Vyšlo na Lupě, 10.2.2010
Vytištěno z adresy: http://www.earchiv.cz/b10/b0210001.php3

Autorizovaná konverze dokumentů: padělek už vám nezkonvertují

Minulý týden došlo k zásadní změně  ve způsobu provádění autorizovaných konverzí dokumentů z elektronické do listinné podoby, konané na žádost na CzechPointech. Zatímco dosud vyhodnocovala platnost elektronického podpisu na dokumentu lidská obsluha, nově už to místo ní dělá obslužný program konverzního pracoviště. A ten už neumožní konvertovat dokument bez platného podpisu.

Jednou z věcí, které jsem na datových schránkách kritizoval nejvíce, jsou konkrétní pravidla fungování autorizované konverze. Zde, na stránkách Lupy, jsem se snažil názorně ukázat a rozebrat ty nejkřiklavější případy. Třeba možnost nechat si autorizovaně zkonvertovat padělaný dokument (přesněji: takový, který byl od svého podepsání pozměněn). Nebo možnost konverze dokumentu, jeho podpisový certifikát byl v době konverze již zneplatněn (revokován). Nemluvě již o konvertování takových dokumentů, u kterých není vůbec jasné, kdo je vlastně podepsal (neboť použitý certifikát je neveřejný, či vystavený na pseudonym atd.).

Dnes by tomu už mělo být jinak. Jak jsem již avizoval v pondělním článku zde na Lupě, ve čtvrtek minulého týdne (tj. 4.2.2010) došlo k poměrně zásadní změně toho, jak konkrétně autorizované konverze (na pracovištích CzechPoint) probíhají. Většina výše kritizovaných „šíleností“ už nebude možná. Řečeno velmi obecně: se žádostí o konverzi z elektronické do listinné formy již neuspějete, pokud dokument nebude opatřen platným uznávaným elektronickým podpisem.

Vše proto, že konečně byla „opravena“ pravidla pro provádění konverzí. A hlavně: aplikaci těchto pravidel již nemá na starosti lidská obsluha konverzního pracoviště, která nemusela být dostatečně „v obraze“ a mohla chybovat. Nově kontroluje splnění všech požadavků obslužný program konverzního pracoviště, který je konfigurován centrálně a tudíž by se na všech CzechPointech měl chovat přesně stejně. A pokud zjistí, že nejsou splněny všechny požadavky na konvertovaný elektronický dokument, jeho konverzi neumožní.

Jak je to s formátem?

Než se pustíme do detailů, připomeňme si, že konvertovat do listinné podoby lze pouze elektronické dokumenty formátu PDF (nejméně verze 1.3). Takže pokud předložíte cokoli jiného, byť platně podepsaného (jako třeba dokument MS Wordu), budete odmítnuti.

Výjimkou je pouze „datová zpráva jako celek“, ve formátu ZFO, v roli obálky kolem PDF dokumentu: pokud přijdete na CzechPoint s datovou zprávou, zdejší obslužný program bude umět si z ní požadovaný dokument (ve formátu PDF) „vyjmout“ a dále s ním pracovat samostatně – úplně stejně, jako kdybyste přinesli pouze tento dokument (a "obálku" v podobě datové zprávy nechali doma). A to včetně požadavků na platné podepsání: rozhoduje podpis na PDF dokumentu a jeho platnost, zatímco na značce na datové zprávě nezáleží. Konverzní program tedy nijak nepřenáší platnost elektronické značky ze zprávy na samotný dokument.

Formát dokumentu je skutečně tím prvním, co obslužný program na CzechPointech kontroluje – a pokud neodpovídá požadavkům („PDF verze 1.3 nebo vyšší“), konverze je odmítnuta.

Dříve se přitom stávalo, že konverze byla odmítnuta i u některých PDF dokumentů správné verze. Sám jsem si to svého času vyzkoušel u dokumentu, který byl vybaven zvláštním aktivním prvkem, indikujícím jeho platnost (viz následující obrázky) – a na CzechPointu mi ho odmítli zkonvertovat. BTW, netuší někdo ze čtenářů, jak se tento prvek jmenuje a které verze produktů Adobe jej k dokumentu přidávají?

