Předložíte-li papír, budou úřady zjišťovat přítomnost razítka a podpisu, případně jejich pravost. Nikdo nebude kontrolovat, ve které skříni dokument ležel a jestli tam byl umístěn správnou procedurou. S elektronickými dokumenty je tomu podobně. Legislativní požadavky se týkají vlastností dokumentů, nikoliv vlastností archivů.

Důvěryhodné dokumenty versus důvěryhodné archivy

Představte si, že v roce 2013 uložíte do archivu elektronický doklad a v roce 2030 vás kontrola vyzve k předložení tohoto dokumentu. Pošlete odkaz, kontrolor si dokument stáhne z cloudu (nebo z toho, co bude po cloudech následovat) a ve svém zařízení (nejspíše nástupci dnešních tabletů) několika pohyby očních víček dokument otevře. Uvidí celý obsah a dalším mrknutím získá nezpochybnitelný důkaz o tom, kdy dokument vznikl, kdo jej podepsal a že v něm nebyly provedeny žádné změny. Autenticita je garantována akreditovanou autoritou, která k tomu byla pověřena ministerstvem vnitra.

Kontrola ovšem může probíhat i jinak. Úředník může získat dokument, který nedokáže otevřít, protože se jedná o výstup informačního systému, který se už řadu let nepoužívá. Nakonec se podaří získat konverzní software, takže bude možné přečíst obsah. Z dokumentu možná nebude patrné, zda je autentický. Doplníte jej tedy dalším záznamem, ve kterém váš elektronický archiv tvrdí, kdy byl dokument uložen a že nebyl změněn. Budou mu úředníci věřit? Nenapadne jej protistrana? I když se nakonec podaří autenticitu prokázat, čekají vlastníka dokumentu horké chvíle.

Platné legislativní normy stanovují pravidla pouze pro první z obou naznačených alternativ. V plné míře to platí i pro českou legislativu. Zákon o elektronickém podpisu od poloviny loňského roku jednoznačně říká, že akceptovanými referenčními formáty pro připojení elektronického podpisu jsou formáty ETSI (PAdES, CAdES nebo XAdES), a klade dodatečné požadavky na každého, kdo by chtěl dokumenty archivovat s využitím jiného formátu. Od ledna platí novela zákona o DPH, která pracuje s termíny, jako je věrohodnost původu či neporušitelnost obsahu, což je klasické výrazivo technických archivačních norem.

Jak se normy stávají legislativně závaznými

Normami pro elektronické podpisy (včetně podpisů určených pro dlouhodobou archivaci) jsme se podrobněji zabývali v srpnovém čísle časopisu IT Systems. Uvedli jsme, že jsou k dispozici tři skupiny norem ETSI – PAdES (PDF Advanced Electronic Signature – pravidla pro elektronické podpisy v PDF dokumentech), XAdES (XML Advanced Electronic Signature – pravidla pro elektronické podpisy v rámci XML dat) a CAdES (CMS Advanced Electronic Signature – pravidla pro obecné elektronické podpisy). V každé z těchto skupin existuje specifická varianta pro dlouhodobou archivaci, zpravidla označená LTV (Long Term Validation). Tyto normy byly formulovány a dnes jsou rozvíjeny na půdě již zmíněné Evropského institutu pro standardy v telekomunikacích (ETSI – European Telecommunications Standards Institute).

Evropská komise přijala předloni rozhodnutí (2011/130/EC), které tyto normy označuje za referenční normy. To znamená, že ten, kdo podle nich postupuje, má jistotu, že dokumenty budou akceptovány. Tomu, kdo se rozhodne postupovat jinak, je uloženo, aby na vlastní náklady vybudoval a provozoval systém umožňující ověřit autenticitu dokumentů a aby dal služby tohoto systému zdarma k veřejnému užívání.

Na základě tohoto rozhodnutí pak jednotlivé státy EU doplňují svou legislativu o stejné nařízení. V případě České republiky se tak stalo novelou zákona o e elektronickém podpisu (227/2000 Sb.). Vznikl také systém odkazů mezi dokumenty, který znamená, že kdykoliv ETSI vydá novou verzi norem, je změna automaticky promítnuta do legislativy všech členských států.

