M elektronick podpis

identifikovat podepsanou osobu?

A pokud ano: jak?
Ji Peterka
nezvisl konzultant a publicista
pedagog na MFF UK

jak funguje (uznvan) el. podpis?

pro vystaven kvalifikovanho certifiktu se muste dostavit
osobn
a pedloit certifikan autorit (CA) sv osobn doklady
Certifikan autorita

+
dsledek:
vydavatel certifiktu (CA) zn vai identitu

otzka:
kolik ze svch znalost va identity m CA penst do certifiktu?
Certifikan autorita

a jak daje
to maj bt?

co je v silch el. podpisu?

upesnn:
bavme se o uznvanm el. podpisu (a komunikaci s ve. sprvou)
od 1.7.2016: pjde o kvalifikovan el. podpis (nazen 910/2014: eIDAS)

princip fungovn:
identita (fyzick) osoby je zjitna dostaten spolehliv a pesn
jednorzov, pi dosti o vydn kvalifikovanho certifiktu (provd CA)
me bt penesena (vloena) do certifiktu

certifikt je veejn a je pipojen ke kadmu el. podpisu

dsledek: jednoznan informace o identit dritele certifiktu me bt
k dispozici spolhajc se stran (pjemci podepsanho dokumentu)
a za sprvnost identifikace ru certifikan autorita

dsledek:
uznvan el. podpis me mt stejnou slu jako edn oven
(vlastnorun) podpis

srovnn sly rznch podpis

Vlastnorun

Oven (vlastnorun)

Uznvan (kvalifikovan) el. podpis

ANO

ANO

ANO

Identifikace podepsan
osoby

NE

ANO
(znovu pi kadm
podpisu)

ANO
(jednorzov, pi vydn certifiktu)

Pravost /
neodmtnutelnost

NE

ANO
(ru za to ovujc)

ANO
(dno technicky/asymetr. kryptogr.)

Existence podpisu

vlastnorun podpis
nezajiuje (vdy) identifikaci
podepsan osoby
z klikyhku nic nepoznme
nen pedepsna podoba podpisu

oven (pravosti) mus provdt

(psmo)znalec
je to drah, dl se a pi sporu

klikyhk

zsadn otzky
m bt (uznvan) elektronick podpis postaven na rove
a. ovenmu (vlastnorunmu) podpisu?
b. vlastnorunmu podpisu?
Situace:

Uznvan el. podpis odpovd:

dnes v R

nen definovno (v praxi: vlastnorunmu, ale jsou vjimky)

dnes na Slovensku

ovenmu podpisu (je-li pipojeno asov raztko)

od 1.7.2016
vlastnorunmu podpisu
(nazen 910/2014, eIDAS)

jin otzka:
m el. podpis vbec slouit k identifikaci podepsan osoby?
st lid kolem el. podpis se domnv, e NE
je to konzistentn s tm, e vlastnorun podpis tak nezajiuje identifikaci
podepsan osoby (viz z klikyhku nepoznme nic)

jak to e na Slovensku?
vkldaj do certifiktu rodn slo dritele
pitom: certifikt je (mus bt) veejn !!!
pokud m bt veejn i podepsan dokument
5 zkona . 215/2002 Sb. (o elektronickom podpise):
Ak sa v styku s orgnmi verejnej moci pouva zaruen elektronick podpis,
kvalifikovan certifikt mus by vydan akreditovanou certifikanou autoritou a
mus obsahova rodn slo dritea certifiktu.
Ministerstvo vnitra
(SK) zveejuje
certifikty ednk

rodn slo dritele

SERIALNUMBER = PNOSK 6505046955
SERIALNUMBER = ICA - 10149876

SN = PNOSK 6260047090

souasn stav v R
tuzemsk kvalifikovan certifikt (pro uznvan podpis):
mus obsahovat daje, kter umouj jednoznanou identifikaci
11 odst. 3 zkona . 227/2000 Sb.: Uznvanm elektronickm podpisem se rozum
a) zaruen elektronick podpis zaloen na kvalifikovanm certifiktu vydanm
akreditovanm poskytovatelem certifikanch slueb a obsahujcm daje, kter
pozor:
zahranin certifikt
tyto
daje obsahovat
umouj
jednoznanou
identifikaci
podepisujc
osoby nemus !!!!

