Problém digitální kontinuity, alias dlouhověkost elektronických dokumentů

Jiří Peterka, 12.3.2012

otázka na úvod

kdy zkoumat něčí podpis?

a to jak vlastnoruční, tak i elektronický možnosti:

1. ihned2. až když dojde na nějaký spor

shrnutí

běžná praxe je taková, že: vlastnoruční podpisy se „zkoumají“ až tehdy, když dojde na

nějaký spor, nejasnost, podezření apod. existují výjimky:

výběr z účtu v bance úředně ověřený podpis (zkoumá se vlastně „dopředu“) a co zkoušení u státnic na MFF UK?

elektronické podpisy se zkoumají hned dokonce musí, ukládá to §5/2 zákona č. 227/2000 Sb., o el. podpisu

Za škodu […] odpovídá podepisující osoba podle zvláštních právních předpisů. Odpovědnosti se však zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn.

další otázka

pokud bychom chtěli zkoumat vlastnoruční podpis „ihned“, šlo by to vůbec?

otázka: má stát k dispozici váš podpisový vzor?

jako ho má například banka ?

odpověď: ano, má:

„digitální zpracování podpisu“ se uchovává v rámci evidence občanských průkazů a cestovních dokladů (pasů)

ale nevyužívá jej zatím?

otázka

co vyjadřuje podpis? jaký význam má to, když k nějakému dokumentu připojíte svůj

podpis? možnosti:

souhlasíte s obsahem cítíte se zavázán obsahem dokumentu prohlašujete, že jste autorem dokumentu schvalujete dokument …………

pohled práva: jde o projev vůle otázka: ale jaké?

na to už právo nemá odpověď, v praxi odvozuje význam podpisu z kontextu jaký dokument byl podepsán, co je napsáno „někde vedle“ podpisu, ….

elektronický podpis

umožňuje uvést důvod podpisu ale právo/legislativa to „nezná“

jde tedy jen o nezávazný komentář

odbočení: zaručený elektronický podpis

náš právní řád zná dvě „úrovně“ elektronických podpisů: zaručený elektronický podpis

který ale nic nezaručuje – jde o špatný překlad anglického „advanced“ (electronic signature) neklade žádné požadavky na kvalitu certifikátu, lze použít i

testovací certifikát, kam si každý může napsat co chce důsledek: existuje například zaručený elektronický podpis literární

postavy Josefa Švejka, viz předchozí slide uznávaný elektronický podpis

již zaručuje identitu podepsané osoby vyžaduje kvalifikovaný certifikát od akreditované certifikační

autority ta jej nevystaví neexistující osobě

otázka

komu patří podpis? další otázka: je vůbec zapotřebí, abychom věděli, komu podpis

patří? má být (může být) podpis anonymní?

vlastnoruční podpis: velmi často z něj nepoznáme, komu patří (viz „klikyhák“)

v lepším případě se z něj dozvíme jméno a příjmení ale osob stejného jména a příjmení je více !!!

elektronický podpis: také z něj nemusíme poznat, komu patří

(podpisový) certifikát obsahuje určité informace, obvykle jméno a příjmení ale ani z toho nemusí být jasné, o kterou konkrétní osobu (stejného jména

a příjmení) se jedná

požadavek zákona (č. 227/2000 Sb.)

§11: (3) Uznávaným elektronickým podpisem se rozumí

a) zaručený elektronický podpis založený na kvalifikovaném certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb a obsahujícím údaje, které umožňují jednoznačnou identifikaci podepisující osoby

ale jak je to myšleno? „potenciálně“: tak, že alespoň někdo má možnost podepisující

osobu identifikovat? že existuje způsob, jak ji identifikovat, a je dostupný alespoň pro

někoho (např. orgány činné v trestním řízení, soudy apod.) „aktuálně“: tak, že každý má možnost jednoznačně

identifikovat podepsanou osobu? že způsob identifikace musí existovat a musí být reálně dostupný pro

každého

sériové číslo certifikátu

každý (kvalifikovaný) certifikát má své sériové číslo podle kterého vydavatel (certifikační autorita) dokáže

dohledat, komu (kvalifikovaný) certifikát vystavila a tuto osobu zná dostatečně přesně (ze 2 osobních dokladů)

tj. (potenciální) možnost identifikace existuje ale není dostupná pro každého (autorita nesděluje identitu)

ID zákazníka v evidenci CA

každý (tuzemský) kvalifikovaný certifikát obsahuje jednoznačný identifikátor svého držitele v rámci evidence zákazníků dané CA (certifikační autority)

představa: jde o index do databáze zákazníků všechny certifikáty stejného držitele mají tento ID stejný

požadavek vyhlášky č. 212/2012 SB.

