Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

4.1        Co není (zaručeným) elektronickým podpisem

Když jsme si v předchozích kapitolách popisovali, jak vzniká elektronický podpis a jak se vyhodnocuje jeho platnost, vybudovali jsme si tím i určitou představu toho, co už je elektronickým podpisem a co ještě nikoli. A třeba představa elektronického podpisu „jako známky“ či „jako razítka“ nám do této představy nezapadla, protože „naším“ elektronickým podpisem je pouze takový, který stojí na principech asymetrické kryptografie, vzniká s využitím soukromého klíče, vyhodnocuje se pomocí veřejného klíče a opírá se o certifikáty, které se zase opírají o existenci celé infrastruktury veřejného klíče.

Nicméně když zákonodárci v EU přijímali výchozí unijní legislativu pro elektronický podpis, nastavili pomyslnou „laťku“ podstatně níže. Elektronický podpis definovali „tak nízko“ a tak technologicky neutrálně, že by se za něj daly považovat i takové věci, které do naší představy (viz druhá a třetí kapitola) vůbec nezapadají. A nezapadají ani do toho, jak je dnes elektronický podpis v praxi všeobecně vnímán.

Naštěstí i náš zákon[45] vymezuje různé úrovně elektronických podpisů, a ty vyšší již lépe odpovídají realitě. Konkrétně námi vytvořené představě elektronického podpisu odpovídá až tzv. zaručený elektronický podpis.

Proto jsme také v první kapitole zavedli úmluvu o tom, že kdykoli řekneme „elektronický podpis“ bez dalších upřesnění, budeme tím mít na mysli to, co zákon definuje jako „zaručený elektronický podpis“.

Přesto určitě nezaškodí, když si zde podrobněji rozebereme i ty podpisy, které do naší představy elektronického podpisu nezapadají a nejsou ani zaručenými elektronickými podpisy (z pohledu zákona).

Začít musíme od toho, jak je elektronický podpis vymezen v zákoně. Ten jej definuje jako:

údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené, a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě

Povšimněte si dobře, že zde není uveden žádný požadavek na způsob vzniku podpisu (oněch „údajů v elektronické formě“). Nemusí tedy nutně vznikat způsobem, který jsme si popisovali ve druhé kapitole, s využitím dvojice asymetrických klíčů (soukromého a veřejného) a nějakého certifikátu.

Je zajímavou otázkou, zda by takto vágní definici v zákoně nevyhovělo například to, co jsme si již jednou ukazovali jako příklad toho, co bychom opravdu (ale opravdu) neměli považovat za elektronický podpis: když někde naskenujeme něčí vlastnoruční podpis, z nějakého listinného dokumentu či odjinud, a výsledný obrázek pak pomocí vhodného programu „přilepíme“ k nějakému textu.

Jako na příkladu z části 2.1, kdy autor této knihy sejmul podpis prezidenta Václava Klause, převedl jej do podoby rastrového obrázku (tedy: údajů v elektronické podobě), a následně vložil v  textovém editoru k nějakému textu („připojil k datové zprávě“).

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Text s přiloženým snímkem podpisu Václava Klause

Obrázek 4 - 1: Text s přiloženým snímkem podpisu Václava Klause

Dá se z takovéhoto artefaktu, který může vytvořit skutečně kdokoli, „jednoznačně ověřit identita podepsané osoby ve vztahu k datové zprávě“, jak to požaduje zbývající část definice elektronického podpisu?

Kdo zná podpis Václava Klause (nebo se na něj někde podívá), mohl by si v první chvíli skutečně myslet, že uvedený text podepsal Václav Klaus. Tedy identifikovat Václava Klause jako podepsanou osobu. Ale určitě ho velmi rychle napadne otázka, zda takovýto „podpis“ skutečně zachycuje projev vůle podepisující (resp. podepsané) osoby. Můžeme z něj odvozovat souhlas Václava Klause s obsahem podepsaného dokumentu (či zprávy)?

Určitě ne. Stejně tak z něj ale nemůžeme odvozovat ani jeho nesouhlas. Nemůžeme z něj zkrátka odvozovat vůbec nic. Předpokládat nemůžeme ani to, že podpis na předchozím obrázku vytvořil sám Václav Klaus.

A tady už narážíme na první zásadní problém: definice elektronického podpisu tuto otázku neřeší. Nepožaduje tedy (ani nepřímo) projev vůle podepsané osoby. Možná proto, že řeší jen přívlastek „elektronický“ a nedefinuje základní atributy „podpisu“ jako takového, mezi které by projev vlastní vůle určitě patřit měl[46]

V každém případě musíme takovýto druh artefaktu odmítnout, resp. vyloučit z toho, co považujeme za elektronický podpis. Zde již pro samotnou absenci projevu vůle podepisující (podepsané) osoby.

Kde již situace nemusí být až tak jasná, jsou nejrůznější „podpisové patičky“ u zpráv elektronické pošty. Mají podobu textu, který se přikládá (buď ručně, častěji ale automaticky) na konec jednotlivých emailů, a obsahuje nejrůznější identifikační údaje o autorovi zprávy. Příklad vidíte na dalším obrázku.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad textového podpisu (patičky) na konci emailové zprávy

Obrázek 4 - 2: Příklad textového podpisu (patičky) na konci emailové zprávy

V praxi takovéto druhy textových podpisů mohou poskytovat (a často také poskytují) velmi důležité a užitečné informace. Problém je ale v tom, že se na ně nemůžeme spolehnout.

Snad nepřekvapí konstatování, že do takovéto „patičky“ na konci emailové zprávy si může každý napsat, cokoli ho jen napadne. A vůbec se přitom nemusí vydávat za sebe sama.

Pokud chcete příklad, můžete ho vidět na obrázku s emailem od literární postavy Josefa Švejka[47].

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Email s textovým podpisem literární postavy Josefa Švejka

Obrázek 4 - 3: Email s textovým podpisem literární postavy Josefa Švejka

Je otázkou, zda by takováto „podpisová patička“ vyhověla definici elektronického podpisu, tak jak je obsažena v zákoně. Určitě by ale nevyhověla definici zaručeného elektronického podpisu, která odpovídá našemu (zde používanému) i v praxi obvyklému chápání elektronického podpisu.

Proto se takovýmto „elektronickým podpisům“ (bez přívlastku) v této knížce už dále věnovat nebudeme. Ne že by v praxi neměly smysl a nebyly užitečné - ale proto, že bychom je raději neměli vůbec považovat za elektronický podpis (i když by to zákon možná připouštěl).

Spíše se na ně dívejme jako na určitou informaci, která je nám poskytována bez jakýchkoli záruk.


[45] Zákon č. 227/2000 Sb., „o elektronickém podpisu“, v platném znění

[46] Atributy (vlastnoručního) podpisu ale také nejsou nikde (v zákoně) definovány.

[47] Jen na okraj: tento mail byl skutečně odeslán a řádně doručen, takže snadno zfalšovat lze i adresu odesilatele, uváděnou v hlavičce zprávy poštovním programem (a ne pouze text v roli podpisu, vloženého do těla zprávy).



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61