Vyšlo na Lupě, 31.1.2012
Vytištěno z adresy: http://www.earchiv.cz/b12/b0131001.php3

Datové schránky na cestě k dlouhověkosti

Datové schránky mají novou funkčnost, nesprávně prezentovanou jako autorizaci datových zpráv. Ve skutečnosti jde o přidávání dalších časových razítek, s cílem prodloužit možnost ověření platnosti původní značky na datové zprávě.

Uvnitř datových schránek, a vlastně v celé státem nařízené elektronizaci od počátku tiká časovaná bomba. Týká se toho, jak udržet elektronické dokumenty (a také datové zprávy) „při životě“ i po delší časový úsek, tak aby zůstaly důvěryhodné a dalo se s nimi řádně pracovat.

Tento problém je obvykle prezentován tak, že elektronickým podpisům, značkám a časovým razítkům časem končí jejich platnost. Tak tomu ale není – co s časem končí, je naše schopnost ověřit a prokázat platnost podpisu, značky či razítka. Ale důsledek je v zásadě stejný: elektronické dokumenty, nebo jejich obálky (datové zprávy) přestávají být řádně použitelné. Pokud bychom je někomu chtěli předložit, protistrana nám je může plným právem odmítnout, protože už není možné provést všechny úkony, nutné k ověření platnosti jejich podpisu (značky, razítka).

Vyplývá to ostatně i ze zákona (konkrétní ustanovení): pokud by se protistrana spoléhala na podpis (značku, razítko), ale neprovedla všechny úkony potřebné k ověření jeho platnosti, případná škoda by šla za ní.

Abychom ale byli přesní: popisovaný problém nastává pouze tehdy, pokud včas neuděláme vhodná protiopatření, kterými prodloužíme možnost ověření (posuneme ji dále v čase). A právě k tomu slouží nová funkčnost, kterou si uplynulý víkend pořídily datové schránky, resp. informační systém datových schránek (ISDS).

Jak zajistit dlouhověkost elektronických dokumentů?

Přeskočme nyní to, jak dlouho trvalo, než byl celý popisovaný problém vůbec vzat na vědomí. Důležitější je spíše to, že ani dnes rozhodně nepanuje jednota v názoru na to, jak ho řešit.

Jednou „názorovou větví“ je nedělat nic, a spoléhat se na tzv. vyvratitelnou domněnku pravosti, zakotvenou v zákoně o archivnictví a spisové službě (zde). Tato domněnka  v zásadě říká, že dokument stačí jednou podepsat a opatřit časovým razítkem, a pak se lze na jeho pravost spoléhat libovolně dlouho – dokud ale někdo neprokáže opak.

Dovolím si konstatovat, že tato „názorová větev“ mezi autory datových schránek původně převažovala. Jakmile totiž byla připuštěna existence celého problému s časovým omezením, byla to nejjednodušší cesta, jak celý problém sprovodit ze světa bez toho, že by se něco muselo dělat. A tak se vzalo ono ustanovení (že stačí pouze jednorázově podepsat a opatřit razítkem), které ale bylo formulováno pouze pro prostředí důvěryhodných archivů -  a bylo „vyexportováno“  i mimo ně, jako univerzálně použitelné i tam, kde žádný důvěryhodný archiv není.

Jinými slovy se uživatelům datových schránek říkalo: o své datové zprávy (a o své elektronické dokumenty), obsažené v těchto zprávách, se nemusíte nijak aktivně starat. Můžete je nechat jen tak ležet. Viz třeba první „mýtus a omyl“ na následujícím obrázku.

Druhou „názorovou větví“, kterou si dovolím zastávat i já, je přesvědčení, že když nemám žádný důvěryhodný archiv, který by to udělal za mne, musím se o své elektronické dokumenty (i celé datové zprávy) postarat sám: sám přijmout taková opatření, která prodlouží možnost ověření jejich podpisů, značek a časových razítek.

