ELEKTRONICKÝ PODPIS V PRAXI Užitečné informace k návrhu zákona o elektronickém podpisu sněmovní tisk č. 415
V čem je hlavní význam přijetí návrhu zákona o elektronickém podpisu
Schválení návrhu zákona o elektronickém podpisu podporují:
• Zákon je důležitý především pro urychlení rozvoje elektronického obchodu, což je mimochodem jedna z osmi priorit vládního dokumentu Státní informační politika. • Zákon předpokládá využití elektronického podpisu i v oblasti veřejné správy, tedy také pro komunikaci státu či obce s občanem a naopak. • Neexistence české právní normy by znamenala další prohloubení nesouladu našeho právního řádu s právem Evropské unie. V zemích Unie totiž už platí směrnice EU o elektronickém podpisu. • V současném bankovnictví převládá "prostý" elektronický podpis a jen výjimečně je použita technologie, která bude moci být považována za zaručený elektronický podpis. Zákon by měl tedy vytvořit tlak na to, aby se tyto méně bezpečné metody změnily v zaručený elektronický podpis.
Co by šlo s elektronickým podpisem vyřídit Svaz průmyslu a dopravy ČR • Hospodářská komora ČR • SPIS - Sdružení pro informační společnost •
• Jednání s peněžními ústavy • Podání daňového přiznání • Odhlášení vozidla na dopravním inspektorátu • Vystavení nejrůznějších dokladů • Veškeré obchodování po Internetu
APEK - Asociace pro elektronickou komerci • CACIO - Česká asociace manažerů úseků informačních technologií • APVTS - Asociace provozovatelů veřejných telefonních sítí
1
14
Řekněme, že Vláïa pošle Standovi podepsaný dokument. K ověření podpisu na dokumentu Standův software nejdříve použije Cyrilův veřejný klíč (klíč certifikační autority) a zkontroluje podpis na Vláïově certifikátu. Úspěšné ověření certifikátu dokáže, že jej skutečně vytvořil Cyril. Standův software tak ověří, zda Vláïu certifikační autorita "zná" a zda údaje o Vláïově identitě na certifikátu nebyly změněny. Standův software posléze použije Vláïův veřejný klíč z certifikátu a použije jej ke kontrole Vláïova podpisu. Jestliže Vláïův veřejný klíč dešifruje úspěšně podpis, pak si je Standa jistý, že podpis byl skutečně vytvořen Vláïovým privátním klíčem, což zaručuje certifikace vydaná Cyrilem. A, pokud je podpis platný, tak také víme, že Ivan se nepokusil o změnu podepsaného dokumentu.
Vážená paní poslankyně, vážený pane poslanče, na lednovém plénu Poslanecké sněmovny budeme projednávat v prvním čtení návrh zákona o elektronickém podpisu. Na tento zákon, který 30. listopadu loňského roku schválila formou direktivy také Evropská unie, netrpělivě čeká obrovské množství lidí, kteří pochopili, že počítače a komunikační sítě eliminují vzdálenosti, přinášejí úsporu nákladů a otevírají netušené nové možnosti komunikace a obchodování doslova s celým světem. Pro nás, kteří jsme pouze uživateli moderních forem komunikace, jsou možná nepochopitelné principy, na nichž nové technologie fungují. Proto bychom rádi
Ačkoli všechny tyto kroky znějí velmi komplikovaně, všechny vlastně provádí uživatelsky přívětivý software, který je pro nás skrytý někde za scénou. K ověření podpisu Standovi stačí pouze kliknout na toto tlačítko:
vysvětlili, co to vlastně elektronický podpis je, kde všude může být použit a jaké výhody přináší. Zákon o elektronickém podpisu může Českou republiku posunout o krok blíže ke vstupu do Evropské unie. Pro občany naší země může znamenat snazší a pohodlnější komunikaci se státní správou, rychlejší a efektivnější způsob obchodování a bezpečnější komunikaci na síti Internet.
