• To by však znamenalo, že v styku s vymenovanými inštitúciami nie je možné používať iný podpis, ako zaručený elektronický podpis, a teda, že sa všetky podania budú musieť podpisovať zaručeným elektronickým podpisom a nijako ináč.

(1) Elektronický podpis má právne účinky, ak je overený certifikátom, a to aj po zániku platnosti certifikátu, ak bol elektronický podpis vyhotovený pred zánikom platnosti certifikátu.

• Nepresné. Nie je definované overovanie elektronického podpisu certifikátom. Elektronický podpis sa overuje pomocou verejného kľúča, ktorý je uvedený v certifikáte.
• považuje za platný aj taký elektronický podpis, ktorý bol vytvorený ešte pred tým, ako nadobudol platnosť certifikát verejného kľúča prislúchajúceho k súkromnému kľúču, pomocou ktorého bol podpis vytvorený.

(2) Elektronický podpis má právne účinky aj vtedy, ak je overený informáciou na overenie elektronického podpisu, ktorá nie je certifikovaná, ale inak sú splnené podmienky na overenie elektronického podpisu a  je zaistená rovnaká spoľahlivosť identifikácie podpisovateľa ako pri overení certifikátom.

• Keďže nie je presne definované, čo sa rozumie pod overením platnosti elektronického podpisu "overením elektronického podpisu kontrola pravosti elektronického podpisu certifikovanou alebo necertifikovanou informáciou na overenie podpisu vo vzťahu k osobe podpisovateľa a k podpísanému reťazcu elektronických údajov", ťažko povedať, aké podmienky musia byť splnené na overenie elektronického podpisu.
• Čo to je bezpečnosť identifikácie podpisovateľa - znamená to spoľahlivosť overenia identity, alebo informačnú bezpečnosť pri samotnom overovaní?

• poskytovateľ certifikačných služieb, ktorý certifikát vydal, už nemusí existovať a jeho certifikáty prebral niekto iný.
• Nie je jasné, o zrušenie akého certifikátu má podpisovateľ požiadať (môže ich mať viac), alebo ide o zrušenie iného certifikátu

1. zabezpečiť, aby údaje o elektronickom podpise a informácii na overenie podpisu, alebo certifikáte určenom na overenie podpisu, boli pravdivé, presné a úplné,

1. oznámiť všetky zmeny identifikačných údajov rozhodujúcich pre certifikáciu poskytovateľovi registračných služieb, ktorý sprostredkuje styk s príslušným poskyto-vateľom certifikačných služieb.

• Čo to je certifikácia?

(2) Podpisovateľ zodpovedá za škodu, ktorá vznikla porušením povinností podľa odseku 1 podľa všeobecných predpisov o náhrade škody⁴⁾. Zodpovednosti sa zbaví, ak preukáže, že ten, komu škoda vznikla, nevykonal všetky úkony potrebné na to, aby si elektronický podpis overil.

1. údaj o čase, kedy bola vyhotovená,
2. údaje, ktoré umožňujú identifikovať reťazec elektronických údajov, pre ktorý bola vyhotovená,
3. údaje, ktoré umožňujú zistiť, akým spôsobom bola vyhotovená,
4. údaje, ktoré identifikujú osobu, ktorá časovú značku vyhotovila.

• Požiadavky na časovú značku (time stamp) stanovené v § 6 sú nedostatočné. Vyhovuje im nasledujúca konštrukcia (uvažujeme dokument d, ku ktorému treba vytvoriť časovú značku): [rok, mesiac, deň, minúta, sekunda vytvorenia][identifikátory algoritmov, pomocou ktorých bola vytvorená][identifikátor osoby, ktorá časovú značku vytvorila][hašovacia hodnota dokumentu d a predchádzajúcich údajov]
• Táto konštrukcia spĺňa požiadavky zákona, ale umožňuje nahradiť dokument, pre ktorý bola vyvorená časová značka iným dokumentom a k nemu vytyvoriť korektným spôsobom inú časovú značku.
• Nič sa nehovorí o zdroji času, formáte časovej značky a techhnickom zariadení na jej vytváranie, ani o tom, kto a za akých podmienok ju môže vytvárať.

• Oznamovacia povinnosť - v akom predstihu
• Za akých podmienok môže niekto poskytovať certifikačné služby?

1. vydávanie certifikátov,

• existuje viacero druhov certifikátov. O akých certifikátoch hovorí zákon?