Vyhláška o struktuře údajů, na základě kterých je možné jednoznačně identifikovat podepisující osobu ….. § 1

Struktura údajů, na základě kterých je možné jednoznačně identifikovat podepisující osobu Údaj, který umožňuje jednoznačnou identifikaci podepisující osoby, se

uvádí ve struktuře desetimístného čísla v desítkové soustavě v rozsahu 1 100 100 100 až 4 294 967 295.

není řečeno, o jaký údaj se má jednat a jak z něj odvodit identitu podepsané osoby

dvě velká ministerstva (MPSV a MV) se nedohodla, čí identifikátor použít – tak vznikl „kompromis“

ale ani ID MPSV (či MV) není dostupný pro kohokoli, jen pro OVM (úředníky)

příklad: ID MPSV v certifikátu

pokud je jednoznačný identifikátor (dle vyhlášky) v  certifikátu obsažen, bývá „dobře schován“

ASCII kódy jednotlivých číslic identifikátoru

další důležitá otázka

vlastnoruční podpis: zkoumá se pravost podpisu

zda ho vytvořil ten, kdo ….. … si myslíme, že ho vytvořil

koho považujeme za podepsanou osobu

někdy ani neznáme identitu podepsané osoby podpis je „klikyhák“

někdy též platnost podpisu ve smyslu „přípustnosti“ či

„oprávněnosti“ podepsat například: zda dotyčný měl

právo podepsat dokument

elektronický podpis: zkoumá se platnost podpisu

ve smyslu technickém zde je „v pořádku“

není porušena integrita v době podpisu byly certifikáty

platné v době podpisu nebyl žádný

certifikát revokován

a také druh podpisu zaručený vs. uznávaný

co konkrétně se na podpisech zkoumá?

otázka: jsou to stejné kategorie? a jak je to s faktorem času?

mění se pravost/platnost s časem?

pohled práva

právo nezná žádný „podpis na dobu určitou“ možnost, aby podpis byl pravý/platný jen po omezenou dobu,

a pak už ne nejde říci něco jako:

„tento podpis byl ještě včera můj, ale dnes už můj není“ neexistuje ani možnost odvolat vytvoření svého podpisu

nějak ho revokovat, vzít zpět lze brát zpět pouze úkony, stvrzené podpisem, nikoli samotné podepsání

(vytvoření podpisu) lze popřít vytvoření podpisu – tvrdit, že jsem ho nikdy nevytvořil

co elektronický podpis? velmi častým omylem je představa, že:

elektronický podpis je „jen na dobu určitou“ že jeho platnost po nějaké době končí

elektronické) podpisy jsou věčné !!

platnost elektronických podpisů není omezena v čase nemění se s časem

to, že jsme jej vytvořili (jako platný), už nemůžeme nikdy změnit co je omezeno v čase, je naše schopnost ověřit, že je

podpis platný tedy zjistit a prokázat platnost podpisu

platnost podpisu

platnost podpisu lze ověřit platnost podpisu nelze ověřit

možnost ověření je nastavena pouze na tuto dobu

elektronickýpodpis

čas

proč?

protože se bojíme tzv. kolizních dokumentů kolizní = jiný, ale se stejným otiskem

a tím i se stejným elektronickým podpisem

vznik podpisu

podpis je stále stejný

podpis k dokumentu „sedí“, máme ho

považovat za pravý?

ověření podpisu

kolizní dokument

původní dokument

čas

princip obrany před kolizními dokumenty• hledání (výpočet) kolizních dokumentů

bude tak dlouhé, že se nikomu nevyplatí• vše se nastaví tak, aby i při síle

dnešních počítačů trval výpočet neúnosně dlouho

• ale: • výpočetní „síla“ našich počítačů rychle

roste !!!!• proto:

• je nutné neustále zvyšovat složitost výpočtu (hledání kolizních dokumentů)

