Elektronický, nebo digitální podpis?

Nástup informačních a telekomunikačních technologií sebou přináší zcela nové možnosti mezilidské komunikace. Doposud je ale tato komunikace nezávazná a nemá žádnou právní relevanci. Budete-li chtít s někým uzavřít smlouvu elektronickou cestou, třeba tak že si elektronickou poštou vyměníte text obsahující její přesné znění, nikdo vám nebude bránit v tom, abyste se tímto textem řídili, a tudíž se k němu chovali stejně jako k právně závazné smlouvě. Je to ale na vaší dobrovolnosti, a pokud byste takovouto smlouvu chtěli uzavřít s někým, kdo nebude ochoten ke stejnému přístupu, musíte se uchýlit k tradiční papírové formě. Problém je v tom, že zákony dosud neuznávaly jako závaznou žádnou jinou formu podpisu než podpis vlastnoruční.

Na světě jsou ale již delší dobu takové technologie, které dokáží plně nahradit to, k čemu slouží tradiční podpis vlastnoruční - jednoduše řečeno dokáží stvrdit to, že příslušný dokument podepsala konkrétní osoba. Navíc dokáží i věci, které tradiční podpis nedokáže - umožňují detekovat jakoukoli změnu, ke které by v podepsaném dokumentu od okamžiku jeho podpisu došlo. Dále umožňují i to, že autor dokumentu nemůže později popřít, že to byl on kdo dokument podepsal. Navíc umožňují, aby si tyto skutečnosti sám ověřil každý, kdo o to má zájem, a činí tak s mnohem větší spolehlivostí než tradiční podpis vlastnoruční. Jak ale takovémuto "jinému" podpisu říkat?

Vyjít lze z toho, že podepisovaný dokument má vždy podobu dat - v zásadě je posloupností 0 a 1 - a jako data může být dále zpracováván. Může být například přenášen po počítačové síti, může být nahrán do počítače a editován, může být vytištěn na tiskárně, nahrán na disketu, vypálen na CD - zkrátka jde s ním dělat obecně cokoli, co lze dělat s kterýmikoli jinými daty. Proto i podpis takovéhoto dokumentu v podobě dat sám má přesně stejnou podobu, i on je "kusem dat".

Dnes přitom existuje více různých postupů a technik, jak z jednoho "kusu dat" (podepisovaného dokumentu), a s přidáním něčeho co jednoznačně identifikuje podepisovanou osobu, vytvořit další "kus dat" schopný plnit roli jeho podpisu.

O jaký podpis jde?

Chceme-li vhodně pojmenovat druh podpisu, který jsme si právě naznačili, je možné vyjít z toho že podepisuje dokument v podobě dat a sám také má podobu dat. Ovšem označení "datový podpis" by nebylo úplně ideální. V praxi se spíše využilo toho, že data jsou dnes již výlučně digitální, neboli číslicová (další možností jsou analogová data, ale analogové počítače a analogové zpracování dat jsou dnes již minulostí). Proto se vžilo označení "digitální podpis" (digital signature). Tedy vžilo se v USA, resp. v zámoří, zatímco zde v Evropě se pro stejný druh podpisu prosadilo označení "elektronický podpis" (electronic signature).

Mezi přívlastky "digitální" a "elektronický" však obecně neplatí rovnítko, ani přímý vztah nadmnožiny a podmnožiny. Především je rozdíl v tom, že oba přívlastky označují dvě neporovnatelné věci: "digitálnost" se týká toho, jakých hodnot může nějaká veličina nabývat (konkrétně pouze dvou diskrétních hodnot, označovaných jako O a 1), zatímco přívlastek "elektronický" se týká toho, jak jsou určité veličiny a jejich hodnoty konkrétně reprezentovány (zde elektronicky, tedy například jako velikost napětí či proudu). Jak jsme si již uvedli výše, data mohou mít buď analogový, nebo digitální charakter (přičemž analogová data a analogové zpracování jsou dnes již muzejní záležitostí). Digitální data pak mohou být vyjádřena (reprezentována) různým způsobem: elektronicky (například tak že 0 je vyjádřena nižším napětím a 1 vyšším, nebo 0 absencí proudu a 1 přítomností proudu apod.). Stejně tak ale mohou být digitální data vyjádřena například opticky (při přenosu po optických vláknech, kdy přítomnost světla reprezentuje například 1, a absence světla 0). Nebo mohou být digitální data reprezentována (vyjádřena) mechanicky, například pomocí děrné pásky (1 může odpovídat existenci otvoru, 0 jeho absenci), či magneticky, jsou-li nahrána na disk, disketu či magnetickou pásku).