1. overovanie certifikátov,
2. zverejňovanie vydaných certifikátov,
3. zrušovanie vydaných certifikátov,
4. zverejňovanie zrušených certifikátov,
5. uchovávanie vydaných a zrušených certifikátov,
6. vydávanie časových značiek.

1. uplynutím lehoty, na ktorú bol vydaný,
2. zrušením certifikátu,
3. smrťou držiteľa certifikátu, ktorému bol certifikát vydaný,

• nie je definovaný pojem držiteľa certifikátu

1. ak bol držiteľ certifikátu, ktorému bol certifikát vydaný, pozbavený spôsobilosti na právne úkony alebo jeho spôsobilosť na právne úkony bola obmedzená.

1. o to požiada držiteľ certifikátu, ktorému bol certifikát vydaný,
2. zistí, že certifikát bol vydaný na základe nepravdivých, nepresných alebo neúplných údajov,
3. ak sa podstatne zmenili údaje, ktoré certifikát obsahuje.

• Zrušenie certifikátu môže nariadiť aj súd alebo Úrad.

• Samotný časový údaj nestačí, musí byť uvedený dôvod zrušenia a kto o zrušenie požiadal a kedy.

• Ktorý certifikát sa má na mysli? Ten ktorý vydáva príslušný PCS, vlastný certifikát PCS, alebo akýkoľvek certifikát?
• Keďže nie je stanovené, čo má certifikát obsahovať, bude problematické skontrolovať, či PCS si splnil svoju povinnosť.

1. viesť a aktualizovať údaje o držiteľoch certifikátov,

• aké údaje a na základe čoho?

1. viesť dokumentáciu o spôsobe poskytovania certifikačných služieb,

• čo sa má na mysli pod spôsobom poskytovania certifikačných služieb?

1. chrániť údaje o držiteľoch certifikátov v rozsahu povinností prevádzkovateľa informač-ného systému obsahujúceho osobné údaje podľa osobitného predpisu⁶⁾,
2. zverejňovať vydané certifikáty v hromadných informačných prostriedkoch,

• čo ak ide o certifikáty verejných kľúčov, ktoré si však držiteľ neželá zverejniť?

1. viesť zoznamy zrušených certifikátov a zverejňovať ich v hromadných informačných prostriedkoch,
2. zverejniť pravidlá na vydanie, zrušenie a správne používanie certifikátov a návody a postupy na využívanie certifikačných služieb,
3. uchovávať vydané a zrušené certifikáty,
4. predložiť na žiadosť súdu a orgánov činných v trestnom konaní dokumentáciu o poskytovaných certifikačných službách,
5. používať svoj certifikát len na účely poskytovania certifikačných služieb,

• poskytovateľ certifikačných služieb môže mať viacero certifikátov (napr. aj ako fyzická osoba). Ide o to, že každý certifikát má svoje určenie a nemožno ho používať ináč.

1. umožniť Úradu vykonanie kontroly poskytovania certifikačných služieb a dodržiavania ustanovení tohto zákona, najmä poskytnutie dokumentácie a informácií, vstupu do objektov a zariadení, v ktorých sa certifikačné služby poskytujú.

• Štylistika: umožniť Úradu … najmä poskytnutie dokumentácie a informácií, vstupu do objektov

(2) Poskytovateľ certifikačných služieb zodpovedá za škodu, ktorá vznikla porušením povinností podľa odseku 1 podľa všeobecných predpisov o náhrade škody⁴⁾.

• A čo rozhodnutie Úradu, súdu

• Pokiaľ ide o certifikáty verejných kľúčov klientov - o.k. Ale čo ak poskytovateľ certifikačných služieb vydal krížový certifikát inému poskytovateľovi certifikačných služieb? Tento certifikát je podpísaný súkromným kľúčom poskytovateľa certifikačných služieb, ktorý zanikol, a teda certifikát jeho verejného kľúča bol zrušený. Druhým typom certifikátov, ktorých platnosť po zániku poskytovateľa certifikačných služieb je pochybná, sú certifikáty verejných kľúčov, ktoré pockytovateľ certifikačných služieb používa na rozličné certifikačné činnosti (napr. na overovanie CRL).

• Keďže poskytovateľ certifikačných služieb nepotrebuje na svoju činnosť žiadne povolenie, a možnosti Úradu zasahovať do jeho činnosti sú obmedzené, prečo by mal Úrad preberať agentu nejakého poskytovateľa certifikačných služieb, najmä ak s tým sú spojené problémy (dokumentácia nemusí byť kompletná) a náklady.

