Dovolím si své poznámky doplnit přímo do textu. Uvažujme právní prostor České republiky. Předpokládejme, že při uzavírání smluv bývá zvykem uvádět, podle kterého právního prostoru se budou řešit případné spory.
...
"Měli byste asi vyžadovat certifikáty kvalifikované - oproti "nekvalifikovaným" poskytují jednoznačně větší míru důvěryhodnosti. V případě kvalifikovaného certifikátu máte velký stupeň jistoty, že certifikát není podvrh a že uživatel, který certifikát používá, je skutečně tím, za koho se vydává."
Tady cítím trochu rozpor. Kvalifikovaný certifikát ve skutečnosti sám v sobě nemusí obsahovat takové údaje, aby podepisující osoba mohla být pouze přímo z obsahu certifikátu jednoznačně určena. Zákon totiž (a podle mého názoru zcela správně) umožňuje uvedení pseudonymu v položce Subject (to je vlastně držitel, vlastník). Řekl bych, že se zde jedná o podobnou situaci, jako v případě ručního, písemného podpisu. V tom obrázku, co rukou malujeme třeba ve smlouvě, také není naše jednoznačná identifikace. Je zvykem, že se ale jedná o obrázek, který více či méně zdařile znamená naše příjmení. Třetí osoba pak stejně neumí jen z takového podpisu jednoznačně určit, zda se vůbec podepsala osoba namalovaného jména (a který konkrétní Novák ze všech Nováků to případně byl - Nováci prosím ať prominou). Taková informace, která (více) identifikuje podepisující osobu, je ale často uvedena mimo vlastní podpis, většinou v jeho blízkosti - např. Na důkaz souhlasu s obsahem smlouvy připojují své podpisy za stranu A pan Novák Jan, předseda představenstva společnosti A a pan Novák Blažej, bytem Tam a Tam, číslo OP TOaTO a pak následují dvě perokresby.
K textu nahoře bych si dovolil dodat, že co mi vlastně kvalifikovaný certifikát s vysokou úrovní zaručuje je "jen" to, že je jednoznačně spojen s podepisující osobou (to znamená,jak vyplývá přímo ze zákona 227/2000 Sb.,že osoba nemůže popřít, že ji certifikát patří. To mi nekvalifikovaný certifikát takhle snadno neumožní) a mám možnost se o identitě této osoby dovědět u kvalifikovaného poskytovatele, který tento certifikát vydal. Má to ovšem háček, týkající se povinnosti poskytovatele jakožto správce osobních údajů podle zákona 101/2000 Sb., tedy že buď musí mít k dispozici souhlas subjektu údajů s takovým zveřejněním nebo musí být splněny podmínky dle §5 ods. 6 tohoto zákona, možná nejčastěji bod d) a to zejména sdělení takových údajů orgánům činným v trestním řízení.
Mimochodem, také požíváte několik různých ručních podpisů? Jiný do banky, jiný na kartě, jiný pod poznámku potomka ze školy? Pak taky asi budete používat i více certifikátů pro různé účely elektronického podpisu, jeden pro finančák, druhý pro sociálku a třetí třeba pro podepisování emailů. A pokud přistoupíte na nátlak státu a doplníte do svého jediného kvalifikovaného certifikátu unikátní bezvýznamový identifikátor občana a odešlete alespoň jeden podepsaný email, pak si také uvědomte, že každý administrátor nejen smtp serveru po cestě zná vaši jednoznačnou identifikaci v aplikacích ve státní správě ...
...
"Chcete-li po uživatelích, aby kromě elektronického podepisování prováděli také autentizaci a kryptování dat, příslušný certifikát bude muset být vystaven ke všem těmto účelům. K tomu je v certifikátu určena položka Key Usage, která definuje, k jakým operacím může být příslušný certifikát použit."
Zde bych doporučoval oddělit technickou část od právní. Technicky vzato, certifikát se od kvalifikovaného certifikátu neliší. Vždy se jedná o certifikát podle zvolené verze X509. Technicky vzato je tedy možné nastavit jako KeyUsage cokoliv toto doporučení dovoluje. Náš zákon 227/2000 Sb. obsah této položky nespecifikuje. Takže podle mého názoru je možné i do kvalifikovaného certifikátu v položce KeyUsage nastavit cokoliv dle X509. Problém je ale jinde. Já pak jako podepisující osoba jsem povinnen mj. zacházet s prostředky jakož i s daty pro vytváření zaručeného elektronického podpisu s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití. Zákon 227/2000 Sb. hovoří ale jen o elektronickém podpisu a pak je tedy otázka, zda použitím v jiných oblastech PKI se nejedná o porušení této mé povinnosti. Problém tedy není v obsahu nějaké položky, ale v tom, k čemu držitel ten certifikát opravdu použije.
Já osobně bych kvalifikovaný certifikát používal pouze pro podpis a jiný či jiné certifikáty (nekvalifikované, někdy se jim říká komerční) pro ostatní účely. Ono totiž také v případě podpisu je vhodné (či je to přímo povinnost), aby "soukromý klíč" zůstal pod výhradní kontrolou držitele. V případě šifrování to však nemusí platit vždy, např. v prostředí organizace, kdy se šifrují data (tedy majetek) organizace je akceptovatelné, aby organizace měla i kopii soukromého klíče a tím pádem i možnost se k zašifrovaným datům dostat (pochopitelně i patřičnou ochranou takového úložiště klíčů).
