Otßzky, otßzky...

      V doprovodnΘm Φlßnku k zßkonu o elektronickΘm podpisu v Chipu 10/00 se zam²Ülφme nad nov²m zßkonem o elektronickΘm podpisu z prßvnφho i technickΘho hlediska. P°i Φtenφ zßkona nßs napadlo mnoho otßzek, na kterΘ jsme si nedokßzali odpov∞d∞t sami bez prßvnφ pomoci. Polo₧ili jsme je tedy spoluautorovi zßkona doc. Ing. Smejkalovi, CSc. Proto₧e se jednß u₧ o dost konkrΘtnφ dotazy na v²znam n∞kter²ch termφn∙ nebo ustanovenφ zßkona, doporuΦujeme vßm si nejprve p°eΦφst jak ·vodnφ Φlßnek v Chipu, tak text vlastnφho zßkona 227/2000 Sb. a p°φsluÜnΘ d∙vodovΘ zprßvy a teprvΘ potΘ tyto otßzky a odpov∞di.

Proto₧e n∞kterΘ termφny v zßkonu jsou dlouhΘ, vytvo°ili jsme si mnemotechnickΘ zkratky, jejich₧ seznam je v p°ipojenΘ tabulce.

Seznam zkratek
NaÜe zkratkaV²znam podle Zßkona o elektronickΘm podpisu
ZoEPzßkon o elektronickΘm podpisu (Φ.227/2000 Sb.)
ZoDPzßkon o sprßv∞ danφ a poplatk∙
ObΦZobΦansk² zßkonφk
EPelektronick² podpis
ZEPzaruΦen² elektronick² podpis
BZEPzaruΦen² elektronick² podpis, zalo₧en² na kvalifikovanΘm certifikßtu a vytvo°en² pomocφ prost°edku pro bezpeΦnΘ vytvß°enφ podpisu
Ctcertifikßt
KvCtkvalifikovan² certifikßt
PCSposkytovatel certifikaΦnφch slu₧eb
APCSakreditovan² poskytovatel certifikaΦnφch slu₧eb
PCS-KvCtposkytovatel certifikaΦnφch slu₧eb, vydßvajφcφ kvalifikovanΘ certifikßty
APCS-KvCtakreditovan² poskytovatel certifikaΦnφch slu₧eb, vydßvajφcφ kvalifikovanΘ certifikßty
BPprost°edek pro bezpeΦnΘ vytvß°enφ/ov∞°ovßnφ EP
CA, certifikaΦnφ autoritaalternativnφ v²raz pro PCS, kter² vydßvß certifikßty na bßzi asymetrickΘ kryptografie
┌OO┌ nebo ┌°ad┌°ad pro ochranu osobnφch ·daj∙

Nynφ u₧ tedy naÜe otßzky:

1. otßzka
Jak² je prßvnφ rozdφl mezi tφm, kdy₧ Jan Novßk podepφÜe ruΦn∞ n∞jakou smlouvu, vytiÜt∞nou na papφ°e, a tφm, kdy₧ tuto smlouvu (e-mailovou objednßvku apod.) v elektronickΘ podob∞ doplnφ na konci °et∞zcem "Jan Novßk"?
VS: Je t°eba si uv∞domit, ₧e existujφ t°i druhy podpisu:
a) podpis - m∙₧e b²t nahrazen i mechanick²m prost°edkem, mß nejni₧Üφ prßvnφ vßhu;
b) vlastnoruΦnφ podpis - musφ spl≥ovat po₧adavky ObΦZ, a to urΦenφ osoby, kterß prßvnφ ·kon uΦinila;
c) ov∞°en² podpis - toto₧nost podepisujφcφho je ov∞°ena ·°ednφ osobou, p°ed kterou se obΦan podepφÜe (tzv. legalizace).
PodepφÜe-li J.N. smlouvu na papφ°e nebo mail znakov²m °et∞zcem "Jan Novßk", pak jde o nejni₧Üφ druh podpisu ad a). OvÜem s jistou pravd∞podobnostφ lze grafologicky ov∞°it pravost i "obyΦejnΘho" podpisu, zatφmco autorstvφ °et∞zce bajt∙ bez dalÜφho ov∞°it nelze. Tak₧e takov²to °et∞zec nenφ elektronick²m podpisem. Ale obrßzek obsahujφcφ oskenovan² podpis by ji₧ jφm b²t mohl - ten lze grafologicky ov∞°it, p°iΦem₧ i zde bude dφky schopnosti v²poΦetnφ techniky obtφ₧nΘ dokßzat, zda se oskenovan² podpis ocitl na dokumentu z v∙le uvedenΘ osoby. Tyto problΘmy odstra≥uje a₧ zaruΦen² elektronick² podpis.
V tΘto souvislosti bych cht∞l uvΘst jednu v∞c, kterß se promφtß i do otßzek a odpov∞dφ dßle: v p∙vodnφm nßvrhu naÜeho ZoEP se s "obyΦejn²m" elektronick²m podpisem v∙bec nepoΦφtalo. Neposkytuje toti₧ dostateΦnΘ zßruky. Ale byli jsme doslova "utluΦeni" argumenty, navφc nepravdiv²mi, ₧e zßkon musφ doslova odpovφdat sm∞rnici EU, a v zßjmu "politickΘ" pr∙chodnosti jsme zapracovali i ustanovenφ sm∞rnice, kterß pova₧ujeme za zbyteΦnß Φi nevhodnß.