• A čo ďalšie povinnosti poskytovateľa certifikačných služieb (PCS) - ochrana osobných údajov, zrušenie certifikátu PCS,… ?

(1) Poskytovateľom registračných služieb môže byť notár alebo iná fyzická osoba alebo právnická osoba, ktorá koná ako overovateľ totožnosti žiadateľa o vydanie certifikátu a poskytuje registračné služby na základe zmluvy s poskytovateľom certifikačných služieb.

• keďže podpisovateľom je osoba, ktorá vytvára elektronický podpis, znamená to, že PRS (ktorou nemusí byť notár) overuje a potvrdzuje totožnosť podpisovateľa?
• Keďže medzi registračnými službami nie je overovanie totožnosti žiadateľa o certifikát, bez ktorého nie je možné certifikát vydať, tvorcovia zákona mali pravdepodobne na mysli overovanie totožnosti žiadateľa o vydanie certifikátu

1. registrácia žiadateľov o certifikát,
2. vedenie a aktualizácia údajov o registrovaných držiteľoch certifikátov,
3. poskytovanie údajov o registrovaných držiteľoch certifikátov poskytovateľovi certifikač-ných služieb,
4. poskytovanie údajov potrebných na prístup k certifikačným službám držiteľom certifikátov.

• Kto overuje, že žiadateľ o certifikát pozná súkromný kľúč prislúchajúci k verejnému kľúču, na ktorý si nechá vystaviť certifikát?

1. zabezpečiť, aby údaje o registrovaných osobách boli správne, presné a úplné,
2. viesť a aktualizovať údaje o registrovaných osobách,
3. viesť dokumentáciu o spôsobe poskytovania registračných služieb,
4. chrániť údaje o registrovaných osobách v rozsahu povinností prevádzkovateľa informačného systému obsahujúceho osobné údaje podľa osobitného predpisu⁶⁾,
5. predložiť na žiadosť súdu a orgánom činným v trestnom konaní dokumentáciu o poskytovaných registračných službách,
6. umožniť Úradu vykonať kontrolu poskytovania registračných služieb a dodržiavania ustanovení tohto zákona, najmä mu poskytnúť dokumentáciu a informácie a umožniť zamestnancom Úradu a ním prizvaným osobám vstup do objektov a zariadení, v ktorých sa registračné služby poskytujú.

(2) Za škodu spôsobenú v príčinnej súvislosti s porušením povinností podľa odseku 1 zodpovedá poskytovateľ registračných služieb podľa všeobecných predpisov o náhrade škody⁴⁾.

1. na základe vlastného rozhodnutia,
2. ukončením zmluvného vzťahu s poskytovateľom certifikačných služieb,
3. ukončením činnosti poskytovateľa certifikačných služieb, s ktorým má zmluvný vzťah.

• Čo zánik, úmrtie PRS, zákaz činnosti zo strany Úradu?
• PRS môže mať zmluvy s viacerými PCS a teda zánikom jedného z nich jeho činnosť nekončí

1. Kvalifikovaný certifikát obsahuje

• Kvalifikovaný certifikát nebol poriadne definovaný

1. označenie, že ide o kvalifikovaný certifikát,
2. identifikačné údaje poskytovateľa certifikačných služieb,

• akého?

1. identifikačné údaje osoby, pre ktorú je kvalifikovaný certifikát vydaný,

• nerozlišuje sa fyzická a právnická osoba?
• ako sa rieši certifikát verejného kľúča akretidovanej CA, Úradu?

1. osobitnú charakteristiku osoby podľa účelu certifikátu,

• čo to je?
• Akej osoby ?

1. informáciu na overenie podpisu,

1. dobu platnosti certifikátu,

1. údaj o presnom čase vydania kvalifikovaného certifikátu,

1. jedinečné identifikačné označenie certifikátu,

1. zaručený elektronický podpis certifikátu vyhotovený poskytovateľom certifikačných služieb, ktorý certifikát vydal,

1. rozsah obmedzení certifikátu, ak je jeho použitie obmedzené.

