!! označováno jako tzv. vyvratitelná domněnka (fikce) pravosti hlavní smysl a přínos této vyvratitelné domněnky je v tom, že je určitým „můstkem“ mezi platností el. podpisu (což je technický pojem) a pravostí dokumentu (což je právní pojem), ve smyslu: z platnosti vyplývá pravost
  • 34. 34 ještě k legislativě • základ právní úpravy el. podpisu tvoří zákon č. 227/2000 Sb. „o elektronickém podpisu“ • který vychází z unijní směrnice č. 1999/93/ES • důsledek: právní úprava el. podpisu je v zemích EU „víceméně“ stejná • existují ale i významné rozdíly !!!! • příklad významné odlišnosti: • směrnice EU i většina zákonů členských zemí požaduje použití tzv. bezpečného prostředku (pro uznávaný el. podpis) • soukromý klíč musí být na (certifikované) čipové kartě nebo USB tokenu • v ČR není použití bezpečného prostředku vyžadováno • uživatel může mít svůj soukromý klíč kdekoli …. • třeba jen v systémovém úložišti svého počítače (málo bezpečné) • místo toho je v ČR požadována akreditace certifikační autority
  • 35. 35 prováděcí vyhláška č. 212/2012 Sb. • plný názvem: • Vyhláška o struktuře údajů, na základě kterých je možné jednoznačně identifikovat podepisující osobu, a postupech pro ověřování platnosti zaručeného elektronického podpisu, elektronické značky, kvalifikovaného certifikátu, kvalifikovaného systémového certifikátu a kvalifikovaného časového razítka (vyhláška o ověřování platnosti zaručeného elektronického podpisu) • nahrazuje původní vyhlášku č. 496/2004 Sb. • která se týkala fungování elektronických podatelen • měla by definovat: • údaj, který jednoznačně identifikuje držitele certifikátu • ale to nedělá – nestanoví význam identifikátoru (jen rozsah a počet cifer) • úkony, nutné pro ověření platnosti el. podpisu • definuje je • ale nestanovuje pravidla, podle kterých by se dalo konstatovat, že podpis je platný či naopak neplatný názor: vyhláška je nepoužitelná
  • 36. 36 další vývoj v oblasti legislativy • 23.7.2014: přijato nařízení EU č. 910/2014 (eIDAS) • o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES • jde o nařízení Evropského parlamentu a Rady EU • tj. přímo účinný právní předpis, účinný od 28.8.2014 • netransponuje se do CZ legislativy, ale platí (je účinný) ihned a přímo • pasáže, týkající se el. podpisu, budou účinné od 1.7.2016 !!!!!!! • pravděpodobný vývoj, avizovaný MV ČR: • bude zrušen stávající zákon o el. podpisu (č. 227/2000 Sb.) • a nejspíše i vyhláška 212/2014 Sb. • bude přijat nový „prováděcí zákon“ • který dořeší věci, které nařízení ponechalo na národní úroveň (např. pokuty) • budou muset být upraveny též další zákony: • č. 300/2008 Sb. – kvůli datovým schránkám • č. 499/2004 Sb. – kvůli spisovým službám
  • 37. 37 změny, týkající se el. podpisů (k 1.7.2016) • skončí naše výjimka z požadavku na používání bezpečného prostředku • pokud jde o „právně uznatelný“ (tj. uznávaný) el. podpis • změní se (nejenom) terminologie: • místo uznávaný el. podpis bude kvalifikovaný el. podpis • a bude vyžadovat využití bezpečného prostředku pro vytváření elektronických podpisů – fakticky: certifikovanou čipovou kartu / USB token !!!!! • místo elektronické značky bude elektronická pečeť • již nebude moci patřit fyzické osobě, jen právnické osobě či OVM • bude možný tzv. server signing • aneb: el. podepisování jako služba • „můj soukromý klíč je uložen u poskytovatele služby. Když potřebuji podepsat nějaký el. dokument, pošlu jej poskytovateli s požadavkem, aby jej podepsal mým soukromým klíčem“ • úzké místo: jak poskytovateli spolehlivě prokáží, že jsem to skutečně já ??
  • 38. 38 děkuji za pozornost Jiří Peterka http://jiri.peterka.cz http://www.earchiv.cz http://www.bajecnysvet.cz http://www.muzeuminternetu.cz nabídka mnou vedených kurzů elektronického podpisu