IT Systems 4/2019 | V září roku 2018 vypršela přechodná zákonná možnost použití elektronických značek namísto elektronických pečetí. Což zejména pro množství státních organizací znamenalo nutnost zabývat se tím, jak naplní literu zákona a začnou své elektronické dokumenty opatřovat kvalifikovanými elektronickými pečetěmi.

Pečetě jsou využívány právnickými osobami k prokázání původu elektronickou pečetí opatřeného dokumentu, nebo obecně elektronických dat, tzn. toho, že zapečetěný dokument (data) vznikl v určité organizaci. Fyzická osoba nemůže disponovat elektronickou pečetí, a naopak právnická osoba nemůže disponovat elektronickým podpisem (v rámci právnických osob elektronickými podpisy disponují její zaměstnanci).

Definice elektronických pečetí

Hlavními předpisy definující elektronické pečetě v ČR jsou eIDAS a zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce (ZoSVD).

Elektronická pečeť je z pohledu legislativy definována v článku 3 nařízení eIDAS jako „data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena s cílem zaručit jejich původ a integritu“. Jak takovou definici interpretovat?

  • „data v elektronické podobě“ – výsledek procesu aplikování principů asymetrické kryptografie, tak aby vznikl soubor dat, který je možné interpretovat jako elektronickou pečeť,
  • „jiným datům v elektronické podobě“ – typicky jde o elektronický dokument, případně jiný multimediální (nebo obecně binární soubor), který má být opatřen elektronickou pečetí,
  • „která jsou připojena … nebo jsou s nimi logicky spojena“ – mechanismy asymetrické kryptografie zajišťují, že elektronická pečeť je zaručeně spojena pouze a jedině s daným pečetěným souborem dat,
  • „s cílem zaručit jejich původ a integritu“ – opět asymetrická kryptografie zajišťuje ověření integrity zapečetěného souboru dat (tedy že od zapečetění nebyl daný soubor binárně změněn) a původu, tedy ověření původce dané pečetě, respektive vlastníka kryptografických klíčů a k nim vystaveného certifikátu, na jehož základě byla daná elektronická pečeť vytvořena.

Úrovně elektronických pečetí

Podobně jako u elektronických podpisů se rozlišují úrovně elektronických pečetí:

  • Zaručené elektronické pečetě (eIDAS, čl. 3, odst. 26; čl. 36) – v praxi zaručená pečeť znamená, že je vytvořena podle technických standardů AdES a pomocí certifikátu, který odpovídá požadavkům eIDAS (eIDAS, příloha III).
  • Uznávané elektronické pečetě (ZoSVD, § 9, odst. 2) – platí požadavky na zaručenou pečeť, a navíc musí být použit kvalifikovaný certifikát.
  • Kvalifikované elektronické pečetě (eIDAS, čl. 3, odst. 27) – opět platí požadavky na uznávanou elektronickou pečeť, ale navíc je nutné, aby byly vytvářeny prostřednictvím kvalifikovaných prostředků pro vytváření elektronických pečetí (tzv. QSCD).

Povinnost použití elektronických pečetí

Použití elektronických pečetí v definovaných úrovních určuje ZoSVD, a to takto:

  • Kvalifikovanou elektronickou pečeť mají povinnost používat veřejnoprávní podepisující při výkonu své působnosti (§ 8).
    Alespoň uznávanou (lze dobrovolně použít i kvalifikovanou) elektronickou pečeť mají povinnost používat subjekty, které jednají vůči veřejnoprávnímu podepisujícímu (§ 9).
  • Jakoukoli úroveň elektronické pečetě lze použít ve všech ostatních případech. Např. obchodní korporace mohou při komunikaci mezi sebou nebo s fyzickými osobami dobrovolně použít kvalifikovanou, uznávanou, zaručenou úroveň elektronické pečetě, nebo také žádnou (§ 10). Záleží tedy na dohodě (smluvním vztahu) mezi danými subjekty.

QSCD – kvalifikované prostředky pro vytváření elektronických pečetí

Pro vytváření kvalifikovaných pečetí je nutné použít kvalifikovaných prostředků pro vytváření elektronických pečetí, tzv. QSCD zařízení (někdy též QSealCD, z anglického Qualified Seal Creation Device). QSCD jsou speciální, zpravidla hardwarová zařízení určená k práci s kryptografickými klíči a k provádění kryptografických operací.

eIDAS QSCD (v článku 3, odstavci 31 a 32) definuje jako:

  • prostředkem pro vytváření elektronických pečetí se rozumí konfigurované programové vybavení nebo technické zařízení, které se používá k vytváření elektronických pečetí,
  • kvalifikovaným prostředkem pro vytváření elektronických pečetí se rozumí prostředek pro vytváření elektronických pečetí, který přiměřeně splňuje požadavky stanovené v příloze II.

V praxi se setkáváme zejména s hardwarovými QSCD v podobě USB tokenů, čipových karet nebo specializovaných serverových zařízení HSM (z anglického Harware Security Module).

Aby určité zařízení mohlo být považováno za QSCD, musí splňovat požadavky stanovené nařízením eIDAS a certifikace daného zařízení musí být zveřejněna v pravidelně zveřejňovaném seznamu QSCD.

Jak vyřešit kvalifikovanou pečeť prakticky

Vytváření kvalifikovaných pečetí lze v organizaci vyřešit v zásadě dvěma způsoby:

  1. 1. Využívání služby kvalifikovaného elektronického pečetění některého z kvalifikovaných poskytovatelů
  2. 2. Implementace prostředků pro vytváření kvalifikovaných pečetí on-premise

On-premise kvalifikovaná pečeť

Výhodami provozu infrastruktury pro kvalifikovanou pečeť ve vlastní správě organizace jsou zejména:

  • škálovatelný výkon i dostupnost prvků pro kvalifikované pečetění,
  • možnosti integrace prostřednictvím SOAP rozhraní webových služeb,
  • široké možnosti dalšího využití HSM:
    – správa dalších kryptografických klíčů (např. pro vzdálené vytváření elektronických podpisů),
    – zabezpečení klíčů pro interní certifikační autority,
    – šifrování dat databází nebo datových úložišť,
    – akcelerace SSL,
    – zabezpečení autentizačních a auditních řešení,
    – cena nezávislá na počtu pečetěných dokumentů.

Michal Hanzal | Solution Consultant společnosti SEFIRA
Článek vyšel v časopisu IT Systems (4/2019)