• Podmienky stanovené v § 16 spĺňa napríklad aj nasledujúci dokument:

1. 1
2. 1. CA v SR, Bratislava, Púpavová 33
3. 1. CA v SR
4. PCS
5. Nritťíésnrť=čšížýwlfíbgťéš36Gé89%M"1QWSDCVBníéih67
6. -1 minúta
7. 21.4.2001 16:43:56
8. No 1
9. ????? (nedá sa to podpísať)
10. nepoužiteľný

(1) Akreditovaný poskytovateľ certifikačných služieb musí mať sídlo v Slovenskej republike.

• Existujú aj zahraniční poskytovatelia akreditovaných služieb, ktorí nemajú sídlo v Slovenskej republike, ani tu neposkytujú svoje certifikačné služby
• Akreditovaným poskytovateľom certifikačných služieb je aj výrobca napr. bezpečných prostriedkov na vytváranie elektronického podpisu. Znamená to, že ak nemá sídlo v SR, neuznávame jeho výrobky? To by bolo asi v rozpore s Direktívou, ale znemožnilo by budovať akreditovaných PCS, nakoľko je malý predpoklad, že by si všetky potrebné komponenty dokázali vytvoriť sami.
• Medzinárodné dohody (viď Direktíva) umožňujú priznať štatút akreditovaného PCS aj zahraničným PCS. Naviac sa to dá dosiahnuť aj krížovou certifijkáciou domáceho akreditovaného PCS a zahraničného PCS.

• v predchádzajúcej vete vypadlo sloveso
• to znamená, že pri vydávaní "obyčajného" certifikátu sa totožnosť žiadateľa o certifikát nemusí overovať?
• Čo ak je žiadateľom o vydanie certifikátov iná osoba ako držiteľom (zamestnávateľ pre zamestnancov)?
• Kto overí, že žiadateľ o vydanie certifikátu disponuje súkromným kľúčom prislúchajúcim k verejnému kľúču, na ktorý sa vydáva certifikát?

1. používať bezpečný systém uchovávania kvalifikovaných certifikátov uchovať kvalifikované certifikáty tak, aby sa vždy dala overiť správnosť záznamov a zistiť každý zásah porušujúci bezpečnosť systému,

1. zverejniť reklamačný poriadok a cenník poskytovaných služieb,
2. používať bezpečné prostriedky elektronického podpisu a bezpečné postupy, ktoré tieto prostriedky používajú; prostriedok je bezpečný, ak vyhovuje bezpečnostným podmienkam podľa § 24,

1. viesť dokumentáciu o dodržiavaní postupov a bezpečnostných pravidiel podľa písmen c) a e),

• v akej forme, podľa akých predpisov?

1. ohlásiť Úradu bezodkladne všetky prípady porušenia alebo ohrozenia bezpečnosti systému,

1. preveriť, či žiadateľ uvedený v certifikáte v čase jeho vydania preukázateľne vlastní informáciu na vyhotovenie podpisu, ktorá zodpovedá informácii na overenie podpisu, pre ktorú sa certifikát vydáva,

• žiadateľom o vydanie cerifikátu nemusí byť osoba uvedená v certifikáte

1. zverejniť svoje identifikačné údaje a svoje certifikáty, ktoré používa pri výkone certifikačných služieb,

1. uchovať vydané a zrušené kvalifikované certifikáty najmenej 30 rokov,
2. umožniť Úradu vykonanie kontroly dodržiavania bezpečnostných pravidiel,
3. informovať pri vydaní kvalifikovaného certifikátu žiadateľa o podmienkach používania kvalifikovaného certifikátu a o obmedzeniach jeho použitia a umožniť získať tieto informácie na vyžiadanie i iným osobám,

• ľubovoľnej osobe, alebo tam je nejaké obmedzenie?

1. prijať zodpovedajúce opatrenia na zamedzenie zneužitia a falšovania kvalifikovaných certifikátov a zabezpečiť utajenie informácie pre vyhotovenie zaručeného elektronického podpisu,

• aký súkromný kľúč sa má na mysli? Na podpisovanie kvalifikovaných certifikátov akreditovaným PCS, alebo akýkoľvek súkromný kľúč na vytváranie zaručených elektronických podpisov.
• Ak sa jedná len o jeden súkromný kľúč, ako to vyzerá s povinnosťou chrániť ostatné súkromné kľúče, ktoré PCS používa?

1. poskytovať certifikačné služby len vlastnými zamestnancami, ktorí majú zodpovedajúcu kvalifikáciu, odborné znalosti a skúsenosti potrebné pre poskytovanie certifikačných služieb,

1. uzavrieť zmluvu o poistení zodpovednosti za škodu podľa odseku 3.

