Metodický pokyn. Používání elektronického podpisu při přeshraničním styku v oblasti veřejných zakázek

Metodický pokyn Používání elektronického podpisu při přeshraničním styku v oblasti veřejných zakázek Verze 1.00 Počet stran v dokumentu celkem: 18

Obsah Obsah... 2 Předmluva... 3 Úvod... 3 1 Předmět metodického pokynu... 4 2 Seznam použitých zdrojů... 5 2.1 Slovník použitých pojmů a zkratek... 6 3 Legislativa v ČR...10 3.1 Legislativa v oblasti veřejných zakázek...10 3.2 Legislativa v oblasti elektronického podpisu...10 4 Legislativa v EU...11 4.1 Legislativa v oblasti veřejných zakázek...11 4.2 Legislativa v oblasti elektronického podpisu...11 4.2.1 Legislativa v oblasti elektronického podpisu ve třetích zemích...12 5 Vytváření a ověřování platnosti digitálního podpisu...12 5.1 Postup při vytváření digitálního podpisu...12 5.1.1 Získání kvalifikovaného certifikátu...12 5.1.2 Vytváření digitálního podpisu...13 5.1.3 Odlišnosti při přeshraniční komunikaci...13 5.2 Postup při ověřování platnosti digitálního podpisu...14 5.2.1 Odlišnosti při přeshraniční komunikaci...16 5.2.2 Záznam o ověření platnosti digitálního podpisu...17 Změny...18 5.3 Změny oproti předchozí verzi...18 5.4 Změnové řízení...18 Strana 2 (celkem 18)

Předmluva Používání elektronického podpisu při přeshraničním styku je problém, kterým se zabývají všechny členské státy EU, příslušné orgány Evropské komise i zájmová sdružení. Hlavními úskalími jsou nestejnorodé právní úpravy, z nichž plynou velmi přísné, nebo naopak velmi liberální požadavky na poskytovatele certifikačních služeb a odlišné požadavky na elektronický podpis v oblasti veřejných zakázek v jednotlivých zemích EU. Cílem této metodiky je objasnit problematiku elektronického podpisu při přeshraničním styku, se zaměřením na oblast zadávání veřejných zakázek. Měla by pomoci úřadům v přijímání elektronických nabídek a dalších elektronických dokumentů, zasílaných v rámci řízení o veřejných zakázkách, a ostatním subjektům při zadávání elektronických zakázek jak v České republice, tak v ostatních evropských státech. Úvod Tato metodika vznikla na základě usnesení vlády České republiky ze dne 10. května 2006 č. 500 o Národním plánu zavedení elektronického zadávání veřejných zakázek pro období let 2006 až 2010 a vytvořilo ji Ministerstvo informatiky. Řešení vychází z vyhlášky č. 496/2004 Sb., o elektronických podatelnách, z dokumentu Ministerstva informatiky - Best Practice Jak vyřizovat elektronickou poštu a z dokumentu, který vznikl v rámci projektů IDABC pod názvem Recommendations for creation and verification of signatures. Při přípravě tohoto dokumentu pracovníci Ministerstva informatiky provedli dotazování zástupců členských států, zastoupených ve fóru FESA, na otázky týkající se využití elektronického podpisu v oblasti veřejných zakázek. Výsledkem tohoto dotazování bylo zjištění, že v žádném z členských států EU zatím není funkční celé řízení o veřejných zakázkách v elektronické formě, a že v jednotlivých dotazovaných zemích se požadavky na elektronický podpis použitý v tomto řízení liší. Největším problémem je neexistence standardizovaného způsobu získávání informace o tom, zda jsou certifikáty kvalifikované. Proto se členové tohoto fóra shodli, že si budou vzájemně nápomocni v případech, kdy nebude zřetelné, zda je certifikát vydaný poskytovatelem z jejich státu, kvalifikovaný. Dokument by měl být revidován v případě zrušení Ministerstva informatiky, a dále v případě vytvoření evropské platformy, umožňující standardizovaný postup pro ověření platnosti certifikátů. Dokument má doporučující charakter. Připomínky k dokumentu je možné zasílat na adresu Ministerstvo informatiky, odbor koncepce a koordinace ISVS,, 130 00, Praha 3, nebo elektronicky na adresu elektronické podatelny posta@micr.cz. Strana 3 (celkem 18)

1 Předmět metodického pokynu Tento metodický pokyn má sloužit všem zadavatelům veřejných zakázek a případným dodavatelům, pokud chtějí realizovat řízení o veřejné zakázce, nebo jeho část, elektronicky. V některých úkonech prováděných v rámci tohoto řízení je totiž nutné v elektronické formě použít zaručený elektronický podpis založený na kvalifikovaném certifikátu nebo elektronickou značku založenou na kvalifikovaném systémovém certifikátu. Dokument je zaměřen na objasnění situací, kdy je dodavatel zahraničním subjektem a zadavatel má v souladu s evropskými směrnicemi uznat jeho kvalifikovaný certifikát vydaný poskytovatelem certifikačních služeb usazeným v zahraničí. Zároveň tento dokument může sloužit i všem ostatním subjektům, které mají zájem o elektronickou komunikaci s využitím zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu, zejména pokud mají zájem o komunikaci přeshraniční. V současnosti neexistuje standardizovaný postup umožňující uživatelsky přívětivé, standardizované a spolehlivé ověření, zda je certifikát vydaný mimo Českou republiku kvalifikovaným certifikátem. Přesto jsou členské státy EU zavázány k tomu, aby kvalifikované certifikáty vzájemně uznávaly. Hlavními oblastmi, ve kterých tato situace způsobuje problémy, jsou elektronická fakturace a elektronické řízení o veřejných zakázkách. V dokumentu je popsán postup, jak ověřit, zda je certifikát kvalifikovaným certifikátem ve smyslu legislativy České republiky. Dokument nejprve uvádí legislativní rámec pro danou oblast a následně popisuje postup při ověření platnosti digitálního podpisu, včetně ověření platnosti certifikátu. Vysvětluje specifické činnosti, které je nutno provádět, pokud je využit kvalifikovaný certifikát vydaný poskytovatelem certifikačních služeb usazeným mimo Českou republiku. Podstatnou součástí tohoto doporučení je návrh záznamu o ověření platnosti zaručeného elektronického podpisu, který je vhodné důvěryhodným způsobem uchovat pro případ sporu. Dokument vychází z faktu, že neexistuje jednotná aplikace pro oblast veřejných zakázek, a proto obsahuje pouze principiální popis činností uživatel se pro úspěšné ověření platnosti podpisu musí seznámit i s dokumentací aplikace, kterou bude v praxi pro tento účel využívat. Strana 4 (celkem 18)

