Elektronický podpis na rozcestí

Česká republika potřebuje vyřešit „dlouhověkost“ elektronických podpisů. Vydá se cestou rozšířených elektronických podpisů a transpozice unijních předpisů, nebo cestou dynamických biometrických podpisů?

Elektronické podpisy se (nejen v ČR) používají již delší dobu, a v některých oblastech zcela rutinně. Přesto některé jejich důležité aspekty stále nejsou uspokojivě vyřešeny. Zejména pak to, jak spolehlivě ověřovat platnost elektronických podpisů po delší době – třeba po několika letech, či dokonce desetiletích.

Není tedy stále vyřešeno to, co si s trochou nadsázky dovolím označit jako „dlouhověkost“ elektronických podpisů. Někdy se ale ve stejném kontextu lze setkat i s jinými pojmy, jako třeba „digitální kontinuita“, a to hlavně v kontextu samotných elektronických dokumentů a jejich použitelnosti.

Pravdou je, že původní tuzemská právní úprava elektronického podpisu, pocházející ještě z přelomu milénia, na „dlouhověkost“ (digitální kontinuitu) nepamatuje. Možná i proto, že v uvedené době byly elektronické podpisy chápány spíše jako nástroje sloužící potřebám jednorázových, resp. krátkodobých transakcí, a tak se moc nemyslelo na to, „co s nimi“ po delším čase. Určité zlepšení následně přineslo zavedení časových razítek, které poněkud prodloužilo „trvanlivost“ elektronických podpisů – ale samotný problém také nevyřešilo.

Celý problém s nevyřešenou „dlouhověkostí“ elektronických podpisů mezitím latentně dřímal, aniž by někoho příliš trápil. Ovšem jen do poloviny roku 2009, kdy náhle eskaloval v důsledku povinného přechodu k elektronickým dokumentům (v důsledku spuštění datových schránek a doručování již jen v elektronické formě).

Jenže ani pak, kdy už elektronicky podepsané elektronické dokumenty začaly zaplavovat všechny orgány veřejné moci, ale třeba také všechny právnické osoby (kterým je také povinně doručováno v elektronické podobě), se o existenci celého problému příliš nemluvilo. Z mého pohledu to dokonce vypadalo, jako kdyby se celý problém nějak záměrně ututlával a bagatelizoval. Či přímo aktivně negoval tvrzením, že vůbec neexistuje.

Jenže takovýto „pštrosí“ přístup (strkání hlavy do písku před problémem) není dlouhodobě udržitelný. A to hlavně díky samotným držitelům elektronických dokumentů, kteří na vlastní kůži pociťují dopady problému: mají v rukou dokumenty, které již nejdou autorizovaně konvertovat, a které od nich druhá strana odmítá akceptovat. A to právem, s odkazem na ustanovení §5/2 zákona č. 227/2000 Sb., o elektronickém podpisu, které příjemci ukládá provést veškeré úkony potřebné k ověření platnosti elektronického podpisu na dokumentu (protože jinak padá odpovědnost za případnou škodu na něj). Ovšem právě takovéto ověření po delší době – obvykle nejpozději po jednom roce - přestává být možné.

Na obzoru jsou změny

Dnes už se situace naštěstí mění. Problematikou digitální kontinuity se podle vyjádření svého výkonného tajemníka (náměstka MF ČR Zdeňka Zajíčka) hodlá zabývat nově resuscitovaná Rada vlády pro informační společnost (dnes už: Rada vlády pro konkurenceschopnost a informační společnost). Stejně tak se na problematiku dlouhodobé použitelnosti elektronických dokumentů prý chce zaměřit i připravovaná novela zákona č. 499/2004 Sb. o archivnictví.

Obě tyto aktivity by přitom mohly mít notně ušetřenou práci, protože problematika „dlouhověkosti“ pochopitelně netrápí pouze ČR. Řeší se mj. i na úrovni EU, a to způsobem, který vychází z konceptu elektronických podpisů s prodlouženou možností ověřování (LTV, Long Term Validation) a z jeho implementace formou tzv. rozšířených elektronických podpisů (Advanced Electronic Signatures). Tyto rozšířené elektronické podpisy jsou již pokryty řádnými standardy, a jejich praktické naplnění (zavedení do legislativy i běžné praxe) nyní požaduje i Rozhodnutí Komise č. 2011/130/EU (z února 2011). Pro ČR, coby členskou zemi EU, je transpozice tohoto rozhodnutí povinná, a to do 1. srpna 2011.

