Nejprve stručné shrnutí. ETSI ve svých normách specifikuje tři sady formátů elektronického podpisu.

• PAdES (PDF Advanced Electronic Signatures) hovoří o podepisování PDF dokumentů,
• CAdES (CMS Advanced Electronic Signatures) popisuje podepisování libovolných dokumentů,
• XAdES ((XML Advanced Electronic Signatures) je určen pro podepisování XML dat.

Tyto normy detailně určují, jakým způsobem má být připojen elektronický podpis a časové razítko. Podrobněji popisují záležitosti typu šifrovacího algoritmu, povinných metadat nebo atributy pro výpočet kontrolního otisku (hashe). Každá ze zmíněných skupin obsahuje několik verzí normy, od nejjednodušší PAdES Basic až po PAdES LTV (Long Term Validation) určenou pro dlouhodobou archivaci. Připomeňme také, že pokud má být dokument použitelný po dobu mnoha let, je zapotřebí zajistit nejen jeho ověřitelnost (vysvětlíme níže), ale i jeho čitelnost. To kupříkladu znamená, že když v roce 2040 přijde kontrola z České správy sociálního pojištění (nebo nějaké evropské instituce, která ji nahradí) a bude chtít na svém smartphonu nebo jiném zařízení – kdo dnes dokáže říci, co se bude používat v roce 2040? – prohlížet dokumenty, musí být zobrazení úplné a bezchybné. To zajistí kterákoliv z variant formátu PDF/A. Z logiky věci pak vyplývá, že k takovému dokumentu bude připojen podpis ve formátu PAdES LTV. Jaké praktické důsledky má zavedení těchto norem pro organizace, které archivují? Představme si tři základní – compliance, ověřitelnost a nezávislost na úložišti.

Compliance

Zaprvé dává zavedení uvedených norem jistotu „compliance“, tedy souladu s legislativou. Formáty ETSI mají totiž jednoznačnou oporu v zákoně. Nejprve v nařízení Evropské komise z 25. února 2011 (2011/30/EU) a posléze v národních legislativách. V České republice od poloviny letošního roku, kdy vstoupila v účinnost společná novela zákona o elektronickém podpisu a zákona o archivnictví. Pro orgány veřejné moci jsou formáty ETSI povinné, ostatní získávají jistotu, že pokud tyto formáty použijí, úřady je budou respektovat. A to nejen úřady v České republice, ale i v jiných státech EU.

Ověřitelnost

Pokud vlastník nezanedbá péči o dokument, může mít jistotu, že kdykoliv v budoucnu bude nezpochybnitelně prokazatelné, že dotyčný byl v okamžiku prvního ověření pravý (podpisy byly platné) a že od té doby nebyla provedena žádná změna. Tato jistota vychází výhradně z atributů vlastního dokumentu, a tudíž ji žádná vnější událost nemůže zpochybnit. Lze si například představit, že mohou být proraženy šifry, takže se objeví možnost vyrábět kolizní dokumenty. To by znamenalo, že v roce 2020 bude útočník schopen napodobit elektronický podpis z roku 2012. Dokumenty, k nimž je připojen podpis ve formátu PAdES LTV (nebo obdobné variantě CAdES či XAdES), tím nebudou zpochybněny. Vždy bude možné jednoznačně prokázat, že se nejedná o kolizní dokumenty vyrobené později.

Nezávislost na úložišti

Tím, že dokumenty s podpisem podle PAdES, CAdES či XAdES mají všechny potřebné atributy v sobě, drží si svou nezpochybnitelnost i po vynětí z archivu. Dokonce ani případný zánik archivu by je nezpochybnil. Můžeme konstatovat, že teprve tím se stává elektronický originál dokumentu plně rovnocenný s listinným. Tato nezávislost přináší řadu výhod, které můžeme rozdělit do dvou skupin:

Uživatelské

S dokumentem je možné pracovat stejně jako s papírovým ekvivalantem. Je možné jej poslat advokátní firmě nebo účetním. Je možné jej vyvěsit na elektronickou nástěnku, kde si může každý zkontrolovat jeho pravost. Je možné jej nahrát na přenosné médium a přinést k soudu nebo rozhodčí komisi (nebo pro něj přímo z jednání sáhnout do cloudového archivu). Žádný z těchto úkonů nenarušuje nezpochybnitelnost dokumentu. V žádné situaci není zapotřebí se odvolávat na logy nebo jiná potvrzení vydaná archivem.

