Jak na digitální kontinuitu(4): pečujeme aktivně o starší dokumenty a datové zprávy
V klientském portálu datových schránek je zabudován (zdarma fungující) nástroj pro udržování aktuální digitální kontinuity datových zpráv, cestou jejich přerazítkovávání. Dnes umožňuje přerazítkovat zprávy stažené před 16.4.2011 nebo po 3.8.2017. A jak fungují kvalifikované služby pro uchovávání kvalifikovaných elektronických podpisů a pečetí přímo na dokumentech?
V předchozích dílech tohoto seriálu jsme si popisovali, že při řešení problému „stárnutí“ elektronických dokumentů můžeme usilovat o jejich aktuální digitální kontinuitu. Tedy o to, aby se i se staršími dokumenty dalo pracovat stejně jako s těmi „čerstvými“, pomocí stejných a běžně používaných postupů a nástrojů či služeb. Nebo nemusíme být až tak nároční a můžeme si vystačit jen s jejich potenciální digitální kontinuitou. Tedy s tím, že se vlastnosti starších elektronických dokumentů dají prokázat alespoň „nějak“. Třeba cestou expertního zkoumání znalcem, například při nějakém sporu.
V minulém dílu jsme si již začali popisovat, jak se toho dá dosáhnout. A opět jsme si nastínili dvě základní možnosti: princip externího dosvědčení, kdy elektronické dokumenty potřebují k prokázání svých vlastností „něco dalšího“, co není jejich součástí. Nejčastěji vhodnou digitální stopu, například v podobě tzv. transakčního protokolu, ze které lze dovodit vlastnosti dokumentu. Vesměs se přitom jednalo jen o dosažení potenciální digitální kontinuity.
Dnes se již dostaneme ke druhé možnosti, kterou je aktivní péče o „starší“ elektronické dokumenty či datové zprávy. Jejím cílem může být jak dosažení aktuální digitální kontinuity, tak i jen té potenciální. Začneme zmínkou o existenci standardů a nastíněním toho, co jsou a jak fungují (kvalifikované) služby pro dlouhodobé uchovávání. Pak si ukážeme, že v klientském portálu datových schránek je zabudován jednoduchý nástroj pro onu „aktivní péči“ o datové zprávy.
Uchovávání vs. archivace
Nejprve bychom si ale měli vysvětlit rozdíl mezi dvěma pojmy: uchovávání a archivace, a to v kontextu unijního nařízení eIDAS. Protože toto nařízení počítá s existencí kvalifikovaných služeb pro dlouhodobé uchovávání a takové služby již reálně existují, viz dále.
Připravovaná revize nařízení (neformálně: eIDAS 2.0) pak chce zavést i kvalifikované služby pro archivaci.
Pojem „uchovávání“ je ale nepříliš vhodný český překlad anglického „preservation“. Svádí totiž k interpretaci ve smyslu pouhého uložení, při kterém se s tím, co je uloženo, zcela záměrně nic nedělá. Vhodnější překlad by zde byl spíše ve smyslu „udržování“, protože skutečně jde o průběžné udržování určitých vlastností (možnosti ověřit platnost podpisů a pečetí). A k tomu může být nutné provádět s tím, co má být udržováno, určité úkony. Konkrétně přidávat časová razítka a další informace nutné pro pozdější ověření platnosti.
Takže: služby „uchovávání“, jak je zavádí nařízení eIDAS, cílí na elektronické podpisy a pečeti. Ostatně, proto také o nich nařízení mluví jako o „službách uchovávání kvalifikovaných elektronických podpisů“, kterým může být udělen kvalifikovaný status (aby to byly „kvalifikované služby uchovávání kvalifikovaných elektronických podpisů“). Obdobně pro pečeti.
Tyto služby pochopitelně pracují s „tím, co je podepsáno“ (či opatřeno pečetí), tedy s elektronickými dokumenty, ale jejich cílem není péče o dokument jako takový, nýbrž péče o jeho podpisy či pečeti (a také časová razítka).
Naproti tomu archivace (a to i v kontextu spisových služeb, zmiňovaných v minulém dílu) cílí primárně na dokumenty jako takové. V případě budoucích služeb elektronické archivace, se kterými počítá návrh nové verze nařízení eIDAS, je cílem „zaručit jejich integritu, přesnost jejich původu a právní znaky po celou dobu uchovávání“. A mimochodem, ono „po celou dobu…“ se odkazuje na jiný význam slova „uchování“ než v kontextu kvalifikovaných služeb pro uchovávání (v anglickém originále jde o „conservation“, nikoli „preservation“).