(3) Akreditovaný poskytovateľ certifikačných služieb zodpovedá za škodu, ktorá vznikla porušením povinností podľa odseku 1 podľa všeobecných predpisov o náhrade škody⁴⁾.

1. na základe vlastného rozhodnutia,
2. zánikom akreditovaného poskytovateľa certifikačných služieb,
3. odňatím akreditácie.

(2) Skončením činnosti akreditovaného poskytovateľa certifikačných služieb nezaniká platnosť ním vydaných certifikátov.

• "pri skončení činnosti" - Čo ak o tom dopredu nevie, že skončí činnosť?

1. oznámiť Úradu šesť mesiacov vopred svoj zámer skončiť činnosť,
2. odovzdať agendu certifikačných služieb inému akreditovanému poskytovateľovi certifikačných služieb na základe vzájomnej dohody tak, aby nedošlo k ohrozeniu a spochybneniu elektronických podpisov založených na vydaných certifikátoch; ak k dohode nedôjde, agendu prevezme Úrad,

• v akom termíne?

1. informovať tri mesiace vopred osoby využívajúce jeho služby o akreditovanom poskytovateľovi certifikačných služieb, ktorý prevezme jeho agendu.

• Z tejto formulácie nie je jasné, čo to je. Či sa jedná o akési osvedčenie, potvrdzujúce, že PCS získal akreditáciu, alebo certifikát verejného kľúča PCS.
• Mal by to byť certifikát verejného kľúča PCS. Bude však jeden, alebo niekoľko? Bude sa vydávať právnickej osobe (PCS), alebo jej štatutárovi, alebo operátorom? Z bezpečnostných dôvodov je potrebné na rozličné certifikačné služby používať zaručené elektronické podpisy, vytvorené pomocou rozličných súkromných kľúčov; predpoklad o vydaní jedného certifikátu verejného kľúča naznačuje, že zákon ráta s tým, že sa všetky zaručené elektronické podpisy v PCS budú vytvárať pomocou jedného súkromného kľúča. (A jedným človekom?)
• Keďže len akreditovaný PCS je oprávnený vydávať kvalifikované certifikáty, je paradoxné, že na to mu má stačiť len obyčajný - nie kvalifikovaný - certifikát.

• Čo bude s certifikátom akreditovaného PCS ak Úrad pozastaví akreditovanému PCS právo vykonávať niektorú z činností, alebo dočasne mu pozastaví akreditáciu v zmysle § 20, ods. (4) tohto zákona?

• To by potom akreditácia musela byť permanentným procesom
• Samotné vydávanie kvalifikovaných certifikátov nemá zmysel, ak nie súčasne poskytovaná služba overovania kvalifikovaných certifikátov, rušenie kvalifikovaných certifikátov a vydávanie zoznamu zrušených kvalifikovaných certifikátov, archivovanie kvalifikovaných certifikátov. Tieto činnosti tvoria správu kvalifikovaných certifikátov a udelenie/priznanie akreditácie oprávňuje PCS na to, aby vykonával sprácu kvalifikovaných certifikátov.

1. Úrad a
2. akreditovaná osoba.

2. (3) Úrad

1. na základe žiadostí uchádzačov o akreditáciu vydáva osvedčenia o akreditácii,

1. na vyžiadanie poskytuje informácie o zásadách, podmienkach a postupe akreditácie a o úhrade nákladov za akreditáciu,
2. včas upozorňuje akreditované osoby na zmeny požiadaviek akreditáciu, ktoré pripravuje,
3. vedie zoznam vydaných osvedčení o akreditácii; vydané osvedčenia a ich zmeny zverejňuje vo vestníku.

• Podľa § 20 ods (1)

• Potom

1. žiadosti o akreditáciu a
2. splnenia technických, organizačných, bezpečnostných, odborných a personálnych podmienok na poskytovanie certifikačných služieb podľa § 17.

• Kto a na základe čoho to overí?