Vrátíme-li se zpět k terminologii, pak je vhodné si uvědomit a zdůraznit, že "digitální" rozhodně není totéž co "elektronický". Pokud se tyto přívlastky použijí jen k pojmenování něčeho, co následně bude definováno (přesně vymezeno) stejně, pak by nad tím asi šlo mávnout rukou a považovat to za jeden z vícero "drobných terminologických omylů" naší současnosti - hlavně když si pod tím budou všichni představovat to samé.

Bohužel to ale není tak jednoduché. Problém je v tom, že používání digitálních (resp. elektronických) podpisů vyžaduje určitou oporu v zákonech, kde musí být takovýto podpis poměrně přesně definován. Evropská unie již vydala svou vzorovou direktivu k zákonu o el. podpisu, a také u nás se již projednává v Parlamentě tuzemský návrh zákona. Obě zákonné normy, tedy jak direktiva EU, tak i náš návrh, používají termín "elektronický podpis" a hned v úvodu se v nich uvádí:

"elektronickým podpisem …[se rozumí] … údaje v elektronické formě"

To tedy říká, že jde o taková digitální data (resp. údaje), která mají elektronickou formu. Výskyt přívlastku "v elektronické formě" přitom nutně znamená, že data mohou existovat (být znázorněna) v různých formách, přičemž zákon má na mysli ze všech dat pouze ta, která jsou v elektronické formě (jinak by příslušný přívlastek byl zbytečný). V praxi může takovéto zúžení jen na digitální data v elektronické mít zajímavé praktické následky: kdykoli bude chtít někdo u soudu zpochybnit nějaký elektronický podpis, třeba ten který protistrana vítězoslavně doručila nahraný na disketě (a tedy v magnetické, a nikoli elektronické formě), či vypálený na CD ROM (tj. v opticko-mechanické formě), bude mu stačit poukázat na to, že podpis nesplňuje požadavek zákona na elektronickou formu (byť je pořád digitální).

Kde se stala chyba?

Na vině je slovní spojení, které se vyskytuje snad v každém odbornějším textu věnovaném problematice digitálních podpisů, a které zní (v překladu):

…. digitální podpisy, založené na asymetrickém šifrování ….

Toto slovní spojení je v odborné literatuře využíváno k vyjádření toho, že z celé široké škály možných digitálních podpisů má autor na mysli konkrétně ty digitální podpisy, které jsou založeny na asymetrickém šifrování. Pravdou je, že tento konkrétní druh digitálních podpisů je dnes v praxi nejpoužívanější, a přívlastek "asymetrické" má proto, že pracuje se dvěma různými klíči (soukromým a veřejným). Asymetrické šifrování ale rozhodně není jedinou technologií, na které je možné založit digitální podpisy - dnes se nabízí také například symetrické šifrovací technologie (pracující se dvěma identickými, a tudíž i "symetrickými" klíči), a do budoucna se nejspíše dočkáme dalších možností.

Když ale na zmíněnou větu

" …. digitální podpisy, založené na asymetrickém šifrování …."

narazili evropští zákonodárci, na rozdíl od svých zámořských kolegů ji pochopili ve smyslu rovnítka mezi "digitálním podpisem" a "asymetrickým šifrováním" (tedy v tom smyslu že digitální podpisy jsou právě a pouze podpisy na bázi asymetrického šifrování).

Poté evropští zákonodárci projevili (plně legitimní) snahu učinit svůj návrh zákonné úpravy co možná nejuniverzálnější, tak aby se nemusel s příchodem nových technologií měnit. Jelikož si ale položili rovnítko mezi digitální podpisy a asymetrické šifrování, vyšlo jim z toho, že by se neměli vázat jen na digitální podpisy, ale měli by být připraveni na obecnější řešení. Pro pojmenování tohoto "obecnějšího" řešení pak použili termín "elektronický podpis". Bohužel jim dosud nedošlo, že tím udělali pravý opak toho co udělat chtěli.