Vlákno názorů k článku Co čeká český eGovernment? Obří nárůst počtu datových schránek i jejich používání od Filip Jirsák - To BTW funguje tak, že ISDS si neuchovává...

To BTW funguje tak, že ISDS si neuchovává celé zprávy, ale dělá si z nich různé hashe a tvrdí, že i po delší době je spolehlivě pozná. Takže když jim předložíte nějakou starší datovou zprávu, kterou ISDS takto pozná, dá na ni novou pečeť a aktuální časové razítko.
Tohle ještě rozvedu, v praxi je to komplikovanější. ISDS si uchovává metadata o všech zprávách, které byly skrze ISDS dodány. Takže by teoreticky mohl přerazítkovat libovolně starou datovou zprávu zaslanou přes ISDS – i když už jí časové razítko vypršelo. Ve skutečnosti ale toto neumožňuje pro všechny zprávy a doručenky. Pokud máte zprávu z dubna 2011 nebo starší, tu ISDS umožňují přerazítkovat kdykoli dodatečně – před uvedeným termínem se ke zprávám nepřidávalo časové razítko, takže ISDS vycházejí při přerazítkování z metadat uložených ve svém systému. Tuhle akci je možné provést i přes API datových schránek.

Novější zprávy a doručenky lze přerazítkovat jedině v případě, že je na nich ještě platné časové razítko. A přerazítkování je pak možné provést jen v klientském portálu datových schránek (tj. ručně po jedné zprávě) – není na to API. V tomto případě se tedy nevyužívá toho, že ISDS zná metadata všech zpráv, a řídí se jen (nejnovějším) časovým razítkem. Podle mého názoru je to jen další zbytečné omezení pro uživatele portálu datových schránek. Podrobně je přerazítkování na portálu DS popsané zde: https://www.mojedatovaschranka.cz/static/ISDS/help/page7.html#7_3

Samotné zprávy se po 90 dnech mažou, ale metadata, která jsou potřebná pro přerazítkování, v ISDS zůstávají. ISDS má přístup k samotným dokumentům, to jen tak mimochodem. Obálka obsahuje dokumenty, takže přerazítkování obálek stačí pro prokázání platnosti dokumentu a jeho podpisu v čase.

Kdyby datové schránky poskytovaly uživatelům dobré služby, asi by nebylo potřeba je nevybíravě tlačit, protože by si je většina potenciálních uživatelů zřídila ráda dobrovolně. Ale datové schránky nikdy neměly řešit problémy občanů, od začátku byly navržené tak, aby řešily jen problémy státu.

ZFO obálky mají přílohy v sobě. Přerazítkovávají se celé obálky, včetně těch příloh. Při té operaci přerazítkování je tam posíláte znova.
To, že se časová razítka nedávají do jednotlivých dokumentů, ale do nějakého balíku těch dokumentů, je zcela běžné. Ušetří se tak za ta razítka, ale ověření se se tím komplikuje. Třeba Acrobat Reader takové razítko nezohlední. Ale považuje se to za spolehlivé, zvláště když je ten kontejner v nějakém standardním formátu.
Popis je na
https://www.mojedatovaschranka.cz/static/ISDS/help/page7.html#7_3

Děkuji za tipy a informace.

Pan Peterka to popsla pěkně.

Prakticky pokud jsem to pochopil správně to je následovně.
Z portálu DS musíte stáhnou zprávu v ZFO formátu. Ta má tuším podpis platný jen 1 rok. Ale jakmile zprávu stáhnete, tak sem tam přidá pečeť/razítko (teď nevím) a tam byla platnost nějak do 2026.

Pro přerazítkování je potřeba celé ZFO nahrát do portálu DS a nechat přerazítkovat před koncem platnosti. Ale můžete klidně i častěji.

Dobrý den,
to, na co se ptáte, je obecně problém udržování digitální kontinuity – možnosti ověřit platnost podpisu či pečeti na nějakém elektronickém dokumentu, a z toho následně dovozovat pravost dokumentu atd. Je to poměrně složitý problém, před kterým současné trendy digitalizace obvykle strkají hlavu do písku a tváří se, že neexistuje.

Řešení ještě závisí na tom, co je vaším cílem: zda mít možnost prokázat vlastnosti elektronického dokumentu u soudu (tj. cestou soudního znalce), nebo zda potřebujete, aby starší dokument byl použitelný stejně jako „nový“. Tedy aby ho akceptovaly podatelny OVM, aby šel konvertovat na CzechPOINTu, aby se s ním dalo pracovat běžnými nástroji (Adobe Reader) atd. V prvním případě je totiž udržování digitální kontinuity jednodušší, v tom druhém těžší a dražší.

Obecně můžete využít existující služby pro udržování digitální kontinuity, nebo si pomoci vlastními silami.

Jak už zde psal pan Jirsák, jedna možnost je využít zabudované „prodlužování“ datových zpráv přímo v datových schránkách. To BTW funguje tak, že ISDS si neuchovává celé zprávy, ale dělá si z nich různé hashe a tvrdí, že i po delší době je spolehlivě pozná. Takže když jim předložíte nějakou starší datovou zprávu, kterou ISDS takto pozná, dá na ni novou pečeť a aktuální časové razítko. Ale to je použitelné jen tam, kde máte svůj dokument „zabalený“ v datové zprávě.

Archivaci dokumentů nabízí např. i Portál občana – ale ten o digitální kontinuitě netuší a nijak ji nezjišťuje, je to jen prosté souborové úložiště.

Pak (dle nařízení eIDAS) existují kvalifikované služby pro uchovávání elektronických podpisů, které slouží právě k udržování digitální kontinuity. U nás jde o službu SecuSign od Software602, ale ta je AFAIK určena spíše firemním zákazníkům.