2. otßzka
P°esto se v definici "obyΦejnΘho" EP °φkß, ₧e "umo₧≥uje ov∞°enφ toto₧nosti podepsanΘ osoby vzhledem k datovΘ zprßv∞". ProΦ tedy EP neposkytuje dostateΦnΘ zßruky a poskytuje je a₧ ZEP?
VS: Jß chßpu rozdφl v tom, ₧e EP pouze umo₧≥uje ov∞°enφ toto₧nosti podepsanΘ osoby ve vztahu k datovΘ zprßv∞, co₧ je podle mΘho nßzoru slabÜφm tvrzenφm, ne₧ °φkß º 2 o ZEP, ale hlavn∞ jde o º 3, "Pou₧itφ zaruΦenΘho elektronickΘho podpisu zalo₧enΘho na kvalifikovanΘm certifikßtu a vytvo°enΘho pomocφ prost°edku pro bezpeΦnΘ vytvß°enφ podpisu umo₧≥uje ov∞°it, ₧e datovou zprßvu podepsala osoba uvedenß na tomto kvalifikovanΘm certifikßtu". Jin²mi slovy: zßruky t²kajφcφ se ZEP jsou vyÜÜφ a jsou odvozeny takΘ z institutu pou₧itφ KvCt.

3. otßzka
Kdy₧ je datovß zprßva podepsßna pouh²m EP a nikoli ZEP, znamenß to, ₧e tento podpis je bezcenn² (p°edpoklßdßme, ₧e mezi ·Φastnφky neexistuje ₧ßdnß jinß dohoda)?
VS: Ano, vφce mΘn∞ je tomu tak - viz v²Üe, ale samoz°ejm∞ z hlediska volnΘho hodnocenφ d∙kaz∙ si dovedu p°edstavit urΦit²m zp∙sobem za urΦit²ch okolnostφ vytvo°en² "obyΦejn²" EP, kter² bude v rßmci d∙kaznφho °φzenφ vyhodnocen stejn∞ pr∙kazn∞, jako ZEP. Ale ZEP mß zßruky danΘ p°φmo zßkonem.

4. otßzka
V p°φpad∞ ZEP (º 2 pφsm. b) se °φkß, ₧e (oproti EP) umo₧≥uje identifikaci podepisujφcφ osoby (ve vztahu k datovΘ zprßv∞) a ₧e je jednoznaΦn∞ spojen s podepisujφcφ osobou. Jak² je rozdφl mezi identifikacφ a ov∞°enφm toto₧nosti (viz EP), co to znamenß jednoznaΦn∞ spojen?
VS: Identifikace = zjiÜt∞nφ, kdo je pod zprßvou podepsßn; autentizace je ov∞°enφm toto₧nosti, ₧e se skuteΦn∞ ten, kdo je identifikovßn, podepsal.

5. otßzka
Ano, ale jak² je rozdφl mezi "zjiÜt∞nφm" a "ov∞°enφm toto₧nosti". M∙₧ete uvΘst p°φklad?
VS: To je jednoduchΘ: dostanete zprßvu podepsanou "Vladimφr Smejkal", tedy identifikujete odesφlatele, jako ₧e jsem to jß. Ale uv∞°φte tomu a₧ v okam₧iku, kdy m∙j podpis autentizujete, tedy si ov∞°φte jeho platnost.

6. otßzka
Pokusφm se tedy zformulovat, jak jsem to pochopil. Kdy₧ ZoEP °φkß, ₧e EP "umo₧≥uje ov∞°enφ toto₧nosti podepsanΘ osoby vzhledem k datovΘ zprßv∞", nemyslφ tφm, ₧e elektronick²m podpisem je toto "ov∞°enφ" takΘ u₧ automaticky vykonßno. ZoEP jen °φkß, ₧e je to "umo₧n∞no", tj. ₧e EP m∞ m∙₧e napomoci k tomu, abych si toto₧nost podepsanΘ osoby ov∞°il, ale nijak v²sledek tohoto ov∞°enφ nezaruΦuje. Pokud pod e-mailem bude uveden text "Jan Novßk, Lu₧nφ 2, Brno", je to prßv∞ p°φpad EP, nebo¥ mi dßvß mo₧nost (cestu) k ov∞°enφ toto₧nosti. Pokud je ke zprßv∞ p°ilo₧en BZEP (viz tabulka zkratek), je to jako kdyby podpis Jana Novßka pod touto zprßvou ov∞°il u₧ p°φmo notß°, tedy toto "ov∞°enφ" je u₧ automaticky vykonßno. Mezi t∞mito dv∞ma podpisy (EP a BZEP) le₧φ jeÜt∞ ZEP, kter² nemß vlastnosti BZEP. Tento ZEP mß sice lepÜφ vlastnosti ne₧ EP, ale ZoEP u n∞j "ov∞°enφ toto₧nosti" negarantuje stejn∞ jako u EP. Pochopil jsem to sprßvn∞?
VS: Naprosto p°esn∞.

7. otßzka
Zßkon °φkß, ₧e ZEP je jednoznaΦn∞ spojen s podepisujφcφ osobou. EP tedy nenφ jednoznaΦn∞ spojen s podepisujφcφ osobou?
VS: Zßkon nic ne°φkß v p°φpad∞ EP o jednoznaΦnosti. Proto₧e podmφnky v º 2 pφsm. b) se vztahujφ k ZEP, platφ, ₧e u EP tomu tak b²t m∙₧e, ale nemusφ. Jin²mi slovy, nelze na to spolΘhat.

8. otßzka
ZEP je tedy jednoznaΦn∞ spojen s podepisujφcφ osobou, ale ZoEP ne°φkß, ₧e jednoznaΦnΘ spojenφ je pomocφ certifikßtu nebo kvalifikovanΘho certifikßtu - vypl²vß to p°esto odn∞kud?
VS: Vypl²vß to z º 2, pφsm. b) ad 3, z º 3 a koneΦn∞ z º 6 odst. 1 pφsm. c), p°φpadn∞ º 12 zßkona.

