Právní úprava zavádí hned několik druhů elektronických podpisů, které tvoří určitou hierarchii. Na jejím vrcholu je právě kvalifikovaný elektronický podpis, na který jsou kladeny ty nejpřísnější požadavky. Díky tomu jde o takový druh elektronického podpisu, na který se můžeme spoléhat více, než na ostatní druhy elektronických podpisů. Tedy než na uznávané elektronické podpisy a zaručené elektronické podpisy, či takové, které nejsou ani zaručenými elektronickými podpisy.
Veřejnoprávní podepisující musí používat kvalifikované elektronické podpisy
Z tohoto důvodu je ve veřejné sféře vyžadován právě tento druh elektronického podpisu: když tzv. veřejnoprávní podepisující činí úkon či právně jednají a mají se elektronicky podepsat, musí použít právě kvalifikovaný elektronický podpis. Požaduje to § 5 zákona č. 297/2016 Sb. o službách vytvářejících důvěru. Ten stejnou povinnost ukládá také těm osobám, které sice nejsou veřejnoprávními podepisujícími, ale činí nějaký úkon při výkonu své působnosti.
V praxi musí být kvalifikovaným elektronickým podpisem (případně kvalifikovanou elektronickou pečetí) opatřeny například výstupy z autorizované konverze do elektronické podoby, správní rozhodnutí, rozsudky soudů, notářské zápisy a další dokumenty.
Kvalifikovaný, uznávaný a zaručený elektronický podpis
Kvalifikovaný elektronický podpis je v unijní právní úpravě, konkrétně v nařízení eIDAS, definován jako zvláštní případ, resp. podmnožina zaručeného elektronického podpisu. Zvláštní v tom, že musí splňovat navíc dvě další podmínky, které si záhy popíšeme.
V naší právní úpravě jsme si ale zavedli ještě jeden konkrétní druh elektronického podpisu, a to uznávaný elektronický podpis. Ten je jakoby zasazen mezi kvalifikované a zaručené elektronické podpisy: je zvláštním případem zaručených elektronických podpisů, když oproti nim musí splňovat navíc jen jednu další podmínku. Tou je kvalifikovaný certifikát. No a kvalifikované elektronické podpisy, které musí splňovat ještě jednu další podmínku, jsou samy zvláštním případem uznávaných elektronických podpisů.
I kvalifikované elektronické podpisy zajišťují integritu podepsaných dat
Všechny zaručené elektronické podpisy, a tedy i uznávané a samozřejmě také kvalifikované elektronické podpisy, dokáží zajistit integritu podepsaných dat. Jinými slovy: dokáží detekovat jakoukoli jejich změnu. Protože pokud by k ní došlo, při ověřování by takový podpis byl vyhodnocen jako neplatný.
Je to dáno tím, že všechny tyto podpisy jsou závislé na podepsaných datech. To znamená, že podpisy různých dat či celých elektronických dokumentů jsou také různé. Proto je není možné přenést z jednoho dokumentu na jiný dokument, respektive při takovémto pokusu by byl podpis původního dokumentu na jiném dokumentu při svém ověřování vyhodnocen jako neplatný, protože na něj nepatří. No a jelikož každá změna podepsaného dokumentu vlastně znamená jeho nahrazení jiným dokumentem, projeví se každá, a to i sebemenší změna, právě neplatností podpisu.
Nicméně: pokud by nám šlo jen o zajištění nějakých dat, resp. dokumentů proti změně, stačil by nám jen zaručený elektronický podpis. To kvalifikované, ale i uznávané elektronické podpisy používáme tam, kde požadujeme něco víc, než jen zajištění integrity, resp. ochranu dat proti změně.
Kvalifikovaný elektronický podpis musí být založen na kvalifikovaném certifikátu
Co pouhý zaručený elektronický podpis již nedokáže, ačkoli by se to z jeho názvu dalo očekávat, je zaručit to, komu podpis patří. Tedy identitu podepsané osoby. Není to ostatně ani jeho úkolem. Od toho, aby zaručovaly identitu podepsané osoby, jsou až uznávané a kvalifikované elektronické podpisy, a to díky oněm dodatečným podmínkám, které jsou na ně kladeny.
Samotný zaručený elektronický podpis nedokáže zaručit identitu podepsané osoby proto, že může být založen na jakémkoli certifikátu. Identitu podepsané osoby totiž dovozujeme právě z toho, co je uvedeno v certifikátu, na kterém je elektronický podpis založen. No a u zaručeného elektronického podpisu není kladem žádný požadavek na to, o jaký certifikát se má jednat. Takže to může být jakýkoli certifikát. I takový, jehož obsah vůbec neodpovídá skutečnosti. Proto se u zaručeného elektronického podpisu obecně nemůžeme spoléhat na to, komu patří. A to ani když je při ověřování vyhodnocen jako platný.
To u platných kvalifikovaných, ale i uznávaných elektronických podpisů se již spoléhat můžeme. Důvodem je jedna z dalších podmínek, kladených na tyto zvláštní případy zaručených elektronických podpisů: aby certifikát, na kterém jsou založeny, byl kvalifikovaný.