Dnes již je možné konvertovat i takovéto dokumenty (což jsem si ověřil právě na dokumentu na obrázcích), od kterého budu záhy ukazovat i konverzní doložku. Na druhou stranu se mi stále nepodařilo nechat si zkonvertovat jiný PDF dokument, který měl požadovanou verzi (1.3), ale používal šifrování RC4 40bit. To prý ani dnes obslužný program „neumí“, a na řešení se stále pracuje.

Co by nově mělo být možné (ale co jsem prakticky neověřoval), je použití externího podpisu. Můžete tedy přijít na CzechPoint i s takovým PDF dokumentem, který není opatřen interním podpisem, ale máte k němu externí podpis v samostatném souboru. Může to být jak externí podpis „zabalený“ do stejné datové zprávy jako samotný dokument (a obslužný program na CzechPointech si je už bude umět „dát k sobě“), tak i vypálený na stejné CD.

Využijte úschovnu!

Dokumenty ke konverzi tedy můžete přinést na CzechPoint vypálené na CD či DVD. Pokud se rozhodnete tak učinit, a půjdete na CzechPoint provozovaný Českou poštou, pak pamatujte na jednu zdejší „nedokumentovanou vlastnost“. Jde o to, že tato konverzní pracoviště běží na speciálním „poštovním“ operačním systému, který se prý jmenuje APOST, což je ale vedlejší. Podstatné je, že tento operační systém neumí číst „neuzavřená“ CDčka a DVDčka. Tedy taková, která jsou při vypalování ponechána jako „otevřená“ (jako tzv. multisession disc), tak aby se na ně dalo ještě „připalovat“.

Příklad, pro utilitu Nero Express, vidíte na obrázku: volbu v červeně označené oblasti musíte nechat nezaškrtnutou. Pak je disk po vypálení „uzavřen“ a už na něj nejde později vypálit další data. Pokud byste použili opačnou volbu, dopadnete jako já, když jsem přišel na CzechPoint na pražskou hlavní poštu, a zde na CDčku nic neviděli (nakonec zde ale byli tak ochotní, že na jiném počítači disk přečetli, obsah sami přepálili na jiné CD, a to pak na konverzním pracovišti již přečetli).

Než ale pokaždé vypalovat jedno CD či dokonce DVD, můžete k přenosu souborů ke konverzi využít ještě jiné řešení – elegantnější, levnější, a zřejmě i ekologičtější: on-line úschovnu, provozovanou samotným systémem CzechPointů.

Najdete ji na této adrese, a umožňuje vám vložit jeden či více souborů - a pak přijít na CzechPoint již jen s „šatnovým lístkem“, jehož příklad vidíte na následujícím obrázku:

Co je překážkou ke konverzi?

Pojďme nyní již k tomu, co a jak je nyní (od 4.2.2010) na konvertovaném souboru kontrolováno přímo konverzním programem – a kvůli čemu může být konverze odmítnuta.

Konkrétní překážkou je porušená integrita dokumentu. Tedy to, když se dokument od svého podepsání změnil. Jak jsem si prakticky odzkoušel, takový dokument už je odmítnut. Zkoušel jsem to přitom na stejném dokumentu, který jsem si dříve nechal úspěšně konvertovat (podrobněji viz tento článek zde na Lupě) – a tentokráte jsem již neuspěl.

Další překážkou je revokovaný (předčasně zneplatněný) certifikát: pokud se zjistí, že došlo k jeho revokaci, konverze je odmítnuta. Opět jsem vyzkoušel, na stejném dokumentu který mi byl dříve úspěšně konvertovat (podrobněji) – a také jsem neuspěl.

Další překážkou je již ukončená platnost použitého podpisového certifikátu: pokud již skončila, konverze je také odmítnuta. Toto jsem si ale prakticky nevyzkoušel, protože PDF soubor s prošlým podpisem, který jsem chtěl použít k otestování, používal již zmíněné šifrování a jeho konverze byla odmítnuta již z tohoto důvodu. Zde tedy vycházím jen z informací, které mi byly poskytnuty od autorů obslužného programu pro konverzní pracoviště.