9. otßzka
Kdy₧ bude z technickΘho hlediska mo₧nΘ realizovat ZEP, kter² spl≥uje º 2, pφsm.b i bez pou₧itφ Ct a KvCt, bude takov² ZEP uznßn ┌°adem?
VS: Mo₧nΘ varianty jsou Φty°i, ale pouze jedna poskytuje to, o Φem je cel² zßkon:

Podpis & certifikßt"ObyΦejn²" certifikßt"Kvalifikovan²" certifikßt
"ObyΦejn²" podpisUmo₧≥uje ov∞°it toto₧nost, ale samotn² podpis nezaruΦuje d∙v∞ryhodnost - existuje nejistota ohledn∞ pravosti podpisu; lze pou₧φt pro ov∞°enφ jinou cestouM∙₧e ale nemusφ zaruΦit toto₧nost osoby, nikoliv integritu datovΘ zprßvy, stßle existuje nejistota ohledn∞ pravosti podpisu
"ZaruΦen²" podpisPodpis je v∞rohodn², ale nemusφ dostateΦn∞ zaruΦit identitu osoby, pou₧itelnΘ p°edevÜφm smluvn∞Poskytuje zßruky dle zßkona, je nejd∙v∞ryhodn∞jÜφ variantou

Platφ moje poznßmka v²Üe o jistΘ zbyteΦnosti n∞kter²ch p°φstup∙ sm∞rnice.

10. otßzka
º 11 °φkß, ₧e v "oblasti orgßn∙ ve°ejnΘ moci je mo₧nΘ pou₧φvat pouze zaruΦenΘ elektronickΘ podpisy a kvalifikovanΘ certifikßty, vydßvanΘ akreditovan²mi poskytovateli certifikaΦnφch slu₧eb". Platφ toto o styku obΦan-orgßn nebo jen orgßn-orgßn?
VS: V oblasti orgßn∙ ve°ejnΘ moci je po₧adovßn vyÜÜφ stupe≥ zßruky jak z hlediska technologie, tak z hlediska "d∙v∞ryhodnΘ t°etφ strany". Platφ to samoz°ejm∞ pro vÜechny ·Φastnφky, tj. jak obΦany, tak orgßny.

11. otßzka
Co kdy₧ se ale najde technologie ZEP, kterß nepou₧φvß certifikßty, tj. ani nepot°ebuje PCS, ale bude um∞t vytvß°et ZEP podle º 2, pφsm. b? Bude moci b²t tento ZEP pou₧it ve stßtnφ sprßv∞?
VS: NeoΦekßvßme, ₧e by se brzy naÜla technologie, kterß by likvidovala institut "d∙v∞ryhodnΘ t°etφ strany"; pak by samoz°ejm∞ musel b²t novelizovßn zßkon. Pokud by se jednalo pouze o nahrazenφ metod asymetrickΘ kryptografie jin²mi postupy, pak by asi nemusel b²t zßkon m∞n∞n, pouze by mo₧nß se zm∞nily provßd∞cφ p°edpisy.

12. otßzka
Dejme tomu, ₧e takovß technologie u₧ existuje, a umφ vytvß°et ZEP s vlastnostmi podle º 2, pφsm. b, ale nepot°ebuje k tomu certifikßty ani poskytovatele certifikaΦnφch slu₧eb. Bude mo₧nΘ ji podle º 11 pou₧φt ve stßtnφ sprßv∞? (jde o v²klad spojky "a" v citaci º 11 viz v²Üe)
VS: Domnφvßm se, ₧e ne: problΘm nenφ v º 11, ale v º 3 odst. 2.

13. otßzka
Pro komunikaci mezi ·°ednφky r∙zn²ch ministerstev (nebo jin²ch orgßn∙ stßtnφ sprßvy) by m∞ly existovat jejich vlastnφ certifikaΦnφ autority. Ty vÜak ministerstva nemohou podle º 10 zaklßdat p°φmo (nemajφ oprßvn∞nφ k podnikatelskΘ Φinnosti). Jak by se toto dalo vy°eÜit?
VS: Nemyslφm si, ₧e by m∞ly existovat CA toto₧nΘ s orgßnem ve°ejnΘ sprßvy. Pak se z "troj·helnφku" d∙v∞ry stane "p°φmka ned∙v∞ry".

14. otßzka
Mßte n∞jakou p°edstavu, kde by minist°i, ministerÜtφ ·°ednφci, policistΘ a vÜichni ·°ednφci stßtnφ sprßvy mohli zφskat certifikßty, aby navzßjem a s obΦany mohli komunikovat vΦetn∞ elektronick²ch podpis∙?
VS: U poskytovatele certifikaΦnφch slu₧eb, kter² projde dobrovolnou akreditacφ u ┌°adu pro ochranu osobnφch ·daj∙, a kter² bude vφt∞zem ve°ejnΘ sout∞₧e podle zßkona o ve°ejn²ch zakßzkßch.

15. otßzka
Podle º 2 pφsm. g) vydan² (i nekvalifikovan²) certifikßt musφ umo₧nit ov∞°it toto₧nost podepisujφcφ osoby. Je mo₧nΘ vylo₧it zßkon tak, ₧e certifikßt sßm o sob∞ nemusφ obsahovat dostatek dat pro ov∞°enφ toto₧nosti, ale prost°ednictvφm PCS, kter² tato data mß s certifikßtem spojenß, bude mo₧nΘ je doplnit?
VS: Zßkon po₧aduje, aby poskytovatel certifikaΦnφch slu₧eb, kter² vydßvß kvalifikovanΘ certifikßty, p°ed vydßnφm kvalifikovanΘho certifikßtu bezpeΦn∞ ov∞°il odpovφdajφcφmi prost°edky toto₧nost osoby, kterΘ kvalifikovan² certifikßt vydßvß, p°φpadn∞ i jejφ zvlßÜtnφ znaky, vy₧aduje-li to ·Φel kvalifikovanΘho certifikßtu. Takov² po₧adavek nenφ na "obyΦejnΘ" certifikßty, proto je nepova₧ujeme za dostateΦn∞ d∙v∞ryhodnΘ. Provßd∞cφ p°edpis by m∞l stanovit, ₧e osoba se musφ dostavit osobn∞, nejmΘn∞ se dv∞ma ·°ednφmi doklady prokazujφcφmi jejφ toto₧nost a obsahujφcφ jejφ fotografii. Mo₧nß bude muset archivovat kopie t∞chto doklad∙ - ale to je pouze momentßlnφ nßpad.