Klikněte sem pro podepsání nebo ověření podpisu:
Vláda sice vyslovila na svém zasedání 6.12.1999 s poslaneckým návrhem zákona nesouhlas, nicméně poté došlo k dohodě s Úřadem pro státní informační systém, který připravoval vládní návrh zákona, o dalším společném postupu. Připomínky ÚSIS a vlády budou do poslaneckého návrhu zákona zapracovány formou pozměňovacích návrhů tak, aby zákon byl plně v souladu s přijatou direktivou Evropské unie. Předpokládáme, že tak budou odstraněny poslední překážky, které by mohly přijetí zákona stát v cestě. Věříme, že přijetí zákona o elektronickém podpisu podpoříte.
Vladimír Mlynář
13
Ivan Langer
2
Cyril Svoboda
Stanislav Gross
ELEKTRONICKÝ PODPIS LZE POUŽÍT… Cyril pracuje jako podniková "certifikační autorita". Cyril Vláïovi vytvoří digitální certifikát tak, že podepíše Vláïův veřejný klíč s jednoznačnou Vláïovou identifikací.
… ve státní správě a samosprávě Komunikace mezi občanem a státem probíhá obvykle tak, že občan je nucen přenášet mezi úřady dokumenty na ně informace a razítka. Jakmile občan získá právně platnou možnost podepisovat se elektronickým podpisem a tedy identifikovat se vůči úřadům na dálku, může většina komunikace mezi ním a státní správou či samosprávou probíhat elektronicky: podání nejrůznějších prohlášení a daňových přiznání, přihlášek a odhlášek, žádosti o výpis z rejstříku trestů, žádosti o sociální dávky apod. Občané ušetří spoustu času a státní správa může ušetřit vysoké náklady na tisk a distribuci papírových dokumentů.
… v bankovnictví
Klient "elektronické" či "přímé" banky má možnost disponovat svým účtem nejčastěji po Internetu. Všechny příkazy odesílané bance přitom podepisuje svým elektronickým podpisem. Výhody jsou nabíledni: Klient nemusí stát frontu v bance, může své bankovní příkazy zadávat 24 hodin denně a má neustále z domova či kanceláře přehled o stavu svého účtu. Banka ušetří čas svých úředníků na rutinních operacích a může ho věnovat rozvíjení služeb pro klienty v případech, které na dálku vyřešit nelze. Banka také výrazně šetří náklady, protože bankovní operace uskutečněná v kamenné pobočce stojí 50 Kč, kdežto uskuteční-li se přes Internet, náklady činí pouhých 60 haléřů.
3
Informace o Vláïovi: - jméno - oddělení - unikátní číslo
Stvrzení údajů
Informace o certifikátu: - časová platnost - sériové číslo
DIGITÁLNÍ CERTIFIKÁT
CYRIL Vláïův veřejný klíč
Nyní si Vláïovi kolegové mohou zkontrolovat Vláïův důvěryhodný certifikát, aby se ujistili, že Vláïův veřejný klíč je skutečně jeho klíčem. Ve skutečnosti nikdo ve Vláïově instituci neakceptuje podpis osoby, která nemá certifikát vydaný Cyrilem. Cyril může zrušit certifikát, pokud privátní klíč byl zneužit nebo jej již není třeba. A Cyrila samotného jako "podnikovou certifikační autoritu" ověří certifikační autorita, která je široce známá a akceptovaná.
12
Vláïa pošle dokument Standovi.
… pro elektronické obchodování STANDA
VLÁĎA
Standův software nejdříve dešifruje podpis (tak, že použije Vláïův veřejný klíč), který přemění zpět do "haše" (výtahu zprávy). Standův software pak "zhustí" dokument do "haše" - pokud je haš stejný jako ten, který se objevil po dešifrování podpisu, Standa si může být jistý, že podepsaná data nebyla po podpisu změněna a že byla podepsána Vláïou, protože k úspěšnému dešifrování byl použit Vláïův veřejný klíč.