Jak budou vypadat a fungovat budoucí služby elektronické archivace, resp. jejich kvalifikované varianty, dnes ještě není úplně jisté. Lze ale předpokládat, že se asi nebudou zásadněji lišit od již existujících služeb archivace – a tudíž cílit spíše na potenciální digitální kontinuitu dokumentů než na aktuální digitální kontinuitu jejich podpisů a pečetí a skrze ni na aktuální digitální kontinuitu dokumentů jako takových.
Technické standardy pro aktivní péči o dokumenty
Vraťme se nyní zpět k samotnému principu aktivní péče o elektronické dokumenty (a jejich podpisy a pečeti) s cílem udržet jejich digitální kontinuitu. Jde v něm o technická řešení postavená na stejných (kryptografických) principech, postupech a metodách jako samotné elektronické podpisy a pečeti. Těmto principům (včetně základního principu asymetrické kryptografie) se budeme věnovat později, v dalších dílech tohoto seriálu.
Zde si jen letmo naznačme, že ona aktivní péče spočívá v opakovaném a včasném provádění určitých „kroků“. Je tedy nutné vědět, kdy je třeba udělat další „krok“ (či spíše do kdy nejpozději). Pak jde samozřejmě i o to, v čem má onen krok spočívat. Zjednodušeně si můžeme představovat, že jde (typicky) o přidání časového razítka a tzv. validačních informací (tj. informací nutných pro pozdější validaci neboli ověření).
Konkrétní „načasování“, konkrétní podobu oněch „kroků“ i to, jak („na čem“, resp. „s čím“) mají být provedeny, je samozřejmě nutné přesně definovat. Od toho jsou technické normy a standardy pro uchovávání (preservation), které dnes již existují. Jde zejména o standardy evropské agentury ETSI, řady TS 119 511 a TS 119 512.
Uvedené standardy počítají s tím, že konkrétní služby, postavené na jejich základě, mohou mít různé cíle. Mohou usilovat o udržení digitální kontinuity cestou „aktivní péče“ o podpisy a pečeti na elektronických dokumentech, aby se dala ověřit jejich platnost i po delší době (ve smyslu aktuální digitální kontinuity) a tím řešit i aktuální digitální kontinuitu dokumentů jako takových. Ale jejich cílem může být i jen udržování samostatných „důkazů o existenci“ těchto dokumentů jako takových, což je varianta použitelná například pro zcela nepodepsané elektronické dokumenty (a využitelná spíše na principu dosvědčení a ve smyslu potenciální digitální kontinuity).
Dalším stupněm volnosti v rámci těchto standardů pak je to, kde a jak jsou umístěny jednotlivé uchovávané dokumenty. Zde připadají v úvahu tři základní varianty řešení služeb pro uchovávání:
- s úložištěm: dokumenty k uchování jsou uloženy přímo v rámci služby (v jejím vlastním úložišti), kde je také udržována jejich digitální kontinuita, a uživatel služby (klient) si je může kdykoli stáhnout. Služba přitom sama rozhoduje o tom, kdy je potřeba udělat další „krok“ v rámci udržování digitální kontinuity podpisů a pečetí na dokumentu.
- s dočasným úložištěm: dokumenty k uchování jsou trvale umístěny u uživatele služby (klienta). V rámci služby jsou dokumenty uloženy jen dočasně (případně nikoli celé, ale jen jejich otisky, resp. hashe), do provedení dalšího „kroku“, který služba provede z vlastního popudu (asynchronně). Výsledek pak služba uchovává jen omezenou dobu (aby si jej mohl klient stáhnout).
- bez úložiště: dokumenty jsou trvale umístěny u uživatele služby a ten je předává službě k provedení dalšího „kroku“. Služba krok okamžitě provede (tj. synchronně s příchodem požadavku) a výsledek ihned vrací uživateli jako svou odpověď.