Jenže celá věc by se mohla vyvinout i jinak, poněkud „specifickým“ směrem. V tuzemsku se totiž začínají objevovat snahy prosadit do našeho právního řádu zcela jiný druh elektronických podpisů, obvykle označovaných jako „dynamické biometrické podpisy“, ale někdy také jako „bezpečné digitální podpisy“ či jen „viditelné podpisy“. Ty již mají i svůj „lobbystický“ web, a jejich propagace formou prezentací se začínají čím dál tím častěji objevovat i na nejrůznějších odborných konferencích. Zde  je například příspěvek z V. konference ČIMIB, který tuto variantu prezentuje jako „bezpečné digitální podpisy“, a zde příspěvek z nedávné konference Dataschránky 2011, který již hovoří o biometrických podpisech a vyznívá tak, že jejich používání  je v ČR už skoro na spadnutí. Což naznačovala i pozvánka na tuto konferenci:

Do českého právního řádu míří nový způsob podepisování dokumentů pomocí dynamického biometrického podpisu. Ten by mohl vyřešit problémy spojené s méně praktickými certifikáty a jejich omezenou platností. Stane se součástí českého e-governmentu? A jak jej můžeme používat v soukromoprávním styku?

Musíme vůbec něco dělat?

Na první pohled by se tedy mohlo zdát, že máme na výběr dvě možnosti: postupovat stejně jako v zahraničí, čili vydat se cestou již etablovaných technologií (rozšířených elektronických podpisů, jak to po nás ostatně požaduje i EU), nebo zvolit dosud nepříliš probádanou cestu technologií dynamického biometrického podpisu.

Alespoň podle mého názoru bychom na druhé z těchto cest byli sice lídry a průkopníky, podobně jako u datových schránek, ale moc daleko bychom se nedostali. Tedy alespoň pokud jde o řešení problému „dlouhověkosti“. Ale k tomu až dále.

Nejprve si ale řekněme, že na stole je ještě jedna, o to více „specificky česká“ varianta řešení celého problému. Ta spočívá v názoru, že celý problém s „dlouhověkostí“, resp. s digitální kontinuitou jsme již uspokojivě vyřešili a tudíž nemusíme nic dalšího dělat.

Tento názor se opírá o poslední novelu zákona č. 499/2004 Sb. o archivnictví a spisové službě, která nabyla účinnosti se spuštěním datových schránek (1.7.2009), a která do našeho právního řádu zavedla tzv. vyvratitelnou domněnku pravosti.

Sám jsem tuto domněnku ve svých článcích opakovaně kritizoval, z různých pohledů. Ale sebekriticky musím přiznat, že teprve nepříliš dávno mi došla její skutečná podstata a důvod jejího vzniku. Mám-li tedy říci svůj názor zcela na rovinu, pak jde o důsledek chyby legislativců: když se chystalo spuštění datových schránek, a s nimi i povinný přechod na používání elektronických dokumentů, legislativcům správně došlo, že vznikne problém právě s jejich „digitální kontinuitou“. Jenže už si nesprávně vyložili, čím bude tento problém způsoben: domnívali se, že platnost elektronického podpisu je omezena v čase, a to kvůli uměle omezené platnosti podpisových certifikátů.

A tak legislativci řešili problém: co dál s takovým elektronickým dokumentem, kterému již skončila platnost jeho (původně platného) elektronického podpisu. Řešení našli právě ve zmiňované „domněnce pravosti“, která v zásadě říká: „na takovýto dokument se nadále můžeme dívat jako na pravý“. Pro jistotu si ale nechali otevřená zadní vrátka, když celou domněnku pravosti formulovali jako „vyvratitelnou“: možnost dívat se na elektronický dokument jako na pravý je možná jen do té doby, dokud se neprokáže opak. Což se prý dá snadno prokázat podle „digitálních stop“, které má každý elektronický dokument údajně zanechávat v hojné míře.

Pokud by toto byla pravda, pak bychom skutečně nemuseli nic dělat. Nejen že bychom nemuseli přijímat nějaká specifická opatření na podporu digitální kontinuity elektronických dokumentů, ale dokonce bychom se nemuseli nijak specificky starat o své dokumenty, aby zůstaly i nadále použitelné. Nemuseli  bychom své dokumenty ani přepodepisovat ani přerazítkovávat (opatřovat časovými razítky), viz doporučení z této prezentace (slide 10), ani usilovat o zachování revokačních informací atd. Vlastně bychom své dokumenty mohli nechat jen tak někde ležet, a v případě potřeby jejich použití bychom se jednoduše spolehli na uvedenou domněnku.