16. otßzka
Ano, to je procedura zφskßvßnφ certifikßtu. Te∩ jde o to, co se z osobnφch dat promφtne do vlastnφho certifikßtu, tedy o to, co v n∞m uvidφ a budou moci pou₧φt u₧ivatelΘ systΘmu. Vydan² certifikßt by jim m∞l umo₧nit ov∞°it toto₧nost podepsanΘ osoby. Jak je mo₧nΘ oΦekßvat napln∞nφ tohoto po₧adavku v praxi, tj. co se bude uvßd∞t v Ct a KvCt ? Jak bude tato toto₧nost potΘ dokazovßna, pokud vznikne n∞jakß Ükoda?
VS: Nßle₧itostφ KvCt (je mi zhola jedno, co bude v obyΦejnΘm certifikßtu, pro kter² zßkon nic nep°edepisuje) p°edepisuje º 12. DalÜφ ·daje o vlastnφkovi certifikßtu se naleznou samoz°ejm∞ v dokumentaci PCS vedenΘ podle º 6 odst 9 ZoEP. Za Ükodu zp∙sobenou poruÜenφm povinnostφ stanoven²ch tφmto zßkonem odpovφdß poskytovatel certifikaΦnφch slu₧eb vydßvajφcφ kvalifikovanΘ certifikßty podle ObΦanskΘho zßkonφku.

17. otßzka
M∙₧ete uvΘst p°φklad, na n∞m₧ bude vid∞t rozdφl mezi prost°edkem a nßstrojem elektronickΘho podpisu?
VS: Podle mΘho nßzoru nßstroj elektronickΘho podpisu je ÜirÜφ pojem a zahrnuje vÜechno, co je t°eba pro jakoukoliv Φinnost souvisejφcφ s elektronick²m podepisovßnφm. Ale toto je op∞t jedna z v∞cφ, na kterΘ byste se m∞li zeptat v Bruselu.

18. otßzka
Pokud by v KvCt bylo uvedeno jen jmΘno a p°φjmenφ osoby, bude napln∞n º 3, odst.2, kter² °φkß, ₧e p°i jeho pou₧itφ lze ov∞°it, ₧e datovou zprßvu podepsala osoba, uvedenß v KvCt? PostaΦφ to k ov∞°enφ? Znamenß º 3, odst.2, ₧e pokud nepou₧ijeme ZEP s KvCt a pomocφ BP, nenφ mo₧nΘ ov∞°it (a dokßzat), ₧e datovou zprßvu podepsala osoba uvedenß v KvCt?
VS: Zßkon °φkß, ₧e v kombinaci ZEP s KvCt pomocφ BP umo₧≥uje ov∞°it, ₧e datovou zprßvu podepsala osoba uvedenß na tomto kvalifikovanΘm certifikßtu - ne ₧e se tak skuteΦn∞ stalo. Ale souΦasn∞ °φkß, ₧e to k ov∞°enφ postaΦφ. Zcela obecn∞ °eΦeno, Φesk² prßvnφ °ßd je zalo₧en na principu tzv. volnΘho hodnocenφ d∙kaz∙. Nenφ tedy mo₧nΘ vylouΦit, ₧e by se v konkrΘtnφm p°φpad∞ poda°ilo dokßzat, ₧e datovou zprßvu podepsala Φi naopak nepodepsala osoba uvedenß na certifikßtu.

19. otßzka
Je z°ejmΘ, ₧e obΦanΘ si nemohou vytvß°et "pßry klφΦ∙" pro EP sami na kolen∞. Program pro vytvß°enφ klφΦ∙ a vytvß°enφ ₧ßdosti o certifikßt od n∞koho obdr₧φ nebo obojφ mo₧nß ud∞lajφ p°φmo na pracoviÜti PCS. Lze v tomto p°φpad∞ hovo°it o tom, ₧e podepisujφcφ osoba m∙₧e udr₧et prost°edky pro vytvß°enφ ZEP pod svou v²hradnφ kontrolou?
VS: Sm∞rnice i nßÜ zßkon vymezuje bezpeΦnostnφ p°edpoklady pro zamezenφ zneu₧itφ ze strany PCS (poskytovatel musφ zajistit utajenφ dat pro vytvß°enφ zaruΦen²ch elektronick²ch podpis∙ v p°φpad∞, ₧e poskytovatel certifikaΦnφch slu₧eb umo₧≥uje podepisujφcφ osob∞ jejich vytvo°enφ v rßmci poskytovan²ch slu₧eb - º 6 odst 1 pφsm. k - a poskytovatel certifikaΦnφch slu₧eb, kter² vydßvß kvalifikovanΘ certifikßty, nesmφ uchovßvat a kopφrovat data pro vytvß°enφ zaruΦenΘho elektronickΘho podpisu osob, kter²m poskytuje svΘ certifikaΦnφ slu₧by - º 6 odst. 3), ale jß osobn∞ jsem proti tomu, aby se klφΦe generovaly na pracoviÜti PCS. DostateΦn∞ rozumn² u₧ivatel si jej vygeneruje sßm, na svΘm zabezpeΦenΘm poΦφtaΦi a skuteΦn∞ v²luΦn∞ pod vlastnφ kontrolou; tedy ne v sφti a u₧ v∙bec ne n∞kde na internetu. V rßmci PCS si to dovedu p°edstavit tak, ₧e bude existovat zabezpeΦen² samostatn² poΦφtaΦ v diskrΘtnφ z≤n∞, kter² bude nastaven prokazateln²m zp∙sobem tak, ₧e bude uklßdat klφΦe pouze na disketu nebo Φipovou kartu u₧ivatele.

