Co je elektronický podpis?
Svět Internetu a moderních informačních technologií je pro mnoho lidí světem bez pravidel, kde každý může tvrdit cokoli se mu zachce, vydávat se za někoho jiného než kým skutečně je, či kdykoli popřít jakýkoli svůj čin s vědomím, že mu stejně nikdo nic nemůže dokázat. V čem se ale liší tento "elektronický svět" od našeho tradičního světa bez Internetu a počítačových sítí? Co třeba takový kus papíru? Na něj přeci také můžete napsat cokoli chcete, a pak to někomu podstrčit a tvrdit mu něco, co vůbec není pravda.
Rozdíl je zde v tom, že v případě papíru si lidé sami dobře uvědomují, že je to věc na kterou skutečně kdokoli může napsat cokoli, a mají již vypracovány určité metody pro posuzování věrohodnosti toho, co je na papíře napsáno. Jde zejména o vlastnoruční podpis, který má za úkol vyjádřit a současně stvrdit identitu autora i jeho vztah k napsanému textu. Lidé již měli také dost času na to, aby si ujasnili, kdy, v jaké situaci a pro jaké účely stačí "obyčejný" vlastnoruční podpis, a kdy jsou zapotřebí jeho "silnější" formy (notářsky ověřený podpis, podpis před svědky apod.). Takto odstupňované požadavky jsou přitom pevně zakotveny v zákonech. Stejně tak je již dostatečně "zažité", kdo, kdy a jak ověřuje pravost podpisu - každý sám za sebe si kdykoli může udělat jakési letmé porovnání podpisu s podpisovým vzorem, má-li jej k dispozici. Důkladnější porovnání s podpisovým vzorem dělají například v bance když svým podpisem stvrzujete svůj požadavek na bankovní transakci. Ovšem skutečně věrohodné posouzení pravosti vlastnoručního podpisu musí dělat až soud, resp. soudní znalci (grafologové). Ani jejich verdikt však nemusí být vždy jednoznačný, v případě umně vyhotoveného falsifikátu.
Vraťme se ale nyní zpět k Internetu a obecněji k informačním a telekomunikačním technologiím. Ty jsou analogií papíru v tom smyslu, že také umožňují komukoli napsat (či nakreslit nebo jinak vyjádřit) v zásadě cokoli, a pak to zpřístupnit dalším lidem (a to dokonce velmi mnoha lidem současně). Může jít například o obsah WWW stránky, kterou někdo vyvěsí na veřejném Internetu. Nebo o zprávu zaslanou elektronickou poštou jednomu jedinému příjemci - v obou těchto případech, stejně tak jako v mnoha dalších které by bylo možné vymyslet, je nesmírně důležité aby příjemce (adresát, čtenář, divák či jak jej nazveme) měl rozumnou míru jistoty, že obsah který přijal je autentický - přesněji že skutečně pochází od toho, kdo se vydává za jeho autora.
Zajímavé a nesmírně podstatné je to, že technologie které by něco takového umožnily, jsou již delší dobu k dispozici. Odborníci by o způsobu jejich fungování dokázali velmi dlouho povídat takovým způsobem, že by jim rozuměli zase jen zasvěcení odborníci. Naštěstí pro úspěšné využívání těchto technologií naštěstí není vůbec zapotřebí rozumět vědě, která stojí za jejich fungováním - podobně jako nemusíte být odborníky na konstrukci přeplňovaných dieselových motorů, chcete-li jezdit autem. Důležité je, že použití elektronické analogie vlastnoručního podpisu (říkejme jí rovnou elektronický podpis) může být pro podepisující osobu doslova triviálně jednoduché - může být zredukováno na pouhé zmáčknutí jednoho jediného "čudlíku" (nejspíše s nápisem "podepiš"). Stejně tak může být principiálně jednoduchá i ochrana proti tomu, aby zmíněný "čudlík" nezmáčknul za vás někdo nepovolaný. To se dá ošetřit různými opatřeními, mezi které patří například ochrana osobním PINem (podobně jako při výběru z bankomatu), nebo nutnost vložit osobní identifikační kartu do příslušného snímače (třeba jako u různých systémů pro otevírání dveří "na kartu").
