Problém digitální kontinuity, alias dlouhověkost elektronických dokumentů

714 views

Published on

Moje přednáška na semináři Filosofické problémy informatiky (http://ktiml.mff.cuni.cz/fpi/) dne 12.3.2013.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
714
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Problém digitální kontinuity, alias dlouhověkost elektronických dokumentů

  1. 1. Problém digitální kontinuity, aliasdlouhověkost elektronických dokumentů Jiří Peterka, 12.3.2012
  2. 2. otázka na úvod kdy zkoumat něčí podpis? a to jak vlastnoruční, tak i elektronický možnosti: 1. ihned 2. až když dojde na nějaký spor
  3. 3. shrnutí běžná praxe je taková, že:  vlastnoruční podpisy se „zkoumají“ až tehdy, když dojde na nějaký spor, nejasnost, podezření apod.  existují výjimky:  výběr z účtu v bance  úředně ověřený podpis (zkoumá se vlastně „dopředu“)  a co zkoušení u státnic na MFF UK?  elektronické podpisy se zkoumají hned  dokonce musí, ukládá to §5/2 zákona č. 227/2000 Sb., o el. podpisu  Za škodu *…+ odpovídá podepisující osoba podle zvláštních právních předpisů. Odpovědnosti se však zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn.
  4. 4. další otázka pokud bychom chtěli zkoumat vlastnoruční podpis „ihned“, šlo by to vůbec? otázka:  má stát k dispozici váš podpisový vzor?  jako ho má například banka ? odpověď:  ano, má:  „digitální zpracování podpisu“ se uchovává v rámci evidence občanských průkazů a cestovních dokladů (pasů)  ale nevyužívá jej  zatím?
  5. 5. otázka co vyjadřuje podpis?  jaký význam má to, když k nějakému dokumentu připojíte svůj podpis?  možnosti:  souhlasíte s obsahem  cítíte se zavázán obsahem dokumentu  prohlašujete, že jste autorem dokumentu  schvalujete dokument  ………… pohled práva: jde o projev vůle  otázka: ale jaké?  na to už právo nemá odpověď, v praxi odvozuje význam podpisu z kontextu  jaký dokument byl podepsán, co je napsáno „někde vedle“ podpisu, ….
  6. 6. elektronický podpis umožňuje uvést důvod podpisu  ale právo/legislativa to „nezná“  jde tedy jen o nezávazný komentář
  7. 7. odbočení: zaručený elektronický podpis náš právní řád zná dvě „úrovně“ elektronických podpisů:  zaručený elektronický podpis  který ale nic nezaručuje – jde o špatný překlad anglického „advanced“ (electronic signature)  neklade žádné požadavky na kvalitu certifikátu, lze použít i testovací certifikát, kam si každý může napsat co chce  důsledek: existuje například zaručený elektronický podpis literární postavy Josefa Švejka, viz předchozí slide  uznávaný elektronický podpis  již zaručuje identitu podepsané osoby  vyžaduje kvalifikovaný certifikát od akreditované certifikační autority  ta jej nevystaví neexistující osobě
  8. 8. otázka komu patří podpis?  další otázka: je vůbec zapotřebí, abychom věděli, komu podpis patří?  má být (může být) podpis anonymní? vlastnoruční podpis:  velmi často z něj nepoznáme, komu patří (viz „klikyhák“)  v lepším případě se z něj dozvíme jméno a příjmení  ale osob stejného jména a příjmení je více !!! elektronický podpis:  také z něj nemusíme poznat, komu patří  (podpisový) certifikát obsahuje určité informace, obvykle jméno a příjmení  ale ani z toho nemusí být jasné, o kterou konkrétní osobu (stejného jména a příjmení) se jedná
  9. 9. požadavek zákona (č. 227/2000 Sb.) §11:  (3) Uznávaným elektronickým podpisem se rozumí  a) zaručený elektronický podpis založený na kvalifikovaném certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb a obsahujícím údaje, které umožňují jednoznačnou identifikaci podepisující osoby ale jak je to myšleno?  „potenciálně“: tak, že alespoň někdo má možnost podepisující osobu identifikovat?  že existuje způsob, jak ji identifikovat, a je dostupný alespoň pro někoho (např. orgány činné v trestním řízení, soudy apod.)  „aktuálně“: tak, že každý má možnost jednoznačně identifikovat podepsanou osobu?  že způsob identifikace musí existovat a musí být reálně dostupný pro každého