2 Seznam použitých zdrojů 1. Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění zákona č. 226/2002 Sb., zákona č. 517/2002 Sb., zákona č. 440/2004 Sb., zákona č. 635/2004 Sb. a zákona č. 501/2004 Sb. 2. Zákon č. 137/2006 Sb., o veřejných zakázkách. 3. Nařízení vlády č. 495/2004 Sb., kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů. 4. Vyhláška č. 496/2004 Sb., o elektronických podatelnách. 5. Směrnice Evropského parlamentu a Rady 2004/17/ES o koordinaci postupů při zadávání zakázek subjekty působícími v odvětví vodního hospodářství, energetiky, dopravy a poštovních služeb. 6. Směrnice Evropského parlamentu a Rady 2004/18/ES o koordinaci postupů při zadávání veřejných zakázek na stavební práce, dodávky a služby. 7. Směrnice Evropského parlamentu a Rady 1999/93/ES o zásadách Společenství pro elektronické podpisy. 8. Best practice Jak vyřizovat elektronickou poštu, verze 2.0, 31.3.2005. 9. EBGCA DEL 020 Recommendations for creation and verification of signatures, verze 2.0, 7.9.2005. Strana 5 (celkem 18)

2.1 Slovník použitých pojmů a zkratek Hash, Hashovací funkce matematická funkce, jejímž vstupem je libovolně velký datový blok a výstupem je datový řetězec pevné délky. V oblasti digitálních podpisů se hashovací funkce obvykle používají k výpočtu tzv. otisku podepisované zprávy. Namísto původní zprávy se podepisuje její podstatně kratší otisk, neboli hash (délky např. 128 nebo 160 bitů). Vlastnosti takových hashovacích funkcí navíc zaručují, že je prakticky nemožné vytvořit k určité zprávě jinou zprávu, která by měla stejný otisk. Pokud tedy ve zprávě provedeme byť jen nepatrnou změnu, otisk na výstupu bude zcela odlišný. Mezi nejznámější a nejpoužívanější hashovací funkce patří SHA-1 (Secure Hash Algorithm, otisk délky 160 bitů) a MD5 1 (Message Digest, otisk délky 128 bitů). Asymetrická kryptografie, asymetrický algoritmus matematická funkce, která se mj. používá při podepsání otisku datové zprávy. Základní vlastností asymetrické kryptografie je použití dvou klíčů jednoho veřejného (ten je obsažen v certifikátu, v zákoně o elektronickém podpisu je označován jako data pro ověřování elektronických podpisů) a druhého soukromého (v zákoně o elektronickém podpisu označován jako data pro vytváření elektronických podpisů), který je nutné držet v utajení. Tyto klíče jsou generovány v průběhu vytváření žádosti o certifikát matematickou funkcí, která zajistí, že z veřejného klíče prakticky nelze odvodit soukromý klíč. Poté se při podepisování použije soukromý klíč, se kterým se provede funkce podpisu otisku datové zprávy. Každý, kdo má k dispozici certifikát, v němž je uveden veřejný klíč, může funkcí pro ověření podpisu zjistit, že nikdo jiný než ten, jehož jméno je uvedeno v certifikátu, nemohl podepsat daný otisk, tedy ani jemu odpovídající datovou zprávu. LDAP (angl. Lightweight Directory Access Protocol) Protokol používaný pro přístup do adresářů přes Internet, zprostředkovává tzv. adresářové služby. V e-mailových klientech se tento protokol používá pro vyhledávání informací o uživatelích. Nejčastěji se u hledané osoby vyhledávají informace o e-mailové adrese nebo kontaktu. Tento protokol je však možné také použít pro stahování libovolných dat (konfigurace, nastavení) ze serveru podporujícího tento protokol. Kompletní popis tohoto protokolu můžete nalézt v dokumentu RFC 1777. Formáty souborů formát.eml formát pro ukládání kompletních e-mailových zpráv definovaný v RFC 2822. formát.msg formát pro ukládání kompletních e-mailových zpráv v MS Office Outlook. formát S/MIME (angl. Secure/Multipurpose Internet Mail Extensions) může sloužit k bezpečnému posílání e-mailů, v našem případě spíše k posílání podepsaných e-mailů. Při použití tohoto postupu se zpráva uloží do tzv. S/MIME obálky a takto se posílá většinou přes internetový SMTP protokol. Definice S/MIME zprávy je v RFC 3851. formát.p7s soubor s podpisem ve formátu PKCS #7. 1 V současné době není doporučeno tento algoritmus používat. Strana 6 (celkem 18)