Z hlediska IT

Organizaci zůstává svoboda provádět změny. Dokumenty mohou být kdykoliv přesunuty do jiného úložiště nebo informačního systému, aniž by tím utrpěla jejich důvěryhodnost. To představuje obrovský rozdíl proti různým hardwarovým „bezpečným archivům“.

Je tedy možné konstatovat, že normy ETSI nejsou jen sadou nových, nebo dokonce dalších formátů, ale že otevírají cestu k praktickému, bezpečnému a právně jistému ukládání i velmi důležitých dokumentů v elektronické podobě. Bez toho, že by organizace musela „pro jistotu“ archivovat ještě papíry. Pro úplnost je ovšem zapotřebí doplnit, že i po převedení do formátů PAdES LTV je zapotřebí soustavně pečovat o digitální kontinuitu dokumentů. To znamená, že dokument musí být pravidelně orážen časovým razítkem, a to tak, aby nové bylo připojeno před vypršením platnosti předchozího. Jakmile by tato kontinuita byla přerušena, není žádné cesty jak obnovit ověřitelnost dokumentu. Není zapotřebí mít strach z nákladů na časová razítka. Dnes už najdeme na trhu archivační řešení, která poskytují archivní kvalifikovaná časová razítka v ceně údržby.

Co obnáší korektní dlouhodobá archivace

Z výše uvedeného vyplývá, že při archivaci je zapotřebí zajistit následující úkony. 

1. Provést ověření pravosti dokumentu a vyhotovit záznam o tomto ověření. To obnáší takové záležitosti jako kontrolu platnosti podpisu, kontrolu aktuální verze listiny zneplatněných certifikátů apod. Zdůrazňujeme, že kromě technického ověření je zapotřebí také správně vyhodnotit výsledek, což vyžaduje určitou znalost legislativy. Ověřovány musí být podpisy vytvořené pomocí certifikátů akreditovaných certifikačních autorit nejen v Česku, ale též certifikačních autorit v ostatních zemích EU uvedených na tzv. TSL listech (trusted service lists – seznamy důvěryhodných certifikačních autorit, respektive jejich služeb).
2. Připojení metadat, tedy dalších informací, které budou v budoucnu potřebné pro ověření. To zahrnuje mimo jiné zmíněné potvrzení o ověření nebo listinu zneplatněných certifikátů té certifikační autority, která vytvořila podpis.
3. Připojení elektronického podpisu ve formátu PAdES, CAdES nebo XAdES v závislosti na formátu dokumentu. Tento podpis chrání nejen vlastní dokument, ale i zmíněná metadata.
4. Připojení časového razítka, a poté pravidelné „občerstvování dokumentu“ (připojování nových razítek) podle principu digitální kontinuity. I připojování těchto razítek musí být prováděno podle specifikací ETSI.

Všechny tyto úkony musí být pochopitelně automatizovány. Jakákoliv chyba nebo opomenutí má za následek ztrátu ověřitelnosti.

Naučte své systémy vytvářet a archivovat dokumenty

Dobrá zpráva je, že kvůli přechodu na archivaci podle ETSI nebude zapotřebí měnit DMS nebo úložiště. Na trhu jsou kompletní balíčky technologií včetně špičkových ověřovacích služeb, které lze velmi snadno integrovat do stávajících systémů a během několika týdnů přejít na PAdES. Tak snadno, že si toho uživatelé vlastně ani nemusí všimnout. Tyto balíčky pokrývají i takové záležitosti jako získání kvalifikovaných archivních časových razítek nebo ověřování certifikátů podepsaných dokumentů. Z toho vychází jejich architektura – část je integrována v informačním systému zákazníka (to proto, aby dokumenty nemusely opouštět archiv a nevznikaly potenciální problémy s informační bezpečností) a další část, včetně propojení s certifikačními autoritami, je provozována z cloudu. Lze tedy říci, že teprve se zavedením norem ETSI dostává dlouhodobá archivace důležitých dokumentů právně bezpečnou, praktickou a nákladově výhodnou podobu. Otázka nezní, zda ano, či ne, ale jakým způsobem na PAdES, CAdES a XAdES nejlépe přejít. Důležité je nezačínat přemýšlení od úložišť, ale od dokumentů a procesů. V rámci jakých procesů dokumenty vznikají? Jak jsou důležité? Kolik let je bude organizace potřebovat? Od odpovědí na tyto a podobné otázky by se teprve měla odvíjet architektura. Ostatně, pomocí zmíněného LTV balíčku můžete své dokumenty vytvářet i třeba v ERP/HR systému doplněném o zabezpečené datové úložiště v cloud providera.

Richard Kaucký
Autor je předsedou představenstva společnosti Software602.