• jak?• používání „silnějších“ hašovacích

funkcí• používáním delších klíčů• …….

hašování

hash

hašování

hashstejnéotisky

stejný klíč

stejnýpodpis

PRIPRI

„nápravná“ opatření záměrné časové omezení (možnosti ověřit) má za cíl vynutit si

pravidelnou a včasnou aplikaci „nápravných opatření“ představa: opatření je uzavření podepsaného dokumentu do

bezpečnostní schránky

čas

platnost podpisu lze ověřitplatnost podpisu lze ověřit

platnost podpisu lze ověřitplatnost podpisu lze ověřit

aplikováno „nápravné opatření“

forma nápravných opatření

(další) elektronický podpis vytvoří se nový otisk

pomocí silnější hašovací funkce použije se nový soukromý klíč

větší klíč

je projevem vůle vůči dokumentu otázka: jaké vůle?

dokument může uchovávat i 3. strana (externí správce dokumentů)

(kvalifikované) časové razítko vytvoří se nový otisk

pomocí silnější hašovací funkce použije se nový soukromý klíč

větší klíč přidá se garantovaný údaj o čase

není projevem vůle ale pouze fixuje dokument v čase

garantuje, že existoval v čase podpisu

může být dvojí:

technický účinek je stejný, rozdíl je právní !!

proto se používá časové razítko

důležité !!!

i „nápravná“ opatření (časová razítka) působí jen dočasně a je třeba je opakovat i jejich „životnost“ je záměrně zkracována, tak aby se tato

opatření musela pravidelně obnovovat ze stejného důvodu, jako u samotného (původního) podpisu

bojíme se podstrčení kolizního dokumentu proto je nutné pravidelně „přerazítkovávat“, viz

časové razítko

zajištění digitální kontinuity

digitální kontinuita: shrnutí

chceme-li dosáhnout dlouhověkosti svých elektronických dokumentů ve smyslu možnosti ověřit platnost jejich podpisů

nebavíme se ještě o čitelnosti – otázka podporovaných formátů musíme se o ně aktivně starat

včas přidávat další časová razítka další razítko je nutné přidat dříve, než skončí možnost ověření předchozího

v praxi obvykle 1x za 5 let

podmínky: formát podepsaného dokumentu musí umožňovat práci s časovými

razítky jejich postupné přidávání

PDF formát to umožňuje případně lze řešit externími časovými razítky

jiný pohled na digitální kontinuitu

vychází z §69a/5 zákona č. 449/2004 Sb. o archivnictví a spisové službě

který říká, že: Neprokáže-li se opak, dokument v digitální podobě se považuje

za pravý, byl-li podepsán uznávaným elektronickým podpisem nebo označen uznávanou elektronickou značkou …. a následně za doby platnosti uznávaného elektronického podpisu a kvalifikovaného certifikátu ….. opatřen kvalifikovaným časovým razítkem.

jinými slovy: o elektronické (digitální) dokumenty není nutné se průběžně

a aktivně starat stačí se o ně postarat jednorázově („na začátku“), a pak se spoléhat

na toto právní ustanovení a doufat, že nikdo neprokáže opak

tzv. vyvratitelná domněnka pravosti

hlavní dilema digitální kontinuity čím se řídit, když chceme zachovat své elektronické

dokumenty? platným zákonem?

který může být (a měl by být) kdykoli a bez náhrady zrušen problém: pokud promeškáte konec možnosti ověření (expiraci certifikátů), už to

nejde napravit technickými standardy a „zdravým technickým rozumem“?

původ problému: náš stát postupně nařizuje přechod na výhradní používání čistě

elektronických dokumentů poprvé: zavedení datových schránek a doručování v el. formě (zatím) naposledy: datové schránky nebo uznávaný podpis povinně i pro

všechny OSVČ ale:

dosud nebyl schopen říct, jak si představuje zajištění „dlouhověkosti“ elektronických dokumentů

otázka: má zákon „jít proti“ technologiím a nahrazovat jejich účinky?

kudy jde svět?

technicky: vznikly nové koncepty elektronických podpisů – s možností

dlouhodobého ověření LTV, Long Term Validation

představa: vše, co budu potřebovat k pozdějšímu ověření, shromáždím a připojím k podpisu a dokumentu, a pak pravidelně přidávám (dokumentová) časová razítka

vznikly nové formáty elektronických podpisů, pro práci s LTV podpisy formáty CAdES, XAdES a PAdES

členěné do dalších variant (profilů) průběžně se zdokonalují hašovací funkce (a další algoritmy)

2010: přechod z SHA-1 na SHA-1 20xx: přechod z SHA-2 na SHA-3 ……..