  10. 10. sériové číslo certifikátu každý (kvalifikovaný) certifikát má své sériové číslo  podle kterého vydavatel (certifikační autorita) dokáže dohledat, komu (kvalifikovaný) certifikát vystavila  a tuto osobu zná dostatečně přesně (ze 2 osobních dokladů)  tj. (potenciální) možnost identifikace existuje  ale není dostupná pro každého (autorita nesděluje identitu)
  11. 11. ID zákazníka v evidenci CA každý (tuzemský) kvalifikovaný certifikát obsahuje jednoznačný identifikátor svého držitele  v rámci evidence zákazníků dané CA (certifikační autority)  představa: jde o index do databáze zákazníků  všechny certifikáty stejného držitele mají tento ID stejný
  12. 12. požadavek vyhlášky č. 212/2012 SB. Vyhláška o struktuře údajů, na základě kterých je možné jednoznačně identifikovat podepisující osobu …..  §1  Struktura údajů, na základě kterých je možné jednoznačně identifikovat podepisující osobu  Údaj, který umožňuje jednoznačnou identifikaci podepisující osoby, se uvádí ve struktuře desetimístného čísla v desítkové soustavě v rozsahu 1 100 100 100 až 4 294 967 295. není řečeno, o jaký údaj se má jednat a jak z něj odvodit identitu podepsané osoby dvě velká ministerstva (MPSV a MV) se nedohodla, čí identifikátor použít – tak vznikl „kompromis“ ale ani ID MPSV (či MV) není dostupný pro kohokoli, jen pro OVM (úředníky)
  13. 13. příklad: ID MPSV v certifikátu pokud je jednoznačný identifikátor (dle vyhlášky) v certifikátu obsažen, bývá „dobře schován“ ASCII kódy jednotlivých číslic identifikátoru
  14. 14. další důležitá otázka co konkrétně se na podpisech zkoumá? vlastnoruční podpis:  elektronický podpis:  zkoumá se pravost podpisu  zkoumá se platnost podpisu  ve smyslu technickém  zda ho vytvořil ten, kdo …..  zde je „v pořádku“  … si myslíme, že ho vytvořil  není porušena integrita  koho považujeme za  v době podpisu byly certifikáty podepsanou osobu platné  v době podpisu nebyl žádný  někdy ani neznáme identitu certifikát revokován podepsané osoby  a také druh podpisu  podpis je „klikyhák“  zaručený vs. uznávaný  někdy též platnost podpisu  ve smyslu „přípustnosti“ či  otázka: „oprávněnosti“ podepsat  jsou to stejné kategorie?  například: zda dotyčný měl právo podepsat dokument  a jak je to s faktorem času?  mění se pravost/platnost s časem?
  15. 15. pohled práva právo nezná žádný „podpis na dobu určitou“  možnost, aby podpis byl pravý/platný jen po omezenou dobu, a pak už ne  nejde říci něco jako:  „tento podpis byl ještě včera můj, ale dnes už můj není“  neexistuje ani možnost odvolat vytvoření svého podpisu  nějak ho revokovat, vzít zpět  lze brát zpět pouze úkony, stvrzené podpisem, nikoli samotné podepsání (vytvoření podpisu)  lze popřít vytvoření podpisu – tvrdit, že jsem ho nikdy nevytvořil co elektronický podpis?  velmi častým omylem je představa, že:  elektronický podpis je „jen na dobu určitou“  že jeho platnost po nějaké době končí
  16. 16. elektronické) podpisy jsou věčné !! platnost elektronických podpisů není omezena v čase  nemění se s časem  to, že jsme jej vytvořili (jako platný), už nemůžeme nikdy změnit co je omezeno v čase, je naše schopnost ověřit, že je podpis platný  tedy zjistit a prokázat platnost podpisu platnost podpisu platnost podpisu lze ověřit platnost podpisu nelze ověřitelektronický časpodpis možnost ověření je nastavena pouze na tuto dobu
  17. 17. proč? protože se bojíme tzv. kolizních dokumentů  kolizní = jiný, ale se stejným otiskem  a tím i se stejným elektronickým podpisem kolizní dokument podpis k dokumentu „sedí“, máme ho podpis je stále považovat za pravý? původní dokument stejný vznik ověření čas podpisu podpisu
  18. 18. princip obrany před kolizními dokumenty• hledání (výpočet) kolizních dokumentů bude tak dlouhé, že se nikomu nevyplatí • vše se nastaví tak, aby i při síle dnešních počítačů trval výpočet neúnosně dlouho hašování hašování• ale: • výpočetní „síla“ našich počítačů rychle hash stejné hash roste !!!! otisky• proto: stejný klíč • je nutné neustále zvyšovat složitost PRI výpočtu (hledání kolizních dokumentů)• jak? • používání „silnějších“ hašovacích stejný podpis funkcí • používáním delších klíčů • …….