1. meno, priezvisko a bydlisko, miesto podnikania, ak o akreditáciu žiada fyzická osoba alebo názov a sídlo, ak o akreditáciu žiada právnická osoba,

1. identifikačné číslo žiadateľa,
2. doklad o oprávnení na podnikanie, u osôb zapísaných do obchodného registra tiež výpis z obchodného registra, nie staršie ako 3 mesiace,
3. výpis z registra trestov fyzických osôb, nie starší ako tri mesiace,
4. druh služieb, na poskytovanie ktorých sa akreditácia žiada,

1. dokumentáciu o splnení technických, organizačných, bezpečnostných, odborných a personálnych podmienok na poskytovanie certifikačných služieb, pre ktoré sa akreditácia žiada; obsah a rozsah dokumentácie o technických, organizačných, bezpečnostných, odborných a personálnych podmienkach poskytovania certifikačných služieb, pre ktoré sa akreditácia žiada, ustanoví všeobecne záväzný právny predpis, ktorý vydá Úrad,

• ešte raz, kto to všetko skontroluje?

1. údaje o finančnom zabezpečení poskytovania certifikačných služieb, o prevzatých úveroch a zabezpečení ich splácania,
2. doklad o zaplatení správneho poplatku.

1. nie je v konkurze alebo v likvidácii,
2. nebol proti nemu zamietnutý návrh na vyhlásenie konkurzu pre nedostatok majetku,
3. nemá v Slovenskej republike daňové nedoplatky, nedoplatky zo zdravotného poistenia, nemocenského poistenia, dôchodkového poistenia, alebo príspevku na poistenie v nezamestnanosti, ktoré podliehajú výkonu rozhodnutia.

• Akreditácia nebude lacná. Môže sa stať, že v žiadosti budú chýbať údaje, ktoré by žiadateľ mohol na požiadanie Úradu doplniť, ale keďže podľa ods. (4) nesplnil všetky podmienky, Úrad jeho žiadosť zamietne. Tým sa akreditácia predraží a spomalí.

1. Osvedčenie o akreditácii obsahuje

1. obchodné meno a sídlo alebo miesto podnikania akreditovanej osoby,
2. predmet a  rozsah akreditácie a technické podmienky akreditácie,
3. mená osôb, ktoré sú štatutárnym orgánom a spôsob, akým konajú v mene akreditovanej osoby,
4. číslo osvedčenia o akreditácii a dátum nadobudnutia jeho platnosti,
5. údaje o podmienkach a platnosti osvedčenia o akreditácii,
6. iné údaje, ak sú potrebné.

• Môže akreditovaný PCS aj naďalej vykonávať činnosti, v ktorých Úrad zistil závažné nedostatky?

1. akreditovaný poskytovateľ v určenej lehote neodstránil nedostatky plnenia akreditačných podmienok uvedených v osvedčení o akreditácii,
2. systém kvality u akreditovaného poskytovateľa osoby trvalo nezabezpečuje požadovanú úroveň,

1. činnosť akreditovaného poskytovateľa certifikačných služieb bola pozastavená podľa § 28 ods. 3 a poskytovateľ certifikačných služieb nevykonal opatrenia na nápravu,

1. akreditovaný poskytovateľ certifikačných služieb vstúpil do likvidácie alebo bol na jeho majetok vyhlásený konkurz,
2. akreditovaný poskytovateľ certifikačných služieb uviedol v žiadosti o akreditáciu alebo v čestnom vyhlásení podľa § 21 ods. 2 a 3 nepravdivé údaje.

(3) Poskytovateľ registračných služieb pre akreditovaného poskytovateľa certifikačných služieb je povinný pred vydaním kvalifikovaného certifikátu bezpečne overiť totožnosť osoby, pre ktorú kvalifikovaný certifikát vydáva poskytovateľ certifikačných služieb ako aj jej osobitné charakteristiky, ak to vyžaduje účel kvalifikovaného certifikátu.

• Formulácia nie je presná. Čo to znamená "bezpečne overiť"?
• Certifikát sa vydáva na nejaký verejný kľúč; kto overí, či žiadateľ o vydanie kvalifikovaného certifikátu disponuje zodpovedajúcim súkromným kľúčom?

1. informácia na vyhotovenie podpisu sa vyskytovala iba raz a aby bolo zaistené jej spoľahlivé utajenie,

1. informácia na vyhotovenie podpisu bola pod kontrolou podpisujúcej osoby a aby mohla byť podpisujúcou osobou spoľahlivo chránená proti zneužitiu treťou osobou,

1. informácia na vyhotovenie podpisu sa nedala odvodiť zo znalosti spôsobu jej vyhotovenia, ani zo znalosti spôsobu vyhotovovania elektronického podpisu a aby elektronický podpis bol chránený proti falšovaniu s využitím dostupnej technológie.

