Asi každý „zná“, nebo se alespoň setkal s Elektronickým podpisem pomocí certifikátu. Co je ale známé už o něco méně, je elektronická pečeť a časové razítko. Na počátku si pojďme říct, že to není nic převratného ani nového. Z hlediska technologie za podpisem či razítkem stojí stejně jako u Elektronického podpisu asymetrická kryptografie.
Jak to funguje?
Generuje se dvojice klíčů, které jsou matematicky vzájemně provázané. Co jedním klíčem zašifrujete, lze dešifrovat jen tím druhým (a naopak). Jeden klíč se bezpečně uchovává pro interní použití, zatímco druhý – spolu s údaji o vlastníku – se zveřejňuje (podobně jako kdysi v dobách rozlomené pečeti, kdy posel nesl polovinu pečeti k ověření zprávy). Při podepisování se otisk dokumentu zašifruje právě soukromým klíčem, a kdokoli disponující veřejnou částí může jeho pravost ověřit. Veřejný klíč je uložen v tzv. certifikátu, který spojuje tento klíč s identitou držitele a garantem jeho pravosti (certifikační autoritou). Z toho vznikl ustálený, i když poněkud zavádějící výraz „podpis certifikátem“ – ve skutečnosti se podepisuje vždy soukromým klíčem, zatímco certifikát slouží k následnému ověření podpisu.
Tak tedy zpět k elektronické pečeti. Oproti elektronickému podpisu se nevystavuje na jméno, ale na určitou organizaci, tedy firmu či instituci. Připojením elektronické pečeti k dokumentu organizace dává na vědomí, že jej vytvořila či schválila. Pečeť také zajišťuje integritu (neměnnost) dokumentu. Pokud totiž dokument po zapečetění změníme, otisk už nebude odpovídat dokumentu a pečeť bude „neplatná“ – tedy například v Adobe Acrobatu bude svítit červeně. Zatímco elektronický podpis by měl k dokumentu připojovat vždy člověk – a to jeho vlastník, elektronickou pečeť vkládá většinou automatizovaný systém. Organizace tedy pečetí své dokumenty jako na běžícím pásu. Určitě už jste viděli zapečetěné vyúčtování za energie. Jen jako perlička – do roku 2016 se u nás používala elektronická značka, která kombinovala vlastnosti podpisu a pečeti a stále se s dokumenty opatřenými takovou značkou můžete potkat.
A jak je to s (kvalifikovaným) časovým razítkem?
Technologicky se opět podobá pečeti nebo podpisu, ale nevkládá se do něj jméno osoby, ani název organizace ale datum a čas. A to ne čas ledajaký, ale čas serveru autority, které časové razítko vystavila, tedy u kvalifikovaného časového razítka čas serveru kvalifikované certifikační autority – tedy mu můžeme věřit. Časové razítko nám říká, že dokument v této, nezměněné podobě existoval v určitém čase, nic víc, nic méně. Proto mívá časové razítko smysl většinou v kombinaci s pečetí (nebo podpisem). A opět perlička – časové razítko nám neříká kdy dokument vznikl ale jen a pouze to, že v daném okamžiku už existoval a že se OD této doby nezměnil. Existovat ale mohl klidně léta předtím. Další zajímavostí časového razítka je, že služba časového razítka nemusí mít přístup k dokumentu ale stačí jí zaslat pouze jeho otisk.
Když to shrneme, elektronická pečeť nám garantuje původ a integritu dokumentu, časové razítko existenci právě tohoto dokumentu v čase.
Pečeť nikdo nedokáže napodobit
Pokud chceme porovnat elektronické dokumenty opatřené pečetí s dokumenty v nám dobře známé papírové podobě, těžko se hledá přesná a výstižná paralela. Na jedné přednášce jsem slyšel, že zapečetit elektronický dokument je jako dát na papírový dokument firemní razítko. Já bych spíše řekl, že pečeť je zalití dokumentu do folie s vodotiskem a opatření plombou, kterou nikdo nedokáže napodobit. Prostě nikdo nedokáže změnit v dokumentu ani jediné písmeno, aniž by pečeť rozlomil – zneplatnil.
Když potřebujeme okopírovat papírový dokument a někomu dokázat, že se neliší od originálu, musíme obvykle zajít k notáři a nechat si udělat ověřenou kopii. Oproti tomu dokument opatřený pečetí, případně i časovým razítkem můžeme kopírovat sami jak a kolikrát chceme – je to přece soubor jako každý jiný. No a nedostaneme jakousi ověřenou kopii, ale další originál nerozeznatelný od toho, ze kterého jsme kopírovali. Prostě fyzický a digitální svět se od sebe přece jen vždycky trochu liší…
Jak je z předešlého textu vidno, práce s elektronickými certifikáty není pro běžné uživatele žádná legrace a je nutné mít při ní nepaměti celou řadu věcí. Proto jsme se pokusili vytvořit webovou službu, kde se za účelem podpisu kombinuje silná identifikace uživatele právě s technologií elektronické pečeti a časového razítka, tak aby to bylo bezpečné a přitom jednoduché. Jestli se povedlo musí posoudit uživatelé sami.
Autor článku je Pavel Šembera, spoluzakladatel služby Podpisovna.cz, která se zaměřuje na online podepisování dokumentů a ověřování identity pomocí Bank iD, MojeID a Identity občana. Cílem Podpisovny je usnadnit běžným lidem i firmám formální vyřizování bez papírování a zbytečného cestování.