formát.p7b soubor s certifikátem ve formátu PKCS #7. formát.req soubor s žádostí o certifikát ve formátu PKCS #10. formáty.pdf,.txt,.jpg,.doc,.rtf.html,.xml běžně používané formáty souborů. Poštovní klient (též: e-mailový klient) je program, který zajišťuje klientskou část systému elektronické pošty. Pomocí něj uživatelé píší nové zprávy, stahují ze serveru příchozí zprávy, čtou je, případně je mažou, ukládají nebo jinak zpracovávají. Poštovní klient také zprostředkuje odeslání nové zprávy tím, že předá její obsah spolu s požadavkem na odeslání SMTP (poštovnímu) serveru, a ten se postará o faktické doručení zprávy. Nejrozšířenějším klientem je Outlook (MS Outlook Express a MS Office Outlook), jeho nejpoužívanější alternativou je Mozilla Thunderbird. Poskytovatel certifikačních služeb (též: certifikační autorita, poskytovatel) obecně subjekt, který vydává certifikáty a případně zajišťuje další služby spojené s elektronickými podpisy (e-podpisy) a/nebo elektronickými značkami (e-značkami). Na poskytovatele se zákon [1] vztahuje pouze tehdy, pokud vydávají kvalifikované certifikáty a/nebo poskytují další kvalifikované služby podle tohoto zákona. [též 2) : Zákon [1] 2 písm. h)] Kvalifikovaný poskytovatel certifikačních služeb poskytovatel certifikačních služeb, který oznámil Ministerstvu informatiky, že vydává kvalifikované certifikáty, případně poskytuje jiné kvalifikované služby podle zákona [1]. [též: Zákon [1] 2 písm. i)] Akreditovaný poskytovatel certifikačních služeb poskytovatel certifikačních služeb, který získal od Ministerstva informatiky akreditaci podle zákona [1]; pouze akreditovaný poskytovatel může vydávat certifikáty pro vytváření takových e-podpisů a e-značek, které lze používat v oblasti orgánů veřejné moci ( 11 zákona [1]), pokud zvláštní právní předpis nestanoví jinak. Důvodem udělování akreditace je potřeba ověřit, zda činnost poskytovatelů certifikačních služeb je dostatečně důvěryhodná. [též: Zákon [1] 2 písm. j), 10, 10a] CRL (z angl., Certificate Revocation List) seznam certifikátů, které byly zneplatněny. Certifikáty jsou obvykle vydávány na určité období, např. kvalifikované certifikáty bývají v ČR vydávány na dobu jednoho roku. Tato doba platnosti (od-do) je v certifikátu uvedena. V průběhu uvedené doby může nastat okolnost, která vlastníka certifikátu vede k tomu, že musí poskytovatele požádat, aby certifikát zneplatnil. Takovými okolnostmi jsou například: změna údajů, které jsou v certifikátu uvedeny (např. možná změna příjmení u provdaných žen nebo změna zaměstnavatele) nebo situace, kdy má vlastník certifikátu obavu, že jeho podepisovací data mohou být zneužita (např. ztráta notebooku, na jehož pevném disku byla tato data uložena). Pokud poskytovatel certifikát zneplatní, zařadí příslušnou informaci do seznamu certifikátů, které byly zneplatněny. Ve vlastním certifikátu však v údaji o době platnosti k žádné změně nedojde. Seznam zneplatněných certifikátů obsahuje sériová čísla zneplatněných certifikátů, přesnou dobu zneplatnění certifikátu a údaj o době, kdy byl příslušný seznam zneplatněných certifikátů vydán. Tento seznam je elektronicky označen e-značkou poskytovatele certifikačních služeb. 2) Je-li u odkazu uvedeno též, je pojem definován v uvedeném právním předpisu a zde je objasněn v širších souvislostech. Pokud u odkazu není uvedeno též, jedná se pouze o objasnění pojmu zákona. Strana 7 (celkem 18)

[Zákon [1] 6a písm. f)] Certifikační cesta hierarchie certifikátů, kterou je nutné postupovat při ověřování certifikátu. Certifikát, který přijde spolu s datovou zprávou, je elektronicky označen elektronickou značkou poskytovatele. Ten, kdo bude na certifikát spoléhat, bude k ověření platnosti přijatého certifikátu potřebovat další veřejný klíč, uložený v nadřízeném certifikátu poskytovatele. I jeho certifikát je podepsán další, například kořenovou certifikační autoritou. Tzv. kořenový certifikát certifikační autority již bude self-signed (podepsán, resp. označen sám sebou ). Tvoří tedy vrchol této hierarchické struktury. Pro ověření platnosti certifikátu je nutné provést ověření platnosti všech certifikátů v certifikační cestě, až po kořenový certifikát. V praxi neověřujeme manuálně jeden certifikát za druhým, ale provádí to za nás programové vybavení (např. e-mailový klient). Pokud uplyne doba platnosti některého z nadřízených certifikátů, není považován za platný žádný z podřízených certifikátů a tato informace je uživateli zobrazena. Elektronická značka umožňuje jednoznačnou identifikaci subjektu (orgánu veřejné moci, firmy apod.), který datovou zprávu označil, a zaručuje, že každá následná změna označených dat bude zjistitelná. Z technologického hlediska se jedná o digitální podpis (stejně jako v případě zaručeného elektronického podpisu). E-značky jsou určeny především pro automatizované označování datových zpráv v případě, kdy je nutné odesílat velké objemy těchto zpráv a nepředpokládá se, že se označující osoba s podepisovanou zprávou seznámila (např. při odesílání potvrzení o doručení datové zprávy v případě e-podatelen ústředních orgánů veřejné správy, výpisy z registrů aj.). [též: Zákon [1] 2 písm c)] Zaručený elektronický podpis umožňuje jednoznačnou identifikaci fyzické osoby, která data v elektronické podobě podepsala, a zaručuje, že každá následná změna podepsaných dat bude zjistitelná. Z technologického hlediska se jedná o digitální podpis. [též: Zákon [1] 2 písm. b)] Certifikát datová zpráva, kterou vydává poskytovatel a která obsahuje zejména jméno vlastníka certifikátu, sériové číslo certifikátu, veřejný klíč (díky veřejnému klíči lze podpis ověřit), dobu platnosti certifikátu, případně název organizace, kde vlastník certifikátu působí aj. Poskytovatel v rámci procesu vydávání označuje certifikát svou e-značkou (viz certifikační cesta). Certifikát slouží k ověřování e-podpisu. [též: Zákon [1] 2 písm. k)] Kvalifikovaný certifikát označení pro certifikát, který byl vydán v souladu se zákonem [1]; je spojen s používáním e-podpisu. [též: Zákon [1] 2 písm. l)] Kvalifikovaný systémový certifikát označení pro certifikát, který byl vydán v souladu se zákonem [1]; je spojen s používáním e-značky. [též: Zákon [1] 2 písm. m)] Časové razítko datová zpráva, kterou vydala důvěryhodná třetí strana a která stvrzuje, že data, ke kterým je časové razítko připojeno, existovala před okamžikem vytvoření tohoto razítka. Kvalifikované časové razítko časové razítko vydané v souladu se zákonem [1]. [též: Zákon [1] 2 písm. r) Strana 8 (celkem 18)