ISDS nabízí možnost přidání časového razítka

Bez zacházení do technických detailů takováto opatření spočívají v přidávání posloupnosti časových razítek: chci-li prodloužit možnost ověření, musím přidat další časové razítko ještě dříve, než skončí možnost ověřit platnost předchozího razítka (resp. podpisu či značky).

Z praktického pohledu je důležité, že časové razítko může k podpisu, značce či k celému dokumentu přidat kdokoli, a ne pouze původce, resp. ten, kdo podpis, značku či celý dokument vytvořil. Může to tedy být i tak, že když dostanete skrze datovou schránku nějakou datovou zprávu, a v ní důležitý elektronický dokumentu, který budete potřebovat i někdy později (třeba za rok, dva apod.), můžete si k němu přidat časové razítko sami. Samozřejmě pokud víte jak na to, a máte k tomu potřebné nástroje. A také pokud máte uzavřenu smlouvu s „dodavatelem“ kvalifikovaných časových razítek, která nejsou zdarma (ale stojí v řádu 1 Kč za razítko).

Abyste to měli jednodušší, přichází nyní ISDS (informační systém datových schránek) s novou službou: pokud mu „předhodíte“ soubor ve formátu ZFO (tedy fakticky celou datovou zprávu), on nejprve zjistí, zda je další časové razítko zapotřebí, a pokud ano, přidá jej. Fakticky vám vytvoří nový soubor ve formátu ZFO, do jehož názvu zakóduje i to, jak dlouho vám „vydrží“ (ve smyslu: do kdy se prodlouží možnost ověření značky na datové zprávě).

Dnes je možnost ověření u všech zpráv prodlužována do 23.5.2014, protože právě k tomuto datu končí platnost certifikátu, na kterém je založeno dnes přidávané časové razítko (od CA PostSignum).

K čemu je to dobré?

Nové zprovozněná funkčnost datových schránek, spočívající v popsané možnosti přidání časového razítka, je prezentována jako autorizace. A to i na informačním webu datových schránek.

To ale není správný termín, protože „autorizace“ nesouvisí s autorstvím zprávy či dokumentu (a tím s jejím podepisováním a platností podpisu). Týká se autority, neboli oprávnění k nějaké činnosti či úkonu. Typicky se nějaký uživatel autorizuje k tomu či onomu úkonu, resp. činnosti. Zde jde o něco jiného.

Ale terminologie asi není to nejpodstatnější. Důležitější je jiná otázka: k čemu je to vše dobré?

Odpověď na tuto otázku je ale vlastně jednoduchá: řeší se tím výše popsaný problém „dlouhověkosti“ elektronických dokumentů. Jenže: nově spuštěná „autorizace“ (pokud se přidržíme tohoto nesprávně aplikovaného termínu) se týká celých datových zpráv, a nikoli jednotlivých dokumentů, které jsou v nich obsaženy (jako v obálce).

Vlastně tedy dostáváme do rukou nástroj, který prodlužuje životnost (možnost ověření) obálek, ale nikoli jejich obsahu. A to je rozdíl, na který stále narazíme třeba na CzechPointu, když přijdeme se žádostí o autorizovanou konverzi nějakého elektronického dokumentu. Pokud jeho podpis již nejde ověřit (jako platný), již nám jej nezkonvertují – ani kdybychom ho přinesli zabalený do takové datové zprávy, jejíž značka se ještě dá ověřit jako platná.

Nepomůže nám ani  odkaz na zmatení v hlavách autorů zákona č. 300/2008 Sb., který řeší autorizovanou konverzi, a který na jednom místě klade mezi dokumenty a datové zprávy rovnítko (§19: dokumenty mají formu datové zprávy), a na jiném místě říká, že dokumenty se vkládají do datových zpráv jako do obálky (např. §22: konvertuje se dokument obsažený v datové zprávě).

