Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někdo jiný?

1,734 views

Published on

Moje přednáška na Pedagogické fakultě UK (v pátek 20.2.2015). Snažil jsem se v ní shrnout současné problémy elektronického podpisu a naznačit změny, které k 1.7.2016 přinese unijní nařízení č. 910/2014 (eIDAS). Včetně popisu toho, co jsou dynamické biometrické podpisy a jak by mohl vypadat elektronický podpis jako služba.

  • Be the first to comment

Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někdo jiný?

  1. 1. 1 Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někdo jiný? Jiří Peterka nezávislý konzultant a publicista pedagog na MFF UK
  2. 2. 2 v čem je hlavní problém el. podpisu? • v tom, že jde o značně interdisciplinární záležitost matematika kryptologie kryptografie asymetrická kryptografie právo zákony vyhlášky ….. technické standardy IT produkty kryptolog „ajťák“ právník tyto profese se mezi sebou nedokáží bavit (nemají společnou řeč) uživatel ale potřebuje znalosti všech profesí (a musí si nějak poradit i tam, kde si oni neví rady) uživatel
  3. 3. 3 • abychom vůbec poznali, kdy se jedná o elektronický podpis a kdy nikoli • podle právníků: podpis je projevem vůle …. • je toto projev vůle ….. té konkrétní osoby? A které osoby? proč jsou nutné právní znalosti?
  4. 4. 4 proč jsou nutné právní znalosti? • protože není elektronický podpis jako elektronický podpis! • některé mají „právní relevanci“, jiné nikoli • je zásadní rozdíl mezi zaručeným el. podpisem a uznávaným el. podpisem o jaký druh el. podpisu se jedná? To tento program neřekne!!
  5. 5. 5 proč jsou nutné právní znalosti? • protože různé druhy elektronických podpisů mají různé právní důsledky • zaručený el. podpis • jde o špatný a matoucí překlad • z anglického „advanced electronic signature“ • navozuje dojem toho, že něco zaručuje (garantuje) • ve skutečnosti nezaručuje to, komu podpis patří • kdo je podepsanou osobou • viz příklad s el. podpisem Švejka • uznávaný el. podpis • už zaručuje identitu podepsané osoby • ale nemusí stačit k jejímu zjištění !! • má „právní relevanci“ vlastnoručního podpisu • alespoň teoreticky: lze jej použít všude tam, kde lze použít vlastnoruční podpis • ale: • jde o odchylku od unijního práva • k 1.7.2016 skončí, nastoupí kvalifikovaný el. podpis formou zaručeného elektronického podpisu se kdokoli může (platně) podepsat jménem kohokoli jiného
  6. 6. 6 proč jsou nutné technické (IT) znalosti? • protože používané programy mají různé možnosti nastavení, které zásadně ovlivňují jejich fungování • ověření platnosti el. podpisu na stejném dokumentu může dopadnout diametrálně odlišně
  7. 7. 7 proč jsou nutné technické (IT) znalosti? • protože používané programy mohou chybovat • a jejich výrobci neručí za jejich správné fungování • za správnou interpretaci výsledků odpovídá uživatel !!!
  8. 8. 8 malé obecné zamyšlení • (vlastnoruční) podpis je něco tak starého a samozřejmého • že nad ním vůbec nepřemýšlíme • nezamýšlíme se nad jeho vlastnostmi, atributy, ….. • bereme to jako „notorietu“, jsme zvyklí to používat …… • ani právo nemá potřebu nějaké přesnější definice podpisu • používání (vlastnoručního) podpisu nemá obecnou právní úpravu • i (vlastnoruční) podpisy mají mnoho problémů a nejasností • třeba: co vyjadřujeme svým podpisem? O jaký projev vůle jde? • elektronické podpisy jsou velmi mladé • je to záležitost několika posledních let • založená na (poměrně složitých) principech, se složitými právními souvislostmi a významnými praktickými aspekty • zatím jsme neměli dostatek času naučit se je používat • ani vyřešit nejasnosti a problémy kolem elektronických podpisů • osvěta je přímo katastrofální (někde vládne spíše „anti-osvěta“)