Jak je to s časem?

Připomeňme si, že současná podoba zákona č. 300/2008 Sb. nevyžaduje, aby dokumenty, produkované orgány veřejné moci, byly nejen elektronicky podepisovány, ale také opatřovány časovým razítkem. A v drtivé většině případů také skutečně nejsou časovým razítkem opatřeny.

To má ale ten významný důsledek, že nejpozději po 1 roce od vydání toho certifikátu, který byl použit k vytvoření podpisu, již nebude podpis vyhodnocen jako platný, a tudíž nebude možné ho konvertovat. Zdůrazněme si, že to není přesně to samé jako „nejpozději do 1 roku od podpisu“. V extrémním případě úředník podepíše dokument jediný den před řádným ukončením jeho platnosti, a příjemce si jej ze své schránky vyzvedne třeba dva dny poté. To už je ale podpis neplatný, takže ani nemá smysl s ním utíkat na CzechPoint. Od 4.2. vám už takový dokument nezkonvertují.

Problém je totiž v tom, že když na dokumentu není časové razítko, není k dispozici dostatečně věrohodná informace o tom, kdy vlastně podpis vzniknul, A tak se musí vyhodnocovat k aktuálními času – a pokud k tomu již skončila platnost certifikátu, je podpis vyhodnocen jako neplatný a konverze odmítnuta.

Pokud by ale dokument byl opatřen (platným kvalifikovaným) časovým razítkem, bylo by to přeci jen něco jiného. Pak by se totiž dal podpis vyhodnotit k datu, které je uvedeno na časovém razítku. A pokud k tomuto datu byl podpis platný, konverze může být provedena.

V praxi to znamená, že pokud by se jednalo o časové razítko od CA PostSignum, pak by byla šance nechat si dokument zkonvertovat ještě do 22. či 25. června 2012, protože právě do tohoto data platí certifikáty, v dnešní době používané pro vytváření časových razítek od CA PostSignum.

Časové razítko by stejně tak pokrylo nepříjemný problém s předčasným zneplatněním (revokací) podpisových certifikátů. Pokud je totiž konvertován dokument bez časového razítka, a při konverzi se zjistí, že použitý certifikát je na seznamu těch revokovaných, pak nemá smysl zkoumat, zda k revokaci došlo až po podpisu či ještě před ním. V prvním případě by konverze mohla proběhnout, ve druhém už nikoli. Ale bez časového razítka je to stejně irelevantní, protože vznik podpisu nelze přesně datovat, a konverze tak musí být také odmítnuta.

Pokud by ale na dokumentu bylo časové razítko, pak by konverze stále byla možná (pokud by k revokaci došlo až po okamžiku, uvedeném na časovém razítku).

Jenže znovu: povinnost připojovat časové razítko na jednotlivé dokumenty neexistuje (a v praxi se to také nedělá). Časové razítko sice ISDS automaticky dává na celou datovou zprávu jako takovou, ale – jak jsme si již uvedli výše – tato informace se „nepřenáší“ na jednotlivé dokumenty, obsažené v datové zprávě.

Je to v souladu se zákonem?

Až sem to tedy vypadá, že konverze z elektronické do listinné formy byla konečně „opravena“ a už funguje tak, jak by měla. Jak velí zdravý rozum a logika věci. Konečně, chtělo by se dodat. Že to ale trvalo. A jak vůbec mohly být konverze spuštěny původním způsobem?

Jenže, a to je velmi důležité: je toto fungování v souladu se zákonem? Tady už si tak jistý nejsem. Rozhodně zde nechci horovat za to, aby se nový způsob provádění konverzí zase zrušil a vše se vrátilo zpět, to určitě ne. Jen si dovolím poukázat na to, že „opravit“ by si zasloužil i sám zákon, který (alespoň podle mého názoru) také chybně vymezuje základní mantinely pro konverzi.

Zejména v tom, že neplatnost podpisu zákon neřadí mezi překážky konverze – což nová praxe na CzechPointech naopak (a podle mne zcela správně) dělá. Zákon pouze požaduje, aby na konverzní doložce bylo uvedeno, zda elektronický dokument byl opatřen platným podpisem.