Co naopak již nemusí být tak triviální, je docenění toho, co všechno elektronická analogie vlastnoručního podpisu nabízí a umožňuje, a k čemu to lze využít.
Vlastnosti el. podpisu
Začněme nejprve od možností. Jedním ze zajímavých rozdílů mezi elektronickým podpisem a podpisem vlastnoručním je to, že vlastnoruční podpis existuje "sám o sobě", zatímco podpis elektronický nikoli. Co je tím míněno? Vlastnoručním podpisem můžete podepsat například čistý bílý papír, na který pak někdo později může cokoli připsat (ať již s vaším vědomím či bez něj). Na vašem podpisu a jeho platnosti se ale nic nemění, protože nezávisí na tom, co je na papíře nasáno. Váš podpis může být vždy stejný, a například banky dokonce tvrdě vyžadují, aby vždy stejný byl (a srovnávají si jej s podpisovým vzorem, který jste jim poskytli). Stejně tak si můžete svůj podpis pod jedním dokumentem vystřihnout nůžkami, a příslušný kus papíru si třeba vyvěsit na nástěnku, a stále to bude váš vlastnoruční podpis, bez ohledu na to co jste jím původně podepisovali. V tomto smyslu tedy vlastnoruční podpis existuje sám o sobě.
Naproti tomu podpis elektronický sám o sobě neexistuje. Nemůžete si ho nikam vylepit jako v předchozím případě, protože ho nemůžete oddělit od toho, co jím je podepsáno. Elektronický podpis je totiž závislý i na tom, co podepisuje. Proto když jedna a tatáž osoba podepisuje dvě různé věci, její elektronický podpis bude pokaždé odlišný!! Právě kvůli této závislosti nelze elektronický podpis oddělit od toho, co podepisuje (a v tomto smyslu elektronický podpis neexistuje sám o sobě).
Této vlastnosti elektronického podpisu - tedy toho že je pokaždé jiný - lze úspěšně využít v praxi k něčemu, co klasický vlastnoruční podpis nedokáže. Pokud totiž někdo změní text, který je podepsán vlastnoručním podpisem, z podpisu jako takového se to nepozná (protože vlastnoruční podpis se s podepsaným textem nemění). V případě elektronického podpisu je tomu naopak - sebemenší změna toho, co je podepsáno, způsobuje i změnu samotného podpisu. Pokud by tedy někdo změnil sebemenší maličkost na již jednou podepsaném dokumentu, bude to okamžitě patrné. Odborníci říkají, že elektronický podpis tímto způsobem zajišťuje tzv. integritu podepsaného dokumentu.
Další velmi užitečnou vlastností elektronického podpisu je to, že neumožňuje nikomu při konfrontaci s podepsaným dokumentem říci něco jako: "já jsem nic takového nepodepsal, to musí být podvrh". V případě elektronického podpisu totiž lze věrohodně prokázat, že podpis nemohl vytvořit nikdo jiný - takže autor nemůže své autorství později popřít (jde o tzv. nepopiratelnost el. podpisu).
K čemu je elektronický podpis dobrý?
Možné způsoby využití elektronického podpisu vyplývají již z jeho právě popsaných vlastností: kdykoli máte někde nějaký text či cokoli jiného v "počítačové podobě" (tj. v digitální podobě), a potřebujete to někomu poslat, předat, přenést či jinou formou zpřístupnit, můžete to opatřit svým elektronickým podpisem. Příjemce pak bude mít jistotu, že to co dostal skutečně pochází od vás, že to po cestě (při přenosu) nebylo změněno, a také to, že nebudete moci popřít, že to pochází od vás.
Zkusme si to představit na několika konkrétních příkladech. Prvním bude elektronická pošta - dnes je poměrně jednoduché zfalšovat údaj odesilateli, takže z pohledu příjemce se vaše zpráva může tvářit jako kdyby ji odeslal někdo jiný. Je například velmi snadné poslat někomu zprávu která se tváří jako kdyby jejím odesilatelem byl například ježíšek, Čert nebo děda Mráz. V případě elektronické zprávy opatřené elektronickým podpisem odesilatele k něčemu takovému dojít nemůže, a příjemce má jistotu od koho zpráva pochází (a k tomu navíc jistotu integrity, tedy nezměněného tvaru zprávy, a jistotu nepopiratelnost - ví že se autor nebude moci od původu své zprávy distancovat).