20. otßzka
Tato otßzka je trochu teoretickß. V situaci, kdy se na poΦφtaΦi PCS (v diskrΘtnφ z≤n∞) generuje privßtnφ klφΦ, dochßzφ vlastn∞ p°i jeho p°enosu na zßkaznφkovo mΘdium (disketa, Φipovß karta) z technickΘho hlediska ke kopφrovßnφ tohoto klφΦe. To je ale zakßzßno podle º 6, odst.3. Chßpe zßkon kopφrovßnφ i v tomto smyslu?
VS: Jß se domnφvßm ₧e nikoliv. Kopie znamenß, ₧e k n∞Φemu vznikne druh² exemplß°. SouΦasn∞ ji₧ v diskusφch okolo autorskΘho zßkona bylo °eÜeno, jak² je rozdφl mezi doΦasnou, pracovnφ kopiφ nap°. v cache pam∞ti a kopiφ urΦenou k tomu, aby jako kopie existovala. Tedy pokud v pam∞ti procesoru vznikne privßtnφ klφΦ, kter² je ulo₧en pouze jednou, a to na vlastnφ mΘdium zßkaznφka, pak ke kopφrovßnφ nedochßzφ.

21. otßzka
Vra¥me se ale jeÜt∞ k p°edchozφ otßzce. Obßvßm se, ₧e ani o domßcφm poΦφtaΦi, ani o ₧ßdnΘm programu, ani o ₧ßdnΘ ΦipovΘ kart∞ nenφ mo₧nΘ spolehliv∞ °φci, ₧e je m∙₧eme dr₧et pod svou v²hradnφ kontrolou. M∙₧e se jednat nap°φklad o b∞₧nΘ chyby v²robce, trojskΘ kon∞, viry, nepublikovanΘ k≤dy apod.). Bude zßkon pova₧ovat t°eba domßcφ PC nebo Φipovou kartu za "udr₧itelnΘ pod svojφ v²hradnφ kontrolou"?
VS: Samoz°ejm∞ musφ se p°edpoklßdat - a pou₧iji jin² prßvnick² termφn, kter² nepochybn∞ bude drß₧dit programßtory - ₧e u₧ivatel musφ vynalo₧it veÜkerΘ mo₧nΘ, rozumnΘ a p°im∞°enΘ ·silφ, aby se tak stalo. Ale posuzovat se to musφ ad hoc. Domnφvßm se proto, ₧e zakoupenφ ΦipovΘ karty od znßmΘho v²robce, doklßdajφcφho kvalitu r∙zn²mi zp∙soby, ve znßmΘm a znaΦkovΘm obchodu, nßslednΘ vygenerovßnφ klφΦ∙ na poΦφtaΦi u akreditovanΘho PCS a podepisovßnφ v²hradn∞ na vlastnφm notebooku po°φzenΘm stejn²m zp∙sobem, provozovanΘm v zabezpeΦenΘm re₧imu, je n∞co ·pln∞ jinΘho, ne₧ noÜenφ klφΦ∙ na disket∞ a strkßnφ do ka₧dΘho poΦφtaΦe, na kter² narazφte.

22. otßzka
Jakß m∙₧e b²t role PCS, kter² nechce b²t akreditovan²? Zdß se, ₧e jedin²m d∙vodem pro to, aby PCS-KvCt nebyl akreditovan², je podmφnka, ₧e akreditovan² PCS musφ mφt sφdlo na ·zemφ ╚R. Mß to n∞jak² praktick² v²znam? M∙₧e zahraniΦnφ (a tudφ₧ neakreditovan²) PCS vydßvat KvCt podle tohoto zßkona?
VS: Akreditovanφ PCS budou pod v∞tÜφ kontrolou a jurisdikcφ stßtu (prost°ednictvφm ┌OO┌). T∞₧ko lze uklßdat sankce podle ΦeskΘho ZoEP PCS sφdlφcφmu v zahraniΦφ. Bohu₧el, proti mΘmu obez°etnΘmu nßzoru, bylo prosazeno do zßkona, ₧e KvCt mohou vydßvat i neakreditovanφ PCS. Musejφ ale ohlßsit ┌°adu nejmΘn∞ 30 dn∙ p°ed vydßnφm prvnφho kvalifikovanΘho certifikßtu, ₧e budou vydßvat kvalifikovanΘ certifikßty.
┌°ad vykonßvß dozor nad Φinnostφ akreditovan²ch poskytovatel∙ certifikaΦnφch slu₧eb a poskytovatel∙ certifikaΦnφch slu₧eb vydßvajφcφch kvalifikovanΘ certifikßty, uklßdß jim opat°enφ k nßprav∞ a pokuty za poruÜenφ povinnostφ podle tohoto zßkona. Znamenß to tedy, ₧e nad PCS vydßvajφcφmi "obyΦejnΘ" certifikßty nebude mφt prakticky pravomoc; to je ale v po°ßdku, proto₧e to umo₧nφ provozovat certifikaΦnφ systΘmy na bßzi soukromoprßvnφho ujednßnφ, tedy ze smlouvy, ale samoz°ejm∞ bez zßruk vypl²vajφcφch z tohoto zßkona. Jde tedy o jist² kompromis mezi po₧adavkem liberalizace a po₧adavkem stßtnφho dozoru za ·Φelem zv²Üenφ d∙v∞ryhodnosti a bezpeΦnosti systΘmu elektronickΘho podepisovßnφ.

23. otßzka
Ti, co ┌°adu oznßmφ, ₧e budou vydßvat kvalifikovanΘ certifikßty tedy nemusφ Φekat na to, ₧e ┌°ad ov∞°φ, ₧e pou₧φvajφ bezpeΦnΘ nßstroje elektronickΘho podpisu (podle º 6 odst. 1, pφsm. j)?
VS: Majφ dv∞ mo₧nosti: bu∩ pou₧ijφ to, co je ji₧ ┌°adem ov∞°eno (podobn∞ jako r∙znφ prodejci mohou prodßvat jednou homologovanΘ telefony), nebo si po₧ßdajφ o ov∞°enφ vlastnφch nßstroj∙ (a pak budou muset poΦkat).

