3. přednáška Legislativa v telekomunikacích

Transkript

1 3. přednáška Legislativa v telekomunikacích

2 Obsah přednášky ZoEP, eidas a další pokračování tohoto článku a další díly seriálu Příště Datové schránky, elektronické podatelny Elektronické smlouvy Autorský zákon Pozn: pokud je v přednáškách zmíněn Občanský zákoník, jedná se o zákon č. 89/2012 Sb., občanský zákoník ( nový občanský zákoník ) 2

3 Elektronický (digitální) podpis Strana, která získá elektronický (digitálně) podepsaný elektronický dokument, chce být ubezpečena, že autorem dokumentu je označená osoba, že se seznamuje s přesným obsahem dokumentu, že může na základě takto získaného dokumentu konat a mít přitom určité záruky od autora dokumentu. Jinými slovy je třeba zajistit u těchto dokumentů jejich autenticitu, integritu a nepopiratelnost. 3

4 Schéma pro podepisování na bázi asymetrické kryptografie m je otevřený text, c je podepsaný text, K SA je soukromý (podepisovací) klíč Alice, K VA je veřejný (ověřovací) klíč Alice e je podepisovací algoritmus, d je algoritmus pro ověření podpisu 4

5 Digitální podpis na bázi ASK Podpis v dodatku ke zprávě Podepisovací schéma: A B: C = M E K SA [H(M)] Alice pošle Bobovi zprávu M, která je zřetězena s haší zprávy H(M), a tato haš je (před zřetězením) podepsaná Aliciným soukromým klíčem E je podepisovací algoritmus (např. RSA), D (na dalším slidu) je ověřovací algoritmus H je kryptografická hašovací funkce (např. KECCAK, nový SHA-3 algoritmus (NIST standard)), K SA je Alicin soukromý (podepisovací) klíč, K VA je veřejný Alicin klíč (Bob ho použije pro ověření Alicina podpisu) Bezpečnost všech podpisových schémat spočívá v bezpečnosti soukromého klíče!!!! 5

6 Podpis v dodatku zprávy Ověřovací schéma: Bob oddělí doručenou zprávu M od podepsané hashe a spočítá H(M ) Dále ověří podpis hashe D K [H(M)] a získá H(M) VA Porovná zda H(M )= H(M) K SA K VA porovnej E KSA (H(M)) Podpis v dodatku ke zprávě 6

7 Hašovací funkce Kryptografické hašovací funkce (KHF) jsou důležitými nástroji pro kryptografické aplikace, protože zajišťují integritu a autentizaci. Použití: Přenos a uložení přihlašovacích hesel - nepřímo pomocí hašovacích hodnot, digitální podpisy Jsou to jednocestné hašovací funkce odolné kolizím! 7

8 Jednocestná funkce Jednocestná funkce (one-way function): Funkce f: X Y se nazývá jednocestnou funkcí, jestliže je snadné spočítat f(x) pro všechna x X, ale v podstatě pro všechna y Y je výpočetně obtížné najít nějaké x X takové, že f -1 (y) = x. Co znamená snadné a výpočetně obtížné? snadné funkce je vyčíslitelná v polynomiálním čase výpočetně obtížné (těžké) funkce je invertovatelná jen pro velmi zanedbatelnou část vstupů. p,q snadné obtížné N=p*q 8

9 Jednocestná hašovací funkce Funkce H() se nazývá jednocestná hašovací funkce (JHF), jestliže splňuje následující vlastnosti: Argument (zpráva) M může mít libovolnou délku. Funkce H() je jednocestná. Výsledek H(M) má pevnou délku (např. 224b a více). Funkci H() lze relativně snadno realizovat jak hardwarově, tak softwarově. 9