• Opäť absolútne a nesplniteľné požiadavky. Súkromný kľúč je možné odvodiť z verejného kľúča napríklad úplným preberaním všetkých možností. Ide o to, aby sa to nedalo spraviť efektívne.

(2) Prostriedok na vyhotovenie zaručeného elektronického podpisu nesmie meniť podpisovaný elektronický reťazec.

• Pojem podpisovaný elektronický reťazec nebol definovaný.

• Čo sa rozumie pod "kontrolou podpisovaného elektronického reťazca", čo znamená "obsah reťazca"?
• Ide o to, aby sa kompletne zobrazil dokument, ku ktorému sa má vytvoriť zaručený elektronický podpis, nestačí poznať len jeho obsah.

1. podpis bol spoľahlivo overený a aby výsledok overenia bol riadne zobrazený,
2. bolo možné bezpečne zistiť, či certifikát použitý pri overovaní elektronického podpisu je pravý a bol platný v čase vytvorenia elektronického podpisu,
3. aby overujúca osoba mohla spoľahlivo zistiť obsah podpísaného reťazca a totožnosť podpisujúcej osoby.

(5) Podrobnosti o požiadavkách na prostriedky na vyhotovenie zaručeného elektronic-kého podpisu a podrobnosti o požiadavkách na overenie zaručeného elektronického podpisu ustanoví všeobecne záväzný právny predpis, ktorý vydá Úrad.

• Čo znamená spoľahlivosť certifikátu?

1. to vyplýva z medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
2. o tom rozhodne Úrad.

(3) V pochybnostiach o splnení podmienok podľa odseku 1 rozhoduje o uznaní certifikátu Úrad.

(1) Úrad vo veciach elektronického podpisu

1. vydáva a odníma osvedčenie o akreditácii poskytovateľa certifikačných služieb,
2. vedie evidenciu akreditovaných poskytovateľov certifikačných služieb,
3. kontroluje činnosť poskytovateľov certifikačných služieb,
4. ukladá sankcie za porušenie zákona,
5. uskutočňuje styk so zahraničnými poskytovateľmi certifikačných služieb a koordinuje medzinárodné aktivity.

• Nie je jasné, o aké certifikáty ide
• Úrad si musí sám vydať kvalifikovaný certifikát vlastného verejného kľúča
• Preberanie agendy zaniknuvšieho PCS
• Certifikácia produktov pre elektronický podpis
• Vydávanie vykonávacích predpisov k zákonu, noriem a štandardov
• Vydávanie akreditačnej schémy
• Udeľovanie oprávnení pre vykonávanie auditu PCS
• Postavenie Úradu v systéme štátnych orgánov?

1. Pri výkone kontroly sú zamestnanci Úradu a  ním prizvané osoby oprávnené vstupovať do objektov, zariadení a systémov akreditovaného poskytovateľa certifikačných služieb a vyžadovať od nich súčinnosť pri kontrole, nahliadnutie do dokladov a informácie, ktoré súvisia s poskytovaním certifikačných služieb; prizvané osoby sú povinné zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedeli pri výkone kontroly

(4) Za porušenie povinností ustanovených v tomto zákone môže Úrad akreditovanému poskytovateľovi certifikačných služieb, okrem uloženia opatrení na nápravu tiež pozastaviť činnosť, najdlhšie však na tri mesiace. Ak akreditovaný poskytovateľ certifikačných služieb v lehote, na ktorú mu bola činnosť pozastavená, nedostatky neodstráni, Úrad jeho akreditáciu zruší.

1. od 5 000 000 Sk do 10 000 000 Sk právnickej osobe alebo fyzickej osobe, ktorá vydáva kvalifikované certifikáty bez akreditácie,
2. od 5 000 000 Sk do 10 000 000 Sk akreditovanému poskytovateľovi certifikačných služieb, ktorý neposkytuje certifikačné služby podľa postupov a v súlade s bezpečnostnými pravidlami,

1. neposkytuje službu zrušovania certifikátov,
2. nezverejňuje ním vydané certifikáty a ním zrušené certifikáty,
3. nezverejňuje svoje identifikačné údaje alebo certifikáty, ktoré používa pri poskytovaní certifikačných služieb,
4. vykonáva činnosť, ktorá mu bola dočasne pozastavená,
5. marí výkon kontroly a neposkytne súčinnosť podľa tohto zákona,
6. nevykonáva bezpečnostný audit.