ZÁPLETKA
IVAN
Ivan (nespokojený kolega) chce Standu podvést. Ivan ví, že Standa dostal podepsanou zprávu a veřejný klíč, který patří Vláïovi. A tak Ivan pošle Standovi jiný klíč, který si vytvořil podvodně jménem Vláïi. Jak si tedy Standa může být jistý, že Vláïův klíč je autentický? Když mu ho Vláïa nepředal osobně, ale poslal společně se zprávou?
11
Elektronický obchod můžeme poněkud zjednodušeně rozdělit do dvou oblastí: V té první zákazník nakupuje v elektronických prodejnách a obchodních domech. Nemusí stát ve frontách, sedí v teple domova a přitom stihne projít mnohem více obchodů, vybrat si z většího množství zboží a najít příznivější cenu. Navíc může navštívit i obchody, které by pro velkou vzdálenost osobně nikdy navštívit nemohl. A konečně elektronické obchody mají otevřeno 24 hodin denně 7 dní v týdnu.
Ve druhé oblasti obchodní partneři obchodují na základě smluv, objednávek a faktur, jak je běžným zvykem. Díky elektronické komunikaci však mají možnost obchodovat bez ohledu na vzdálenosti a časová pásma a přitom velice rychle, pohodlně a efektivně. Výsledkem jsou menší skladové zásoby na straně dodavatele i objednatele a rychlejší obrat kapitálu, tedy vyšší efektivita obchodování s menšími náklady. V obou kategoriích elektronického obchodu hraje elektronický podpis nezastupitelnou roli. Zákazník, stejně jako obchodník budou mít záruku, že člověk, se kterým obchodují a kterého třeba nikdy osobně neuvidí, je existujícím partnerem. Stejně tak poskytuje garanci, že zprávy, dokumenty a faktury dopravované po komunikačních sítích nebyly cestou změněny a že jejich autorem je skutečně jejich obchodní partner.
ELEKTRONICKÝ PODPIS LZE TEDY POUŽÍT PRAKTICKY VŠUDE, PROTOŽE NAHRAZUJE PODPIS RUČNÍ 4
Než je dokument podepsán, Vláïův software zhustí data do několika málo řádků pomocí procesu (transformační metody), které se říká "hašování". Těmto několika řádkům se říká "haš" dokumentu - nebo také výtah zprávy či otisk dokumentu. digitální podpis HAŠ ZPRÁVY (výtah dokumentu)
Šifrování pomocí privátního klíče
Elektronický podpis je: • číslo, které se připojí k dokumentu v počítači a které zahrnuje jak Vaši identitu, tak obsah onoho dokumentu • jistější a bezpečnější, než podpis na papíře • prakticky nemožné zfalšovat • jednodušeji ověřitelný než podpis klasický
Vláïův software pak zašifruje haš zprávy pomocí svého privátního klíče. Výsledkem je digitální podpis. Zákon o elektronickém podpisu byl předložen vládě Č.R. 8. listopadu 1999 jako poslanecká iniciativa Vladimíra Mlynáře, Ivana Langera, Stanislava Grosse a Cyrila Svobody.
digitální podpis Připojení
DIGITÁLNÍ PODPIS Nakonec Vláïův software připojí digitální podpis k dokumentu. Všechna data, která byla zhuštěna (hašována), jsou podepsána.