Tedy: pokud by nás mezitím nepředběhl někdo jiný, kdo by za pravý vydával nějaký „jiný“ dokument, vydávající se za ten náš - a naopak my bychom museli prokazovat, že onen „jiný“ dokument je podvrhem. A jeho autor zrovna (jako naschvál) kolem něj vytvořil tolik oněch „digitálních stop“, aby  každý náš pokus o prokázání nepravosti hravě smetl ze stolu.

Čím je problém způsoben?

Zpět ale k podstatě celé vyvratitelné domněnky pravosti: pokud bychom si odmysleli její nebezpečnost (v tom, že nahrává podvrhům a nenabádá k aktivní péči o elektronické dokumenty), pak bychom ji mohli považovat za jinak logické řešení problému s tím, že elektronické podpisy ztrácí svou platnost.

Jenže, a to je právě to podstatné, v čem legislativci udělali chybu: tento problém v praxi nenastává. Náš právní řád totiž nezná nic jako „podpis na dobu určitou“, resp. možnost omezení platnosti samotného podpisu v čase. A to pro žádný druh podpisu – ať již vlastnoruční („na papíře“, resp. na listinném dokumentu), či podpis elektronický (či značku atd.).

Nepleťme si to s právními úkony, které jsou podpisem stvrzeny, protože ty mohou být různě časově omezeny, a lze je dokonce i revokovat (vzít zpět, zneplatnit). Ale u samotného podpisu to nejde. Zde nemůžete říci něco jako: „tento podpis byl můj, ale teď už můj není“. Jakmile je jednou vaším podpisem, je jím napořád.

Celý problém kolem dlouhověkosti elektronických podpisů totiž spočívá v něčem úplně jiném: v tom, že je omezována naše schopnost ověřit (a prokázat) platnost podpisu. A to je skutečně něco jiného, než platnost podpisu jako takového: ten může být platný, i když už nejsme schopni ověřit jeho platnost. Nebo, viděno z opačného pohledu: to, že nejsme schopni ověřit platnost nějakého konkrétního elektronického podpisu, nás ještě neopravňuje k tomu, abychom jej mohli prohlásit za neplatný. Chcete-li názornější a podrobněji rozvedený příklad, najdete ho zde.

Obecně přitom platí, že „ověřování“ je činnost, zatímco „platný“ a „neplatný“ jsou stavy elektronického podpisu: naše činnost, spočívající v ověřování platnosti podpisu, může skončit konstatováním, že „podpis je platný“. To když jsme splněny všechny (nutné) podmínky pro platnost podpisu, a my jsme schopni je všechny vyhodnotit. Nebo tato naše činnost (ověřování) může skončit konstatováním, že podpis je neplatný – pokud jsme schopni prokázat splnění alespoň jedné (postačující) podmínky pro neplatnost podpisu. Ve všech ostatních případech ale naše činnost (ověřování) končí pouze konstatováním „nevíme“, resp. že nejsme schopni zjistit stav platnosti elektronického podpisu. Což je třetí možnost, kterou si nesmíme plést s prvními dvěma (platností a neplatností podpisu). Podrobněji viz zde.

Jak to řeší koncept LTV?

Nyní, když už známe skutečnou příčinu problémů s „dlouhověkostí“ elektronických podpisů, si již můžeme naznačit alespoň základní princip jeho řešení, na bázi konceptu LTV (Long Term Validation). Ten je dnes rozpracován právě skrze rozšířené elektronické podpisy (AdES, Advanced Electronic Signatures),  jejichž implementaci po nás požaduje výše zmiňované rozhodnutí Evropské komise.

Řečeno opravdu jednoduše je celé řešení založeno na tom, že již v době kolem vytváření samotného podpisu je k němu „přibaleno“ vše, co bude později potřeba k ověření platnosti podpisu. Tedy nejen ten certifikát, na kterém je samotný elektronický podpis založen, ale také všechny jemu nadřazené certifikáty, časová razítka a s nimi spojené certifikáty. A stejně tak všechny „revokační informace“ (dnes CRL seznamy), které umožňují prokázat, že v době vzniku podpisu nebyl žádný z certifikátů předčasně zneplatněn (revokován).