Registrační autorita - místo, kde dochází k ověření identity žadatele o certifikát. Na toto místo přichází žadatel o certifikát s vyplněnou žádostí o certifikát (v elektronické podobě) a s dokumenty dokládajícími údaje, které mají být v certifikátu uvedené. Strana 9 (celkem 18)

3 Legislativa v ČR 3.1 Legislativa v oblasti veřejných zakázek Zákon č. 137/2006 Sb., o veřejných zakázkách [2] ve vztahu k použití elektronického podpisu v elektronických prostředcích stanoví v 149 odst. 4: Podává-li dodavatel nabídku, žádost o účast, námitky proti úkonům zadavatele nebo prokazuje-li splnění kvalifikace elektronickými prostředky nebo jde-li o žádost o účast či o návrh v soutěži o návrh nebo odesílá-li zadavatel elektronickými prostředky oznámení či výzvu o zahájení zadávacího řízení, výzvu k jednání nebo k podání nabídky v zadávacím řízení či k účasti v soutěžním dialogu, oznámení o zadání veřejné zakázky, oznámení o způsobu vyřízení námitek či rozhodnutí o nejvhodnějším návrhu v soutěži o návrh, musí být datová zpráva 71) opatřena platným zaručeným elektronickým podpisem založeným na kvalifikovaném certifikátu. Zadavatel je oprávněn požadovat opatření datové zprávy elektronickým podpisem založeným na kvalifikovaném certifikátu či elektronickou značkou založenou na kvalifikovaném systémovém certifikátu u jakýchkoliv datových zpráv zasílaných elektronickými prostředky. Poznámka pod čarou 71) zní: 2 písm. d) zákona č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění zákona č. 440/2004 Sb. Pokud je tedy nějaký úkon v rámci zadávacího řízení prováděn elektronickými prostředky a má být podepsán, je nutné použít zaručený elektronický podpis založený na kvalifikovaném certifikátu nebo elektronickou značku založenou na kvalifikovaném systémovém certifikátu. Zákon č. 137/2006 Sb., o veřejných zakázkách [2] využívá možnosti, kterou dávají směrnice 2004/17/ES [5] a 2004/18/ES [6], tj. vyžadovat, aby elektronické úkony v rámci zadávacího řízení byly podepsány zaručeným elektronickým podpisem viz kapitola 4.1. Požadavek na použití kvalifikovaného certifikátu vychází dále ze skutečnosti, že ve smyslu směrnice 1999/93/ES [7] a podle zákona [1] o elektronickém podpisu jsou v ČR uznávány kvalifikované certifikáty vydané v kterémkoliv členském státu EU. To naopak neplatí pro jiné certifikáty, které jsou zpravidla označované jako komerční či testovací. Používání a případné uznávání jiných než kvalifikovaných certifikátů by bylo prakticky obtížné i z toho důvodu, že zákon [1] o elektronickém podpisu upravuje pouze oblast tzv. kvalifikovaných certifikačních služeb a stát (prostřednictvím Ministerstva informatiky) vykonává dohled pouze nad těmi poskytovateli, kteří vydávají kvalifikované certifikáty. Obdobný přístup je uplatněn i ve většině zemí EU (nad všemi poskytovateli, kteří vydávají kvalifikované certifikáty v EU, musí být v souladu se směrnicí 1999/93/ES [7] prováděn dohled). Z uvedených důvodů není přípustné v ČR v oblasti veřejných zakázek používat jiné certifikáty než kvalifikované, byť směrnice 2004/17/ES [5] a 2004/18/ES [6] uvádějí pouze zaručený elektronicky podpis, aniž by specifikovaly typ certifikátu. Je nutné konstatovat, že právní úpravy v oblasti elektronického podpisu a v oblasti veřejných zakázek nejsou ve všech členských státech EU v tomto směru zcela totožné. 3.2 Legislativa v oblasti elektronického podpisu Zákon o elektronickém podpisu č. 227/2000 Sb. [1] upravuje obecně oblast elektronického podpisu. Zaručený elektronický podpis má dle tohoto zákona následující vlastnosti: Strana 10 (celkem 18)