  19. 19. „nápravná“ opatření záměrné časové omezení (možnosti ověřit) má za cíl vynutit si pravidelnou a včasnou aplikaci „nápravných opatření“  představa: opatření je uzavření podepsaného dokumentu do bezpečnostní schránky čas platnost podpisu lze ověřit platnost podpisu lze ověřit platnost podpisu lze ověřit platnost podpisu lze ověřit aplikováno „nápravné opatření“
  20. 20. forma nápravných opatření  může být dvojí:  (kvalifikované) časové razítko (další) elektronický podpis  vytvoří se nový otisk  vytvoří se nový otisk  pomocí silnější hašovací funkce  pomocí silnější hašovací funkce  použije se nový soukromý klíč  použije se nový soukromý klíč  větší klíč  větší klíč  přidá se garantovaný údaj o čase technický účinek je stejný, rozdíl je právní !! je projevem vůle vůči  není projevem vůle dokumentu  ale pouze fixuje dokument v čase  otázka: jaké vůle?  garantuje, že existoval v čase podpisu  dokument může uchovávat i 3. strana (externí správce dokumentů) proto se používá časové razítko
  21. 21. důležité !!! i „nápravná“ opatření (časová razítka) působí jen dočasně a je třeba je opakovat  i jejich „životnost“ je záměrně zkracována, tak aby se tato opatření musela pravidelně obnovovat  ze stejného důvodu, jako u samotného (původního) podpisu  bojíme se podstrčení kolizního dokumentu  proto je nutné pravidelně „přerazítkovávat“, viz časové razítko zajištění digitální kontinuity
  22. 22. digitální kontinuita: shrnutí chceme-li dosáhnout dlouhověkosti svých elektronických dokumentů  ve smyslu možnosti ověřit platnost jejich podpisů  nebavíme se ještě o čitelnosti – otázka podporovaných formátů musíme se o ně aktivně starat  včas přidávat další časová razítka  další razítko je nutné přidat dříve, než skončí možnost ověření předchozího  v praxi obvykle 1x za 5 let podmínky:  formát podepsaného dokumentu musí umožňovat práci s časovými razítky  jejich postupné přidávání  PDF formát to umožňuje  případně lze řešit externími časovými razítky
  23. 23. jiný pohled na digitální kontinuitu vychází z §69a/5 zákona č. 449/2004 Sb.  o archivnictví a spisové službě tzv. vyvratitelná domněnka pravosti který říká, že:  Neprokáže-li se opak, dokument v digitální podobě se považuje za pravý, byl-li podepsán uznávaným elektronickým podpisem nebo označen uznávanou elektronickou značkou …. a následně za doby platnosti uznávaného elektronického podpisu a kvalifikovaného certifikátu ….. opatřen kvalifikovaným časovým razítkem. jinými slovy:  o elektronické (digitální) dokumenty není nutné se průběžně a aktivně starat  stačí se o ně postarat jednorázově („na začátku“), a pak se spoléhat na toto právní ustanovení  a doufat, že nikdo neprokáže opak
  24. 24. hlavní dilema digitální kontinuity čím se řídit, když chceme zachovat své elektronické dokumenty? otázka: má zákon „jít proti“ technologiím  platným zákonem? a nahrazovat jejich účinky?  který může být (a měl by být) kdykoli a bez náhrady zrušen  problém: pokud promeškáte konec možnosti ověření (expiraci certifikátů), už to nejde napravit  technickými standardy a „zdravým technickým rozumem“? původ problému:  náš stát postupně nařizuje přechod na výhradní používání čistě elektronických dokumentů  poprvé: zavedení datových schránek a doručování v el. formě  (zatím) naposledy: datové schránky nebo uznávaný podpis povinně i pro všechny OSVČ  ale:  dosud nebyl schopen říct, jak si představuje zajištění „dlouhověkosti“ elektronických dokumentů
  25. 25. kudy jde svět? technicky:  vznikly nové koncepty elektronických podpisů – s možností dlouhodobého ověření  LTV, Long Term Validation  představa: vše, co budu potřebovat k pozdějšímu ověření, shromáždím a připojím k podpisu a dokumentu, a pak pravidelně přidávám (dokumentová) časová razítka  vznikly nové formáty elektronických podpisů, pro práci s LTV podpisy  formáty CAdES, XAdES a PAdES  členěné do dalších variant (profilů)  průběžně se zdokonalují hašovací funkce (a další algoritmy)  2010: přechod z SHA-1 na SHA-1  20xx: přechod z SHA-2 na SHA-3  ……..