24. otßzka
JakΘ pravomoce bude mφt ┌°ad na PCS, kte°φ vydßvajφ certifikßty, ale ne kvalifikovanΘ certifikßty?
VS: ÄßdnΘ - viz v²Üe.

25. otßzka
V º 9 odst.1 zßkona je ale uvedeno, ₧e ┌°adu nßle₧φ "dozor nad dodr₧ovßnφm tohoto zßkona". M∞lo by to platit i o PCS, vydßvajφcφch "obyΦejnΘ" certifikßty.
VS: Opomφjφte nßslednΘ ustanovenφ tamtΘ₧ v º 2 pφsm. b), podle kterΘho ┌°ad vykonßvß dozor nad Φinnostφ akreditovan²ch poskytovatel∙ certifikaΦnφch slu₧eb a poskytovatel∙ certifikaΦnφch slu₧eb vydßvajφcφch kvalifikovanΘ certifikßty. Toto ustanovenφ up°es≥uje obsah dozoru ┌°adu.

26. otßzka
Musφ se zahraniΦnφ spoleΦnost vydßvajφcφ certifikßty stßt prßvnickou osobou (zalo₧it si zde poboΦku), aby mohla vydßvat KvCt v ╚R? Musφ je generovat tady nebo je m∙₧e generovat jinde a sem je jen elektronicky p°enßÜet pro pot°eby jejich vydßnφ (podle zßkona mß b²t KvCt vydßn na ·zemφ ╚R)?
VS: Musφ se jednat o subjekt podle ΦeskΘho prßva, kter² musφ mφt sφdlo na ·zemφ ╚eskΘ republiky. Server m∙₧e samoz°ejm∞ mφt, kde chce, ale vydßvat je musφ v ╚R. Obtφ₧n∞ vÜak bude v tomto p°φpad∞ zajiÜ¥ovat po₧adavky na bezpeΦnost.

27. otßzka
Co by brßnilo t°eba poboΦce nadnßrodnφ spoleΦnosti BigCA mφt certifikaΦnφ server v USA a kancelß° v Praze, p°iΦem₧ v kancelß°i by se ov∞°ovaly osobnφ doklady, certifikßt by se generoval na serveru v zahraniΦφ a promptn∞ by se odeslal do Prahy. Bylo by spln∞no vÜe z hlediska zßkona?
VS: èlo by to v p°φpad∞, kdyby tato nadnßrodnφ spoleΦnost m∞la sφdlo v ╚R. Otßzkou pro dalÜφ zkoumßnφ je, zda by to °eÜil zßpis jejφ organizaΦnφ slo₧ky do obchodnφho rejst°φku.

28. otßzka
Je mo₧nΘ, ₧e 2.10.2000 oznßmφ ┌°adu n∞kolik spoleΦnostφ, ₧e od 1.11. zaΦφnß vydßvat KvCt (n∞kte°φ si mo₧nß pospφÜφ s faxem u₧ v ned∞li 1.10.). ┌°ad bude mφt 30 dn∙ Φas na vylouΦenφ p°φpadn²ch ned∙v∞ryhodn²ch subjekt∙. Kdy₧ ┌°ad nestihne vÜe ov∞°it (podle bodu º 6, odst.1, pφsm.j) t°eba proto, ₧e do tΘ doby nestihne vydat pot°ebnΘ vyhlßÜky nebo nebude mφt lidskΘ zdroje, mohou tyto spoleΦnosti vydßvat KvCt nebo musφ Φekat na povolenφ ┌°adu?
VS: Je t°eba rozliÜit akreditaci a oznamovacφ povinnost vydavatel∙ KvCt; ti po uplynutφ 30dennφ lh∙ty mohou zaΦφt vydßvat KvCt a nemusφ Φekat na ₧ßdnΘ povolenφ ┌°adu. Akreditaci ale obdr₧φ od ┌°adu a₧ po provedenφ sprßvnφho °φzenφ ti PCS, kte°φ o ni po₧ßdali.

29. otßzka
To znamenß, ₧e firmy nemusφ Φekat na potvrzenφ ·°adu (podle º 6 odst. 1, pφsm. j), ₧e pou₧φvajφ bezpeΦnΘ prost°edky, a mohou vydßvat kvalifikovanΘ certifikßty. Jestli tomu dob°e rozumφm, je jim to ale mßlo platnΘ, proto₧e se pak nemohou op°φt o º 3 odst. 2 (podmφnkou jsou bezpeΦnΘ prost°edky), tak₧e jejich kvalifikovanΘ certifikßty majφ stejn² v²znam jako nekvalifikovanΘ.
VS: Viz odpov∞∩ k otßzce Φ.22 a 23.

30. otßzka
Bude mo₧nΘ Bed°ichu Novßkovi vydat certifikßt na jmΘno "Bedrich Novak" (tj. bez hßΦk∙ a Φßrek)? Jednß se zde o kompatibilitu s n∞kter²mi zahraniΦnφmi prost°edky, kterΘ nemusφ b²t schopny rozeznat takovß pφsmena v naÜich certifikßtech.
VS: Domnφvßm se, ₧e ano, ale bude to muset b²t v certifikßtu uvedeno.

31. otßzka
Obßvßm se, ₧e n∞kterΘ zahraniΦnφ certifikaΦnφ autority nemusφ b²t schopnΘ pracovat s ΦeÜtinou. Pokud by tedy nebylo uvedeno, ₧e jmΘno je bez hßΦk∙ a Φßrek, je mo₧nΘ uva₧ovat o jeho spojenφ s dalÜφmi ·daji tak, aby to vyhov∞lo kvalifikovanΘmu certifikßtu? Jednß se nap°φklad o spojenφ s n∞kter²mi ·daji jako je datum narozenφ, adresa firmy, bydliÜt∞, rodnΘ Φφslo apod.
VS: Pozdnφ upßlenφ Mistra Jana Husa bylo opravdu zßva₧nou chybou. Te∩ budu ale fabulovat: pokud bych cht∞l mφt jistotu, ₧e nedojde k problΘm∙m, nechal bych si napsat do certifikßtu ob∞ varianty, tomu zßkon nebrßnφ, proto₧e nepovinn²ch ·daj∙ tam m∙₧e b²t vφce.

