Papierovačky nám prerástli cez hlavu. A to doslova. Množstvo informácií potrebných na chod spoločnosti už nie je možné prenášať, ani uchovávať na papieri. Aj keď sme si zvykli na dokumenty v elektronickej podobe, sú prípady, kde zatiaľ legislatíva takúto formu nepokladá za rovnocennú s papierovou. Zmeniť to dokáže zaručený elektronický podpis využívaný pre styk so štátnou a verejnou správou.

Kľúč ako podpis

Elektronický podpis nepredstavuje vlastnoručný podpis v digitálnej podobe. Sú to vygenerované dva kľúče, ktoré nie sú nositeľmi žiadnych biometrických údajov, na základe ktorých by sa dalo určiť, kto podpis vytvoril. Elektronický podpis využíva asymetrické kryptovanie. K dispozícii je súkromný kľúč, pomocou ktorého je jeho držiteľ schopný šifrovať a kľúč verejný, vďaka ktorému je možné šifrovú informáciu dešifrovať. Čo sa v prípade elektronického podpisu šifruje? Nie je to celý dokument, lebo ten môže byť príliš dlhý a v tom prípade by zložité asymetrické šifrovanie mohlo dlho trvať. Preto sa používa tzv. hašovacia hodnota (digitálny odtlačok) dokumentu, ktorá sa kľúčom podpisovateľa zašifruje, čím je dokument elektronicky podpísaný. Ak by sa niekto pokúsil následne urobiť v dokumente akékoľvek zmeny, príjemca by to zistil, pretože by sa dokument zmenil.

Certifikáty

Ak sa má elektronický podpis masovo presadiť na dôveryhodnú komunikáciu aj medzi neznámymi ľuďmi z rozličných koncov sveta, musí mať zadefinovanú infraštruktúru, ktorá umožní overovať si navzájom podpisy. Táto infraštruktúra sa nazýva PKI, (Public Key Infrastructure) infraštruktúra verejných kľúčov a pozostáva predovšetkým z poskytovateľov certifikačných služieb. Certifikačná autorita je tretia strana, ktorá garantuje, že údaje uvedené v certifikáte, ktorý vydá sú pravdivé a aktuálne. Garantuje, že človek uvedený v certifikáte pozná súkromný kľúč k verejnému kľúču a identita súhlasí s tým, kto o vydanie certifikátu požiadal. Certifikát verejného kľúča je elektronický dokument obsahujúci identifikačné číslo certifikátu, identifikačné údaje vydavateľa a držiteľa certifikátu, dátum a čas začiatku a konca platnosti certifikátu, verejný kľúč držiteľa certifikátu, identifikáciu algoritmov, pre ktoré je kľúč určený, elektronický podpis certifikačnej autority, obmedzenie použitia páru kľúčov, ku ktorému je certifikát vydaný, obmedzenie použitia certifikátu, obmedzenie zodpovednosti za použitie elektronického podpisu overeného na základe tohto certifikátu, informácie o možných spôsoboch overenia pravosti a platnosti certifikátu.

Ak držiteľ certifikátu zistí, že došlo k zneužitiu jeho súkromného kľúča, zablokuje jeho používanie tým, že požiada vydavateľa certifikátu príslušného verejného kľúča (certifikačnú autoritu) o zrušenie daného certifikátu. Certifikačná autorita zruší daný certifikát verejného kľúča a zaradí ho na zoznam zrušených certifikátov.

Uzavreté systémy

Zákon o elektronickom podpise vstúpil do platnosti 1. mája 2002. Začiatkom roku 2003 Národný bezpečnostný úrad deklaroval, že sú pripravené podmienky na používanie elektronického podpisu. Treba však dodať, kde sa takýto elektronický podpis môže využívať. "Mnohé aplikácie sa zaobídu bez elektronického podpisu, ale tam kde potrebujeme jednoznačne stanoviť zodpovednosť za nejakú vykonanú činnosť, alebo identifikovať človeka, ktorý o niečo žiada, tam napísanie mena, alebo emailová adresa jednoducho nestačia," hovorí doc. RNDr. Daniel Olejár, PhD. z Fakulty matematiky, fyziky a informatiky UK Bratislava. Na vytváranie elektronického podpisu len pomocou bežného počítača potrebujete mať pár kľúčov vytvorený programom v počítači, pričom svoj súkromný kľúč uložíte napríklad na hardisku alebo diskete. Na podpis jednoducho spustíte program zadaním hesla z klávesnice. Pritom nemusíte mať nejaké špeciálne zariadenie. Certifikačná autorita vám vydá certifikát, ktorý môže byť na diskete. Ale pochopiteľne počítač, a to hlavne pri súčasnom výskyte počítačových vírusov, nemusí byť považovaný za spoľahlivé zariadenie. Takto vytvorený elektronický podpis sa dá používať všade tam, kde sa podmienky používania dohodnú zmluvne, napr. v rámci štandardných e-mailových aplikácií na zaistenie bezpečnej komunikácie. Alebo v bankovníctve, kde zjednoduší bankové operácie. Umožňuje autorizáciu platobných príkazov oprávnenými osobami s využitím "papierových" podpisových vzorov. Pomocou elektronického podpisu môžu zákazníci banky uskutočňovať bezlimitné platby či získavať elektronické výpisy, použiteľné ako podklad pre potreby účtovníctva. V tomto prípade však už je súkromný kľúč uložený v bezpečnejšom zariadení, napr. v čipovej karte alebo USB tokene.