Čím se vyznačuje kvalifikovaný certifikát pro elektronický podpis?
Zdůrazněme si, že kvalifikovaný certifikát je takový, který splňuje přísné požadavky, stanovené právní úpravou.
Velmi zjednodušeně je klíčovým požadavkem to, aby obsah certifikátu odpovídal skutečnosti, samozřejmě včetně údajů o držiteli certifikátu. Díky tomu již nepotřebujeme nic dalšího k tomu, abychom se mohli spoléhat na to, že kvalifikovaný či uznávaný elektronický podpis patří tomu, kdo je v kvalifikovaném certifikátu uveden jako jeho držitel.
Jinými slovy: jak kvalifikovaný, tak i uznávaný elektronický podpis již zaručují identitu podepsané osoby. A to právě díky požadavku na kvalifikovaný certifikát.
Kvalifikovaný elektronický podpis je bezpečnější než uznávaný elektronický podpis
Rozdíl mezi kvalifikovanými a uznávanými elektronickými podpisy je pak v míře rizika, že došlo ke zneužití elektronického podpisu. Přesněji v míře rizika, že podpis jménem podepsané osoby ve skutečnosti vytvořil někdo jiný.
Toto riziko omezuje právě druhá podmínka, kladená již jen na kvalifikované elektronické podpisy, a nikoli již na ty uznávané. Týká se ochrany soukromého klíče, který je tím, co je charakteristické a unikátní pro každou podepisující osobu, a co tedy dělá její elektronický podpis jejím podpisem. Něco jako obdoba unikátního a specifického rukopisu, na kterém je založen vlastnoruční podpis.
Pokud by soukromým klíčem konkrétního držitele mohl vládnout někdo jiný, například díky tomu, že si jej dokázal okopírovat, mohl by se platně podepisovat jménem toho, komu soukromý klíč patří. Byla by to obdobná situace, jako kdyby si někdo okopíroval údaje o vaší platební kartě, a pak s nimi platil někde online, fakticky na váš účet.
Proto je tak důležité, aby soukromý klíč byl chráněn nejenom proti okopírování, ale i proti jakémukoli použití bez přímé kontroly toho, komu patří. V případě uznávaných elektronických podpisů, které jsou naší národní specialitou a unijní právní úprava s nimi vůbec nepočítá, ale není žádná ochrana soukromého klíče požadována. Je zcela na jeho držiteli, zda si bude svůj soukromý klíč chránit a také jakým způsobem.
Kvalifikovaný elektronický podpis vyžaduje kvalifikovaný prostředek
To u kvalifikovaných elektronických podpisů je ochrana soukromého klíče vyžadována. A to v podobě povinnosti mít jej uložený v certifikované čipové kartě či USB tokenu, ze které soukromý klíč nejde dostat ven. Takovéto kartě či tokenu právní úprava říká kvalifikovaný prostředek, konkrétně kvalifikovaný prostředek pro vytváření elektronických podpisů. Zkratkou QSCD, z anglického Qualified Signature Creation Device.
Mimochodem, podle předchozí právní úpravy elektronických podpisů, vycházející ještě z unijní směrnice a našeho zákona o elektronickém podpisu, se místo o kvalifikované prostředky jednalo o bezpečné prostředky. Plným jménem bezpečné prostředky pro vytváření elektronických podpisů, zkratkou SSCD, od Secure Signature Creation Device.
Důležité pro ochranu soukromého klíče je to, aby nikdy neexistoval vně takovéhoto kvalifikovaného prostředku, resp. čipové karty či USB tokenu. Aby nemohl být okopírován, a jediná možnost jeho zneužití vedla přes fyzické odcizení příslušného prostředku. Tedy oné certifikované čipové karty či USB tokenu. Což je přeci jen snáze detekovatelné, když někomu něco hmotného chybí, než případné okopírování soukromého klíče, kdy vlastně nikomu nic nechybí.
Reálně to ale znamená, že soukromý klíč se již musí narodit uvnitř tohoto prostředku, resp. být v něm vygenerován, a nesmí být možné jej dostat ven z prostředku, neboli vyexportovat ho. Nemožnost takovéhoto exportu je opět klíčovým požadavkem, kladeným na certifikaci příslušné čipové karty, resp. USB tokenu. Tedy podmínkou toho, aby se konkrétní čipová karta či USB token staly oním kvalifikovaným elektronickým prostředkem pro vytváření elektronických podpisů.
Požadavek právní úpravy vs. reálný stav
Právě popsaný požadavek na uchovávání soukromého klíče, který je kladen na kvalifikovaný elektronický podpis a který má za úkol minimalizovat riziko jeho kompromitace, resp. zneužití, se ale obtížně definuje, zvláště pak v právních textech. Konkrétně v nařízení eIDAS je tento požadavek formulován tak, že kvalifikovaný elektronický podpis musí být vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů.