...
"Pokud tedy budete požadovat, že elektronický podpis, který má být použitelný ve vaší aplikaci, musí být založen na kvalifikovaném certifikátu vydaném v některém členském státě Evropské unie, velmi pravděpodobně se dostanete do situace, že polské certifikáty budou ve vaší aplikaci nepoužitelné. A to už vůbec nemluvím o tom, že jste původně chtěli certifikát používat i pro šifrování."
Tady bych se zastavil u pojmu elektronický podpis. To není nic hotového, to se musí "nějak" vyrobit! Protože se jedná o podpis, musí být soukromý klíč pod výhradní kontrolou držitele, to tedy znamená, že se výroba podpisu odehraje v prostředí držitele, který je v roli klienta vaší (serverové) aplikace. Klienta ale můžete vybavit "podepisovací" aplikací, která bude realizovat digitální podpis. Pak jste autory takové aplikace a pokud chcete, aby klient mohl být i z Polska, budete tam muset přidat o jeden if-else navíc. Stejně tak při ověřování podpisu na straně serveru asi budete muset zohlednit, že bylo podepsáno za účasti polského certifikátu. O trochu složitější situace nastane, pokud klient bude používat nějaký běžný prostředek pro vytváření elektronického podpisu, např. obyčejný browser či mailer. To pak bude zajímavé sledovat, jak si to s Polskem vyřizuje výrobce browseru či maileru osobně ...
...
"Ve zcela jiné situaci je však například český stát jako takový - i on vyžaduje pro komunikaci se svými úřady použití certifikátu od akreditovaného poskytovatele, neřeší však, jak se má zachovat občan jiného státu EU, který chce se státem komunikovat."
Není tomu tak, zákon tuto oblast řeší v §16. Zde je ale nutné podotknout, že samotné držení kvalifikovaného certifikátu od akreditovaného poskytovatele certifikačních služeb a schopnost se pomocí tohoto certifikátu podepisovat tento problém neřeší. Lokální legislativa někdy nařizuje např. elektronické podání doplnit vzápětí písemnou formou či určuje nějaká další omezení. Je tedy nutné cílovou oblast použití certifikátu dostatečně dobře právně znát předem.
A jistě zde budou problémy s ověřováním platnosti certifikátu vůči CRL a jeho dostupností. Doufejme, že v certifikátu je uveden alespoň správně CDP.
...
"Narozdíl od Libora Dostálka se domnívám, že by daný přístup mohl být za určitých okolností chápán jak diskriminační."
Já to jako diskriminační také necítím. Myslím, že je správné, aby si firma určila podmínky užití PKI sama. Stejně tak můžeme chápat snahu určit pravidla pro komunikaci se státem v zákoně 227/2000 Sb. Diskriminační by bylo, kdyby mohl být akreditovaným poskytovatelem jen jeden.
Vaše argumenty nedoporučující kombinovat certifikáty pro podpis a šifrování mne příliš nepřesvědčily. Uvádíte jistě relevantní argument, kdy zaměstnanec organizace šifruje jménem svého zaměstnavatele data a zároveň musí existovat cesta, jak může organizace data zpětně dešifrovat. Toto lze snadno řešit certifikátem typu pseudonym (což není český výmysl, ale paragraf 12 Direktivy - sám takový certifikát včetně privátního klíče sdílím k určitému konkrétnímu účelu s několika kolegy). Pokud je však certifikát vystaven na jméno (ať už je kvalifikovaný nebo jakýkoliv), nemohu z principu privátní klíč dát z ruky, jinak se vystavuji riziku postihu.
Je otázka, zda mohu (a hlavně zda chci) požadovat, aby uživatelé k tvorbě elektronického podpisu používali mou aplikaci pro podepisování. Je to podobné jako požadovat použití specifického internetového prohlížeče nebo operačního systému. Jinými slovy - uznávány by měly být všechny aplikace, které dodržují běžné a široce uznávané standardy (které to jsou je jiný problém). Viz opět prohlížeč - mohu mít jakýkoliv, ale bude-li HTML jakž-takž v pořádku, zobrazí jej korektně. Článek pak jen vyjádřil názor, že polský certifikát není "korektní HTML".
Paragraf 16 zákona hovoří pouze o kvalifikovaných certifikátech. O akreditovaných CA nehovoří. To že v ČR kvalifikovaný poskytovatel = akreditovaný poskytovatel, je druhá věc. Specifik národních legislativ je spousta, jejich komplexnější výčet je mimo možnosti jednoho článku. Nicméně příklad, který uvádíte (nutnost doplnění elektronického podání písemnou formou) už se bude podle mého právně laického názoru řídit právem země, kde je zpráva přijímána, takže případ zmíněný v článku (daňové přiznání podané z Malty do ČR) by se měl řídit českým právním řádem, kde toto není vyžadováno.
Skutečnost, že s českým státem mohu snadno komunikovat pouze ze zemí, v nichž je zaveden akreditační proces, mi trochu diskriminační připadá. Těžko se hledá příměr, je to dost unikátní oblast. Uznávám, že na to mohou být různé názory.
ČLÁNKY DO MAILU