Pre úrady neakceptovateľný

Zákon hovorí, že v úradnom styku možno používať len zaručený elektronický podpis a kvalifikovaný certifikát, ktorý vydá akreditovaná Certifikačná autorita. Zaručený elektronický podpis sa nedá vytvárať pomocou počítača, ale pomocou zariadenia, ktoré je dostatočne bezpečné. Digitálny odtlačok dokumentu, ktorý sa má podpísať sa presunie do čipovej karty alebo USB tokenu. V čipovej karte sa podpíše, znovu pošle do počítača, pričom súkromný kľúč, pomocou ktorého sa vytvára elektronický podpis, neopustí čipovú kartu. Aby ho mohol využiť len majiteľ, je v tom jednoduchšom prípade prístup chránený PINom. Na jednej karte môže byť viacero kľúčov. Jeden pre bankový styk, iný pre korešpondenciu. "Niektorí priekopníci už majú svoje certifikáty aj karty. V prípade akreditácie certifikačných autorít budú mať títo ľudia ďalšie certifikáty i nové kľúče. Pri zaručenom elektronickom podpise je jasne zapísané, že je zaručený, rovnako aj v certifikáte, že ide o kvalifikovaný certifikát. Preto nebude problém v tom, že by sa miešali obyčajné a zaručené" hovorí doc. Olejár. "Nestane sa tak omyl, že by sa podpísalo niečo obyčajným, keď to vyžadovalo zaručený, čo by viedlo k sporu" - dodáva. Na Slovensku už máme prvú akreditovanú Certifikačnú autoritu, ktorou je Elektrotechnický výskumný a projektový ústav a počíta sa ešte s ďalšími dvoma. V Nemecku, ktoré má zhruba 80 miliónov obyvateľov, majú niečo medzi 20 až 30 akreditovanými certifikačnými autoritami. Ale pred dvoma rokmi mali iba jednu alebo dve. V Českej republike je len jedna a nik iný ani o akreditáciu nepožiadal. Po vstupe do EÚ budú kvalifikované certifikáty vydané v akejkoľvek krajine EÚ uznávané aj na Slovensku.

Napriek tomu, že už akreditovaná certifikačná autorita ponúka svoje služby, zatiaľ sa o veľkom záujme o kvalifikované certifikáty hovoriť nedá. Dôvod je jednoduchý: elektronický podpis sa používať v styku s úradmi nedá. Hovorí sa o aplikáciách ako colné deklarácie a daňové priznania, no elektronické podateľne sú ešte hudbou budúcnosti. Nakoľko je táto budúcnosť vzdialená záleží od nasadenia aplikácií. Ak štátna, či verejná správa nezadá konkrétnu požiadavku, bude sa elektronický podpis aj naďalej využívať len v obchodnom styku, pre ktorý komerčná sféra pripravuje aplikácie a kde sa nevyžaduje zaručený elektronický podpis. Treba však pripomenúť, že občan, ktorý si raz ročne podá daňové priznanie si nebude kupovať ani čítačku a čipovú kartu, ani kvalifikovaný certifikát. Elektronický podpis uľahčí prácu predovšetkým právnickým osobám, ktoré spolupracujú s daňovým úradom celoročne. V súčasnosti je 120 takýchto subjektov zapojených do testovacej prevádzky projektu Vstup daňových dokumentov cez internet.

Čo vlastne podpisujeme?

Tak ako musí prejsť certifikačná autorita akreditáciou, ak chce ponúkať kvalifikované certifikáty, musí mať hardvér i softvér používaný pre zaručený elektronický podpis certifikát od NBU. V prípade hardvéru je to spomínaný USB token, alebo čipová karta s čítačkou. Ako však predísť možnosti podstrčiť iný dokument alebo hašovaciu hodnotu na podpis? Rovnako musí byť certifikovaný aj softvérový nástroj, ktorý na monitore počítača zobrazí naozaj to, čo sa následne presunie na podpis. Takýto nástroj zatiaľ certifikovaný nebol. Akreditovaná certifikačná autorita je pripravená predávať kvalifikované certifikáty a to aj napriek tomu, že zaručený elektronický podpis sa v týchto dňoch rozhodne na žiadnom dokumente neobjaví, pretože nie je ako a pre koho ho vytvárať. (rak)