  9. 9. 9 několik principiálních rozdílů • svět listinných dokumentů a vlastnoručních podpisů • obecně: • podpis se ověřuje ex-post • až když dojde k nějakému sporu • spoléhá se na jeho pravost • zákon neukládá povinnost ověřit podpis „ještě než začnu jednat“ • ani neříká, jak se má ověřit • ověření (pravosti) podpisu nepřísluší koncovému „uživateli“ • musí jej dělat grafolog • obvykle soudní znalec • výjimka: • někdy se vyžaduje ověření dopředu • pak jde o úředně ověřený podpis • svět el. dokumentů a el. podpisů • obecně: • podpis se ověřuje ex-ante • ještě než se začne jednat • než se začne spoléhat na jeho platnost • zákon to ukládá jako povinnost • a škodu přisuzuje tomu, kdo tuto povinnost nedodržel !!!!!! • ověření (platnosti) podpisu přísluší koncovém „uživateli“ • a on také odpovídá za to, že ověřil správně !!!! • výjimka: není • neexistuje elektronická analogie úředně ověřeného podpisu
  10. 10. 10 jak vzniká elektronický podpis? • představa: tak, že „semeleme“ 2 ingredience: 1. dokument, který chceme podepsat • tím zajistíme, že podpis bude záviset na podepsaném dokumentu a bude možné detekovat jakoukoli jeho změnu (tzv. zajištění integrity) 2. soukromý klíč • „něco“, co je specifické a unikátní jen pro mne – a co způsobuje, že jde o „můj podpis“ • bez znalosti tohoto soukromého klíče se nikdo jiný nemůže podepsat za mne • co říká současná právní úprava? • zákon č. 227/2000 Sb.? 1. že si soukromý klíč musím chránit a nesmím ho dát nikomu jinému • musím ho vždy mít (jen) ve své moci 2. že si mohu vybrat, jaké prostředky (programy, …) budu používat elektronický podpis PRI dokument soukromý klíč výpočet
  11. 11. 11 • výhoda: mohu si vybrat takové, jaké chci (jaké mi vyhovují) • například: nemusím používat čipovou kartu či USB token • pro bezpečné uchovávání soukromého klíče • mohu je „nechat jen tak válet“ v systémovém uložišti svého počítače co to znamená v praxi? • (současný) zákon mi nepředepisuje, jaké (SW i HW) prostředky mám používat pro vytváření el. podpisů i pro jejich ověřování • nenutí mne používat výhradně tzv. bezpečné prostředky • nevýhoda: odpovídám za jejich bezpečnost a správnou funkci • odpovídám také za správnou interpretaci jejich výsledků • viz odstrašující příklad je to odchylka naší právní úpravy oproti té unijní !!
  12. 12. 12 co se změní? • 23.7.2014: přijato nařízení EU č. 910/2014 (eIDAS) • „o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES“ • jde o nařízení Evropského parlamentu a Rady EU • tj. přímo účinný právní předpis, účinný od 28.8.2014 • netransponuje se do CZ legislativy, ale platí (je účinný) ihned a přímo • pasáže, týkající se el. podpisu, budou účinné od 1.7.2016 !!!!!!! • skončí naše výjimka (odchylka) ohledně používání bezpečných prostředků • soukromé klíče budou muset být uloženy dostatečně bezpečně • v (certifikované) čipové kartě nebo v USB tokenu • nebo v jiném zařízení se stejnou či vyšší mírou bezpečnosti • měl by existovat i oficiální validátor • služba, které (správně) ověří platnost elektronického podpisu
  13. 13. 13 co se změní? • změní se terminologie: • místo uznávaný el. podpis bude kvalifikovaný el. podpis • a bude vyžadovat využití bezpečného prostředku pro vytváření elektronických podpisů – fakticky: certifikovanou čipovou kartu / USB token !!!!! • místo elektronické značky bude elektronická pečeť • již nebude moci patřit fyzické osobě, jen právnické osobě či OVM • bude zrušen stávající zákon o el. podpisu (č. 227/2000 Sb.) • a bude nahrazen „prováděcím zákonem“ • který mj. zajistí změnu terminologie • projde všechny zákony a vyhlášky, a všechny výskyty požadavku na „uznávaný elektronický podpis“ nahradí požadavkem na „kvalifikovaný elektronický podpis“ • bude muset dojít i ke změnám dalších zákonů • např. právní úpravy datových schránek (zákon č. 300/2008 Sb.) • protože koncept našich datových schránek není v souladu s nařízením eIDAS
