Ujasněme si základní pojmy

830 views

Published on

Moje přednáška na konferenci CNZ 2012 (Co po nás zbude) - snažil jsem se v ní vysvětlit některé základní pojmy a vyvrátit některé časté omyly.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
830
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ujasněme si základní pojmy

  1. 1.  Ujasněme si základní pojmy Jiří Peterka 4.10.20121
  2. 2.  dva světy terminologie • u nás máme dva samostatné světy s vlastní terminologií • „svět elektronického podpisu“ • „svět archivnictví a spisových – jeho terminologie vychází ze služeb“ • zákona č. 227/2000 Sb. – jeho terminologie vychází ze – o elektronickém podpisu, • zákona č. 499/2004 Sb. • zákona 300/2008 Sb. – o archivnictví a spisové – o elektronických úkonech službě • základní pojmy: • základní pojmy: – dokument v listinné podobě – analogový dokument – dokument obsažený v datové zprávě – digitální dokument – datová zpráva • „společné“ pojmy: – zaručený elektronický podpis, uznávaný elektronický podpis, elektronická značka, (kvalifikované) časové razítko, ……2
  3. 3.  co je datová zpráva? • intuitivně: – (datová) zpráva je něco dočasného, co slouží potřebám přenosu (odněkud …. někam) • a nikoli potřebám (dlouhodobého) uchovávání • zákon č. 227/2000 Sb. původně (do 1.7.2012): – definuje datovou zprávu jako něco „určeného k přenosu“ • datová zpráva = elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných při zpracování a přenosu dat elektronickou formou • nově, od 1.7.2012 – definice se mění, nyní (snad) připouští i uchovávání: • datová zpráva = elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na technických nosičích dat, používaných při zpracování a přenosu dat elektronickou formou, jakož i data uložená na technických nosičích ve formě datového souboru3
  4. 4.  kde se vzala datová zpráva? • právní úprava el. podpisu v členských zemích EU vychází ze stejné unijní směrnice, kde ale žádná zmínka o datové zprávě není: – dle evropské směrnice (1999/93/ES) • "electronic signature" means data in electronic form which are attached to or logically associated with other electronic data and which serve as a method of authentication – tj. podpis jsou data, která podepisují jiná data – dle našeho zákona o el. podpisu (227/2000 Sb.) • elektronickým podpisem [se rozumí] údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě – tj. podpis jsou data, která podepisují datovou zprávu4
  5. 5.  dokument vs. datová zpráva • jaký je vztah mezi dokumentem a datovou zprávou? a) je datová zpráva obálkou, která obsahuje jeden nebo více dokumentů? b) nebo je datová zpráva totéž co dokument? • ve prospěch varianty a): • ve prospěch varianty b): – 22/1 zákona č. 300/2008 Sb. – §19 zákona č. 300/2008 Sb. • konverzí se rozumí úplné převedení • dokumenty orgánů veřejné moci – dokumentu v listinné podobě doručované prostřednictvím datové – do dokumentu obsaženého v schránky, datová zpráva datové zprávě nebo datovém • úkony prováděné vůči orgánům souboru veřejné moci prostřednictvím » dále jen „dokument obsažený datové schránky v datové zprávě“ • dokumenty fyzických osob, podnikajících fyzických osob a právnických osob dodávané prostřednictvím datové schránky dokument datová zpráva mají formu datové zprávy • mají formu datové zprávy5 a) b) =
  6. 6.  dokument vs. datová zpráva • realita (v ISDS): datová zpráva – datová zpráva je (čistá) obálka • nemá „tělo“, nemůže obsahovat žádné sdělení, jen metadata • má vždy stejný formát, který je pevně daný (ZFO) – dokument je přílohou datové zprávy • jednotlivé dokumenty se vkládají do datové zprávy • mohou mít různé formáty (ale jen ty povolené vyhláškou) – zpoplatněny jsou celé datové zprávy • dnes 1 zpráva = 11,68 Kč bez DPH – bez ohledu na jednotlivé dokumenty v příloze • pohled zákona je opačný: – zpoplatněno je dodávání jednotlivých dokumentů • zákon č. 300/2008 Sb., §18a: Za dodání dokumentu podle odstavce 1 náleží provozovateli informačního systému datových schránek odměna …. – vyhláška stanovuje povolené formáty datové zprávy • vyhláška 194/2009 Sb., příloha 3: Přípustné formáty datové zprávy dodávané do datové schránky: pdf, xml, html/htm, doc/docx, xls/xlsx, ……6 – ve skutečnosti jde o formáty příloh (vkládaných dokumentů)
  7. 7.  problém obálka vs. dokument • v „listinném“ světě se podepisují dokumenty, nikoli jejich obálky – ve světě elektronických dokumentů se zatím postupuje spíše opačně • názor: a je to špatně, způsobuje to zbytečné problémy a komplikace • příklad – podání emailem/datovou zprávou s přílohami • otázka: – je správné podepsat pouze (samotnou) obálku? – na co se pak podpis vztahuje? • technicky: podpis se vztahuje i na přílohy – otisk (hash) je počítán včetně příloh • ale co právně? – co když je dokument vyjmut a pracuje se s ním samostatně, nezávisle na obálce? – co když jde o „cizí“ dokument, jehož nejsem autorem? S jehož obsahem nesouhlasím? • vyjadřuje potom můj podpis souhlas s tímto dokumentem?7 • nebo jen souhlas s jeho vložením do obálky a přenesením?