Ještě další chybu zákona vidím v tom, že váže provedení konverze na to, že dokument je opatřen uznávaným elektronickým podpisem (nikoli nutně platným !!!) takové osoby, který dokument vytvořila či vydala. To je věc, která se snadno napíše a přikáže formou zákona, ale už se mnohem hůře dá realizovat. Její důsledné naplnění by nejspíše znamenalo, že na CzechPointech by se musely nějak studovat podpisové řády orgánů veřejné moci, aby se z nich odvodilo, zda podepsaná osoba byla oprávněna dokument podepsat. To ani nová verze obslužného programu konverzního pracoviště nedělá – a dost dobře dělat ani nemůže.

Nicméně jak se zdá, žádná „oprava“ těchto chyb v zákoně není na obzoru.

Nová podoba konverzní doložky

Vraťme se nyní zpět k novinkám ve způsobu provádění konverzí na CzechPointech. Další věcí, která se ke 4.2.2010 změnila, je konverzní (ověřovací) doložka. Podívejme se tedy, jak nově vypadá (viz obrázky). Nejprve naskenovaná z toho, co je výstupem konverze (z listinného dokumentu), a poté i jako výpis z centrálního úložiště ověřovacích (konverzních) doložek.

Jedna nelogičnost zde zůstala již z předchozího tvaru konverzní doložky, a to odkaz na „obchodní firmu“ v závěru doložky: takto to vyznívá v tom smyslu, že certifikát s uvedeným číslem byl vystaven „pro společnost I.CA“, a nikoli „společností I.CA“. Tedy že nejde o vystavitele certifikátu (jak tomu ve skutečnosti je), ale o držitele certifikátu. Ale to je skutečně drobnost v porovnání s tím zásadním: že na konverzní doložce není uveden právě držitel certifikátu. Tedy ten, kdo je podepsanou osobou, neboli komu podpis na elektronickém originálu patří. Tato zcela zásadní věc na konverzní doložce chybí i nadále, a to prý proto, že zákon s ní nepočítá (a tudíž, při striktní interpretaci zákona, tak být ani nesmí).

Že je to pro praxi dosti zásadní informace, která se takto ztrácí, a že není snadné či dokonce možné ji získat jinak (třeba u neveřejných certifikátů), jsem rozebíral zde na Lupě již v jednom z předchozích článků.

Jak na revokované certifikáty?

Snad nejvýznamnější změnou na konverzní doložce je ale zmínka o kontrole revokovaných certifikátů. Nic takového v předchozí verzi nebylo – ale zde to je řešeno způsobem, který je bohužel chybný, a dokonce i potenciálně nebezpečný. Proč a v čem?

Informace o revokaci se „dostávají ven“ od našich certifikačních autorit s určitým zpožděním, které u eIdentity a PostSignum činí maximálně 12 hodin, a u I.CA max. 24 hodin. Je to dáno jak požadavky zákona, který kratší intervaly nepožaduje, tak i způsobem zveřejňování informací o revokovaných certifikátech: jen „dávkově“, pomocí seznamu CRL (Certificate Revocation List), a nikoli “v reálném čase“, například pomocí protokolu OCSP (OnLine Certificate Status Protocol). To ale znamená, že když přijdete na konverzní pracoviště s dokumentem, u kterého chybí časové razítko, pak není možné spolehlivě určit kdy podpis vznikl, a tudíž se musí vyhodnocovat k aktuálnímu času. Ale informace o tom, zda použitý certifkát byl k aktuálnímu času již revokován či nikoli, bude dostupná až za oněch 12, resp. 24 hodin.

Přesněji: certifikační autrorita samozřejmě může zveřejnit informaci o revokaci certifkátu (vydáním nového seznamu CRL) dříve. Jenže také nemusí – a chcete-li mít jistotu, že certifikát revokován nebyl, musíte čekat oněch 12, resp. 24 hodin.