10 Jednocestná hašovací funkce odolná kolizím Jednocestná hašovací funkce H() se nazývá jednocestná hašovací funkce odolná kolizím (JHFOK), jestliže splňuje následující vlastnosti: funkce H(M) je odolná (preimage resistance, weak resistance) proti kolizím je-li pro daný vstup M a danou hodnotu H(M) je výpočetně těžké najít takové M (M M ), aby platilo H(M) = H(M ), funkce H(M) je silně odolná (2 nd preimage resistance, strong resistance) proti kolizím, je-li výpočetně těžké najít jakýkoliv pár M, M (pro M M ) takový, aby platilo H(M) = H(M ). 10

11 Příklad hašovací funkce Př.: Jednoduchý součet bajtů modulo 256, fixní osmibitový výstup. Pro text ahoj získáme mod 256 = 162. Tuto funkci je sice jednoduché spočítat, není to však dobrá (kryptografická) hašovací funkce, neboť nemá vlastnost bezkoliznosti. h( ahoj ) = h( QQ ) = h( zdarff ) je snadné nalézt kolizi Kolize existují, ale musí být těžké je najít (vygenerovat)!!! 11

12 Certifikát Certifikát (certificate) je elektronický dokument sloužící k identifikaci jednotlivce, serveru, společnosti nebo jiné entity a spojuje tuto entitu s veřejným klíčem. Na certifikát se lze dívat jako na řidičský průkaz, pas nebo jiný doklad dokazující identitu majitele. Certifikát veřejný klíč uživatele podepsaný soukromým klíčem důvěryhodné třetí strany, certifikát spojuje jméno držitele páru soukromého a veřejného klíče s tímto veřejným klíčem, a potvrzuje tak identitu entity, poskytuje záruku, že identita spojená s vlastníkem daného veřejného klíče není podvržená, případně také představuje doklad o tom, že totožnost držitele veřejného klíče byla ověřena. 12

13 Certifikát Obsah certifikátu stručně označení typu (běžný, kvalifikovaný ) identifikace vydavatele a podepisující entity unikátní číslo v rámci vydavatele (sériové číslo) počátek a konec platnosti volitelně: doplňkové atributy volitelně: omezení použití podpis vydavatele (digitální podpis CA) 13

14 algoritmu 14 podepsaný hash

15 Struktura certifikátu X.509v3 X509 viz Verze - určuje verzi použitého certifikátu (1 v1, 2 v2, 3 v3). Sériové číslo - celé číslo, pomocí kterého může CA jednoznačně identifikovat daný certifikát. Identifikátor algoritmu podpisu - obsahuje dvě části, název použitého algoritmu (pro podpis certifikátu) a související parametry. Význam této položky je zanedbatelný, protože stejné informace jsou součásti podpisu. Jméno vydavatele (issuer name) - reprezentace význačného jména (X.500 jméno) CA, která vytvořila a podepsala daný certifikát. Doba platnosti - skládá se ze dvou časových údajů určujících od kdy do kdy je certifikát platný. Jméno vlastníka (subject name)- určuje pro koho byl certifikát vystaven. Certifikát potvrzuje, že entita identifikovaná tímto význačným jménem (X.500 jménem) je vlastníkem odpovídajícího soukromého klíče. 15

16 Struktura certifikátu X.509v3 Identifikátor veřejného klíče - obsahuje veřejný klíč subjektu včetně informací o algoritmu, pro který je klíč určen a parametrech použitých k jeho vytvoření. Identifikátor vydavatele - nepovinný údaj použitý k jednoznačné identifikaci vydavatele pro případ, že by jméno vydavatele (issuer name) bylo použito k identifikaci jiné entity. Identifikátor vlastníka - je nepovinný údaj použitý k jednoznačné identifikaci vlastníka pro případ, že by jméno vlastníka (subject name) bylo použito k identifikaci jiné entity. Rozšíření - obsahuje nejčastěji různé dodatečné informace o předmětu certifikátu. Může se jednat například o jeho detailní jméno, poštovní adresu, fotografii či další upřesňující informace. Rozšíření může také obsahovat informace vztahující se k CA. Podpis - podpis všech ostatních položek certifikátu. Obsahuje hash ostatních položek, podepsaný soukromým klíčem CA a informace o algoritmu a parametrech použitých k jeho vytvoření. 16