Dalším významným příkladem je podepisování WWW stránek. Když dnes čtete na Internetu informace od nejrůznějších subjektů, kde máte jistotu, že jsou skutečně pravdivé a vy se o ně můžete tzv. "opřít"? Tuto jistotu vám nedá ani elektronický podpis, ale přesto vám v jedné věci pomůže - dá vám jistotu, že příslušné informace skutečně pochází od toho, kdo se vydává za jejich autora. Na Internetu totiž může v zásadě kdokoli publikovat jakékoli informace, a může se přitom vydávat za někoho jiného než kým skutečně. Elektronický podpis však umožní podepisovat i obsah WWW stránek, a jejich čtenář tudíž bude mít jistotu od koho pochází. Najdete-li pak na Internetu například podmínky výběrového řízení, podepsané ministerstvem XY., budete se moci spolehnout na to, že skutečně pochází od příslušného ministerstva a ne od vaší konkurence, která je zvědava na podrobnosti vaší nabídky do neexistujícího výběrového řízení.
Klasickým příkladem využití elektronického podpisu, které je velmi často citováno v médiích, je podávání daňového přiznání v elektronické formě. Tedy možnost nevyplňovat papírové formuláře, ale přijít na berňák s disketou, nebo dokonce daňové přiznání poslat elektronickou poštou a ušetřit si stresující návštěvu místa, kam chodí rád jen málokdo. Ovšem i opatrný berňák musí mít jistotu, že daňové přiznání pochází skutečně od vás, že se při přenosu nepoškodilo (nezměnilo), a že vy jako osoba přiznání podávající nebudete moci své přiznání později popřít. Toto vše dokáže zabezpečit elektronický podpis, a samozřejmě nejen pro daňové přiznání - stejně je tomu s celou bohatou škálou možných komunikací mezi občanem a státní správou i samosprávou (a samozřejmě se to týká i soukromé sféry, například komunikace mezi firmami atd.).
Je zapotřebí zákon?
Na příkladu podávání daňového přiznání elektronickou cestou lze názorně vysvětlit jednu velmi důležitou věc. Elektronický podpis a jeho použití totiž musí mít oporu v zákoně - jinak vám jej berňák i další orgány veřejné správy odmítnou uznat. Cestou zákona je proto třeba definovat, jaké náležitosti musí elektronický podpis mít, aby splňoval vše, co jsme mu při jeho popisu přisuzovali (zejména: identifikaci podepsané osoby, integritu zprávy a její nepopiratelnost). Dále musí takovýto zákon udělit elektronickému podpisu stejný statut jako podpisu vlastnoručnímu - musí stanovit, za jakých podmínek lze považovat dokument opatřený elektronickým podpisem za podepsaný. Ani to však ještě nestačí k tomu, aby elektronicky podepsané dokumenty byly skutečně ekvivalentní vlastnoručně podepsaným dokumentům v papírové podobě a měli s nimi "rovnoprávné" postavení. Některé zákony totiž explicitně vyžadují ke konkrétním úkonům resp. účelům papírovou formu a vlastnoruční podpis. Do takovýchto zákonů je třeba udělat, pokud je to vůbec možné resp. žádoucí, explicitní "vsuvku" ve smyslu "a připouští se také podpis elektronický".
Návrh zákona o elektronickém podpisu je v současné době projednáván v Parlamentu ČR - v Poslanecké sněmovně se chystá jeho druhé čtení.
Je zapotřebí ověřovatel?
Velmi významnou vlastností elektronického podpisu, o které jsme se dosud nezmiňovali, je to že nepotřebuje žádného formálního a shůry posvěceného ověřovatele své pravosti. K tomu, aby někdo mohl vynést verdikt ve smyslu: "ano, tento podpis skutečně pochází od osoby XY a to co bylo podepsáno se nezměnilo", nebo verdikt opačný (podpis nepatří tomu kdo se vydává za autora, nebo došlo ke změně), není zapotřebí žádné formální posvěcení či "glejt", oprávnění či cokoli jiného.