32. otßzka
Zm∞n∞n² obΦansk² zßkonφk nynφ znφ: "Je-li prßvnφ ·kon uΦin∞n elektronick²mi prost°edky, m∙₧e b²t podepsßn elektronicky podle zvlßÜtnφch p°edpis∙." Je EP, kter² nenφ ZEP, uznßn jako "podepsßnφ elektronick²mi prost°edky"? Je tedy nap°φklad podpis "Jan Novßk" pod e-mailem nebo bankovnφm p°evodem platn²? ProΦ by tam musel b²t ZEP?
VS: Proto₧e "obyΦejn²" EP nespl≥uje po₧adavek º 40 odst. 4 ObΦZ na "urΦenφ osoby, kterß prßvnφ ·kon uΦinila".

33. otßzka
M∙₧ete to prosφm jeÜt∞ up°esnit?
VS: º 40 odst. 4 ObΦZ °φkß: "Pφsemnß forma je zachovßna, je-li prßvnφ ·kon uΦin∞n telegraficky, dßlnopisem nebo elektronick²mi prost°edky, je₧ umo₧≥ujφ zachycenφ obsahu prßvnφho ·konu a urΦenφ osoby, kterß prßvnφ ·kon uΦinila." EP nespl≥uje tento po₧adavek, proto₧e podle ZoEP neposkytuje jednoznaΦnou zßruku urΦenφ tΘto osoby. Ale i zde bude t°eba poΦkat na soudnφ praxi.

34. otßzka
Ze zm∞ny zßkona o sprßv∞ danφ a poplatk∙ (ZoDP) vypl²vß, ₧e pokud bude tiskopis da≥ovΘho p°iznßnφ zve°ejn∞n v elektronickΘ podob∞ (musφ tiskopis zve°ejnit sprßvce dan∞?), lze ho podepsat elektronicky. Vypl²vß odn∞kud, ₧e tento EP musφ b²t ZEP a kdy₧ ZEP, tak ZEP, zalo₧en² na KvCt?
VS: º 21 odst. 2 ZoDP °φkß, ₧e "stanovφ-li tak tento nebo zvlßÜtnφ zßkon, podßvajφ da≥ovΘ subjekty o svΘ da≥ovΘ povinnosti p°φsluÜnΘmu sprßvci dan∞ p°iznßnφ, hlßÜenφ a vy·Φtovßnφ na p°edepsan²ch tiskopisech". Podle mΘho nßzoru tedy musφ tiskopis zve°ejnit sprßvce dan∞ nebo jφm pov∞°enß osoba. A samoz°ejm∞ ze zn∞nφ º 11 vypl²vß, ₧e to musφ b²t pouze zaruΦenΘ elektronickΘ podpisy a kvalifikovanΘ certifikßty vydßvanΘ akreditovan²mi poskytovateli certifikaΦnφch slu₧eb.

35. otßzka
Lze vzhledem k º 2, pφsm.b, bod 3 realizovat EP (ZEP) pomocφ symetrickΘ kryptografie bez existence asymetrick²ch klφΦ∙ a certifikßt∙?
VS: Zßkon nep°edepisuje ₧ßdnou technologii, ani kryptografickou metodu. V n∞kter²ch p°φpadech ale po₧aduje existenci "d∙v∞ryhodnΘ t°etφ strany" a tedy i certifikßty.

36. otßzka
Co vÜechno se musφ ud∞lat, ne₧ bude mo₧nΘ zßkon vyu₧φt pro elektronickΘ obchody?
VS: Vydat provßd∞cφ p°edpisy k zßkonu a zahßjit Φinnost ┌°adu a poskytovatel∙ certifikaΦnφch slu₧eb.

37. otßzka
M∙₧eme nap°φklad vydat zahraniΦnφmu obΦanu certifikßt, aby mohl u nßs nakupovat elektronicky? Donutφ ho n∞co dodr₧ovat tento zßkon a kdo ponese zodpov∞dnost za eventußlnφ zneu₧itφ jeho podpisovΘho klφΦe? Bude Ükoda vymahatelnß?
VS: Certifikßt m∙₧e mφt kdokoliv a bude podlΘhat tomuto zßkonu. Nßhrada Ükody je obecn²m prßvnφm principem na celΘm sv∞t∞, tak₧e pokud by se prokßzalo, ₧e ji zp∙sobil on, bude ₧alovateln².

38. otßzka
Co to znamenß uznßnφ zahraniΦnφho certifikßtu z technickΘho hlediska? V zahraniΦnφm certifikßtu nap°φklad bude chyb∞t oznaΦenφ podle º 12 "byl vydßn v ╚R" a "byl vydßn jako KvCt podle zßkona o EP". Musφ b²t toto "oznaΦenφ" souΦßstφ certifikßtu nebo k n∞mu m∙₧e b²t jen p°ilo₧eno?
VS: To bude stanoveno v provßd∞cφm p°edpisu.

39. otßzka
Bude podle zßkona mo₧nΘ vydßvat k°φ₧ovΘ certifikßty mezi (nebo vytvß°et certifikaΦnφ cestu s) jednotliv²mi PCS-KvCt (vÜichni na naÜem ·zemφ) s tφm, ₧e certifikßty jednoho PCS budou tφmto pova₧ovßny za uznanΘ druh²m PCS podle tohoto zßkona?
VS: Uznßvßnφ certifikßt∙ na naÜem ·zemφ nemß smysl dßvat do zßkona; to je mo₧nΘ na zßklad∞ smlouvy mezi nimi, p°iΦem₧ se uznßvajφcφ strana dostane do situace, kdy bude odpovφdat za Ükodu u certifikßt∙, o kter²ch nevφ, jak v∞rohodn∞ byly vystaveny. A co se akreditovan²ch PCS t²kß, podle zßkona je souΦßstφ rozhodnutφ ┌°adu o akreditaci ov∞°enφ kvalifikovanΘho certifikßtu poskytovatele certifikaΦnφch slu₧eb ┌°adem.

