IT Systems 4/2019 | V září roku 2018 vypršela přechodná zákonná možnost použití elektronických značek namísto elektronických pečetí. Což zejména pro množství státních organizací znamenalo nutnost zabývat se tím, jak naplní literu zákona a začnou své elektronické dokumenty opatřovat kvalifikovanými elektronickými pečetěmi.
Pečetě jsou využívány právnickými osobami k prokázání původu elektronickou pečetí opatřeného dokumentu, nebo obecně elektronických dat, tzn. toho, že zapečetěný dokument (data) vznikl v určité organizaci. Fyzická osoba nemůže disponovat elektronickou pečetí, a naopak právnická osoba nemůže disponovat elektronickým podpisem (v rámci právnických osob elektronickými podpisy disponují její zaměstnanci).
Definice elektronických pečetí
Hlavními předpisy definující elektronické pečetě v ČR jsou eIDAS a zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce (ZoSVD).
Elektronická pečeť je z pohledu legislativy definována v článku 3 nařízení eIDAS jako „data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena s cílem zaručit jejich původ a integritu“. Jak takovou definici interpretovat?
- „data v elektronické podobě“ – výsledek procesu aplikování principů asymetrické kryptografie, tak aby vznikl soubor dat, který je možné interpretovat jako elektronickou pečeť,
- „jiným datům v elektronické podobě“ – typicky jde o elektronický dokument, případně jiný multimediální (nebo obecně binární soubor), který má být opatřen elektronickou pečetí,
- „která jsou připojena … nebo jsou s nimi logicky spojena“ – mechanismy asymetrické kryptografie zajišťují, že elektronická pečeť je zaručeně spojena pouze a jedině s daným pečetěným souborem dat,
- „s cílem zaručit jejich původ a integritu“ – opět asymetrická kryptografie zajišťuje ověření integrity zapečetěného souboru dat (tedy že od zapečetění nebyl daný soubor binárně změněn) a původu, tedy ověření původce dané pečetě, respektive vlastníka kryptografických klíčů a k nim vystaveného certifikátu, na jehož základě byla daná elektronická pečeť vytvořena.
Úrovně elektronických pečetí
Podobně jako u elektronických podpisů se rozlišují úrovně elektronických pečetí:
- Zaručené elektronické pečetě (eIDAS, čl. 3, odst. 26; čl. 36) – v praxi zaručená pečeť znamená, že je vytvořena podle technických standardů AdES a pomocí certifikátu, který odpovídá požadavkům eIDAS (eIDAS, příloha III).
- Uznávané elektronické pečetě (ZoSVD, § 9, odst. 2) – platí požadavky na zaručenou pečeť, a navíc musí být použit kvalifikovaný certifikát.
- Kvalifikované elektronické pečetě (eIDAS, čl. 3, odst. 27) – opět platí požadavky na uznávanou elektronickou pečeť, ale navíc je nutné, aby byly vytvářeny prostřednictvím kvalifikovaných prostředků pro vytváření elektronických pečetí (tzv. QSCD).
Povinnost použití elektronických pečetí
Použití elektronických pečetí v definovaných úrovních určuje ZoSVD, a to takto:
- Kvalifikovanou elektronickou pečeť mají povinnost používat veřejnoprávní podepisující při výkonu své působnosti (§ 8).
Alespoň uznávanou (lze dobrovolně použít i kvalifikovanou) elektronickou pečeť mají povinnost používat subjekty, které jednají vůči veřejnoprávnímu podepisujícímu (§ 9). - Jakoukoli úroveň elektronické pečetě lze použít ve všech ostatních případech. Např. obchodní korporace mohou při komunikaci mezi sebou nebo s fyzickými osobami dobrovolně použít kvalifikovanou, uznávanou, zaručenou úroveň elektronické pečetě, nebo také žádnou (§ 10). Záleží tedy na dohodě (smluvním vztahu) mezi danými subjekty.
QSCD – kvalifikované prostředky pro vytváření elektronických pečetí
Pro vytváření kvalifikovaných pečetí je nutné použít kvalifikovaných prostředků pro vytváření elektronických pečetí, tzv. QSCD zařízení (někdy též QSealCD, z anglického Qualified Seal Creation Device). QSCD jsou speciální, zpravidla hardwarová zařízení určená k práci s kryptografickými klíči a k provádění kryptografických operací.
eIDAS QSCD (v článku 3, odstavci 31 a 32) definuje jako:
- prostředkem pro vytváření elektronických pečetí se rozumí konfigurované programové vybavení nebo technické zařízení, které se používá k vytváření elektronických pečetí,
- kvalifikovaným prostředkem pro vytváření elektronických pečetí se rozumí prostředek pro vytváření elektronických pečetí, který přiměřeně splňuje požadavky stanovené v příloze II.
V praxi se setkáváme zejména s hardwarovými QSCD v podobě USB tokenů, čipových karet nebo specializovaných serverových zařízení HSM (z anglického Harware Security Module).
Aby určité zařízení mohlo být považováno za QSCD, musí splňovat požadavky stanovené nařízením eIDAS a certifikace daného zařízení musí být zveřejněna v pravidelně zveřejňovaném seznamu QSCD.
Jak vyřešit kvalifikovanou pečeť prakticky
Vytváření kvalifikovaných pečetí lze v organizaci vyřešit v zásadě dvěma způsoby:
- 1. Využívání služby kvalifikovaného elektronického pečetění některého z kvalifikovaných poskytovatelů
- 2. Implementace prostředků pro vytváření kvalifikovaných pečetí on-premise
On-premise kvalifikovaná pečeť
Výhodami provozu infrastruktury pro kvalifikovanou pečeť ve vlastní správě organizace jsou zejména:
- škálovatelný výkon i dostupnost prvků pro kvalifikované pečetění,
- možnosti integrace prostřednictvím SOAP rozhraní webových služeb,
- široké možnosti dalšího využití HSM:
– správa dalších kryptografických klíčů (např. pro vzdálené vytváření elektronických podpisů),
– zabezpečení klíčů pro interní certifikační autority,
– šifrování dat databází nebo datových úložišť,
– akcelerace SSL,
– zabezpečení autentizačních a auditních řešení,
– cena nezávislá na počtu pečetěných dokumentů.
Michal Hanzal | Solution Consultant společnosti SEFIRA
Článek vyšel v časopisu IT Systems (4/2019)