Rozhodnutí Komise č. 2011/130/EC

přímo účinné již od srpna 2011 v zásadě říká (hlavně orgánům veřejné moci):

měli byste používat „novější“ formáty elektronických podpisů tzv. referenční formáty, např. PAdES-BES, PAdES-EPES, PAdES-T, …. výjimka:

pokud ještě používáte původní formáty podpisů, musíte Komisi sdělit, jak se mají správně ověřovat

chystá se: nařízení Rady EU a Parlamentu „k elektronické identifikaci

a důvěryhodným službám“ které zcela „překope“ naši právní úpravu elektronického podpisu, eOP,

spisových služeb, archivnictví, datových schránek ale také např. zabezpečení WWW serverů apod.

půjde o celkové „přitvrzení“ a modernizaci právní úpravy cestou přímo platného nařízení, nikoli transpozice směrnice

kudy jdeme my (v ČR)?

cestou dalších ústupků, zmatků a chaosu konkrétně:

otázka digitální kontinuity se neřeší a pokud ano, sází se spíše na vyvratitelnou domněnku pravosti

(někteří) představitelé státní správy prezentují názor, že elektronické podpisy se neosvědčily a je třeba je nahradit něčím jiným konkrétně tzv. dynamickými biometrickými podpisy

názor: to vše ještě zhorší, přinese jen další problémy gesce v oblasti el. podpisu (má MV ČR) je „chaotická“ Rozhodnutí Komise 2011/130/EC se v ČR nedodržuje

nikdo o něm ani pořádně neví nové právní předpisy v oblasti elektronizace jsou „chaotické“

a ještě dále komplikují situaci

příklad

Rozhodnutí Komise 2011/130/EC se odrazilo v novele zákona č. 227/2000 Sb. nesmyslným „přisazením“ chcete-li používat původní formáty el. podpisů (nikoli ty

referenční), musíte poskytnout zdarma on-line validátor, který okamžitě ověří platnost není-li … uznávaný elektronický podpis … v referenčním formátu …

zpřístupní k neomezenému a bezplatnému užití způsobem umožňujícím dálkový přístup aplikaci, která umožní okamžité ověření uznávaného elektronického podpisu nebo uznávané elektronické značky ….

technicky není vždy možné realizovat („okamžitě“) kvůli nutnosti ověřovat revokaci

nikdo v ČR takovýto validátor nenabízí je to daleko nad rámec požadavků EU problém důvěrnosti:

ten, komu je dokument takto „předložen“ k ověření, se může seznámit s jeho obsahem

příklad nová vyhláška č. 212/2012

o struktuře údajů … a o vyhodnocování elektronických podpisů nahradila dřívější vyhlášku o elektronických podatelnách

která říkala: platnost podpisu se ověřuje k okamžiku doručení správně je: k nejstaršímu okamžiku, kdy podpis existovat – času nejstaršího

časového razítka nová vyhláška také používá „okamžik doručení“

říká: platnost podpisu se ověřuje k okamžiku doručení i když už se nevztahuje (pouze) na elektronické podatelny

a aplikuje se tam, kde žádné doručení neexistuje naštěstí:

připouští také zohlednění (kvalifikovaného) časového razítka ale bohužel:

připouští možnost řídit se jiným údajem o čase na který neklade žádné požadavky (přesnost, věrohodnost zachycení času …)

otázky / úkoly

jak byste argumentovali proti někomu, kdo se nechce o své elektronické dokumenty aktivně starat a chce se spoléhat na

vyvratitelnou domněnku pravosti?

jak byste argumentovali někomu, kdo je skeptický vůči elektronickým podpisům a nechce je používat argumentuje jejich

složitostí, množstvím nástrah, nutností aktivní péče o dokumenty ….

děkuji za pozornost

Jiří Peterka

http://www.earchiv.czhttp://jiri.peterka.cz

mailto:jiri@peterka.cz