  26. 26. Rozhodnutí Komise č. 2011/130/EC přímo účinné již od srpna 2011 v zásadě říká (hlavně orgánům veřejné moci):  měli byste používat „novější“ formáty elektronických podpisů  tzv. referenční formáty, např. PAdES-BES, PAdES-EPES, PAdES-T, ….  výjimka:  pokud ještě používáte původní formáty podpisů, musíte Komisi sdělit, jak se mají správně ověřovat chystá se:  nařízení Rady EU a Parlamentu „k elektronické identifikaci a důvěryhodným službám“  které zcela „překope“ naši právní úpravu elektronického podpisu, eOP, spisových služeb, archivnictví, datových schránek  ale také např. zabezpečení WWW serverů apod.  půjde o celkové „přitvrzení“ a modernizaci právní úpravy  cestou přímo platného nařízení, nikoli transpozice směrnice
  27. 27. kudy jdeme my (v ČR)? cestou dalších ústupků, zmatků a chaosu  konkrétně:  otázka digitální kontinuity se neřeší  a pokud ano, sází se spíše na vyvratitelnou domněnku pravosti  (někteří) představitelé státní správy prezentují názor, že elektronické podpisy se neosvědčily a je třeba je nahradit něčím jiným  konkrétně tzv. dynamickými biometrickými podpisy  názor: to vše ještě zhorší, přinese jen další problémy  gesce v oblasti el. podpisu (má MV ČR) je „chaotická“  Rozhodnutí Komise 2011/130/EC se v ČR nedodržuje  nikdo o něm ani pořádně neví  nové právní předpisy v oblasti elektronizace jsou „chaotické“  a ještě dále komplikují situaci
  28. 28. příklad Rozhodnutí Komise 2011/130/EC se odrazilo v novele zákona č. 227/2000 Sb. nesmyslným „přisazením“  chcete-li používat původní formáty el. podpisů (nikoli ty referenční), musíte poskytnout zdarma on-line validátor, který okamžitě ověří platnost  není-li … uznávaný elektronický podpis … v referenčním formátu … zpřístupní k neomezenému a bezplatnému užití způsobem umožňujícím dálkový přístup aplikaci, která umožní okamžité ověření uznávaného elektronického podpisu nebo uznávané elektronické značky ….  technicky není vždy možné realizovat („okamžitě“)  kvůli nutnosti ověřovat revokaci  nikdo v ČR takovýto validátor nenabízí  je to daleko nad rámec požadavků EU  problém důvěrnosti:  ten, komu je dokument takto „předložen“ k ověření, se může seznámit s jeho obsahem
  29. 29. příklad nová vyhláška č. 212/2012  o struktuře údajů … a o vyhodnocování elektronických podpisů  nahradila dřívější vyhlášku o elektronických podatelnách  která říkala: platnost podpisu se ověřuje k okamžiku doručení  správně je: k nejstaršímu okamžiku, kdy podpis existovat – času nejstaršího časového razítka  nová vyhláška také používá „okamžik doručení“  říká: platnost podpisu se ověřuje k okamžiku doručení  i když už se nevztahuje (pouze) na elektronické podatelny  a aplikuje se tam, kde žádné doručení neexistuje  naštěstí:  připouští také zohlednění (kvalifikovaného) časového razítka  ale bohužel:  připouští možnost řídit se jiným údajem o čase  na který neklade žádné požadavky (přesnost, věrohodnost zachycení času …)
  30. 30. otázky / úkoly jak byste argumentovali  jak byste argumentovali proti někomu, kdo se někomu, kdo je skeptický nechce o své elektronické vůči elektronickým dokumenty aktivně starat podpisům a nechce je  a chce se spoléhat na používat vyvratitelnou domněnku  argumentuje jejich pravosti? složitostí, množstvím nástrah, nutností aktivní péče o dokumenty ….
  31. 31. děkuji za pozornost Jiří Peterkahttp://www.earchiv.cz http://jiri.peterka.czmailto:jiri@peterka.cz

×