Výsledný „balíček“ pak ještě musí být vhodně „zafixován“, tak aby ani někdy později nemohl nikdo nahradit původně vložené informace (ať již samotný dokument, či certifikáty nebo revokační informace) nějakým podvrhem, který by následně ovlivnit výsledek ověření platnosti podpisu, prováděného i po delší době. Vše naznačuje následující obrázek.

Podrobnější popis problematiky AdES podpisů by byl nejméně na samostatný článek. Zájemce si proto dovolím odkázat na relevantní pasáže své knihy o elektronickém podpisu. Zde si alespoň naznačme, že existují konkrétní standardy popisující jak aplikovat rozšířené elektronické podpisy na obecné dokumenty (CAdES), XML dokumenty (XAdES) a PDF dokumenty (PAdES), a že tyto standardy definují různé úrovně, profily či třídy – a ty se liší v tom, jaký rozsah informací pro potřeby pozdějšího ověření se k podpisu přikládá.

Z pohledu praxe je zajímavé a podstatné, že standard PAdES již podporují produkty Adobe (nejnovější verze X včetně tzv. archivních časových razítek, podrobněji), a standard XAdES je zase podporován v MS Office verze 2010 (bohužel bez archivních časových razítek, podrobněji).

No a výše zmiňované Rozhodnutí Komise č. 2011/130/EU nám v zásadě říká, co a jak ze standardů CAdES, XAdES a PAdES máme implementovat.

Jak fungují biometrické podpisy

Pojďme si na závěr ještě alespoň naznačit, jak fungují biometrické podpisy, resp. dynamické biometrické podpisy, a kde jsou jejich problematická místa.

Začít můžeme přirovnáním ke klasickému podpisu a podpisovému vzoru, který si uchovává třeba vaše banka: když budete na přepážce požadovat nějaký úkon, nechá vás banka podepsat se, a pak si váš podpis porovná s vaším podpisovým vzorem. Ten jste jí museli poskytnout někdy dříve, a banka si pak pokaždé porovná aktuální podpis s podpisovým vzorem.

U klasického (vlastnoručního) podpisu se přitom nezkoumá, jak rychle táhnete perem, jak na něj tlačíte, pod jakým úhlem ho držíte atd. Nic z toho není ani vyhodnocováno, ani to není součástí podpisového vzoru. Takže se vlastně zkoumá pouze míra podobnosti výsledných křivek (nově vytvořeného podpisu a podpisového vzoru): pokud je tato míra podobnosti dostatečně vysoká, banka to vyhodnotí jako váš podpis. Pokud je míra podobnosti příliš nízká, máte smůlu, protože banka odmítne považovat vámi vyprodukovanou křivku za váš platný podpis.  Onu „míru podobnosti“ si přitom banka stanoví sama.

V případě dynamického biometrického podpisu je to v principu stejné. Rozdíl je opravdu jen v tom, že podpisový vzor obsahuje také informace o „dynamice“ vašeho podpisu (jak rychle jste psali, jak jste přitom drželi pero atd.). Při hodnocení míry shody je pak tato dynamika pochopitelně také brána v úvahu.

Jinak je opravdu vše stejné: někdo musí mít váš (dynamický biometrický) podpisový vzor, a také stanovovat hranici pro „míru podobnosti“. Jen asi vše může být exaktnější, díky možnosti přesnějšího snímání biometrických charakteristik a vyhodnocování jejich shody s podpisovým vzorem.

Problematické aspekty biometrických podpisů

Prvním kamenem úrazu je tedy nutnost existence podpisových vzorů: někdo musí mít ve své databázi váš (biometrický) podpis. Musí být dostatečně důvěryhodný, protože pokud by se choval nekorektně, mohl by se vaším jménem podepisovat prakticky libovolně.

Představu těch, kteří dynamické biometrické podpisy prosazují, naznačuje následující slide z prezentace na konferenci Dataschránky 2011:

Připomeňme si, že u „klasického“ elektronického podpisu (založeného na certifikátu a asymetrické kryptografii)  by analogií pro podpisový vzor musel být soukromý klíč, který ale podepisující osoba vůbec „nedává z ruky“. Zde naopak svůj podpisový vzor někomu musí svěřit.

Dalším kamenem úrazu je samotné podepisování „na obrazovku“ a nikoli na papír: schválně se zkuste sami podepsat na nějaký dotykový displej. Výsledek nejspíše bude zcela odlišný od vašeho podpisu, tak jak jste zvyklí jej vytvářet na papíře.