  14. 14. 14 elektronické podepisování jako služba • nařízení eIDAS změní ještě jednu důležitou věc: • dnes: svůj soukromý klíč nesmím svěřit nikomu jinému • eIDAS (od 1.7.2016): smím jej svěřit někomu jinému • pokud bude (u něj) bezpečně uložen • pokud bude využíván výhradně na můj příkaz / z mé vůle • cílem je umožnit „elektronické podepisování jako službu“ • představa: • existuje poskytovatel takovéto služby, kterému svěřím svůj soukromý klíč • tento subjekt má potřebné know-how pro správné vytváření el. podpisů • když potřebuji el. podepsat nějaký dokument, pošlu jej tomuto poskytovateli • a on jej podepíše za mne, mým jménem …. • vytvoří elektronický podpis s využitím mého soukromého klíče • problém: • jak tomuto poskytovateli (spolehlivě) prokáži, že jsem to skutečně já? • když chci něco konkrétního podepsat …… též: tzv. server signing
  15. 15. 15 co jsou dynamické biometrické podpisy? • další pokus, jak „zbavit lidi složitosti el. podpisů“ • tentokráte ale: bez opory v zákoně • tudíž: veřejná správa to využít nemůže • nikoli „proti zákonu“: zákon to nezakazuje • tudíž: soukromá sféra to využít může – a také již využívá • omezení: • DBP lze aplikovat jen na dvoustranné smluvní vztahy v el. formě • princip: • smluvní dokument podepíše svým el. podpisem jen jedna strana • druhá strana přidá k dokumentu „něco, co je unikátní jen pro ni“ • a přidává to na jako onen „projev své vůle“ (místo svého podpisu) • jde o jakýsi unikátní „vzorek“ fyzické osoby, který je (měl by být) neopakovatelný a nenahraditelný DBP
  16. 16. 16 • „vzorek“ by měl být unikátní pro svého držitele • aby takovýto „vzorek“ nemohl poskytnout nikdo jiný • možnosti (biometrické): • kapka krve (DNA) • nepraktické (jak odebírat?) • slina (DNA) • ve slušné společnosti se neplive • otisk prstu • vzorek sítnice • způsob chůze • vzorek řeči • …… • nebo také: způsob podepisování • nejen „křivka“ podpisu, ale také dynamika tahu perem, tlak, …… co může být oním „vzorkem“? proto „…dynamický …“
  17. 17. 17 způsob podepisování jako „vzorek“ • použít způsob podepisování jako „vzorek“ má výhodu: • vytváří to iluzi něčeho, co klient dobře zná • iluzi toho, že podepisuje nějaký konkrétní dokument • ve skutečnosti: • jde pouze o „odběr vzorku“ • na znamení souhlasu • a jeho následně připojení k dokumentu, který podepisuje druhá strana • klíčové otázky: • kdo má pod kontrolou odběr a vkládání „vzorku“ do podepisovaného dokumentu? • nikoli „podepisující“, ale druhá strana • lze věřit, že odebraný vzorek použije pouze 1x ? • a pouze pro účel, který deklaruje druhá strana podpis podpis druhé strany?? dynamický biometrický podpis je pouze „vzorkem“
  18. 18. 18 jak dnes skutečně fungují DBP? • elektronické dokumenty vytváří (a „druhou stranou“ jsou) subjekty typu operátorů, bank, utilit, přepravců atd. • nejčastěji jde o smlouvy s jejich zákazníky • el. dokumenty jsou podepisovány „druhou stranou“ • a to klasickým (kryptografickým) elektronickým podpisem/značkou příklad: účastnická smlouva s O2, podepsaná pomocí DBP pouze uznávaná el. značka společnosti Telefonica
  19. 19. 19 děkuji za pozornost Jiří Peterka http://jiri.peterka.cz http://www.earchiv.cz http://www.bajecnysvet.cz http://www.muzeuminternetu.cz

×