Denník N

Elektronický podpis po slovensky

Ľudia odjakživa považujú schopnosť vlastnoručne sa podpísať za základný prvok gramotnosti. Samozrejme, menom – nie tromi krížikmi. Prečo teda elektronický podpis nie je prejavom digitálnej gramotnosti?

Čo je to „podpis“?

Skôr ako prejdeme k elektronickému podpisu, tak potrebujeme vedieť, čo podpis, ako taký znamená. Samotný výraz podpis alebo vlastnoručný podpis sa chápe ako ručne písané, štylizované napísanie vlastného mena osoby, ktorá podpis napísala. Podpis je prejavom vôle, ktorým deklarujeme, že sme s nejakým právnym úkonom stotožnení. V práve sa najčastejšie vyskytuje výslovný prejav vôle vyjadrený slovom, písmom alebo kresbou. S trochu zveličenia napríklad aj spomínané tri krížiky.

Slovenský právny poriadok termín „podpis“ nedefinuje a preto neexistujú žiadne špecifické nároky na obsah, spôsob vykonania alebo na čitateľnosť podpisu.

Čo je to elektronický podpis a na čo sa používa?

Elektronický podpis by sme mohli stručne charakterizovať ako identifikačné údaje autora elektrického dokumentu, ktoré sú k tomuto dokumentu pripojené.

Elektronický podpis sa primárne používa na tie isté úkony, na ktoré je používaný vlastnoručný podpis na papieri. Elektronický podpis má oproti vlastnoručnému podpisu  viacero nepopierateľných výhod. Na rozdiel od klasického podpisu sa dá  elektronickým podpisom overiť totožnosť používateľa. Pri klasickom vlastnoručnom podpise dokáže v prípade sporov overiť pravosť podpisu len grafológ. Pri elektronickom podpise je výhodou, že podpísaný digitálny dokument sa  už nedá dodatočne zmeni, pretože by sa tým zničila platnosť pôvodného elektronického podpisu. Riziko sfalšovania elekronického podpisu je z uvedeného dôvodu takmer zanedbateľné.

Pravdepodobne najpodstatnejšia vlastnosť elektronických podpisov je ich tzv. nepopierateľnosť. Pri klasickom podpise sú časté prípady popierania vlastného podpisu podpísaných listín. Ale elektronicky podpísaný dokument zaručuje, že právny úkon bol skutočne podpísaný konajúcou osobou.

Rozdiely medzi podpisom a elektronickým podpisom

Ak je elektronický dokument podpísaný elektronickým podpisom, tak takýto právny úkon sa považuje za písomný. A tu niekde začína príbeh elektronického podpisu.

V digitálnom svete sa v súvislosti s podpisovaním objavuje ešte jeden dôležitý výraz:  kvalifikovaný elektronický podpis. Kvalifikovaný elektronický podpis úplne nahrádza vlastnoručný podpis. Ak k dokumentu podpísanému kvalifikovaným elektronickým podpisom je pripojená aj tzv. časová pečiatka, takýto dokument je považovaný za notársky overený vlastnoručný podpis.

Kde všade môžete použiť elektronický podpis a akú výhodu vám to prinesie?

Vďaka elektronickému podpisu získate predovšetkým zjednodušený prístup k elektronickým službám štátu a nemusíte jednotlivé právne úkony riešiť obiehaním úradov a notárov. Jednoducho stačí využiť elektronické služby. Štát poskytované elektronické služby nazýva mierne eufimisticky “životné situácie”.

Na preukázanie totožnosti sa využíva elektronický občiansky preukaz s čipom, na ktorom sú nahraté špeciálne dáta, ktoré slúžia predovšetkým na vyhotovenie elektronického podpisu. Tieto dáta sú najmä tzv. certifikát verejného kľúča a súkromný kľúč. Súkromný kľúč je uložený v zabezpečenej časti čipu a prístup k nemu je chránený heslom. Bežnému používateľovi o obsahu čipu na eID karte viac vedieť netreba.

Elektronický podpis po slovensky

Problémy s elektronickým podpisom sa odvíjajú od prípadu z roku 2017, kedy výskumníci z Masarykovej univerzity identifikovali jeho zraniteľnosť, ktorá sa nachádza na čipe slovenských elektronických občianskych preukazov. Zistili, že možní útočníci by dokázali elektronicky podpisovať dokumenty v mene vlastníka získaného kľúča.

Štát vtedy po určitom úvodnom váhaní čiastočne ošetril vzniknuté riziko tým, že rozšíril dĺžku používaného kľúča z 2048-bitového na 3072-bitový. Ten je voči zistenej zraniteľnosti približne 500 násobne odolnejší. Zároveň však rozhodol, že pre elektronické občianske preukazy vydané do 20. júna 2021 skončí platnosť certifikácie čipu  31. decembra 2022. Tieto eID budú od januára na elektronické podpisovanie nepoužiteľné.  Opisu súvislostí a dopadov sa už venujú aj odborné médiá, napríklad zive.sk.  Následky sú nedozierne – keďže asi pol milióna právnických osôb je povinných komunikovať so štátom výlučne elektronicky, ich štatutárni zástupcovia vezmú klientske centrá koncom roka útokom. A to sú preťažené už aj v súčasnosti.

