Základné
omyly Ing. Rexu v jeho pripomienkach k poslaneckému návrhu zákona o
elektronickom podpise.
(Stanovisko odbornej skupiny Slovenskej informatickej spoločnosti.)
Cieľom tohto
dokumentu je čo najzrozumiteľnejšie poukázať na základné omyly
Ing. Rexu, ktoré vytrvalo verejne prezentuje. Pre potrebu zrozumiteľnosti
aj pre laickú verejnosť sa na niektorých miestach dopustím istých drobných
technických nepresností, ktoré si odborníci určite všimnú, no ktoré nie sú
podstatné pre pochopenie celého problému, a ktorých exaktné formulácie by
výrazne znížili čitateľnosť textu, a tým zahmlili podstatu.
Ing. Rexa vo svojich
pripomienkach [2] tvrdí, že v definícii "obyčajného"
elektronického podpisu v poslaneckom návrhu zákona [3] (ďalej len návrh)
chýba vzťah k podpisovateľovi, a preto je takýto podpis
nepoužiteľný. Ing. Rexa sa však mýli. Elektronický podpis umožňuje
pomocou verejného kľúča overiť, či daný dokument bol
podpísaný pomocou príslušného súkromného kľúča. Väzbu medzi verejným
kľúčom a konkrétnou osobou - napr. Jožkom Mrkvičkom -
zabezpečuje nejaký dôveryhodný doklad (napr. certifikát, ale môže to
byť aj iný doklad, napr. aj papierový) - to neskôr uvádza aj Ing. Rexa.
Takže ak je
zabezpečená väzba verejného kľúča na konkrétnu osobu (tento
predpoklad nikto nespochybňuje), tak elektronický podpis v zmysle návrhu
umožňuje overiť, či dokument je zhodný s originálom a či je
podpísaný tým, kým by podpísaný mal byť.
Ing. Rexa uvádza aj
iné metódy "elektronického podpisu" - statické alebo jednorazové
heslá. Tieto však vo všeobecnosti nemôžu byť považované za podpis, pretože
ich môže vytvoriť každý, kto ich vie aj skontrolovať, a teda vôbec
nezabezpečujú možnosť určenia podpisovateľa.
Ing. Rexa
vyčíta návrhu prísnosť v definícii zaručeného elektronického
podpisu. Nepáči sa mu najmä nutnosť používania kvalifikovaných
certifikátov a bezpečných prostriedkov na vytváranie elektronických
podpisov. Návrh zrovnoprávňuje zaručený elektronický podpis s
vlastnoručným podpisom. Ing. Rexa argumentuje citátom zo Smernice EÚ [1],
pričom ale tento vytrháva z kontextu. Smernica EÚ v článku 5 ods. 1
(ktorý Ing. Rexa neuviedol) hovorí, že s vlastnoručným podpisom majú
byť zrovnoprávnené zaručené elektronické podpisy založené na
kvalifikovaných certifikátoch a vytvorené bezpečným prostriedkom na vytváranie
elektronických podpisov - teda práve zaručené elektronické podpisy v
zmysle návrhu. Tieto požiadavky tam nie sú bezdôvodne - kvalifikované
certifikáty sú dokumenty potvrdzujúce väzbu medzi konkrétnou osobou a verejným
kľúčom s vyššou mierou dôveryhodnosti a bezpečné prostriedky na
vytváranie elektronických podpisov sa požadujú pre ochranu bežných
používateľov, ktorí nie sú odborníkmi na informačnú
bezpečnosť a nevedia sami odborne posúdiť prostriedky, ktoré na
vytváranie elektronických podpisov používajú. Keby sme niektorú z týchto
požiadaviek vynechali, bezpečnostná úroveň takých podpisov by sa
znížila tak, že už by nemohli byť zrovnoprávnené s vlastnoručnými
podpismi. Ich zrovnoprávnenie s vlastnoručnými podpismi by bolo podstatne
liberálnejšie ako Smernica EÚ a mohlo by spôsobiť nekompatibilitu návrhu
so Smernicou EÚ. Samozrejme sú oblasti, kde tieto požiadavky nie sú nutné, no
tam je možné používať "obyčajné" elektronické podpisy v
zmysle návrhu.
Súvisí to aj s
dôležitým právnym rozdielom medzi "obyčajným" a zaručeným
elektronickým podpisom. Zatiaľ čo právny úkon v elektronickej podobe
podpísaný zaručeným elektronickým podpisom sa považuje za právny úkon v
písomnej forme, pri použití "obyčajného" elektronického podpisu
je potrebné splniť súčasné požiadavky Občianskeho zákonníka
kladené na zachovanie písomnej formy právneho úkonu uskutočneného
elektronickými prostriedkami. To síce elektronický podpis umožňuje, ale
dokazovanie týchto skutočností môže byť veľmi ťažké, niekedy
aj nemožné.
"Obyčajný"
elektronický podpis je preto vhodný na podpisovanie dokumentov, u ktorých nie
je predpoklad, že ich pravosť bude potrebné dokazovať pred súdom.
Naopak zaručený elektronický podpis je vhodný na podpisovanie dokumentov,
ktorých pravosť musí byť možné bez veľkej námahy pred súdom
dokázať.
Ing. Rexa namieta aj
proti tzv. uzavretým systémom. Uzavretým systémom sa rozumie systém, ktorý
vznikne vzájomnou dohodou všetkých jeho účastníkov. Návrh dáva
možnosť upraviť používanie prostriedkov založených na elektronických
podpisoch v rámci uzavretých systémov inak (či už na nižšej alebo vyššej
úrovni bezpečnosti, alebo iným spôsobom inak) než stanovuje zákon pre
"otvorené" systémy. Vyčlenenie uzavretých systémov má za úlohu
výrazne neskomplikovať alebo dokonca neznemožniť fungovanie takýchto
systémov (vnútropodnikové, Internet-banking, ...), ktoré sa aj dnes používajú.
Inak by po prijatí zákona o elektronickom podpise mohli byť v nich
používané prostriedky považované za elektronické podpisy v zmysle zákona,
čo by mohlo spôsobiť mnohé problémy. Niet dôvodu upravovať
zákonom fungovanie uzavretých systémov. Obavy Ing. Rexu z používania málo
bezpečných prostriedkov autentifikácie (napr. statické heslá) napríklad v
Internet-bankingových systémoch sú síce oprávnené, ale nesúvisia so zákonom o
elektronickom podpise, keďže tieto prostriedky nie sú elektronickými
podpismi.
Literatúra:
[1] Smernica EÚ - Directive 1999/93/EC of the European
Parliament and of the Council of 13 December 1999 on a Community framework for
electronic signatures
[2] Ing. R. Rexa: Pripomienky k prepracovanému návrhu
zákona o elektronickom podpise
[3] Návrh zákona o elektronickom podpise, http://www.informatika.sk/e-podpis/
Vypracoval RNDr. Jaroslav Janáček