Určité řešení tohoto problému je ale na obzoru: v brzké době (možná do měsíce) by prý CzechPointy při žádostech o konverzi elektronických dokumentů měly umět brát ohled i na jejich obálku (na datovou zprávu) a na to, zda se značka na obálce ještě dá ověřit jako platná. Pokud ano, pak by CzechPoint měl zkonvertovat (do listinné podoby) i takové dokumenty zevnitř datové zprávy, jejichž podpisy se již nedají ověřit jako platné (z důvodu expirace certifikátu).

Jak asi správně tušíte, právě k tomu bude využita nová a zde popisovaná služba, nesprávně inzerovaná jako autorizace. Díky ní si můžete prodloužit dobu, po kterou lze ověřit značku na datové zprávě, a díky tomu půjdou konvertovat i „starší“ elektronické dokumenty, obsažené v datové zprávě.

Čas běží!!!!

Možná vás v tuto chvíli napadne, proč si novou „autorizaci“ neudělá Czech Point sám, když k němu přijdete s nějakou datovou zprávou – proč si na ní nenechá přidat časové razítko?

Odpověď je jednoduchá: mohl by, pokud není pozdě. Důležité je totiž to, aby se neporušila časová sekvence: nově časové razítko musíte přidat na datovou zprávu ještě v době, kdy stále ještě lze ověřit  platnost značky či předchozího časového razítka. Později už to nejde. Nebo, přesněji: jde to, ale už je to k ničemu, protože už to nepřinese požadovaný efekt.

Mohlo by se tedy stát, že vašemu exempláři datové zprávy nenávratně skončí možnost jejího „prodloužení“ ještě dříve, než s ní zajdete na CzechPoint. Což dnes reálně hrozí u nejstarších datových zpráv, které procházely skrze datové schránky, a byly opatřovány časovým razítkem, založeným na certifikátu s platností do června letošního roku. Viz obrázek.

Pokud dnes přidáte nové časové razítko, pomocí popisované služby, posunete tím možnost ověření až do již zmiňovaného data 23.5.2014. Ještě před tímto datem pak budete muset vše opakovat.

Jak přesně nová „autorizace“ funguje?

Pojďme se nyní podívat trochu detailněji na to, jak nová „autorizace“ funguje.

Obecný postup, tak jak jsem si jej vydedukoval z analyzovaných příkladů, by měl být následující:

  • nejprve je odstraněna původní časová značka
  • pak je připojena nová časová značka, a s ní i nové časové razítko

Výsledek tohoto obecného postupu se ale ještě liší podle toho, zda jde o „starší“ či „novější“ datovou zprávu (resp. starší či novější verzi formátu ZFO): v případě novější verze je připojována značka a razítko v novějším formátu dle CAdES-T, resp. CAdES-A, zatímco u starších verzí jde o dosavadní formáty. Rozdíl by byl na delší povídání, a t si raději nechme na samostatný článek.

V případě „novější“ datové zprávy, ke které je přidávána nová značka již ve formátu CAdES, nabízí nová verze 602XML Filleru podrobnější výpis informací o ověření, který vidíte na následujícím obrázku. Povšimněte si na něm:

  • samotné elektronické značky (prezentované jednou jako značka, podruhé jako podpis)
  • původního časového razítka ze dne 29.11.2011 (prezentováno jako CAdES-T)
  • nového časového razítka ze dne 29.1.2012 (okamžik provedení „autorizace“, prezentováno jako CAdES-A)

V případě "starších" datových zpráv (konkrétně před polovinou dubna 2010) jsou v rámci "autorizace" přidávány značky a razítka ještě v původních formátech, a tomu odpovídají i informace, které o nich zobrazuje 602 Form Filler, jak ukazuje následující obrázek. I na něm je vidět původní časové razítko (zvýrazněno modře), nová elektronická značka (zeleně) a nové časové razítko z okamžiku "autorizace" (červeně).