Správně by to tedy mělo fungovat tak, že když přijdete na CzechPoint s dokumentem bez časového razítka, měli byste ho tam nechat v úschově a přijít si pro jeho konverzi za oněch 12 či 24 hodin, kdy už bude informace o revokaci k dispozici – a teprve pak bude konverzní pracoviště moci pravdivě konstatovat, zda podpis na dokumentu je či není platný.

To, co nově říká konverzní doložka na předchozích obrázcích, je jen jakési „neúplné alibi“: říká, že někdy předtím (před okamžikem konverze) certifikát ještě nebyl revokován. V daném případě doložka říká, že certifikát nebyl revokovaný v 05:51 dne 4.2.2010, kdy byl naposledy vydán seznam revokovaných certifikátů dané certifikační autority (seznam CRL). To ale nic neříká o tom, zda certifikát nebyl revokován později, mezi tímto datem a okamžikem žádosti o konverzi dokumentu (téhož dne v 10:23). Takováto informace bude k dispozici až v čase +12 (resp. +24 hodin) od žádosti o konverzi dokumentu (tj. od 4.2.2010 v 10:23).

Vzato do důsledku tedy konverzní doložka na obrázku neříká pravdu, když konstatuje že „platnost podpisu byla ověřena“, a to k datu 4.2.2010, 10:23 hod. Nemohla být, protože nebylo možné (již z principu, kvůli nedostupnosti potřebných informací) ověřit (ne)revokaci použitého certifikátu.

Stejně tak by si nová verze konverzní doložy zasloužila opravu překlepu ve slovním spojení "není v seznamu ... platný k datu ...." na "není v seznamu .... PLATNÉM k datu ...".

Jak z toho ven?

Pokud by konverze měla fungovat korektně a řešit správně i výše uvedený problém (s dokumenty bez časového razítka), pak by vše muselo fungovat jinak. Například tak, že uživatel by musel poslat dokument skrze on-line úschovnu CzechPointů (popisovanou výše) s předstihem nejméně oněch 12 až 24 hodin. Pak už by v okamžiku provádění konverze byla k dispozici potřebná informace o stavu certifkátu, a konverzní doložka by už mohla pravdivě konstatovat, zda podpis je skutečně platný.

Nebo, pokud by někdo přišel s dokumentem ke konverzi přímo na CzechPoint, musel by počkat oněch 12, resp. 24 hodin. Pokud by čekat něchtěl a konverzi potřeboval okamžitě, pak by to také mohlo jít – ale konverzí doložka by musela vypadat jinak. Muselo by na ní být konstatováno něco v tom smyslu, že platnost podpisu byla ověřena s výhradou ověření stavu certifikátu (zda byl nebo nebyl odvolán), protože k tomu ještě nebyly k dispozici dostatečné informace.

Konverzní doložka s takovýmto „předběžným výrokem“ (s výhradou) by pak asi měla odkazovat na to, kam a na co se podívat, zda certifikát byl či nebyl odvolán, a tedy zda je možné učinit definitivní výrok o platnosti podpisu a oprávněnosti konverze. Případně by mohlo jít o funkcionalitu centrální evidence konverzních doložek: ta by se dívala na seznamy revokovaných certifkátů a po oněch 12 či 24 hodinách by konstatovala, zda podpis je (definitivně) platný či nikoli, a s ním i provedená konverze.

Ještě dalším možným řešením by bylo přimět naše certifikační autority, aby informace o stavu certifikátu poskytovaly v reálném čase on-line, skrze protokol OCSP (Online Certificate Status Protocol). To by ale vyžadovalo změnu zákona, protože ten stávající to po nich nepožaduje, a samy to nedělají.

Pokud mám správné informace, na obzoru je v bližším časovém horizontu spíše první řešení, s úpravou konverzních doložek (které budou hodnotit platnost podpisu „s výhradou“ odvolání certifikátu). Ani to ale není zdaleka ideální řešení: co si s takovou konverzní doložkou (a celým výstupem z konverze) počne běžný příjemce, který se příliš neorientuje v nástrahách elektronického podpisu? Bude správně rozumět oné „výhradě“ a dokáže se zorientovat v tom, kdy a jak může konvertovanému dokumentu věřit a spoléhat se na něj?