Riziko spornosti času elektronického podpisu

Riziko zmíněné dnes ve webzinu technet.cz je v rámci platné české právní úpravy elektronického podpisu reálné. Pochopení rizika je zamlženo skutečností, že zákon 227/2000Sb. o elektronickém podpisu ani jeho prováděcí vyhláška 366/2001Sb. nevyjasňují v případě zneplatnění kvalifikovaného certifikátu způsob přechodu odpovědnosti za škodu z podepisujícího na spoléhajícího zcela jednoznačně, což může být důvodem sporů samo o sobě.

Uvedené riziko však spočívá v neprůkaznosti času vzniku elektronicky podepsané zprávy vůbec a možnosti podepisujícího prohlásit, že zpráva vznikla až po zneplatnění jeho kvalifikovaného certifikátu, zcela bez ohledu na výše uvedený problém přesné definice intervalu latence zneplatnění.

Toto i jiná právně-technická rizika jsou zmíněna ve studii "Elektronický podpis v ČR" firmy Kment Consulting. Studie navrhuje 4 různé metody s nimiž lze toto riziko vyloučit, vesměs spočívající na důvěryhodném zjištění času při příjmu zprávy. Některé z metod ve studii odstraňují i jiná rizika s elektronickým podpisem související.

Existující předpisy včetně platného standardu ISVS pro elektronické podatelny č. 016/01.01 oproti tomu dané riziko neřeší a i připravený návrh novelizace standardu 016/02.01 zde zůstává vágní. Předpisy ISVS navíc nejsou vůbec závazné pro soukromé aj. subjekty, které nepodléhají zákonu 365/2000Sb. o inf. systémech veřejné správy.

                                                                          ---

Specialista na elektronický podpis Vojtěch Kment říká: "Perfekcionistické řešení je zahrnutí časového razítka vystaveného časovou autoritou do podpisu zprávy, má ale mnoho stinných stránek. Nelze je vůbec použít u off-line podpisů na odpojených počítačích ani u četných počítačů za firewallem organizace. Chybí pro něj dostatečně prosazené formáty i klientské aplikace a zdražuje provoz. Proto jsme se snažili najít i jiné metody, jež by riziko vyloučily v rámci platných předpisů i existujících technologií".

Studie "Elektronický podpis v ČR" podává zcela aktuální informace od právního zakotvení e-podpisu v tuzemském právním řádu přes relevantní teorii kryptografie až k mezinárodním standardům e-podpisu. Těžiště studie spočívá ve výkladu osvědčených standardů a jejich použití pro řešení implementací e-podpisu. Studie je určená a vhodná pro oddělení IT firem a organizací, pro jejich managementy, pro zadavatele projektů, pro vývojáře a pro systémové uživatele projektů s použitím e-podpisu. Bližší informace o obsahu studie jsou na http://www.vkc.cz.

Vojtěch Kment dodává: "V abstraktní rovině se elektronický podpis snadno chápe, bezpečná implementace odolávající technickým útokům i právnímu zpochybnění je však velmi obtížná. Vtip spočívá v tom jak v rámci existujících předpisů a technologické situace tyto výzvy zdolat. Není umění najít důvody proti, ale způsob jak".

Originál textu této tiskové zprávy je na: http://www.vkc.cz/tz280103.htm