Biometrický podpis a podpis podle zákona

Pro úplnost připomínáme, že legislativa hovoří o elektronickém podpisu, který je k dokumentu připojen a který obsahuje jeho kontrolní otisk a umožňuje jednoznačně určit, komu patřil certifikát použitý při vytváření podpisu. Připomínáme také, že k dokumentu by mělo být připojeno i časové razítko, tedy další kryptografický prvek dokládající, že dokument existoval v době, kdy byl certifikát použitý k vytvoření podpisu platný. Biometrické technologie (například elektrické pero s destičkou snímající dynamiku pohybu ruky) slouží k identifikaci osoby a lze je použít, pouze pokud se strany předem dohodnou na jejich uznávání – například podpisem všeobecných obchodních podmínek. Takový biometrický podpis tedy může být náhradou pinu, ne však náhradou elektronického podpisu podle zákona.

Normy ETSI stanovují detaily připojení elektronického podpisu k dokumentu. Pokud jde o verze pro dlouhodobou archivaci, jsou normy založeny na principu, že všechny informace potřebné pro ověření autenticity mají být k dokumentu připojeny.

Aby dokument přežil každou katastrofu

To znamená, že zároveň s dokumentem dostává příjemce všechny údaje potřebné ke kontrole, že dokument nebyl pozměněn ani jinak zfalšován. Společně se všemi těmito údaji (long term validation data) je připojeno časové razítko tak, aby je chránilo (jakákoliv dodatečná změna by se projevila rozbitím časového razítka). V rámci další péče o dokument jsou pak pravidelně připojována další časová razítka – vždy tak, aby nové bylo přidáno před vypršením platnosti předchozího. U takto opečovávaného dokumentu bude možné kdykoliv v budoucnu potvrdit:

• že v dokumentu nebyla provedena žádná změna (to by se projevilo narušením kontrolního otisku),
• kdo připojil podpis (potvrzení certifikační autority),
• že podpis byl platný (seznam zneplatněných certifikátů z doby prvního ověření).

K ověření těchto údajů nebude zapotřebí dotazovat se žádné vnější autority, respektive bude stačit jediný dotaz – na platnost nejčerstvějšího časového razítka.

Představme si katastrofický scénář. V roce 2012 jsme obdrželi dokument s elektronickým podpisem a ošetřili podle norem ETSI. V roce 2013 vyprší platnost certifikátu, kterým byl podepsán. V roce 2018 dojde ke kompromitaci certifikační autority, takže již nebude možné ověřit, které certifikáty opravdu vydala, a které nikoliv. V roce 2023 bude prolomena šifra použitá při vytváření elektronického podpisu, takže nebude možné rozlišit pravé podpisy od zfalšovaných. Přesto bude možné v roce 2050 snadno prokázat autenticitu dokumentu. Ověření se bude opírat o časové razítko z roku 2047, tedy časové razítko vydané nezpochybněnou autoritou a založenou na neprolomené šifře.

Respektování norem znamená nezávislost na zařízení i dodavateli

Právě to specifikují normy popsané v dokumentech vydaných ETSI. Kompletní znění těchto norem je neustále aktualizováno, respektive doplňováno. Samozřejmě platí, že autenticita dokumentů ošetřených podle starších verzí normy nemůže být zpochybněna. Jde spíše o to, že se postupně ukazuje potřeba archivovat i dokumenty s určitým typem příloh nebo metadat, které předchozí verze textu nepřipouštěly, nebo že se zjistí, že určité ustanovení je možné vykládat více způsoby. Členové pracovních skupin přinášejí takové problémové okruhy k řešení a diskutuje se o nich. Na základě diskuse je pak některý z členů pověřen návrhem řešení a tento návrh prochází složitým systémem oponentur a schvalování, až je zařazen do příštího vydání normy. Nová verze normy CAdES, která vyjde v letošním roce, tak bude obsahovat některé body, které byly vytvořeny v České republice.

Normy ETSI mají ještě jednu podstatnou výhodu. Přinášejí nezávislost na jakémkoliv speciálním hardwaru nebo softwarovém archivu. Jestliže jsou veškerá ověřovací metadata připojena přímo k dokumentu, je velice snadné takový dokument vzít a přesunout jej do jiného úložiště. Důvěryhodnost dokumentu tím nebude narušena. Organizace, které se rozhodly pro tuto cestu, tak získávají obrovskou výhodu proti těm, kdo spoléhají na zabezpečený hardware nebo speciální softwarové archivy, a budou tudíž nuceny udržovat současná zařízení v provozu dalších třicet a více let, případně řešit převod „důvěryhodnosti“ do jiného zařízení. A potom že zákonem nařízené normy nemohou být praktické!

Jakub Žemlička
Autor je konzultant ve společnosti Software602 a člen pracovní skupiny ETSI pro rozvoj archivačních norem.