17 Struktura certifikátu X.509v3 Rozšíření - obsahuje nejčastěji různé dodatečné informace o předmětu certifikátu. Může se jednat například o vlastníkovo detailní jméno, poštovní adresu, fotografii či další upřesňující informace. Rozšíření může také obsahovat informace vztahující se k CA. Identifikátor veřejného klíče CA, Identifikátor veřejného klíče subjektu, Použití klíče vyznačení účelu, ke kterému může být certifikovaný veřejný klíč použit, Certifikační politiky skupina dokumentů vydaných certifikační autoritou Základní omezení vyznačení toho, zda se jedná o certifikát CA nebo koncového uživatele (zamezí se tomu, aby se uživatel tvářil jako CA a vydával certifikáty), Distribuční místa odvolaných certifikátů, 17

18 Reprezentace certifikátu 18

19 19

20 Význačné jméno Certifikát spojuje entitu s jejím veřejným klíčem. K identifikaci entity (vydávající i vlastnící certifikát) se používá tak zvané význačné jméno (distinguished name, DN). DN je řetězec reprezentující jméno entity a má podobu posloupnosti názvu atributů a hodnot. DN vychází ze stromové struktury, definované standardem X.500. Uzly mají libovolný počet následníků, ale jediného předchůdce, přičemž existují listy - uzly, které nemohou mít následníky. Každý uzel obsahuje alespoň jeden pár atribut-hodnota, pomocí kterého lze uzel identifikovat, například c=cz. Uzel je jednoznačně identifikovatelný pomocí cesty vedoucí od kořene k tomuto uzlu, například c=cz, l=ostrava, o=vsb. Dále může uzel obsahovat dodatečné atributy, které nesou dodatečnou informaci související s daným uzlem. CA musí zajistit, aby DN bylo jednoznačné. 20

21 Význačné jméno c=cz, l=ostrava, o=vsb, ou=department of Computer Science, cn=internet Technologies, 21

22 Význačné jméno Nejobvyklejší atributy Atribut cn c l o ou Význam Common name jméno entity, pro kterou je certifikát vystaven. Country - země, kde entita leží. Jde o kód země podle ISO 3166, například CZ, US, FI,. Locality - umístění (sídlo) entity. Většinou jde o jméno místa, kde je entita oficiálně registrována nebo kde se nejčastěji zdržuje. Organization název organizace. Organization unit - organizační jednotka v rámci organizace. Například fakulta, katedra, Adresa elektronické pošty, pomocí které lze s entitou komunikovat. 22

23 Infrastruktura veřejných klíčů - PKI PKI (public key infrastructure) soustava technických a organizačních opatření spojených s vydáváním, správou, používáním a odvoláváním platnosti kryptografických klíčů a certifikátů. Součásti PKI certifikační autorita - poskytovatel certifikační služby, vydavatel certifikátu, registrační autorita - registruje žadatele o vydání certifikátu a prověřuje jejich identitu, adresářová služba - prostředek pro uchovávání a distribuci platných klíčů a seznam odvolaných certifikátů. autorita časových razítek 23

24 Certifikační autorita Organizace, která se zabývá vydáváním certifikátů se nazývá certifikační autorita (certificate authority, CA). Potvrzuje identitu entit, jímž vydává certifikáty. Metody použité k potvrzování identity se různí a závisí na zásadách jednotlivých CA, CA je musí zveřejnit. CA zejména provádí registraci uživatelů certifikátů, vydávání certifikátů k veřejným klíčům, odvolávání platnosti certifikátů, vytváření a zveřejňování seznamu certifikátů, vytváření a zveřejňování zneplatněných certifikátů CRL (Certificate Revocation List), správu klíčů po dobu jejich platnosti (životního cyklu), dodatkové služby - např. poskytování časových razítek (time-stamping). 24