Kvalifikované služby pro uchovávání
Existence technických standardů a norem umožňuje certifikaci konkrétních, reálně poskytovaných služeb. S tím počítá i nařízení eIDAS, které řadí služby uchovávání (kvalifikovaných elektronických podpisů, a stejně tak pečetí) mezi služby vytvářející důvěru a umožňuje jim získat kvalifikovaný status. Tedy stát se kvalifikovanými službami pro uchovávání kvalifikovaných elektronických podpisů a kvalifikovanými službami pro uchovávání kvalifikovaných elektronických pečetí.
Tento (kvalifikovaný) status je současně určitým potvrzením, že tyto služby fungují tak, jak fungovat mají. Ale kromě toho: poskytovatel jakýchkoli kvalifikovaných služeb (který se tím sám stává kvalifikovaným poskytovatelem) za fungování svých služeb také ručí, i ve smyslu náhrady případné škody.
Následující obrázek ukazuje, kolik takových kvalifikovaných služeb uchovávání v EU existuje (viz zkratky QPres for QEsig a QPres for QSeal). Aktuální stav lze zjistit zde.
V ČR je aktuálně poskytována jedna takováto služba (pro podpisy a pečeti), a to služba SecuSign Preservation od společnosti Software602, která svůj kvalifikovaný status získala již v roce 2017 (společně se službou SecuSign Validation pro ověřování platnosti kvalifikovaných podpisů a pečetí).
Jak funguje služba SecuSign Preservation
Služba SecuSign Preservation se dá zabudovat do nějakého jiného řešení (např. nějaké spisové služby či systému pro správu dokumentů), ale má i webovou aplikaci umožňující „uchovávat“ jednotlivé dokumenty.
Tuto webovou aplikaci si můžeme popsat trochu podrobněji: jde o variantu „bez úložiště“ (ve smyslu výše popisovaného členění). Uživatel jí může předložit svůj elektronický dokument k provedení dalšího „kroku“, který spočívá v přidání dalšího (kvalifikovaného elektronického) časového razítka a potřebných validačních informací (tj. informací potřebných pro pozdější ověření neboli validaci).
Tato verze služby (bez úložiště) ale sama nehlídá, kdy je potřeba tento krok provést, ani jej sama neiniciuje. To je zde na uživateli, resp. držiteli dokumentu, stejně jako výběr těch dokumentů, u kterých chce jejich (aktuální) digitální kontinuitu takto udržovat. Nejspíše to nebudou zdaleka všechny jeho dokumenty, ale naopak jen některé vybrané, u kterých je pravděpodobnost, že budou „ještě zapotřebí“ po delší době.
Pokud by byla tato služba zabudována do nějakého úložiště, archivu či systému pro správu dokumentů, bylo by na tomto úložišti, aby vědělo, u kterých dokumentů má udržovat digitální kontinuitu a kdy je třeba udělat další krok. A pak si pro provedení tohoto kroku zavolalo službu SecuSign či jinou službu stejného typu.
A jen mimochodem: nic nebrání úložištím dokumentů, aby si potřebné „kroky“ dělaly průběžně samy, ve vlastní režii. Nic až tak složitého to zase není, ani na implementaci. Je spíše s podivem, že to dnes ještě není standardní funkce všech úložišť či jiných systémů uchovávajících dokumenty (byť asi ne s kvalifikovaným statusem, jehož získání je náročné a spojené s odpovědností za případné škody). Důvodem je nejspíše odlišnost názorů na celou problematiku digitální kontinuity.
Proč něco takového nemá Portál občana?
Příkladem by mohlo být sdílené úložiště na Portálu občana, dnes o velikosti 1 GB, kde mohou být uchovávány jak celé datové zprávy, tak i jednotlivé soubory s elektronickými dokumenty. I toto úložiště by se mohlo starat o průběžné udržování aktuální digitální kontinuity, alespoň na PDF dokumentech a na datových zprávách. Ať už automaticky, u všech uložených dokumentů, nebo alespoň na žádost uživatele u těch dokumentů, u kterých uživatel chce udržovat aktuální digitální kontinuitu. Tak jako to (již od roku 2012) jde s datovými zprávami pomocí klientského portálu datových schránek (jak si budeme záhy popisovat).
A nemuselo by to ani být „uchovávání“ s kvalifikovaným statusem – protože pokud jsou potřebné kroky udělány správně, na výsledku by se to nemělo poznat. Kvalifikovaný status je vlastně jen dopředu provedené ověření, že služba funguje tak, jak má. Významný rozdíl je až v odpovědnosti za případnou škodu v důsledku nesprávného fungování.