To ale nestačí. Takto formulovaný požadavek může být splněn i v případě, kdy je soukromý klíč vytvořen, neboli vygenerován, nejprve někde mimo čipovou kartu či USB token, resp. mimo kvalifikovaný prostředek, a teprve následně je do kvalifikovaného prostředku nahrán – a pak je použit k vytvoření podpisu. Jenže v mezidobí mohl být soukromý klíč okopírován. Stejně tak mohl zůstat zachován jeho původní exemplář, nacházející se ještě mimo kvalifikovaný prostředek. Což neguje to, co je cílem: maximální ochrana soukromého klíče.
Navíc tak, jak je požadavek na použití kvalifikovaného prostředku v právní úpravě formulován, je nekontrolovatelný. Není totiž reálné, aby každé podepisující osobě někdo dostatečně důvěryhodný stál za zády a následně dosvědčil, že podpis byl skutečně vytvořen pomocí kvalifikovaného prostředku a nikoli bez něj. Výsledný podpis naopak musí být samonosný, v tom smyslu, že se již přímo z něj dá poznat, o jaký druh elektronického podpisu se jedná, a není nutné připojovat nějaké další dobrozdání ohledně způsobu jeho vzniku.
Jak to funguje v praxi?
Praktické řešení je proto takové, že splnění požadavku na bezpečné uložení soukromého klíče se pozná podle jednoho z příznaků v kvalifikovaném certifikátu, na kterém je elektronický podpis založen. K tomu si dodejme, že certifikáty jsou standardně přikládány ke každému vytvořenému elektronickému podpisu. Příslušný příznak ale musí být nastaven již při vydávání kvalifikovaného certifikátu jeho vydavatelem – a pokud je nastaven, vypovídá o tom, že soukromý klíč byl skutečně vygenerován přímo v kvalifikovaném prostředku. A jelikož jde o kvalifikovaný prostředek, je zajištěno, že soukromý klíč z něj nejde dostat ven.
Reálně to znamená, že ten, kdo se chce podepisovat pomocí kvalifikovaného elektronického podpisu, si musí nejprve pořídit nějaký kvalifikovaný prostředek pro vytváření elektronických podpisů. Tedy některou z certifikovaných čipových karet či USB tokenů. Teprve pak může požádat o vydání kvalifikovaného certifikátu. Přitom již v rámci příslušné žádosti si musí nechat vygenerovat tzv. párová data, neboli soukromý klíč i jemu odpovídající veřejný klíč, a to přímo ve svém kvalifikovaném prostředku. Protože pouze v takovémto případě bude vydavatel kvalifikovaného certifikátu ochoten nastavit v něm příslušný příznak.
K tomu si dodejme, že kvalifikovaným prostředkem pro vytváření elektronických podpisů je mimo jiné i český občanský průkaz, vydávaný od 1. července 2018.
Podle čeho se pozná kvalifikovaný elektronický podpis? A jak se poznají jiné druhy elektronických podpisů?
Můžeme si to tedy celé zrekapitulovat tak, že vše potřebné pro rozpoznání kvalifikovaného elektronického podpisu je uvedeno v certifikátu, na kterém je podpis založen. Musí se jednat o kvalifikovaný certifikát pro elektronický podpis, a musí v něm být nastaven příznak o umístění soukromého klíče na kvalifikovaném prostředku.
Takovéto rozpoznání je práce pro stroj, resp. program či službu, kterou pro práci s elektronickými podpisy používáme. Ty by nám měly korektně sdělit, že se jedná o kvalifikovaný elektronický podpis.
Problém pochopitelně nastává tam, kde to příslušný program či služba neumí a svým uživatelům neřekne, o jaký druh elektronického podpisu se jedná. Pak nezbývá, než vše vyhodnotit vlastními silami uživatele.
Například volně dostupný program Adobe Acrobat Reader dokáže správně rozpoznat kvalifikovaný elektronický podpis, a svého uživatele o tom informuje. Ale náš uznávaný elektronický podpis tento program nezná, a proto jej nedokáže správně rozpoznat a rozlišit od zaručeného elektronického podpisu. Pak nezbývá, než se podívat do detailů samotného certifikátu.
To, že jde o kvalifikovaný certifikát, se v programu Adobe Acrobat Reader pozná podle tzv. evropské značky důvěry, v podobě modrého zámečku s hvězdičkami. No a druhá podmínka, týkající se uložení soukromého klíče, resp. nastavení příslušného příznaku, se pozná podle tohoto textu, zmiňující zařízení QSCD.
Takže: pokud jsou splněny obě podmínky, tedy že jde o kvalifikovaný certifikát a je uvedena zmínka o uložení soukromého klíče, jedná se celkově o kvalifikovaný elektronický podpis. Pokud je splněna pouze jedna podmínka, a to ta o kvalifikovaném certifikátu, jedná se o pouze o uznávaný elektronický podpis. Přesněji o takový uznávaný elektronický podpis, který není současně kvalifikovaným elektronickým podpisem. No a pokud není splněna ani jedna z těchto dvou podmínek, jedná se pouze o zaručený elektronický podpis. Přesněji o takový zaručený elektronický podpis, který není současně ani uznávaným elektronickým podpisem.