je jednoznačně spojen s podepisující osobou, umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat. Elektronická značka se podle zákona o elektronickém podpisu od elektronického podpisu liší následujícími vlastnostmi: je možno ji vytvářet automatizovaně (obsah není přímo ověřen), kvalifikovaný systémový certifikát, na němž je založena, může být vystaven pro fyzickou i právnickou osobu (dáno definicí kvalifikovaného systémového certifikátu), osoba musí mít možnost vybrat datové zprávy, u kterých umožní jejich označení. V praxi se pro zajištění těchto vlastností používá digitální podpis (jak pro zaručený elektronický podpis, tak pro elektronickou značku). Z toho důvodu bude v tomto dokumentu použit pojem digitální podpis, pokud se jedná o technologii zaručeného elektronického podpisu nebo elektronické značky. V aplikacích podporujících zadávací řízení u veřejných zakázek se používá zaručený elektronický podpis založený na kvalifikovaném certifikátu nebo elektronická značka založená na kvalifikovaném systémovém certifikátu. Kvalifikovaný certifikát nebo kvalifikovaný systémový certifikát vydávají kvalifikovaní poskytovatelé certifikačních služeb. Seznam kvalifikovaných poskytovatelů certifikačních služeb, včetně odkazů na jejich webové stránky, je uveden na http://www.micr.cz/scripts/detail.php?id=601. V České republice jsou v současné době všichni kvalifikovaní poskytovatelé zároveň akreditovanými poskytovateli. 4 Legislativa v EU 4.1 Legislativa v oblasti veřejných zakázek Oblast veřejných zakázek je upravena směrnicemi 2004/17/EC [5] a 2004/18/EC [6]. Tyto směrnice v článku 48, odstavec 5 písm. b), resp. v článku 42, odst. 5 písm. b) stanoví: členské státy mohou v souladu s článkem 5 směrnice 1999/93/ES vyžadovat, aby elektronické nabídky byly doplněny zaručeným elektronickým podpisem podle odstavce 1 uvedeného článku;. Porovnání požadavků na zaručený elektronických podpis v českém právním řádu a ve směrnicích 2004/17/ES [5] a 2004/18/ES [6] je uveden v kapitole 3.1. 4.2 Legislativa v oblasti elektronického podpisu Tuto oblast upravuje směrnice 1999/93/ES [7] o zásadách Společenství pro elektronické podpisy, která je transponována zákonem [1] o elektronickém podpisu č. 227/2000 Sb. Strana 11 (celkem 18)

Článek 5 odst. 1 směrnice 1999/93/ES stanoví, že 1. Členské státy dbají, aby zaručené elektronické podpisy založené na kvalifikovaných certifikátech a vytvořené pomocí prostředků pro bezpečné vytváření podpisu: a) splňovaly právní požadavky na podpis ve vztahu k datům v elektronické podobě stejně, jako vlastnoruční podpisy splňují tyto požadavky ve vztahu k datům na papíře; a b) byly přijímány jako důkazy v soudním řízení. Podle zákona [1] o elektronickém podpisu musí být certifikát, který je vydán poskytovatelem certifikačních služeb usazeným v některém ze členských států EU jako kvalifikovaný, považován za kvalifikovaný i na našem území. 4.2.1 Legislativa v oblasti elektronického podpisu ve třetích zemích Zákon [1] stanovuje v 16 odst. 2 podmínky, za kterých je možné certifikát považovat za kvalifikovaný certifikát ve smyslu zákona [1], ačkoliv byl vydán poskytovatelem certifikačních služeb usazeným ve státu, který není členem EU. Poskytovatel certifikačních služeb, usazený mimo členské státy EU, musí získat akreditaci v některém ze členských států EU, nebo za tohoto poskytovatele převezme poskytovatel certifikačních služeb usazený v některém členském státu EU, který splňuje podmínky práva Evropských společenství, odpovědnost za platnost a správnost certifikátu jako u svých kvalifikovaných certifikátů nebo to vyplývá z mezinárodní smlouvy. 5 Vytváření a ověřování platnosti digitálního podpisu V oblasti veřejných zakázek není omezen formát digitálního podpisu, který má být použit. V České republice je možné využívat v rámci zadávacích řízení různé aplikace, jejichž funkcionalita může být různá. Princip vytváření a ověřování platnosti digitálního podpisu je však u všech formátů stejný. Postupy vycházejí z principů nařízení vlády [3] a vyhlášky o elektronických podatelnách [4], které však nejsou pro oblast veřejných zakázek závazné a uvedený postup může být chápán jako doporučující. 5.1 Postup při vytváření digitálního podpisu Pro vytváření digitálního podpisu je nutnou podmínkou předchozí pořízení kvalifikovaného certifikátu. Seznam kvalifikovaných poskytovatelů certifikačních služeb a jejich služeb je k dispozici na http://www.micr.cz/scripts/detail.php?id=601. 5.1.1 Získání kvalifikovaného certifikátu Na základě informací, které poskytovatelé uvádějí na svých webových stránkách, je možné si vybrat poskytovatele certifikačních služeb (dále jen poskytovatel ) např. na základě ceny certifikátů, dostupnosti registračních autorit a dalších nabízených služeb (např. možnost umístění a používání soukromého klíče na aktivní čipové kartě). Strana 12 (celkem 18)