Pro elektronický podpis tedy nejsou zapotřebí žádní soudní znalci v oboru grafologie, aby zkoumali pravost podpisu (fakticky spíše jeho podobnost s jiným podpisem v roli vzoru). V případě elektronického podpisu totiž takovéto porovnání dokáže naprosto spolehlivě zajistit technologie - nepříliš náročný program, který může být součástí jiných programům, například programů pro práci s elektronickou poštou.
Co je ale kritickým místem, které musí být pečlivě ošetřeno, a to přímo v zákoně, je vystavení "podpisového vzoru", respektive jeho analogie pro elektronický podpis. Jestliže samotné porovnání elektronického podpisu s "podpisovým vzorem" je díky technologiím triviálním úkonem který může provést skutečně kdokoli (a tím si podpis ověřit), pak je třeba dát o to větší pozor na samotný "podpisový vzor" a na to, jakým způsobem bude svázán s identitou osoby, které má podpis patřit. Technologie dokáží spolehlivě a komukoli odpovědět na otázku, zda se konkrétní elektronický podpis shoduje s "podpisovým vzorem". Kde ale získat jistotu, komu "podpisový vzor" skutečně patří? Co kdyby nějaký podvodník někde získal "podpisový vzor" někoho jiného a vydává jej za svůj?
Tento problém řeší tzv. certifikáty, které si lze představit jako spojení "podpisového vzoru" s identitou konkrétní fyzické osoby, neboli jako doklad o tom, že konkrétní "podpisový vzor" patří konkrétní fyzické osobě. Takovýto doklad by v principu mohl vystavit kdokoli, ale to by celý problém neřešilo. Proto musí existovat určité subjekty, kterým bude možné věřit - budou mít takové postavení, resp. takovou autoritu, že jejich certifikáty bude možné akceptovat jako dostatečně věrohodné. Takovýmto subjektům se říká "certifikační autority", a jejich postavení a role musí mít oporu v zákoně. V praxi bude dokonce existovat celá hierarchie certifikačních autorit, které si budou navzájem poskytovat určité "zastřešení". Stejně tak bude existovat i širší škála certifikátů pro různé účely (a lišit se budou i v tom, kolik vydání certifikátu stojí).
Pro správné pochopení elektronických podpisů si na závěr ještě jednou zdůrazněme roli "ověřovatele": pořídit si certifikát (doklad o vztahu podpisového vzoru k identitě konkrétní osoby) je záležitostí, která se týká toho kdo podepisuje (vytváří elektronický podpis). Vlastník certifikátu by ve vlastním zájmu měl svůj certifikát zpřístupnit co možná nejširšímu okruhu osob - nejlépe jej vyvěsit na nějakém veřejně přístupném místě (například na Internetu), a stejně tak jej může přikládat ke všemu, co podepíše. Potom kdokoli, kdo se bude chtít ujistit o pravosti elektronického podpisu, tak bude moci učinit sám, pouhým porovnáním podpisu na přijatém či jinak získaném dokumentu s podpisovým vzorem na veřejně dostupném certifikátu. Fakticky toto porovnání budou dělat příslušné programy, a jejich verdikt bude zcela nezávislý na tom, kdo jim dal prvotní pokyn k provedení ověření. S elektronickým podpisem tedy nebude nutné utíkat za nějakým formálním "ověřovatelem", který by teprve posoudil jeho pravost (a byl jakousi elektronickou analogií notáře či grafologa). Bude si to moci snadno a rychle udělat každý sám, s výsledkem který bude nutně stejný, jako kdyby jej dělal kdokoli jiný a kdykoli později.
... výše uvedený text, rozsahu cca 14,2 KB, byl tím co jsem napsal. V deníku právo ve skutečnosi vyšel značně zkrácený text, v rozsahu cca 3,9 KB a s jiným názvem:
Elektronický podpis nám usnadní život
Svět internetu a moderních informačních technologií je pro mnoho lidí světem bez pravidel. Každý zde může v podstatě tvrdit, cokoli se mu zachce, vydávat se za někoho jiného, než kým skutečně je, či kdykoli popřít jakýkoli svůj čin s vědomím, že mu stejně nikdo nic nemůže dokázat.