o jak daje se jedn?

to k vyhlka . 212/2012 ale patn !!!!
daj, kter umouje jednoznanou identifikaci podepisujc
osoby, se uvd ve struktue desetimstnho sla v destkov
soustav v rozsahu 1 100 100 100 a 4 294 967 295.

nek, co m toto slo znamenat jak identifiktor to m bt

kdy si do certifiktu napu 1 111 111 111, bude to OK (ale k niemu) !!

souasn praxe v R
do certifikt se vkld IK MPSV
pmo v CN (eIdentity)

IK MPSV v plain
text-u

v ASCII kdu v jin poloce (I.CA a PS)

IK MPSV v ASCII
kdu

v certifiktu je vdy uvedeno jmno a pjmen dritele (nebo pseudonym)

znovu zkladn otzka:

CA zn (zcela pesn) identitu dritele certifiktu

ale: jak moc m tuto identitu znt spolhajc se strana?

tj. pjemce podepsanho dokumentu
co me bt i soukrom osoba (nebo privtn subjekt) !!!

monosti:
a. nemus ji znt vbec (a mus si poradit njak jinak)
jako u vlastnorunho podpisu
ale pro se pak v certifiktu vbec uvd jmno a pjmen?

b. zn ji jen rmcov, a jednoznan pouze potenciln

zn jen jmno a pjmen (co nepostauje pro jednoznanou identifikaci)
dal daje o identit (nutn k jednoznan identifikaci) me zskat:
OVM: me se kdykoli zeptat na dritele IK MPSV
soukrom osoba, privtn subjekt: mus vyvolat soudn spor
soud se pak me zeptat CA, komu certifikt vydala

c. zn ji jednoznan (aktuln, nikoli jen potenciln)

nazen 910/2014 (eIDAS)

k:
chci, aby kvalifikovan el. podpis ml stejnou vhu jako
vlastnorun podpis
nzor: je to krok zpt zpsoben tm, e nkter lensk zem neznaj
oven (vlastnorun) podpis

v kvalifikovanm certifiktu m bt jmno (a pjmen) dritele

dal poloky tam mohou bt, ale jen dobrovoln
nesm bt povinn, a celkov efekt mus bt stejn, jako kdy tam nejsou

poaduje:
aby spolhajc se strana mohla ovit (kvalifikovan) el. podpis
jako platn, mus j bt (dn) poskytnuta uniktn data,
identifikujc dritele certifiktu (a tm i podepsanou osobu)
provided that the unique set of data representing the signatory in
the certificate is correctly provided to the relying party

jak rozumt nazen eIDAS?

poaduje pro spolhajc se stranu jednoznanou
identifikaci, nebo jen uniktn identifiktor?
spe jde o uniktn identifiktor (viz a unique set of data )

poaduje aktuln monost jednoznan identifikace,

nebo jen potenciln monost (pro ppad sporu)?
vypad to spe na potenciln monost
tedy v zsad stejn, jako je to dnes

jak daje m mt k dispozici spolhajc se strana?

jak konkrtn m vypadat onen unique set of data?
maj to bt jin data ne ta, kter jsou ji obsaena v certifiktu?
mon interpretace: certifikt me obsahovat nco jako IK MPSV (i AIFO
nebo VIFO), ale nepovinn. Pokud jej neobsahuje, mus jej podepsan
osoba dodat spolhajc stran njak jinak.
protiargument: pro potenciln identifikaci (pi sporu, kter e soud)
postauje sriov slo certifiktu a identita vydavatele !!!!

dkuji za pozornost

Ji Peterka
http://jiri.peterka.cz
http://www.earchiv.cz
http://www.bajecnysvet.cz
http://www.muzeuminternetu.cz