Jak poznat uznávaný elektronický podpis?

Uznávaný elektronický podpis možná vděčí za své pojmenování tomu, že jej musí nejrůznější úřady uznávat jako právně platný a postavený na roveň podpisu vlastnoručnímu. Definován je ale úplně jinak, přeci jen exaktněji: jako takový zaručený elektronický podpis, který je založen na kvalifikovaném certifikátu od akreditované certifikační autority.

Právě požadavkem na kvalifikovaný certifikát je přitom položen základ důvěryhodnosti výsledného podpisu a možnost spoléhat se na to, kdo je jeho autorem, resp. tzv. podepsanou či podepisující osobou. Je to ta osoba, jejíž identita je uvedena v příslušném kvalifikovaném certifikátu. Ten nemůže být vydán žádné smyšlené osobě či jakkoli "na cizí" jméno - ale vždy jen reálně existující fyzické osobě, jejíž identitu si příslušná certifikační autorita (jako vydavatel certifikátu) náležitě ověří.

Jenže kvalifikovaný certifikát není jedinou podmínkou uznávaného podpisu. V některých jiných zemích - ale nikoli v České republice - je požadováno ještě to, aby pro vznik (i pro následné ověřování) elektronického podpisu byl použit tzv. bezpečný prostředek. Tedy takový, který někdo dopředu zkontroloval, zda dělá to, co dělat má, a nedělá něco, co by dělat neměl. U nás jsme se ale rozhodli jít jinou cestou: ještě přísnějším požadavkem na kvalitu certifikátu. Musí to tedy být takový kvalifikovaný certifikát, který vydala akreditovaná certifikační autorita.

Samotnou akreditaci si přitom můžeme představovat podobně jako bezpečný prostředek: stát (skrze ten svůj orgán, který má elektronický podpis ve své gesci, dnes MV ČR) dopředu posoudil, zda příslušná certifikační autorita splňuje všechny požadavky, které zákon klade na vydavatele kvalifikovaných certifikátů. A pokud splňuje, vydá o tom své osvědčení, právě v podobě akreditace.

U nás doma je to jednodušší

U nás doma, v České republice, jsou takto akreditovány všechny tři certifikační autority, které vydávají kvalifikované certifikáty: I.CA, PostSignum a eIdentity. Výsledkem je pak to, že každý "tuzemský" kvalifikovaný certifikát je současně "kvalifikovaným certifikátem, vydaným akreditovanou certifikační autoritou". Tedy takovým, jaký je požadován pro uznávaný elektronický podpis.

K rozpoznání uznávaného podpisu by proto mělo stačit podívat se, zda je založen na takovémto certifikátu. Ty programy, které jsou šity na míru tuzemské legislativě (což obvykle jsou programy tuzemské provenience) to dokáží samy - a díky tomu samy poznají, kdy se jedná o uznávaný elektronický podpis.

Složitější je to ale u programů, jako je například Adobe Reader či Acrobat, které tuzemskou legislativu neznají. Ty nám pouze řeknou, zda je podpis platný - ale jako jejich uživatelé si už musíme sami zjistit, zda jde o platný zaručený elektronický podpis, nebo o platný uznávaný elektronický podpis.

Jak tedy poznáme "tuzemský" kvalifikovaný certifikát? Principiálně jednoduše: musí to mít v sobě napsáno. Takže pak ještě musíme vědět, jak a kam se podívat. Napovědět nám může následující obrázek, se zobrazením certifikátu a jeho vlastností v Adobe Readeru.

Jenže to má háček: když si někdo vytvoří nějaký certifikát sám, jakoby "doma na koleně" a tudíž pouze testovací, může si do něj napsat, co jen chce. Třeba i onu zmínku o tom, že se jedná o kvalifikovaný certifikát. Správně tedy musíme kontrolovat také vydavatele certifikátu (certifikační autoritu), abychom mohli spolehlivě vyloučit takovéto druhy podvodů.

V EU je to složitější

Ještě větším problémem s uznávanými podpisy a jejich rozpoznáváním je ale něco jiného: od jisté doby náš zákon o elektronickém podpisu, harmonizovaný s unijní úpravou elektronického podpisu, připouští, aby uznávaný podpis mohl být založen na kvalifikovaném certifikátu zahraniční provenience (myšleno: v rámci EU). Podle očekávání ale požaduje, aby vydavatel takového certifikátu svým postavením odpovídal tuzemské akreditované autoritě.

A zde už to začíná být složitější, protože ne všechny členské země mají stejný systém akreditací jako u nás. Někde jsou místo akreditace příslušné autority jen tzv. dohledovány. Neboli "pod dohledem státu", což asi věcně vyjde nastejno. Jenže jak poznáme, které zahraniční autoritu to jsou?

Evropská unie, jejímiž jsme členy, proto nechala sestavit něco jako "národní" seznamy těch autorit, které odpovídají našim akreditovaným autoritám. Jmenují se TSL, což je zkratka od Trusted Securities List (volně přeloženo: seznam důvěryhodných služeb), a u nás jsou vyvěšeny na adrese http://tsl.gov.cz.

Jenže, aby to nebylo tak jednoduché: i když máte v ruce nějaký "evropský" certifikát a jeho vydavatele najdete na seznamu TSL příslušné členské země, stále ještě se nemusí jednat o kvalifikovaný certifikát. Platí to ostatně i pro tuzemské autority: ty také mohou vydávat různé druhy certifikátů, podle různých certifikačních politik. A zdaleka ne všechny jejich certifikáty jsou kvalifikované.

Takže i u "evropských" certifikátů je nutné ještě kontrolovat, podle jaké certifikační politiky byly vydány. To je už dosti složité, a na běžném uživateli to asi není reálné požadovat. Naštěstí to není ani nutné, protože na již zmiňovaných stránkách http://tsl.gov.cz je kromě samotných seznamů TSL také on-line aplikace jménem CertIQ, která certifikát posoudí sama - a řekne, zda jej lze považovat za kvalifikovaný či nikoli.