Poté, co dojde k výběru poskytovatele, je nutné zjistit bližší informace o postupu, jak certifikát získat. U každého z nich se postup mírně liší, podrobné návody uvádějí na svých webových stránkách. Pro bližší seznámení je nutné se seznámit s certifikační politikou, kterou poskytovatelé zveřejňují na svých webových stránkách. Princip je však u všech poskytovatelů obdobný nejprve je nutné vytvořit elektronickou žádost (má koncovku.req, jde o žádost ve formátu PKCS #10) a uložit ji na disketu 3. V závislosti na tom, jaké chce podepisující osoba uvést v certifikátu údaje, je nutné si připravit dokumenty, které prokazují jejich pravdivost. V průběhu generování žádosti o certifikát dojde též ke generování klíčového páru soukromého a veřejného klíče. Je nutné pamatovat na to, že soukromý klíč musí podepisující osoba držet pod svou výhradní kontrolou. Proto není vhodné nastavit např. slabé zabezpečení soukromého klíče nebo umožnit přístup k soukromému klíči další osobě. Poté je nutné s disketou a dokumenty navštívit registrační autoritu daného poskytovatele, podepsat s poskytovatelem smlouvu a nechat si vytvořit certifikát. Poté je nutné certifikát zaregistrovat (někdy je používán termín nainstalovat) do operačního systému dle instrukcí poskytovatele. V případě, že je certifikát a soukromý klíč uložen na čipové kartě, je nutné zaregistrovat certifikát prostřednictvím aplikace pro práci s čipovou kartou. První doporučená operace s certifikátem (pokud je soukromý klíč uložený v úložišti operačního systému) je vytvoření jeho zálohy včetně soukromého klíče. Tuto zálohu lze použít v případě, že následně dojde k zavirování počítače, havárii pevného disku, nové instalaci operačního systému nebo k podobným událostem. Zálohu je možné vytvořit exportováním certifikátu v prostředí webového prohlížeče je třeba postupovat pozorně a skutečně v průběhu exportování vybrat variantu exportování se soukromým klíčem. Poté je vhodné zálohu uložit tak, aby byla chráněna před zneužitím. 5.1.2 Vytváření digitálního podpisu Pokud je certifikát zaregistrován v aplikaci, kterou uživatel hodlá pro podepisování použít, je možné vytvořit v této aplikaci podpis. Nutnou podmínkou je, aby v dané aplikaci byl návod jak postupovat. Nejprve je zpravidla nutné vybrat certifikát, který bude připojen k podepsané zprávě a na kterém bude založen digitální podpis. Je doporučeno pokaždé zaslat zároveň se zprávou i certifikát, na němž je digitální podpis založen, včetně celé certifikační cesty (to bývá obvykle v původním nastavení aplikace, ale uživatel může být vyzván, aby si tuto vlastnost svého podpisu nastavil). Poté je možné zprávu podepsat, a v závislosti na nastavení zabezpečení dojde k výzvě k zadání hesla nebo PINu pro přístup k soukromému klíči, nebo pouze k obdržení informace, že právě dochází k podpisu zprávy soukromým klíčem. 5.1.3 Odlišnosti při přeshraniční komunikaci Technologie digitálního podpisu je nezávislá na tom, ve které zemi byl vytvořen certifikát. Problém je pouze právní povahy. Je nutné si obstarat kvalifikovaný certifikát vydaný 3 Je možné zakoupit čipovou kartu, na které může být soukromý klíč a certifikát uložen v takovém případě je nutné žádost o certifikát generovat s využitím čipové karty (včetně výběru algoritmu podporovaného čipovou kartou). Strana 13 (celkem 18)

poskytovatelem usazeným v EU nebo poskytovatelem usazeným ve třetí zemi, který splňuje podmínky uvedené v kapitole 4.2.1 4. V některých státech EU však nepůsobí žádný poskytovatel certifikačních služeb, který by vydával kvalifikované certifikáty (např. Dánsko a Malta), pak je nutné kvalifikovaný certifikát získat od poskytovatele certifikačních služeb v jiném státu EU, který kvalifikované certifikáty vydává. Tímto státem může, ale nemusí, být Česká republika. 5.2 Postup při ověřování platnosti digitálního podpisu Při doručení digitálně podepsané datové zprávy se uživateli v aplikaci obvykle zobrazí informace o tom, že je připojen digitální podpis. Je nutné nechat aplikaci ověřit, zda je digitální podpis a připojený certifikát platný. Je vhodné si výsledek důvěryhodným způsobem zaznamenat pro případ, že by bylo nutné následně prokázat, že byl podpis po doručení zprávy ověřen a s jakým výsledkem. 1. Nejprve aplikace ověřuje platnost digitálního podpisu 5. Tuto operaci za uživatele provádí automatizovaně aplikace a vychází z údajů obsažených v certifikátu. Pokud aplikace zobrazí informaci, že digitální podpis není v pořádku, je vhodné kontaktovat odesilatele takové datové zprávy. 2. Dalším krokem je ověření platnosti certifikátu. Pokud je certifikát vydán poskytovatelem, jehož kořenový certifikát dosud není zaregistrován jako důvěryhodný v operačním systému uživatele, bude se uživateli zobrazovat jako nedůvěryhodný. Z toho důvodu je vhodné při zahájení práce s aplikací přidat do úložiště důvěryhodných poskytovatelů certifikačních služeb v operačním systému nebo do úložiště konkrétní aplikace všechny kořenové certifikáty akreditovaných a případně i kvalifikovaných poskytovatelů certifikačních služeb v ČR. Některé aplikace však nespolupracují se standardním úložištěm operačního systému, takže je nutné postupovat v souladu s příručkami k těmto aplikacím. 3. Dále je nutné zjistit, zda je připojený certifikát kvalifikovaným certifikátem nebo kvalifikovaným systémovým certifikátem. Tato informace je většinou obsažena v Prohlášení vystavitele v certifikátu a vždy je obsažena v certifikační politice, na kterou musí být z kvalifikovaného certifikátu uveden odkaz. Dále je doporučeno v případě pochybností ověřit, zda se skutečně jedná o kvalifikovaný certifikát nebo kvalifikovaný systémový certifikát vydaný kvalifikovaným poskytovatelem certifikačních služeb na stránkách Ministerstva informatiky - http://www.micr.cz/scripts/detail.php?id=672. Zde jsou uvedeny všechny certifikáty kvalifikovaných poskytovatelů certifikačních služeb usazených v ČR, takže pokud 4 Jako kvalifikované certifikáty mohou být v některých státech označované certifikáty, které z pohledu direktivy [7] nelze považovat za kvalifikované certifikáty. Takový certifikát v rámci zadávání veřejných zakázek není možné podle zákona [2] použít. V případě pochybností je vhodné kontaktovat Ministerstvo informatiky. 5 Platnost digitálního podpisu se ověřuje tak, že se nejprve pomocí asymetrické kryptografie a hashovacích funkcí (matematické funkce popsané v mezinárodních standardech) spočte otisk přijaté datové zprávy a porovná se s podepsaným otiskem (tj. podpisem). Pokud jsou stejné, je podpis platný. Pokud se otisky liší, buď došlo ke změně podpisu, certifikátu nebo přijaté datové zprávy. Varianta, že došlo ke změně přijaté datové zprávy, je nejpravděpodobnější, často může být způsobena firewallem či antivirovým programem, který přidává k datové zprávě další údaje. Strana 14 (celkem 18)