Jak si ale budeme podrobněji popisovat v přespříštím dílu tohoto seriálu, ono úložiště na Portálu občana o nějaké digitální kontinuitě nemá ani tušení, a tak s ní také nic nedělá. Je to vlastně jen taková online flashka o velikosti 1 GB, připojená k vašemu účtu na Portálu občana. Co si do ní nahrajete (či necháte nahrát), to tam také zůstane bez jakékoli změny, dokud to sami nesmažete.
Ruční práce jako nouzové řešení
Pro subjekty, které mají velké počty elektronických dokumentů, tedy pro firmy, různé organizace, úřady apod., dnes již existuje řada služeb, které se o digitální kontinuitu jejich dokumentů mohou určitým způsobem starat. Tedy pokud si tito držitelé nezajišťují vše vlastními silami. Obvykle jsou takovéto služby inzerovány jako důvěryhodné archivy a nejčastěji jsou zaměřeny na udržování potenciální digitální kontinuity.
Není ale záměrem tohoto seriálu udělat nějak systematičtější přehled takovýchto důvěryhodných archivů na našem trhu. To by bylo na jiný seriál. Zde se zaměříme na možnosti, které připadají v úvahu pro jednotlivce s několika málo dokumenty, u kterých lze předpokládat potřebu pozdějšího dalšího využití. A to ve smyslu udržování aktuální digitální kontinuity, neboli tak, aby se i s jejich staršími dokumenty dalo pracovat stejně jako s těmi „čerstvými“.
Nouzovým řešením pro takovéto případy může být „ruční“ aktivní péče o jednotlivé dokumenty či datové zprávy. Jako je výše popisované použití kvalifikované služby SecuSign Preservation, skrze její webovou aplikaci na jednotlivé dokumenty. Nicméně SecuSign je placenou komerční službou, kterou si držitelé několika málo elektronických dokumentů nejspíše nepořídí. Proto je zajímavou otázkou: existují nějaké alternativy, dostupné zdarma a vhodné tam, kde jde jen o pár dokumentů či datových zpráv?
Určité alternativy skutečně existují. Nikoli ale na Portálu občana (v rámci zdejšího úložiště), kde by existence příslušné služby byla asi nejlogičtější. A její dostupnost zdarma by mohla být vhodnou motivací k využívání tohoto portálu. Nicméně není tam.
Dnes si popíšeme jednu konkrétní možnost, která je zabudována v klientském portálu datových schránek. Dá se využít pro „aktivní péči“ o celé datové zprávy, byť jen ve smyslu provedení „dalšího kroku“ (přičemž potřebné načasování si musí držitel datové zprávy hlídat sám). A až se později seznámíme s techničtějšími detaily celé problematiky, budeme si moci naznačit i to, zda (a jak) využívat možnost „prodlužování“ elektronických podpisů (extending a signature), zabudovanou do „ukázkové“ implementace unijní služby pro práci s elektronickými podpisy. Případně jak se vše dá zařídit vlastními silami.
Ztracenou aktuální kontinuitu už nejde obnovit
Nejprve ale jedno důležité upozornění: pokud nám jde o udržování aktuální digitální kontinuity, musíme opravdu dodržet onu „kontinuitu“, ve smyslu spojitosti v čase. Jinými slovy nesmíme dopustit, aby došlo (byť na sebekratší okamžik) ke ztrátě možnost ověřit platnost (podpisu, pečeti či časového razítka).
Řečeno ještě jinými slovy: nezbytný „další krok“ musíme provést včas. V době, kdy je ještě možné ověřit platnost elektronického podpisu, pečeti, resp. posledního časového razítka. Jakmile promeškáme nejzazší okamžik, je aktuální digitální kontinuita (u daného exempláře dokumentu či zprávy) nadobro ztracena.
Můžeme si to ukázat na konkrétním příkladu služby SecuSign: pokud bychom jí předložili takový dokument, u kterého již nejde ověřit platnost podpisu či pečeti (tj. u kterého již došlo ke ztrátě aktuální digitální kontinuity), služba už nám nedokáže pomoci.