25 Registrační autorita Registrační autorita (RA) nepovinná složka vytváří vazbu mezi klientem a CA v souladu s popisem postupů při poskytování certifikačních služeb přijímá žádosti o certifikace ověřuje pravdivost uvedených údajů předává certifikát CA k podpisu podepsaný certifikát předá klientovi 25

26 Proces vystavení certifikátu Příprava identifikačních údajů - doložení dokladů Generování klíčových dat - pomocí dostupného SW, HW, provede uživatel nebo CA Předání klíčových dat a identifikačních údajů RA - žadatel předá CA/RA data spolu s doklady o jejich pravosti Ověření informací CA/RA si ověří, že lze vydat certifikát Tvorba certifikátu - CA vytvoří podepsaný certifikát Předání certifikátu - certifikát je předán žadateli a zveřejněn 26

27 Odvolání certifikátu Odvolání certifikátu Přijdete-li o soukromý klíč, bude důležitá rychlost, jakou zašlete CA žádost o odvolání (zneplatnění) certifikátu elektronicky, telefonicky (CA může entitě vystavit jednorázové heslo pro odvolání certifikátu), Může vypršet jeho platnost. Držitel požádá CA o odvolání. Odvolá CA sama (např. CA obdrží žádost o vydání certifikátu s veřejným klíčem stejným, jako má již existující vydaný certifikát). 27

28 Odvolání certifikátu CRL CA vydává seznam neplatných certifikátů, obsahuje sériová čísla odvolaných certifikátů. Definice CRL je podobná definici certifikátu. CA vydává CRL v pravidelných intervalech, zveřejňuje je např. na webu. Alternativa k CRL: OSCP (Online Certificate Status Protocol, RFC 2560) protokol typu klient/server pro zjištění platnosti certifikátu. 28

29 ZoEP - pojmy datovou zprávou - elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných při zpracování a přenosu dat elektronickou formou, podepisující osobou - fyzická osoba, která má prostředek pro vytváření podpisu a jedná jménem svým nebo v zastoupení jiné fyzické či právnické osoby daty pro vytváření elektronických podpisů - jedinečná data, která podepisující osoba používá k vytváření elektronického podpisu, 29

30 ZoEP - pojmy daty pro ověřování elektronických podpisů - jedinečná data, která se používají pro ověření elektronického podpisu, prostředkem pro vytváření elektronických podpisů - technické zařízení nebo programové vybavení, které se používá k vytváření elektronických podpisů, který splňuje požadavky stanovené tímto zákonem. 30

31 ZoEP - typy podpisů Elektronický podpis Zaručený elektronický podpis Zaručený elektronický podpis založený na kvalifikovaném certifikátu Uznávaný podpis Kvalifikovaný podpis (nepřímo) Elektronická značka Kvalifikované časové razítko (Digitální podpis technologie, která umožňuje realizovat předchozí typy podpisů) 31

32 ZoEP - typy podpisů Obecně lze pod pojem EP chápat i text na konci u či digitalizovaný vlastnoruční podpis Ale ZoEP rozlišuje: EP zaručený EP zaručený EP založený na kvalifikovaném certifikátu zaručený EP založený na kvalifikovaném certifikátu od akreditovaného PCS 32

33 ZoEP pojem podpisu 2a - elektronický podpis - údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě, 2b - zaručený elektronický podpis - elektronický podpis, který splňuje následující požadavky: je jednoznačně spojen s podepisující osobou, umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat. 33

34 ZoEP pojem podpisu Kvalifikovaný podpis - 3 Použití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu. Uznávaný podpis vzniká použitím zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu, který vydal akreditovaný poskytovatel certifikačních služeb. Obsahuje údaje, které umožňují jednoznačnou identifikaci podepisující osoby. 34

35 ZoEP - typy certifikátů Certifikát Kvalifikovaný certifikát Kvalifikovaný systémový certifikát (novela 2004) Kvalifikovaný certifikát vydaný akreditovaným poskytovatelem certifikačních služeb 35