budou stejné jako certifikát poskytovatele, který vydal certifikát, který je připojen k podepsané datové zprávě, lze se na tento certifikát spolehnout. Je vhodné tuto informaci ověřit i přesto, že kořenový certifikát zaregistrujete do úložiště důvěryhodných certifikátů operačního systému poskytovatelé certifikačních služeb většinou používají vlastní hierarchickou strukturu certifikačních autorit, takže kořenový kvalifikovaný systémový certifikát kvalifikovaného poskytovatele certifikačních služeb není zárukou, že všechny certifikáty podřízené tomuto kořenovému certifikátu budou také kvalifikované. Pokud připojený certifikát není kvalifikovaný certifikát, je vhodné se obrátit na odesilatele datové zprávy. 4. Dále se ověřuje, jestli je doba doručení datové zprávy v intervalu platnosti uvedeném v certifikátu. Vzhledem k tomu, že v oblasti zadávání veřejných zakázek může být časový údaj velmi podstatným údajem, je vhodné používat aplikaci, ve které dojde k doručení prakticky ihned po přijetí na server a která ověří interval platnosti podle tohoto údaje. Není vhodné, aby byl stanoven termín pro provedení úkonu v zadávacím řízení například na pátek 17:00 a aby datové zprávy, které přijdou na úřad v pátek v 16:30, byly doručeny až v pondělí ráno, po příchodu odpovědného pracovníka, a tedy až v tuto dobu byla ověřována platnost certifikátu. 5. Dalším krokem je ověření platnosti elektronické značky certifikátu (resp. digitálního podpisu v obecném případě). Každý certifikát je podepsán digitálním podpisem založeným na nadřízeném certifikátu vydavatele certifikátu. Jedinou výjimkou je kořenový certifikát, který je self-signed. Je nutné ověřit, zda digitální podpis certifikátu je platný. I toto ověření je prováděno aplikací. 6. Dále je nutné ověřit, zda certifikát, resp. jeho sériové číslo, není umístěno v aktuálním seznamu zneplatněných certifikátů (CRL) 6. Tuto činnost neprovádí všechny aplikace, je vhodné si v návodu k aplikaci ověřit, zda k tomuto ověření skutečně dochází. Pokud k ověření nedochází přímo v aplikaci, je nutné v podrobnostech certifikátu nebo v certifikační politice zjistit webovou adresu umístění CRL a provést ověření. I u CRL je nutné ověřit, zda je opatřeno platnou elektronickou značkou poskytovatele certifikačních služeb, který tento CRL vydal i toto ověření provádí za uživatele aplikace. 7. U certifikátů, které jsou nadřízené certifikátům v celé certifikační cestě, je také nutno ověřit platnost, stejně jako u certifikátu, na základě kterého byla označena datová zpráva. I tuto operaci provádí za uživatele aplikace. 8. Je možné, že některý z certifikátů v certifikační cestě bude zneplatněn (tzn. jeho sériové číslo bude uvedeno v CRL) nebo nebude doba, kdy dochází k ověření platnosti podpisu, v intervalu doby platnosti některého z certifikátů v certifikační cestě. V takovém případě je nutné ověřit, zda ke zprávě nebylo připojeno kvalifikované časové razítko a pokud ano, nejprve ověřit platnost kvalifikovaného časového razítka (provádí se stejně jako ověření platnosti podpisu, ale není podporováno všemi aplikacemi poskytovatelé však dávají na svých webových stránkách zdarma k dispozici aplikaci umožňující provést ověření platnosti kvalifikovaného časového razítka), včetně ověření platnosti certifikátu, na němž je 6 Je možné, že některý poskytovatel bude poskytovat možnost ověření platnosti certifikátu prostřednictvím OCSP (On-line Certificate Status Protocol), pak je vhodné se spolehnout na informaci z OCSP. Dále je možné, že CRL nebude přístupné prostřednictvím protokolu HTTP, ale bude dostupné pouze přes protokol LDAP pak je nutné použít aplikaci, která podporuje tento protokol. Strana 15 (celkem 18)