Důležitým úkolem při udržování aktuální digitální kontinuity je tedy hlídat správný časový okamžik a onen „další krok“ provést s určitým předstihem. Opět jde o něco, co se dá velmi snadno zautomatizovat, aby to dělalo samo úložiště dokumentů.
Dříve takovéto hlídání (i potřebný „další krok“) nabízela aplikace LongTermValidator od společnosti Dignita (podrobněji o jejím fungování). Dnes toto hlídání nabízí oblíbená Datovka od sdružení CZ.NIC. Už ale nedělá onen potřebný „další krok“. Ten je nutné dělat „ručně“ (přes webové rozhraní klientského portálu, viz dále). Důvodem je to, že (zdarma fungující) nástroj pro onen „další krok“, zabudovaný v datových schránkách (který si záhy popíšeme), dnes není dostupný přes webové služby (které aplikace využívají). Přesněji: je dostupný jen pro nejstarší datové zprávy (z doby do 16. 4. 2011), což je zřejmě i důvod toho, proč dnes již aplikace LongTermValidator není dostupná.
Zpět ale k hlídání času: i když u konkrétního dokumentu marně promeškáme nejzazší možný okamžik pro provedení „dalšího kroku“ a tím k udržení aktuální digitální kontinuity, stále ještě nemusí být vše ztraceno. Stále může být zachována alespoň potenciální digitální kontinuita. Znalec při případném expertním zkoumání může stále dojít k závěru, že se ještě lze spoléhat na kryptografické algoritmy a techniky použité u příslušného podpisu či pečeti a díky tomu se lze na jejich vlastnosti, i na vlastnosti celého dokumentu, stále ještě spoléhat.
Ale je to skutečně na expertním posouzení, které zahrnuje i to, jak dlouho takováto možnost (spoléhat se na vlastnosti podpisu a dokumentu) ještě trvá. Tedy jak dlouho bude zachována potenciální digitální kontinuita.
Přerazítkovávání datových zpráv
Pojďme nyní již k avizovanému nástroji pro „aktivní péči“ o starší datové zprávy, který je zabudován přímo v datových schránkách. Přesněji v jejich klientském portálu, a to již od roku 2012. Jen se o něm dodnes moc neví, protože se moc nepropaguje.
V prvním dílu seriálu jsme si výsledek použití tohoto nástroje ukazovali na konkrétním příkladu v závěru článku. Dnes si můžeme tento nástroj popsat podobněji.
Začít můžeme tím, že jsou to vlastně dva nástroje v jednom, což bylo hezky vidět na původní podobě tohoto nástroje, kterou vidíte na následujícím obrázku. V jeho horní části je nabízena možnost ověření datové zprávy a ve spodní možnost autorizace datové zprávy.
Ověřením se ovšem nemyslelo (a dodnes nemyslí) ověření platnosti elektronické značky (dnes: pečeti) na datové zprávě – ale to, zda systém „poznal“ datovou zprávu jako takovou, která skrz něj prošla, a že nedoznala žádné změny. Což bylo prezentováno jako „správnost“ datové zprávy (viz obrázek). Svým způsobem šlo o určité expertní posouzení (byť prováděné strojem), ovšem bez jakéhokoli trvalého výstupu (možnosti stáhnout si nějaký protokol o výsledku posouzení, který by se následně dal někomu předložit).
Druhý nástroj byl původně prezentován jako „autorizace“ datové zprávy, což je terminologicky nesprávné (autorizace vyjadřuje oprávnění k nějakému úkonu, zde jde spíše o autentizaci coby potvrzení identity původce). Fakticky přitom šlo právě o provedení „dalšího kroku“ ve smyslu výše popisované aktivní péče o dokument, resp. celou datovou zprávu.
Dnes jsou oba nástroje shrnuty do jednoho a jeho primární určení je také jiné. Je to vlastně webový prohlížeč formátu ZFO, což je formát datových zpráv. Pokud nemáte na svém počítači (či tabletu, případně mobilu) aplikaci pro práci s tímto formátem, která by vám zobrazila obsah datové zprávy, můžete ji načíst do tohoto nástroje a dále s ní pracovat.
Pokud by se jednalo o nějak pozměněnou datovou zprávu či o cokoli jiného než datovou zprávu (ale ve formátu ZFO), systém vám načtení odmítne.