36 ZoEP - typy certifikátů Certifikační autorita (CA) = poskytovatel certifikačních služeb (PCS) dle zákona 227/2000 Sb. Zákon rozlišuje PCS - libovolný subjekt vydávající certifikáty kvalifikovaný PCS - podléhá pouze oznamovací povinnosti akreditovaný PCS - ručí za vztah konkrétní fyzické osoby a příslušného veřejného klíče, musí mít akreditaci ÚOOÚ Viz např. 36

37 ZoEP 12 kvalifikovaný certifikát Kvalifikovaný certifikát musí obsahovat označení, že je vydán jako kvalifikovaný certifikát podle tohoto zákona, obchodní jméno poskytovatele certifikačních služeb a jeho sídlo, jakož i údaj, že certifikát byl vydán v České republice, jméno a příjmení podepisující osoby nebo její pseudonym s příslušným označením, že se jedná o pseudonym, zvláštní znaky podepisující osoby, vyžaduje-li to účel kvalifikovaného certifikátu, data pro ověřování podpisu, která odpovídají datům pro vytváření podpisu, jež jsou pod kontrolou podepisující osoby, 37

38 ZoEP 12 kvalifikovaný certifikát zaručený elektronický podpis poskytovatele certifikačních služeb, který kvalifikovaný certifikát vydává, číslo kvalifikovaného certifikátu unikátní u daného poskytovatele certifikačních služeb, počátek a konec platnosti kvalifikovaného certifikátu, případně údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu jen pro určité použití, případně omezení hodnot transakcí, pro něž lze kvalifikovaný certifikát použít. 38

39 ZoEP Kvalifikovaný systémový certifikát je obdoba kvalifikovaného certifikátu s tím, že může identifikovat fyzickou osobu, právnickou osobu nebo organizační složku státu. Užívá se pro ověřování, vytváření elektronických značek. 39

40 ZoEP Kvalifikované časové razítko prokazuje existenci elektronického dokumentu v čase. Je to datová zpráva, kterou lze přenášet prostředky elektronické komunikace a uchovávat na záznamových mediích. Kvalifikované časové razítko je garancí, že předmětná data existovala někdy před časovým okamžikem, s nímž jsou kvalifikovaným časovým razítkem spojena. Např. pokud si necháme doručenou poštu označit časovým razítkem, zlepšíme důkazní situaci tak, že budeme schopni prokázat, že příslušný nám byl doručen před časovým okamžikem uvedeným v razítku. Znemožní případné antidatování elektronického podpisu. 40

41 ZoEP Další novinkou v novele je možnost používat elektronické značky. Elektronickou značkou může označovat data právnická osoba nebo organizační složka státu a používat k tomu automatizované postupy. Jsou to údaje v elektronické podobě, které jsou připojeny k elektronické zprávě a blíže identifikují původce zprávy tím, že uvádí za kterou fyzickou nebo právnickou osobu je právní úkon činěn. Elektronická značka (elektronické razítko) je z technického hlediska totéž jako elektronický podpis s tím rozdílem, že zatímco e-podpis je určen pro fyzické osoby jako jejich projev vůle, tak elektronická značka je určena především pro právnické osoby. Lze ji přirovnat k otisku úředního razítka. 41

42 ZoEP - 5 Povinnosti podepisující osoby (1) Podepisující osoba je povinna zacházet s prostředky, jakož i s daty pro vytváření zaručeného elektronického podpisu s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití, uvědomit neprodleně poskytovatele certifikačních služeb, který jí vydal kvalifikovaný certifikát, o tom, že hrozí nebezpečí zneužití jejích dat pro vytváření zaručeného elektronického podpisu, podávat přesné, pravdivé a úplné informace poskytovateli certifikačních služeb ve vztahu ke kvalifikovanému certifikátu. 42