založena elektronická značka časového razítka a poté porovnat čas uvedený v časovém razítku a čas v certifikátu, který již není platný. Pokud bude doba uvedená v kvalifikovaném časovém razítku připojeném ke zprávě předcházet době zneplatnění nebo konci doby platnosti certifikátu, byl certifikát v době vytvoření podpisu platný a lze se na něj spolehnout. 5.2.1 Odlišnosti při přeshraniční komunikaci Je možné, že certifikát připojený k přijaté datové zprávě bude vydán poskytovatelem certifikačních služeb usazeným v jiné zemi než v ČR. Technologicky probíhá ověření naprosto stejně jako u certifikátů vydaných českými poskytovateli, jediné úskalí spočívá v určení, zda se jedná o kvalifikovaný certifikát. Ačkoliv Evropská komise investovala nemalé prostředky do několika projektů, jejichž výsledkem měly být návrhy, jak vzájemné uznávání kvalifikovaných certifikátů v rámci EU vyřešit, prozatím nedošlo k praktické realizaci žádného projektu. Proto je nutné použít složitější postup, a to ověření, zda je poskytovatel uveden jako akreditovaný nebo kvalifikovaný na seznamu na stránkách Evropské unie http://europa.eu.int/information_society/eeurope/2005/all_about/security/esignatures/index _en.htm nebo na stránkách fóra FESA http://www.fesa.eu/countries.html. Informace ze stránek Evropské unie lze považovat za spolehlivější, protože obsahují informace, které poskytují jednotlivé státy v rámci své notifikační povinnosti v souladu se směrnicí o elektronických podpisech Evropské komisi. Pokud je zde daný poskytovatel uveden, je vhodné údaj ještě ověřit na webových stránkách instituce odpovědné za akreditaci nebo dozor nad poskytovateli certifikačních služeb tím je sníženo riziko pro případ, že by došlo k podvržení některé z webových stránek. Poté je již nutné jen ověřit, zda daný certifikát je opravdu kvalifikovaný (jak již bylo uvedeno, pokud je certifikát vydaný poskytovatelem, který je v dané zemi akreditovaný nebo kvalifikovaný poskytovatel, není to ještě zárukou toho, že konkrétní certifikát je také kvalifikovaný, protože daný poskytovatel může nabízet více služeb 7 ). Tato informace je buď obsažena přímo v prohlášení vystavitele uvedeném v certifikátu, nebo je možné ověřit, zda je v podrobnostech certifikátu uvedeno OID 1.3.6.1.5.5.7.1.3, které indikuje, že se jedná o kvalifikovaný certifikát (uvádění těchto údajů však není povinné a jejich nepřítomnost v certifikátu neznamená, že se nejedná o kvalifikovaný certifikát) a nebo v certifikační politice. Zde však může dojít k potížím s porozuměním, vzhledem k tomu, že většina poskytovatelů certifikačních služeb nevydává certifikační politiku v anglickém jazyce. V případě, že se na základě uvedeného postupu nepodaří s dostatečnou spolehlivostí ověřit, zda se skutečně jedná o kvalifikovaný certifikát, je možné se obrátit na Ministerstvo informatiky na e-mailovou adresu lenka.vasakova@micr.cz nebo vaclav.sopr@micr.cz, do přílohy uložit certifikát připojený k doručené zprávě ve formátu PKCS #7, tedy s příponou.p7b, a to s celou certifikační cestou. Pracovníci ministerstva budou kontaktovat kolegy ze sdružení FESA a zjistí od nich, zda je připojený certifikát kvalifikovaným certifikátem v jejich státu. 7 Kvalifikovaný poskytovatel může vydávat jak kvalifikované certifikáty, tak i certifikáty, které nejsou kvalifikované. Strana 16 (celkem 18)

5.2.2 Záznam o ověření platnosti digitálního podpisu Jak již bylo uvedeno v úvodu této kapitoly, je doporučeno si zaznamenat údaje o tom, jak dopadlo ověření platnosti podpisu připojeného k datové zprávě. Zde je uvedena doporučená struktura takového záznamu: Je připojen zaručený elektronický podpis ANO Je zaručený elektronický podpis platný Je připojen kvalifikovaný certifikát (ověření zahraničního kvalifikovaného certifikátu viz kapitola 5.2.1) Kvalifikovaný certifikát nebyl zneplatněn a kvalifikovaný certifikát je platný (vzhledem k intervalu doby platnosti a platnosti všech nadřízených certifikátů v certifikační cestě) NE Je připojeno kvalifikované časové razítko Připojené kvalifikované časové razítko je platné Doba v kvalifikovaném časovém razítku předchází době, kdy došlo k zneplatnění nebo uplynutí doby platnosti certifikátu NE Konec ověření v případě připojeného zaručeného e-podpisu Je připojena elektronická značka ANO Je elektronická značka platná Je připojen kvalifikovaný systémový certifikát Kvalifikovaný systémový certifikát nebyl zneplatněn a kvalifikovaný systémový certifikát je platný (vzhledem k intervalu doby platnosti a platnosti všech nadřízených certifikátů v certifikační cestě) NE Je připojeno kvalifikované časové razítko Připojené kvalifikované časové razítko je platné Doba v kvalifikovaném časovém razítku předchází době, kdy došlo k zneplatnění nebo uplynutí doby platnosti certifikátu Konec ověření v případě připojené elektronické značky Tento záznam je vhodné uchovat důvěryhodným způsobem a je vhodné jej doplnit o časový údaj, kdy bylo ověření provedeno. Pro tento účel je možné využít buď systémový čas (pokud je příjemce schopen zajistit jeho správnost) nebo v ideálním případě kvalifikované časové razítko záleží na závažnosti úkonu, který byl proveden, a posouzení ověřujícím. Pokud ověření dopadlo kladně, je již možno v průběhu provádění dalších činností v rámci řízení o veřejné zakázce se zprávou nakládat jako s platně podepsanou. Strana 17 (celkem 18)

Změny 5.3 Změny oproti předchozí verzi Jedná se o první verzi metodického pokynu, která je určena ke zveřejnění. 5.4 Změnové řízení Status Datum Popis Garant Schválil Verze 0.01 07.12.2006 Interní návrh metodického pokynu odbor koncepce a koordinace ISVS Verze 1.00 29.12.2006 Schválená verze metodického pokynu určená pro zveřejnění Ministerstvo informatiky ředitelka odboru náměstek ministra pro informatiku Strana 18 (celkem 18)