40. otßzka
M∞l jsem na mysli tuto situaci: P°edpoklßdejme, ₧e hovo°φme jen o kvalifikovan²ch certifikßtech, vydßvan²ch akreditovan²mi PCS (APCS-KvCt) a obΦan Kudrna zφskß certifikßt u "certifikaΦnφ autority" PCS1 (kterß je APCS-KvCt). Ve skuteΦnosti to znamenß, ₧e Kudrn∙v certifikßt elektronicky podepφÜe fyzickß osoba "Jan Novßk - °editel PCS1". Dßle Jan Novßk - °editel PCS1 po₧ßdß o to, aby mu PCS2 (kterß je takΘ APCS-KvCt) vydala certifikßt na jeho podpisov² klφΦ ("Jan Novßk - °editel PCS1" pro PCS1) a PCS2 to uΦinφ. RuΦφ tφm PCS2 za vÜechny certifikßty, kterΘ vydal PCS1, konkrΘtn∞ za certifikßt obΦana Kudrny?
VS: Domnφvßm se, ₧e PCS2 ruΦφ pouze za certifikßt Jana Novßka. Nem∙₧e ruΦit za to, co Jan Novßk, v rßmci p∙sobenφ PCS1 podepsal potΘ, co zeÜφlel.

41. otßzka
Jin²mi slovy k°φ₧ovΘ certifikßty i certifikaΦnφ cesty (blφ₧e viz doprovodn² Φlßnek k ZoEP v Chipu 10/00) jsou sice mo₧nΘ, ale bez dalÜφch smluv nemajφ ₧ßdn² praktick² v²znam. Ka₧d² PCS ruΦφ jen za sv∙j vydan² certifikßt a je jedno, zda to je certifikßt na jmΘno "Jan Novßk, LuΦnφ 1, Brno - °editel PCS1" nebo " Jan Novßk, LuΦnφ 1, Brno". Je tomu tak?
VS: Vydßnφ kvalifikovanΘho certifikßtu je mo₧nΘ pouze na zßklad∞ smlouvy, dokonce pφsemnΘ. Pak samoz°ejm∞ smlouva musφ existovat i o vydßnφ k°φ₧ovΘho certifikßtu. Jinak zßkon umo₧≥uje za urΦit²ch podmφnek p°evzφt ruΦenφ za zahraniΦnφ certifikßty, ale nemß smysl, aby jeden Φesk² PCS ruΦil za certifikßty jinΘho PCS. Potom nech¥ si agendu certifikßt∙ mezi sebou p°evedou. JeÜt∞ by snad mohla existovat (podle mΘho nßzoru ale nep°φliÜ vhodnß) cesta, kdy by smluvnφ vztah mezi PCS1, PCS2 a ₧adatelem o certifikßt byl trojstrann² a oba PCS by poskytovali ₧adateli stejnou zßruku.

42. otßzka
Dejme tomu, ₧e se vybudujφ informaΦnφ kiosky, nap°φklad na poÜtßch nebo stßtnφch ·°adech. ObΦan by na nich mohl elektronicky komunikovat s ·°ady. K tomu by m∞l s sebou dejme tomu n∞jakou Φipovou kartu se sv²mi klφΦi a certifikßty, kterß mu umo₧nφ vytvß°et ZEP a podepisovat tak r∙znß podßnφ, ₧ßdosti nebo dotazy. Zdß se, ₧e podle zßkona to ale nep∙jde, proto₧e PC v kiosku nem∙₧e obΦan udr₧et pod svojφ v²hradnφ kontrolou podle º 2, pφsm. b, bod 3. Podobn∞ by tomu bylo i u bankovnφch terminßl∙ a p°i platbßch na ve°ejn²ch mφstech, terminßlech a kioscφch.
VS: To je v²kladovß otßzka, ale nevyluΦuji, ₧e a₧ se "rozjede" systΘm ve°ejn²ch mφst, bude t°eba zßkon zp°esnit. Ale s tφm poΦφtß i sm∞rnice EU, kterß °φkß, ₧e za t°i a p∙l rok∙ bude p°ezkoumßna.

43. otßzka
V Φem si obΦan polepÜil, kdy₧ platφ zßkon o EP, oproti situaci, kdy neplatil?
VS: Zßkon poskytuje ob∞ma stranßm elektronickΘ komunikace jistΘ zßruky, kter²ch se mohou dovolßvat, pokud postupujφ podle tohoto zßkona. Novelizuje procesnφ normy tak, aby umo₧≥ovaly elektronickou komunikaci s ·°ady. A "donutφ" ve°ejnou sprßvu, aby zavedla alternativnφ mo₧nost elektronickΘ komunikace ke komunikaci papφrovΘ.

Zßv∞r
Na zßv∞r bych cht∞l Doc. Ing. Vladimφru Smejkalovi, CSc. za odpov∞di na otßzky pod∞kovat a souΦasn∞ vßs po₧ßdat o vaÜe dalÜφ dotazy. M∙₧ete je zasφlat na nφ₧e uvedenou adresu (v p°edm∞tu e-mailu uve∩te prosφm FAQ-ZoEP-Chip) nebo do redakce. Pokusφme se na n∞ najφt odpov∞∩ a s nejzajφmav∞jÜφmi vßs seznßmit. Budeme vßs takΘ informovat o dalÜφm d∞nφ na tomto poli.

Vlastimil Klφma, v.klima@decros.cz