43 ZoEP - 5 Povinnosti podepisující osoby (2) Za škodu způsobenou porušením povinností podle odstavce 1 odpovídá podepisující osoba podle zvláštních právních předpisů. Odpovědnosti se však zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn. (Zákon 89/2012 Sb., občanský zákoník) 43

44 ZoEP - 11 (1) V oblasti orgánů veřejné moci je možné za účelem podpisu používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb (tj. uznávaný elektronický podpis ). To platí i pro výkon veřejné moci vůči fyzickým a právnickým osobám. Pokud je uznávaný elektronický podpis užíván v oblasti orgánů veřejné moci, musí kvalifikovaný certifikát obsahovat takové údaje, aby osoba byla jednoznačně identifikovatelná. Strukturu údajů, na základě kterých je možné osobu jednoznačně identifikovat, stanoví ministerstvo prováděcím právním předpisem. 44

45 Je e-podpis vydaný v ČR platný i v jiných zemích EU a naopak? Rozhodnutí Evropské komise č. 2009/767/ES - od uznávané jako kvalifikované i unijní certifikáty a zaručené elektronické podpisy, založené na certifikátech zahraniční provenience. Po přijetí eidas platí 2015/1505/EC, musí důvěryhodné seznamy povinně obsahovat informace nejen o kvalifikovaných poskytovatelích služeb vytvářejících důvěru (vydávajících kvalifikované certifikáty), ale i o ostatních kvalifikovaných poskytovatelích poskytujících kvalifikovanou službu vytvářející důvěru (například vydávání kvalifikovaných elektronických časových razítek). Seznam důvěryhodných certifikačních služeb TSL (Trusted Services List)

46 Akreditovaní poskytovatelé Akreditovaní poskytovatelé (výdej a správa) kvalifikovaných certifikátů (podle eidas nové pojmenování kvalifikované autority ): První certifikační autorita, a.s., Česká pošta, s.p. PostSignumQCA, eidentity, a.s., 46

47 eidas a změny v el. podpisu eidas (eid And Signature) - Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru na vnitřním trhu a o zrušení směrnice 1999/93/ES. Obsah se týká: elektronické identifikace služeb vytvářejících důvěru Problém: eidas platí od okamžiku své účinnosti (od ), a má aplikační přednost před národními zákony a dalšími právními předpisy. Proto adaptační Zákon 297/2016 Sb Zákon o službách vytvářejících důvěru elektronické transakce (ZoSVD,). Jeho úkolem je dopracování a zrušení dosavadní úpravy - neupravuje duplicitně to, co je upraveno evropským nařízením, ale pouze to, co eidas výslovně ponechává k úpravě jednotlivými státy. změnový Zákon č. 251/2017 Sb. Zákon, kterým se mění některé zákony v souvislosti s přijetím zákona o elektronické identifikaci (lidově tlusťoch, pro svůj typicky velký rozsah). 47

48 eidas eidas, stejně jako předchozí směrnice z roku 1999, pro nejvyšší formu elektronického podpisu, kterou klade na roveň vlastnoručnímu podpisu (tzv. kvalifikovaný elektronický podpis), nadále vyžaduje dostatečně bezpečné uložení soukromého klíče na certifikovanou čipovou kartu či token, tj na tzv. kvalifikovaný prostředek (QSCD, Qualified Signature Creation Device). ZOEP mel výjimku (národní výjimka), Takže fakticky se usiluje o zachování našich dosavadních výjimek: pro orgány veřejné moci má výjimka (z povinného používání čipových karet) platit jen dva roky zatímco pro ostatní právnické a fyzické osoby má výjimka platit trvale. Ale pouze kvalifikované podpisy budou požívat té výhody, že je budou muset uznávat i v celé EU. 48