Elektronický podpis není: • Váš vlastnoruční podpis naskenovaný z papíru a vložený do počítače • Váš běžný "podpis" (jméno či zkratka, kterou se podepisujete) za mailovou zprávou • nesmírně složitá věc, kterou zvládnou jen odborníci • méně bezpečný než podpis na papíře, právě naopak - je mnohem bezpečnější
5
Zákon o elektronickém podpisu byl předložen vládě České republiky 8. listopadu 1999 jako poslanecká iniciativa Vladimíra Mlynáře, Ivana Langera, Stanislava Grosse a Cyrila Svobody. DIGITÁLNÍ PODPIS
HAŠOVÁNÍ
Dešifrování pomocí veřejného klíče
10
HAŠ ZPRÁVY (výtah zprávy)
HAŠ ZPRÁVY (výtah zprávy)
JAK FUNGUJE DIGITÁLNÍ PODPIS ??
ELEKTRONICKÝ PODPIS UMOŽŇUJE:
(Digitální podpis je jedna z forem elektronického podpisu, v současné době nejužívanější.)
Vláïův veřejný klíč
1. Identifikaci partnera
Vláïův privátní klíč VLÁĎA Vláïa získal dva klíče. Jeden je "veřejný klíč", druhý je "privátní klíč". Vláïovi kolegové:
K základním zvyklostem obchodu patří vědět, s kým máme tu čest, což lze jen stěží zařídit, je-li mezi kupujícím a prodávajícím vzdálenost několika stovek či tisíc kilometrů. Elektronický podpis nám přichází na pomoc a pomůže nám identifikovat, zda náš obchodní partner je tím, za kterého se vydává. Nepoznáme ho sice osobně, ale v případě problémů v průběhu obchodní transakce víme, kdo je dodavatelem, který dodal nekvalitní zboží, případně odběratelem, který nezaplatil. A to pro většinu běžných obchodních transakcí stačí. Stálí obchodní partneři se většinou stejně osobně znají a tak jim elektronický podpis pouze zaručuje, že objednávku posílá skutečně John z Floridy a ne někdo, kdo se za něj vydává.
Každý může získat Vláïův veřejný klíč, ale svůj privátní klíč si Vláïa nechává pouze pro sebe. STANDA
IVAN
2. Ochranu obsahu zprávy
CYRIL
Vláïův veřejný klíč je přístupný všem, privátní klíč je ale dostupný pouze Vláïovi. S použitím svého privátního klíče a příslušného software může Vláïa digitálně podepsat dokumenty nebo jiná data. Digitální podpis je "známka", kterou Vláïa umísuje na datové zprávy a kterou nelze padělat. Tento podpis také zajišuje, že lze rozpoznat, pokusil-li se někdo změnit data, která byla podepsána.
Zákon o elektronickém podpisu byl předložen vládě České republiky 8. listopadu 1999 jako poslanecká iniciativa Vladimíra Mlynáře, Ivana Langera, Stanislava Grosse a Cyrila Svobody.
HAŠOVÁNÍ
9
HAŠ ZPRÁVY (výtah dokumentu)
Výhodou je, že elektronický podpis (ve formě tzv. digitálního podpisu) nezaručuje jen identitu odesilatele zprávy, tedy objednávky, faktury, smlouvy apod., ale díky běžně používaným šifrovacím postupům chrání obsah zprávy. Nemůže se tedy stát, že by např. objednávku na cestě mezi odběratelem a dodavatelem někdo pozměnil. Přesněji řečeno stát se to může, ale adresát se o narušení zásilky dozví od svého programu.
3. Nepopiratelnost zprávy A konečně elektronický podpis jednoznačně prokazuje, kdy a kým byla zásilka podepsána a odeslána. Přijde-li od Vašeho partnera objednávka podepsaná elektronickým podpisem v neporušeném stavu, jedná se o nepopiratelnou závaznou objednávku.