Pravdou je, že pro „biometrické podepisování“ nejspíše budou používány speciální tablety se stylusy (tužkami), které jsou správně nakalibrované, a že varianta s běžnými tablety či smartphone bude jen nouzovou náhražkou. Jenže speciální tablety pro podepisování přeci jen něco stojí. Asi se vyplatí je koupit na všechny přepážky nějaké banky, ale budou si je lidé kupovat domů, aby se na nich mohli podepisovat třeba pro účely internetbankingu? Již dnes mnozí lidé lamentují, jak drahý je pro ně certifikát, a jak moc to brání širšímu používání (klasického) elektronického podpisu. Zde bychom si dražší zařízení pořizovali ochotněji?

Na druhé straně je pravdou, že dynamické biometrické podpisy samy o sobě nemusí trpět obdobným problémem omezené „dlouhověkosti“, jako klasické elektronické podpisy. Budou trpět jiným „věkovým problémem“, související se změnou motoriky fyzických osob při jejich stárnutí – ale to prý moderní algoritmy vyhodnocování míry podobnosti s podpisovým vzorem dokáží zohlednit a vyrovnat se s tím.

Jenže: jak této „délevěkosti“ dynamických biometrických podpisů využít pro potřeby podepisování elektronických dokumentů? Tady totiž narazíme na jiný zásadní problém: biometrické podpisy existují „samy o sobě“ a nezávisí na podepsaném dokumentu. V principu by tedy šlo je „odnímat“ z již podepsaných dokumentů a připojovat k jiným dokumentů v roli jejich podpisů - což je samozřejmě nežádoucí a je třeba tomu zabránit stůj co stůj.

Pro praktické využití biometrických podpisů k podepisování elektronických dokumentů proto potřebujeme nějakou „dostatečně spolehlivou a pevnou“ vazbu mezi samotným podpisem a dokumentem. Takovou, kterou by nešlo zpřetrhat, a která okamžitě odhalí jakoukoli manipulaci (změnu dokumentu či samotného podpisu).

Možností, jak toto udělat, je samozřejmě více, a různé firmy (jako třeba xyzmo,  signotec) již nabízí určitá řešení. V zásadě ale všechna staví na standardních postupech, využívajících možností asymetrické kryptografie. Jinými slovy: k podepisovanému dokumentu připojí získaná biometrická data (dynamický biometrický podpis), a výsledný celek podepíší svým elektronickým podpisem.

Čímž jsme se ale dostali „z bláta do louže“: abychom vyřešili problém s „dlouhověkostí“  klasických elektronických podpisů, použili jsme řešení, které má přesně stejný problém. Navíc jsme si přidělali práci s nutností vyhodnocovat samotný biometrický podpis (vůči podpisovému vzoru), a vytvořili další možnost potenciálního ohrožení celého systému (možnost zneužití databáze podpisových vzorů).

Pokud si chcete sami vyzkoušet svůj biometrický podpis (bez existence podpisového vzoru a možnosti ověřování), můžete využít tuto aplikaci od společnosti xyzmo. Je k dispozici zdarma, pro iPady a tablety s Androidem, a funguje následovně: otevřete si v ní nějaký dokument, a na ten „namalujete“ svůj podpis. Výsledek (samotný dokument a  váš podpis) je pak odeslán na server společnosti xyzmo, kde je podpis vložen do PDF dokumentu a ten je podepsán touto firmou (jejím elektronickým podpisem, u nás by to byla spíše elektronická značka).

Pokud nechcete sami experimentovat s tvorbou takovéhoto podpisu, zde si můžete stáhnout příklad PDF dokumentu s mým (biometrickým) podpisem. Předem ale zdůrazňuji, že na  displeji iPadu se mi ani zdaleka nepodařilo napodobit svůj skutečný podpis.

Pokud by to vše ale mělo být „doopravdy“ a ne jen na testování, nejspíše by to muselo fungovat jinak. Například  váš biometrický podpis by musel „cestovat“ k někomu, komu důvěřujete, že jej připojí pouze k vámi podepisovanému dokumentu a ne k nějakému dalšímu dokumentu. Také přidání samotného biometrického podpisu přímo do PDF dokumentu by asi muselo být složitější, protože takto (v rámci testování) jde zřejmě jen o klasický viditelný elektronický podpis na PDF dokumentu, jehož „viditelnou část“ může představovat jakýkoli obrázek. Třeba nějaká ikona, animovaný obrázek, fotka podepisující osoby – nebo (jako zde) obrázek vlastnoručního podpisu.