Jak poznat, zda dva různé elektronické podpisy patří téže osobě?
zveřejněno 30.7.2022
Při ověřování elektronických podpisů se obvykle dozvídáme jen jméno a příjmení podepsané osoby, případně i s tituly. Ale osob se stejnou kombinací jména, příjmení a ev. titulů může být více - a jak v praxi poznáme, kdy u dvou čí více dokumentů jde o podpisy stejné osoby, nebo různých osob se shodou jmen?
Pomoci může tzv. identifikátor klienta MPSV (IK MPSV). To je bezvýznamový identifikátor (tj. nejde z něj dovodit nic o tom, komu patří - ani datum narození, ani pohlaví, jako je tomu u rodného čísla). Mělo by se přitom jednat o jedinečný identifikátor: tedy takový, že různé osoby mají vždy různé hodnoty tohoto identifikátoru, a stejná osoba vždy stejnou hodnotu.
Hodnota IK MPSV se dnes (a to dobrovolně, nikoli povinně) vkládá do kvalifikovaných certifikátů, vydávaných tuzemskými certifikačními autoritami. Pokud je do certifikátu vložena, je porovnáním konkrétní hodnoty v různých certifikátech možné určit, zda jejich držiteli jsou různé osoby, nebo stejná osoba. Z toho je pak možné usuzovat i na to, komu patří elektronické podpisy, založené na takovýchto certifikátech.
Video ukazuje, kde a jak hodnotu IK MPSV v kvalifikovaném certifikátu najít.
Ukazuje také další možnost, jak rozlišit podpisy různých osob tam, kde IK MPSV není vložen do certifikátu. Zde může pomoci jiný identifikátor, kterým vydavatel certifikátu identifikuje svého zákazníka v rámci svých systémů. Pokud se hodnota takovéhoto identifikátoru na dvou či více certifikátech shoduje, lze z toho dovodit, že jde o certifikáty patřící stejnému držiteli. Ale opak neplatí, protože jedna a táž fyzická osoba může být vedena u téhož vydavatele vícekrát, resp. s různými identifikátory.
Kvalifikovaný . Uznávaný . Zaručený
V tomto videu si ukážeme, jak poznat, zda dva uznávané či kvalifikované elektronické podpisy patří stejné podepsané osobě, nebo nikoli.
Nejjednodušší je samozřejmě případ, kdy jde o dva podpisy, založené na stejném kvalifikovaném certifikátu. To poznáme podle stejného vydavatele a stejného sériového čísla. Ale co v případě, kdy půjde o elektronické podpisy, založené na různých kvalifikovaných certifikátech? Pak narazíme na problém, že kvalifikovaný certifikát sice spolehlivě určuje svého držitele, ale nikoli jednoznačně. V kvalifikovaném certifikátu musí být povinně uvedeno pouze jméno a příjmení, vše ostatní je volitelné a v certifikátu nemusí být. Přitom osob stejného jména a příjmení, případně v kombinaci s tituly, může být více. Takže když budeme mít dva elektronické podpisy, založené na různých kvalifikovaných certifikátech se stejným jménem a příjmením držitele, jak poznáme kdy jde o stejnou osobu a kdy jen o shodu jmen?
Tam, kde se jedná o certifikát od tuzemské autority, může pomocí tzv. identifikátor klienta ministerstva práce a sociálních věcí, zkratkou IK MPSV. Na rozdíl od rodného čísla je to bezvýznamový údaj, a je jedinečný. To znamená, že každá osoba má přidělenu vždy stejnou hodnotu tohoto identifikátoru, a různé osoby mají vždy přiděleny různé hodnoty.
Hodnota tohoto identifikátoru se velmi často vkládá, a to na dobrovolné bázi, do kvalifikovaného certifikátu. Pokud je tam skutečně vložena, může pomoci s určením toho, které konkrétní osobě certifikát patří. To ale vyžaduje přístup do databáze MPSV, kde je uvedeno, komu byla konkrétní hodnota identifikátoru klienta přidělena.
I bez přístupu do této databáze je ale možné využít IK MPSV k jednoduchému rozlišení, zda dva kvalifikované certifikáty patří stejné osobě, či různým osobám. Stačí zjistit, zda se konkrétní hodnoty tohoto identifikátoru shodují či nikoli.
Pokud je identifikátor klienta MPSV do kvalifikovaného certifikátu vložen, najdeme jej v rozšíření s názvem "Alternativní název předmětu". Nepříjemné je, že program Adobe Acrobat Reader toto rozšíření nezobrazuje úplně správně. Pokud jej vůbec zobrazí, pak v něm ukáže jen ty položky, které sám zná. A položku s hodnotou identifikátoru klienta MPSV bohužel nezná, takže ji v příslušném rozšíření neukáže. A pokud v tomto rozšíření není žádná jiná položka, kterou by znal, pak celé rozšíření nezobrazí vůbec. Jako u tohoto certifikátu.
Naštěstí operační systém Windows toto rozšíření zobrazuje korektně. Řešením tak je uložit ten certifikát, jehož obsah nás zajímá, a pak jej otevřít prostředky operačního systému Windows. Pak už v rozšíření s názvem "Alternativní název předmětu" můžeme vidět vloženou hodnotu identifikátoru klienta MPSV. A to uvozenou tzv. OID identifikátorem s konkrétní číselnou hodnotou, která je vyhrazena pro označení právě takového identifikátoru, jako je IK MPSV. Samotná hodnota identifikátoru je vyjádřena po jednotlivých číslicích, hexadecimálně v kódování ASCII. Zjednodušeně: číslice 1 je vyjádřena jako 31, číslice 2 jako 32 atd.
Konkrétní hodnotu identifikátoru klienta MPSV pak můžeme srovnávat napříč různými kvalifikovanými certifikáty. Znovu si ale zdůrazněme, že vkládání konkrétní hodnoty IK MPSV do kvalifikovaných certifikátů je dnes dobrovolné, nikoli povinné. Takže hodnotu tohoto identifikátoru v kvalifikovaném certifikátu můžeme najít, ale také nemusíme.
Pokud ji tam nenajdeme, právě popsaný způsob pochopitelně nemůžeme využít. Existuje pak ještě nějaká další možnost?
Určitá možnost ano, ale týká se jen certifikátů stejného vydavatele. Ten si totiž vede svou vlastní databázi klientů, a každému z nich přiděluje jiný vlastní identifikátor v rámci této databáze. No a hodnotu tohoto identifikátoru může vkládat do vydávaných certifikátů, a to nejenom těch kvalifikovaných. Pokud se takovýto identifikátor ve dvou certifikátech shoduje, můžeme z toho dovodit, že jde o stejnou osobu. Pozor ale na to, že opačně to neplatí: jedna a táž osoba může být u téhož vydavatele vedena jako klient i vícekrát, pod různými hodnotami přidělených identifikátorů. Příklad vidíme na obrázku.