6
ZÁKON O ELEKTRONICKÉM PODPISU
Zákon vznikl díky iniciativě Sdružení pro informační společnost (SPIS). Jeho autory jsou doc. Vladimír Smejkal a doc. Pavel Mates a předkladateli jsou Vladimír Mlynář za US, Ivan Langer za ODS, Stanislav Gross za ČSSD a Cyril Svoboda za KDU-ČSL. Základním cílem zákona je to, aby se elektronickým dokumentům dostalo stejného zacházení a stejné právní váhy jako dokumentům klasickým. Klíčovým je pochopitelně pojem elektronického podpisu. Můžeme jej vymezit tak, že jde o údaje v elektronické podobě, které jsou připojeny k datové zprávě a které umožňují zjistit totožnost autora podepsaného elektronického dokumentu, dále zjistit, že dokument nebyl po podepsání změněn a zajistit, že autor dokumentu nebude moci později popřít jeho autorství. Pro praxi je důležité, aby tento podpis byl bezpečný, nebo jinými slovy "zaručený". Tím je tehdy, jestliže je jednoznačný vzhledem k osobě jeho autora a je ověřen tzv. certifikační autoritou (ověřovatelem informací). Zaručený elektronický podpis je tedy stejně důvěryhodný jako podpis na papíře ověřený notářem. Zatím nejobvyklejším a nejpoužívanějším typem zaručeného elektronického podpisu je podpis digitální. Jak digitální podpis funguje? Digitální podpis vzniká pomocí šifrování (kryptografie) dvěma klíči. Jeden z nich je klíč soukromý a zná jej pouze autor dokumentu a druhý klíč je veřejný a může jej znát kdokoli. Samotný digitální podpis je tedy velké číslo, který vytvoří vlastník použitím podepisovacího prostředku - soukromého klíče. Nikdo jiný jej tedy vytvořit nemůže. Všichni ostatní ale mohou tento podpis ověřit, protože veřejný klíč (ověřovací prostředek) je přístupný všem a jeho pravost je ověřena certifikační autoritou. Principiálně je tedy elektronický podpis určité dost dlouhé číslo, připojené k podepisovanému dokumentu, které v sobě obsahuje jak identitu podepisující osoby tak obsah onoho dokumentu.
7
Elektronický podpis se dá využít všude tam, kde je dnes běžný ruční podpis občana nebo úředníka. Lze podepsat i to, co lze ručně podepsat jen velmi těžko - obsah diskety, fotografii, plán a tak dále. Elektronický podpis umožňuje identifikovat jeho autora a ten může provádět jakoukoli transakci prostřednictvím Internetu - od prostého zaslání e-mailu až po bleskový převod miliónových sum z konta na konto. Přitom může jít o transakce mezi občany, mezi občanem a firmou, mezi firmami navzájem či mezi občanem nebo firmou a státem. Zákon předpokládá vznik "ověřovatelů informací" neboli "certifikačních autorit", jinak řečeno také "elektronických notářů", kteří budou ručiteli bezpečnosti a budou zaručovat občanům, že elektronický podpis vytvořila skutečně oprávněná osoba. Nad činností těchto ověřovatelů informací pak bude bdí státní úřad. Pokud zákon bude přijat, podstatně se ulehčí život všem, kteří jsou zvyklí používat moderní informační a komunikační technologie. Těm by mohlo k odeslání daňového přiznání, uzavření smlouvy, komunikaci s finančním úřadem - prostě ke všemu, co je dnes byrokraticky pomalé - stačit kliknout myší počítače.
Sdružení pro informační společnost je profesní sdružení firem z oboru informačních a komunikačních technologií. Bylo založeno v březnu loňského roku, je členem evropské asociace Eurobit, Hospodářské komory a Svazu průmyslu a dopravy. Momentálně má 44 členů. Jeho hlavním cílem je prosazování informační společnosti. Kromě pořádání prestižních konferencí (Státní a veřejná správa v informační společnosti, kulatý stůl "Česká republika na cestě k informační společnosti”) organizuje pravidelné klubové večery zaměřené na jednotlivé problémy spojené s budováním informační společnosti. Nabízí konzultace a odborné poradenství, připomínkuje zákony týkající se oboru a je iniciátorem vzniku zákona o elektronickém podpisu.
8