Pokud jste si takto „načetli“ nějakou datovou zprávu, kterou systém „pozná“ a u které je ještě zachována její (aktuální) digitální kontinuita, je vám nabídnuta také možnost nechat si datovou zprávu přerazítkovat (jak také ukazuje následující video).
Přesněji: je vám nabídnuta možnost stáhnout si novou verzi téže datové zprávy, opatřenou dalším (již tzv. archivním) časovým razítkem. To prodlužuje aktuální digitální kontinuitu datové zprávy o několik dalších let (dnes alespoň o 5 let), což je vyjádřeno i pojmenováním souboru s novou verzí datové zprávy: na předchozím videu (i na následujícím obrázku) jde o datovou zprávu z 16. 12. 2017, původně v souboru DDZ_530199245.zfo, zatímco nová verze nese výmluvný název DDZ_530199245_platiDo_2028_10_17.zfo. Viz následující obrázek.
Zdůrazněme si znovu, že pro možnost využít právě popsané přerazítkování je nutné, aby u datové zprávy byla zachována její aktuální digitální kontinuita. Konkrétně aby se ještě dala ověřit platnost elektronické pečeti na datové zprávě – což je zase závislé na tom, kdy bylo k této pečeti připojeno druhé (tzv. výstupní) časové razítko. Jak si budeme podrobněji popisovat v příštím dílu tohoto seriálu, toto časové razítko se připojuje v okamžiku stahování datové zprávy z datové schránky. Nikoli v okamžiku jejího dodání do datové schránky či doručení – ale až v okamžiku jejího stažení.
Reálně to znamená, že dnes si můžete nechat přerazítkovat datové zprávy stažené po 3. 8. 2017. A pozor: bude to platit jen do 8. 8. 2023. Pak už půjdou přerazítkovat jen datové zprávy stažené po 8. 8. 2018 (a v dalších letech se situace bude vyvíjet obdobně). Je to dáno tím, jaká časová razítka (od TSA PostSignum) se při stahování datové zprávy v té které době připojovala (a kdy docházelo ke změně certifikátů používaných na straně autority časových razítek).
Pokud byste si popisovaným způsobem načetli nějakou starší datovou zprávu, u které již není zachována její aktuální digitální kontinuita, systém datových schránek ji pozná a její obsah vám zobrazí. Není ale již ochoten vám zprávu přerazítkovat, jak ukazuje následující obrázek s datovou zprávou dodanou do cílové datové schránky 20. 3. 2017 a staženou 21. 5. 2017. Přerazítkování této datové zprávy bylo možné do 8. 8. 2022 (9:56:17). Dnes již nikoli.
A ještě jedno upřesnění: popisovaný nástroj na přerazítkovávání datových zpráv je ochoten přerazítkovat i nejstarší datové zprávy stažené před 16. dubnem 2011 (a připojit k nim i novou pečeť, nahrazující původní elektronickou značku). Zdůvodňuje si to tím, že v oné době ještě nebyly datové zprávy opatřovány druhým („výstupním“) časovým razítkem.
Zdůrazněme si znovu, že popisovaný nástroj je dostupný jen v klientském portálu datových schránek a jen přes jeho webové rozhraní. Nikoli přes rozhraní webových služeb (přes to je dostupná jen možnost přerazítkování nejstarších datových zpráv, z doby do 16. dubna 2011). Zjednodušeně to znamená, že tento nástroj je dostupný jen pro „ruční práci“, ale nikoli pro aplikace (jako je např. Datovka). O důvodech zle spekulovat, ale svou roli nejspíše hraje i to, že při přerazítkovávání je přidáváno kvalifikované elektronické časové razítko a to není zdarma.
Co bude příště?
V dalším dílu tohoto seriálu si popíšeme, jak funguje datový trezor přímo v datových schránkách a zda (a jak) jeho fungování souvisí s udržováním digitální kontinuity datových zpráv. Ještě v dalším dílu se pak zaměříme na sdílené úložiště na Portálu občana.
Teprve později se dostaneme k tomu, zda udržování aktuální digitální kontinuity datové zprávy reálně pomáhá tomu, aby se s elektronickými dokumenty v těchto datových zprávách dalo pracovat stejně jako s „čerstvými“ dokumenty. Teorie říká, že by tomu tak mělo být. Praxe je bohužel trochu jiná.