  8. 8.  identifikace, autentizace, autorizace • identifikace: – určení/sdělení, kým jsem, za koho se vydávám • lze řešit například zadáním uživatelského jména • autentizace: – prokázání, že jsem skutečně tím, za koho se vydávám • v nejjednodušším případě: pomocí hesla (prokazuji jeho znalost), lépe pomocí jednorázového hesla (OTP), pomocí autentizačního certifikátu, …… • autorizace: – získání souhlasu / oprávnění k určitému úkonu, kroku, přístupu apod. • někdo souhlas/oprávnění uděluje, podle určitých pravidel, …. • validace: – ověření / prokázání / důkaz, že něco je pravdivé / platné8 • například ověření platnosti elektronického podpisu či značky, ….
  9. 9.  co je autorizace datové zprávy? • ve skutečnosti nejde o autorizaci9 – spíše o validaci a případnou re-validaci, skrze přidání časového razítka
  10. 10.  co zaručuje zaručený podpis? • pojem „zaručený elektronický podpis“ je špatným překladem z anglického „advanced electronic signature“ (AdES) – zavedeného v direktivě 1999/93/ES, ze které by měl vycházet náš zákon o elektronickém podpisu (č. 227/2000 Sb.) • problém: – zaručený el. podpis vůbec nezaručuje, komu podpis patří • mohl jej vytvořit kdokoli – zaručený el. podpis zaručuje pouze to, že podepsaný dokument se od podepsání nezměnil • že nebyla porušena jeho integrita příklad: zaručený elektronický podpis literární postavy Josefa Švejka • důsledek: – v tuzemské legislativě byl (donedávna) na mnoha místech požadován pouze zaručený elektronický podpis, místo „silnějšího“ (uznávaného) podpisu • náprava:10 – až novela zákona č. 227/2000 Sb. k 1.7.2012 prošla tyto výskyty a opravila je
  11. 11.  bezpečné prostředky a nepopiratelnost • „právně závazný“ (na úrovni vlastnoručního podpisu) je v ČR uznávaný elektronický podpis: – jako zaručený podpis, založený na kvalifikovaném certifikátu od akreditované CA, …….. • pozor: není zde požadavek na použití tzv. bezpečného prostředku – například čipové karty • ale: nepopiratelnost je v našem právním řádu vázána právě na použití bezpečného prostředku: – zákon č. 227/2000 Sb., § 3/2: Použití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu. • otázka: – znamená to, že je možné popřít uznávaný elektronický podpis • vyhnout se jeho nepopiratelnosti? – to by mohlo mít (zcela zásadní) právní důsledky !!!11
  12. 12.  největší problém: nejednoznačnost • v ČR „oficiálně“ existují dva různé – a vzájemně protichůdné - přístupy k tomu, jak je třeba zajistit „dlouhověkost“ elektronických dokumentů – možnost ověřit jejich autenticitu a platnost jejich podpisu a) průběžně není nutné dělat nic b) o dokumenty a jejich – a stačí jen určité jednorázové kroky podpisy je nutné se aktivně „na začátku“ a průběžně starat – opora v zákoně: – včas přidávat další časová • zákon č. 499/2004 Sb., §69a/5: razítka Neprokáže-li se opak, dokument v – opora v technických digitální podobě se považuje za pravý, byl-li podepsán uznávaným standardech elektronickým podpisem …. a • a zdravém rozumu následně za doby platnosti • dnes i ve fungování uznávaného elektronického podpisu datových schránek … opatřen kvalifikovaným časovým – viz funkce „autorizace“ razítkem – názor: opora i v nařízení Komise č. 2011/130/ES12
  13. 13.  co je potřeba pro dlouhověkost? • co musíme udělat, abychom zajistili „dlouhověkost“ našich elektronických dokumentů? 1. zajistit, aby nám je někdo nevyměnil za jiné • hrozba tzv. kolizních dokumentů (které jsou jiné, ale mají stejný el. podpis) – lze čelit opakovaným podepisováním či přidáváním časových razítek » protože to je fakticky uzavře do trezoru (zajistí jejich integritu) • dnes reálně existují kolizní dokumenty k těm, které jsou podepsány s využitím hashovací funkce MD5 2. zajistit, aby kdykoli později byly k dispozici všechny informace, potřebné k ověření platnosti podpisů • lze řešit tak, že vše potřebné se shromáždí ještě v době, kdy je to dostupné, a „přibalí“ k samotnému dokumentu a jeho podpisu – o tom je koncept podpisů LTV (Long Term Validation) » XAdES-LTV, CAdES-LTV, PAdES-LTV, referenční formáty dle Rozhodnutí komise 2011/130/ES13 3. zajistit, aby se dokumenty vůbec daly ještě přečíst …..
  14. 14.  děkuji za pozornost Jiří Peterka http://jiri.peterka.cz http://www.earchiv.cz http://www.bajecnysvet.cz14

×