Pro řešení vlastními silami v zásadě stačí včas (dokud je možné ověřit poslední podpis/razítko) přidat další (kvalifikované elektronické) časové razítko, čímž dosáhnete té první varianty (stačilo by to soudnímu znalci). Pro druhou variantu digitální kontinuity (aby byl dokument použitelný „stejně jako nový“) ještě potřebujete přidat všechny potřebné validační informace a dodržet správný formát dokumentu. V obou případech musíte vše opakovat tak dlouho, jak dlouho potřebujete digitální kontinuitu udržovat. Zjednodušeně: musíte se o své (důležité) elektronické dokumenty aktivně starat, ne je nechávat jen tak někde ležet.

Ze svých článků o digitální kontinuitě mohu doporučit např. tento zde na Lupě:
Elektronické dokumenty: kdo by měl zajišťovat digitální kontinuitu?, ale asi by to stálo za nějaké zopakování a praktičtější návod.

Zprávy v datových schránkách jsou mazány po 90ti dnech (https://www.datoveschranky.info/aditivni-sluzby/datovy-trezor)
Měl jsem za to, že datové schránky nemají přístup k vlastním dokumentům, tedy mohou jen případně řešit platnost ZFO obálek (netuším, zda se k tomu používají kvalifikované certifikáty v rámci ISDS, či nikoliv), ale z hlediska údržby prokazatelné platnosti řetězce razítek na vlastním dokumentu to nemá žádný význam (kromě úporného tvrzení ministerstva vnitra: https://www.mvcr.cz/clanek/nejvetsi-omyly-a-myty-o-datovych-schrankach.aspx aniž by byl uveden odkaz na zákon, který by takové tvrzení podpořil).
Protože nejsem uživatelem, tak nevím jak by fungovalo to přerazítkování, které popisujete, ale pokud jde o ZFO obálky, tak to podle mého laického výkladu nemá žádný vztah k dokumentům uvnitř těchto obálek.

Časová razítka od I.CA. by mohla být řešením, díky za tip.

Osobně jsem zklamán, očekával bych, že součástí systému poměrně nevybíravě tlačeného i nepodnikajícím fyzickým osobám bude "nekonečná" doba uložení a zajištění platnosti dokumentů (ne obálek zpráv) zaslaných mezi občanem a OVM, ale to jak se zdá není. veliká škoda.

Datové schránky naopak mohou váš problém vyřešit (u dokumentů doručených přes datové schránky). Datové schránky totiž mají funkci přerazítkování datových zpráv, u kterých se blíží konec platnosti časového razítka – tato funkce je zdarma. Takže stačí, abyste jednou za čas (třeba jednou ročně) nechal přerazítkovat přijaté zprávy, tím budete mít nepřetržitou řadu časových razítek a pečeti od ISDS dokazující, kdy byla zpráva dodána skrze ISDS – a tím jste schopen prokázat, že elektronický podpis existoval na zaslaném dokumentu před tímto datem. (Nehodnotím, jak ta služba funguje a jak příjemné je to používat, jenom konstatuji, že to lze a že pro uživatele je ta služba zdarma.)

Další možností je použít archivní časová razítka (např. od I.CA), kdy se o přerazítkování ve správný čas stará přímo certifikační autorita. Nezajistí uložení dokumentu (to je na vás), autorita jenom obnovuje ta časová razítka. To má jediné (aktuálně jen teoretické) omezení – bude to fungovat do té doby, dokud bude považován za důvěryhodný hashovací algoritmus, aktuálně SHA-2. Nebo-li až se bude přecházet na SHA-3 (nebo jiný algoritmus), bude potřeba znova součinnost z vaší strany – bude potřeba, abyste z dokumentu spočítal nový hash, protože CA nemá k dispozici původní dokument, jenom jeho hash.

Zda je ta služba od I.CA služba „pro fyzické osoby“ musíte zvážit sám – neprodají vám jedno archivní časové razítko, nejmenší balíček je 100 razítek.

Výhoda elektronických dokumentů je ta, že je můžete libovolně duplikovat. Takže je nemusíte mít uložené jen u sebe na PC, na domácím úložišti, ale můžete je uložit také do jednoho či více cloudů. Pravděpodobnost ztráty je pak řádově nižší, než že ztratíte zkonvertovaný papír z CzechPointu.

Dobrý den,

díky za výborný článek a za dlouhodobé osvětlování tajů vztahu práva a elektronických podpisů.

Chtěl jsem se zeptat, zda existuje pro fyzické osoby služba pro zajištění dlouhodobé správy dokumentů s El. podpisy, nějaký xades... Za cenu dostupnou pro běžného občana. Mám velkou radost z možnosti prokazovat státu svoji identitu přes MojeID, ale v zásadě nechci datovou schránku, protože mám obavu, že nebudou mít jak prokázat platnost starších dokumentů kde vyprší platnost buď podpisů nebo časového razítka. Navíc bych musel u každého dokumentu kontrolovat, zda nedošlo k revokaci certifikátu další den, kvůli crl distribuci. Nehledě na riziko ztráty samotného dokumentu ať již chybou, závadou na PC či domácím NAS úložišti.
Konvertovat všechny zprávy na czechpoint je cesta, ale nepraktická drahá.
Kromě znepřístupnění automaticky zřízené schránky jsem nenašel pro občany cestu jak mít dlouhodobě zajištěnou platnost vydaného stavebního povolení a dalších dokumentů.
Pokud existují nějaké vodné nástroje ( pro firmy a za firemní ceny jsou...), možná by to stálo za článek.

Ještě jednou děkuji za osvětu, kterou děláte.

Aleš Zelený