49 eidas Možnost nadále používat uznávané elektronické podpisy je příkladem toho, kdy naše národní právní úprava není v rozporu s nařízením eidas. Ale naopak v rozporu s novým nařízením ZOEP je v oblasti jednoznačné identifikace: ZoEP navíc požadoval, aby kvalifikovaný certifikát, na kterém je založen uznávaný elektronický podpis, obsahoval (vedle jména a příjmení svého držitele) také údaje, které umožňují jednoznačnou identifikaci podepisující osoby. V praxi jde obvykle o tzv. identifikátor klienta MPSV (IK MPSV). Nařízení eidas ale nepožaduje, aby v kvalifikovaném certifikátu byl obdobný údaj, který umožňuje jednoznačnou identifikaci podepisující osoby. Připouští, aby v kvalifikovaném certifikátu takový údaj byl, ale explicitně říká, že to po něm nesmí být požadováno a že účinky kvalifikovaného certifikátu tím nesmí být omezeny. Důsledky, např.: Od uplynutí přechodných období zákona o službách vytvářejících důvěru nebude mít uznávaný elektronický podpis takové vlastnosti, aby umožňoval jednoznačnou identifikaci podepisující osoby. Jelikož je pro vydání výpisu z Rejstříku trestů nezbytné obdržet identifikační údaje o osobě žadatele umožňující ověřit totožnost žadatele, byla vyloučena možnost podávat žádosti o vydání výpisu z Rejstříku trestů v elektronické podobě podepsané uznávaným elektronickým podpisem. Přechodné období končí

50 eidas Elektronická pečeť je prostředek, který dle evropského nařízení eidas a našeho Zákona o službách vytvářejících důvěru (ZSVD) slouží k označení a prokázání původu a pravosti dokumentu. Elektronická pečeť říká, která právnická osoba je původcem a zároveň chrání obsah takto zapečetěného dokumentu. Elektronickou pečeť může vytvářet jen právnická osoba (včetně organizační složky státu) a může ji připojit jen na to, čeho je sama původcem. Kdežto naší elektronickou značku může kdokoli (kdo je držitelem příslušného systémového certifikátu, tedy třeba i fyzická osoba) připojit na cokoli na jakýkoli elektronický dokument (soubor, zprávu), bez ohledu na jeho původ. Obdobně, jako pro elektronický podpis, jsou definovány úrovně důvěry i pro elektronickou pečeť. Nejvyšší úroveň kvalifikované elektronické pečetě vyžaduje kvalifikovaný certifikát a jeho použití v kvalifikovaném prostředku. 50

51 eidas I (pouhý) zaručený elektronický podpis má být jako vlastnoruční degradace nejvyšších forem elektronických podpisů na úroveň vlastnoručních podpisů nižší formy elektronických podpisů povýšeny tak, aby i ony měly stejné právní účinky, jako vlastnoruční podpisy. Takovýmto způsobem byl povýšen například pouhý zaručený elektronický podpis. Tedy takový elektronický podpis, který je sice založen na kryptografických technologiích, ale neklade žádné omezení na kvalitu (důvěryhodnost) certifikátu, na kterém je založen. Takže takovýto zaručený el. podpis může být založen i na testovacím certifikátu, do kterého si každý může napsat, co ho jen napadne 51

52 52

53 eidas Hrozba podvodů: usnadní se různé podvody a znesnadní jejich odhalování a prokazování. Bude mnohem snazší podepsat se jménem někoho jiného. A stejně tak bude mnohem snazší navodit situaci, kdy si jedna (podváděná) strana není vědoma, že něco podepisuje (například tím, že v nějakém formuláři jen vyplní své jméno, či ovou adresu, nebo jen přepíše nějaký PIN apod.), zatímco protistrana to již bude chtít interpretovat jako závaznou obdobu vlastnoručního podpisu. Naštěstí alespoň někde ošetřeno, např. vklad do katastru nemovitostí: Je-li listina v elektronické podobě podepsána elektronickým podpisem, musí být k podepsání použit uznávaný elektronický podpis. Je-li písemnost v elektronické podobě zapečetěna elektronickou pečetí, musí být k pečetění použita uznávaná elektronická pečeť. 53