V čem se ale liší tento elektronický svět od našeho tradičního světa bez internetu a počítačových sítí? Co třeba takový kus papíru? Na něj přece také můžete napsat, cokoli chcete, a pak to někomu podstrčit a tvrdit mu něco, co vůbec není pravda.
Rozdíl je zde v tom, že v případě papíru si lidé sami dobře uvědomují, že je to věc, na kterou skutečně kdokoli může napsat cokoli, a mají již vypracovány určité metody pro posuzování věrohodnosti toho, co je na papíře napsáno. Jde zejména o vlastnoruční podpis.
Rozumná míra jistoty
Vraťme se ale nyní zpět k internetu a obecněji k informačním a telekomunikačním technologiím. Ty jsou analogií papíru v tom smyslu, že také umožňují komukoli napsat či nakreslit nebo jinak vyjádřit v zásadě cokoli, a pak to zpřístupnit dalším lidem. Dokonce velmi mnoha lidem současně. Může jít například o obsah WWW stránky, kterou někdo vyvěsí na veřejném internetu. Nebo o zprávu zaslanou elektronickou poštou jednomu jedinému příjemci. V obou těchto případech, stejně tak jako v mnoha dalších, je nesmírně důležité, aby příjemce (adresát, čtenář, divák, či jak jej nazveme) měl rozumnou míru jistoty, že obsah, který přijal, je autentický. Přesněji, že skutečně pochází od autora.
Technologie jsou k mání
Zajímavé a nesmírně podstatné je to, že technologie, které by něco takového umožnily, jsou již delší dobu k dispozici. Použití elektronické podoby vlastnoručního podpisu - říkejme jí rovnou elektronický podpis - může být velmi jednoduché. Může být zredukováno na pouhé zmáčknutí jednoho jediného tlačítka nejspíše s nápisem "podepiš".
Stejně tak může být jednoduchá i ochrana proti tomu, aby zmíněný čudlík nezmáčkl za vás někdo nepovolaný. To se dá ošetřit různými opatřeními, mezi které patří například ochrana osobním PIN podobně jako při výběru z bankomatu, nebo nutností vložit osobní identifikační kartu do příslušného snímače. Kupříkladu jako u různých systémů pro otevírání dveří na kartu.
To musí být podvrh
Elektronický podpis je závislý i na tom, co podepisuje. Proto když jedna a tatáž osoba podepisuje dvě různé věci, její elektronický podpis bude pokaždé odlišný. Té to vlastnosti lze úspěšně využít v praxi k něčemu, co klasický vlastnoruční podpis nedokáže. Pokud by někdo změnil sebemenší maličkost na již jednou podepsaném dokumentu, bude to okamžitě patrné. Odborníci říkají, že elektronický podpis tímto způsobem zajišťuje tzv. integritu podepsaného dokumentu.
Další velmi užitečnou vlastností elektronického podpisu je to, že neumožňuje nikomu říci něco jako "já jsem nic takového nepodepsal, to musí být podvrh". V případě elektronického podpisu totiž lze věrohodně prokázat, že podpis nemohl vytvořit nikdo jiný. Autor nemůže své autorství později popřít. Jde v odborné terminologii o takzvanou nepopiratelnost elektronického podpisu.
Je zapotřebí zákon?
Na příkladu podávání daňového přiznání elektronickou cestou lze názorně vysvětlit jednu velmi důležitou věc. Elektronický podpis a jeho použití totiž musí mít oporu v zákonu. Jinak vám jej berňák i další orgány veřejné správy odmítnou uznat. Cestou zákona je proto třeba definovat, jaké náležitosti musí elektronický podpis mít, aby splňoval vše, co jsme mu při jeho popisu přisuzovali. Zejména: identifikaci podepsané osoby, integritu zprávy a její nepopiratelnost. Dále musí takovýto zákon udělit elektronickému podpisu stejný statut jako podpisu vlastnoručnímu. Musí stanovit, za jakých podmínek lze považovat dokument opatřený elektronickým podpisem za podepsaný.
Návrh zákona o elektronickém podpisu je v současné době projednáván v Parlamentu ČR - v Poslanecké sněmovně se chystá jeho druhé čtení.