Druhý problém spočíva  v tom, že štát stále nedokázal dokončiť obstarávanie na elektronické občianske preukazy novej generácie a preto stále vydáva staré verzie eID. Tie však vzhľadom na nové európske pravidlá pre eID budú mať tiež obmedzenú platnosť a preto si všetci budú musieť ísť do niekoľkých rokov po elektronický občiansky preukaz aj po tretíkrát.

Tým problémy nekončia. Od negramotného používania troch krížikov v stredoveku sme sa prepracovali do stavu, v ktorom štát vyžaduje kvalifikovaný elektronický podpis aj tam, kde by vôbec nemusel. Tým vlastne odrádza užívateľov od používania elektronických služieb.

V mnohých právnych úkonoch by výslovný prejav vôle konajúcej osoby mohol byť deklarovaný aj jednoduchšou formou – napríklad použitím „iba“ zdokonaleného elektronického podpisu namiesto kvalifikovaného. Alebo autorizáciou právnych úkonov iným vhodným technickým prostriedkom, pri dodržaní  pravidiel identifikácie konajúcej osoby.

Problémy sú riešiteľné

Pri posudzovaní výslovných prejavov vôle v elektronických dokumentoch je potrebné vychádzať z osobitných predpisov. Podľa teórie práva platí princíp, že „zákon osobitný ruší zákon všeobecný“, t. j. ak je jedna skutková situácia upravená dvomi normami tej istej právnej sily odlišne, potom prednostne treba aplikovať tú z nich, ktorá je konkrétnejšia.

Preto napríklad, ak osobitný predpis vyžaduje, aby bol určitý písomný dokument podpísaný vlastnoručným podpisom a tento dokument je v jeho elektronickom vyhotovení podpísaný kvalifikovaným elektronickým podpisom, je potrebné na takýto prejav vôle hľadieť ako na platný.

Na druhej strane, ak osobitný predpis vyžaduje, aby bol určitý písomný dokument podpísaný vlastnoručným podpisom a dokument v jeho elektronickom vyhotovení je podpísaný kvalifikovaným elektronickým podpisom s časovou pečiatkou (t. j. ekvivalentom osvedčeného podpisu), takýto prejav vôle je samozrejme taktiež platný, avšak použitá úroveň zabezpečenia je nadbytočná.

Mnohé bariéry by sa odstránili, ak by čo najviac  elektronických služieb štátu umožňovalo použitie prostriedkov elektronickej identifikácie na nižšej úrovni zabezpečenia. Napríklad zdokonalený elektronický podpis alebo MobileID.  Tu vstupuje do hry aj pripravované nariadenie eIDAS2 a navrhovaný koncept peňaženky digitálnej identity (Digital ID Wallet). Stručne povedané, do roku 2023 musí každý členský štát EÚ sprístupniť peňaženku digitálnej identity každému občanovi, ktorý o ňu požiada.

Ak chceme zotrvať na najvyššej úrovni zabezpečenia pre prostriedky elektronickej identifikácie podľa špecifikácie v nariadení eIDAS, jednou z možností je aj vytvorenie tzv. kvalifikovanej dôveryhodnej služby v rámci infraštruktúry Národnej agentúry pre sieťové a elektronické služby (NASES). Výraz kvalifikovaná dôveryhodná služba nie je pre laickú verejnosť celkom známy. Zjednodušene to znamená, že štát by mohol čiastočne nahradiť čipy elektronických občianskych preukazov aj automatizovaným riešením, ktorého základom sú tzv. zariadenia HSM. Hardvérový bezpečnostný modul (HSM) je kryptografický procesor, ktorý je špeciálne navrhnutý na zabezpečenie kryptografických kľúčov a automatizovanú podporu služieb šifrovania, dešifrovania, autentifikácie a elektronického podpisovania pre širokú škálu aplikácií.

Všetky z vyššie uvedených možností by rozšírili možnosti použitia elektronického podpisu pre väčšinu občanov.

Na začiatok by bolo nanajvýš vhodné vykonať revíziu dotknutých právnych predpisov s cieľom uistiť sa, že ak pre právny úkon v písomnej forme nie je vyslovene vyžadovaný vlastnoručný podpis, nebude vyžadovaný kvalifikovaný elektronický podpis ani pre ten istý právny úkon v elektronickom vyhotovení dokumentu.

V mnohých prípadoch by mohlo mať  použitie zjednodušených foriem elektronického podpisu rovnocenný právny účinok ako použitie kvalifikovaného elektronického podpisu. To by umožnilo zachovať reálny kryptografický charakter identifikácie a autentizácie konajúcej osoby.

Odbornou verejnosťou obchádzaným paradoxom je, že aj všetky vyššie uvedené zjednodušené formy elektronickej identifikácie by aj naďalej zachovali vyššiu úroveň zaručenia požiadaviek na autenticitu, integritu a nepopierateľnosť v porovnaní s vlastnoručným podpisom.

Ivan Makatura

Teraz najčítanejšie

Kompetenčné a certifikačné centrum kybernetickej bezpečnosti

Centrum spája slovenskú komunitu a tvorí štandardy pre posudzovanie, vzdelávanie a európske projekty v oblasti kybernetickej bezpečnosti. Služby Kompetenčného centra zahŕňajú široké profesionálne portfólio auditu, konzultačných služieb a certifikácie osôb, produktov a manažérskych systémov.  

Tento blog je platený.