4.5.2         Platnost elektronického podpisu z pohledu programů

V důsledku předchozího odstavce si musíme znovu poupravit naši představu o tom, jak přesně se v praxi vyhodnocuje platnost elektronického podpisu, pomocí běžně používaných prostředků pro ověřování (vyhodnocování platnosti) elektronických podpisů.

Postup, který jsme si popisovali v celé předchozí kapitole, nebral do úvahy druh certifikátu, resp. jeho „kvalitu“ (chápanou jako míru jeho důvěryhodnosti). Zejména tedy to, zda jde o certifikát kvalifikovaný, nebo komerční. 

To odpovídá pohledu (tuzemské) právní úpravy: podle ní druh certifikátu nerozhoduje o platnosti elektronického podpisu: podpis je platný bez ohledu na druh certifikátu, na kterém je podpis založen. Druh certifikátu rozhoduje pouze o tom, zda jde o zaručený elektronický podpis, či o uznávaný elektronický podpis atd.

V praxi to znamená, že buďto musí být označen jako důvěryhodný (vložen do příslušného úložiště důvěryhodných certifikátů) přímo ten certifikát, na kterém je ověřovaný podpis založen, nebo musí být jako důvěryhodný označen některý z jeho nadřazených certifikátů (na příslušné certifikační cestě).

Názorně to ukazuje předchozí příklad s elektronickým podpisem literární postavy Josefa Švejka (v levé části obrázku 4.10): vyhodnocení platnosti prováděl program Adobe Reader, přičemž certifikát Josefa Švejka byl v jeho úložišti uložen mezi důvěryhodnými certifikáty. Proto jej Reader považoval za důvěryhodný a mohl dospět k závěru, že podpis, založený na tomto certifikátu, je platný.

Naopak v případě, kdy ověřující program (prostředek) nemá k dispozici takové informace, na základě kterých by příslušný certifikát (nebo některý z jeho nadřazených certifikátů) mohl považovat za důvěryhodný, nemůže dojít k závěru, že podpis je platný. A to ani tehdy, když jsou ostatní podmínky splněny (tj. integrita podepsaného dokumentu je neporušena, certifikát je platný a nebyl revokován). V takovém případě skončí ověřování podpisu obvykle s výsledkem „nevím“ (i když podle zákona by mělo skončit verdiktem „platný“).

Příklad ukazuje následující obrázek se stejným zaručeným elektronickým podpisem literární postavy Josefa Švejka jako dříve (v levé části obrázku 4.10). Tentokráte ale bez toho, že by příslušný certifikát byl uložen v tom úložišti důvěryhodných certifikátů, které právě používá program Adobe Reader. Ten tak nemá k dispozici informace, na jejichž základě by certifikát mohl považovat za důvěryhodný – a proto celý podpis hodnotí tak, že jeho platnost je neznámá.

V obou příkladech (na obrázku 4.11 a v levé části obrázku 4.10) přitom jde o jeden a tentýž podpis, který z pohledu práva je platným zaručeným elektronickým podpisem, ale není platným uznávaným elektronickým podpisem.

Obrázek 4 - 11: Vyhodnocení platnosti podpisu literární postavy Josefa Švejka v situaci, kdy jeho certifikát není zařazen mezi důvěryhodnými certifikáty

Uvědomme si také, že pokud tyto důležité skutečnosti nebudeme brát v úvahu, bude to jen a jen naše chyba: budeme-li verdikt programu interpretovat chybně a budeme-li podle toho jednat, poneseme případné následky také jen my.