1. poruší povinnosť zrušenia certifikátu,
2. poruší povinnosť viesť dokumentáciu o dodržiavaní postupov a bezpečnostných pravidiel,
3. neinformuje osoby, ktorým poskytuje služby o zámere ukončiť činnosť alebo o poskytovateľovi certifikačných služieb, ktorý prevezme jeho agendu,

1. od 300 000 Sk do 1 000 000 Sk poskytovateľovi registračných služieb, ktorý vykonáva služby pre akreditovaného poskytovateľa certifikačných služieb a

(2) Pri uložení pokuty sa prihliada na závažnosť, trvanie a následky protiprávneho konania.

(3) Pokutu podľa odseku 1 môže Úrad uložiť do jedného roka odo dňa, keď porušenie povinností zistí, najneskôr do troch rokov odo dňa, keď k porušeniu povinností došlo.

Na konanie Úradu podľa tohto zákona sa vzťahujú všeobecné predpisy o správnom konaní⁸⁾, ak tento zákon neustanovuje inak.

8) Zákon č. 71/1967 Zb. o správnom konaní (správny poriadok)

1. Zákon o elektronickom podpise SR potrebuje kvôli elektronickému obchodovaniu, zefektívneniu štátnej administratívy, zjednodušeniu styku občana s úradmi. Okrem toho - Direktíva 1999/93/EC - ukladá členským štátom UE prijať zákon o elektronickom podpise do 19. júla 2001
2. Ministerstvo hospodárstva SR pripravuje zákon o e-podpise od jesene 1999. Pripravuje ho úzka uzavretá skupina bez účasti odbornej verejnosti.
3. So zákonom o elektronickom podpise sú problémy aj v okolitých krajinách - Nemecko, Rakúsko (novelizácia) ČR - problémy s realizáciou. Dôvod: zákon má definovať zložitý informačno-komunikačný systém (public key infrastructure, PKI) a zohľadniť pritom právne, technické, kryptologické, informačno-bezpečnostné, organizačné, ekonomické a personálne aspekty.
4. Návrh MH SR:

• Pohľad zhora nadol: vychádza zo vzorového zákona UNCITRAL-u a Direktívy EU, ale nezohľadňuje potreby realizácie PKI
• Všeobecný zákon: skoro všetko je ponechané na vykonávacie predpisy - tie však nemajú možnosť zakladať práva a povinnosti
• Kľúčové pojmy nie sú jednoznačne definované (elektronický podpis, certifikát, kvalifikovaný certifikát); ustanovenia zákona sú potom protirečivé (elektronický podpis sa môže používať ako vlastnoručný podpis, hoci nemusí umožniť identifikáciu osoby, ktorá ho vytvorila)
• Podmienky pre poskytovateľov certifikačných služieb sú definované voľne, neúplne a protirečivo (napr. vo vzťahu k medzinárodným normám - kvalifikovaný certifikát)
• Kľúčový pojem - z hľadiska riešenia sporov - časová značka, je definovaný protirečivo a umožňuje falšovanie.
• Nie sú poriadne definované certifikačné činnosti, ktoré má poskytovateľ certifikáčných služieb vykonávať a podmienky, ktoré pri tom musí spĺňať.
• Nerozlišuje sa medzi obyčajným a zaručeným elektronickým podpisom; nie sú konkrétne popísané požiadavky na vytváranie zaručeného elektronického podpisu. Stiera sa (aj vďaka zrovnoprávneniu obyčajného a zaručeného e-podpisu) rozdiel medzi akreditovaným a obyčajným poskytovateľom certifikačných služieb.
• Nie je jasná úloha štátu pri budovaní PKI - aké funkcie bude plniť NBÚ a iné štátne orgány?
• Kto bude posudzovať produkty pre elektronický podpis?
• Kto a ako bude generovať informáciu na vytváranie a overovanie elektronického podpisu?
• Kto bude vydávať certifikát NBÚ?
• Kto bude podpisovať a pomocou akého kľúča certifikáty, ktoré vydáva poskytovateľ certifikačných služieb?
• Chýba zoznam zákonov, ktoré je potrebné zmeniť prijatím zákona o elektronickom podpise.
• Nezohľadnili sa zásadné pripomienky z medzirezorného pripomienkovania.
• Nie je jasné, na čo sú potrebné požadované prostriedky a či budú na realizáciu zákona stačiť.

1. Návrh ministerstva hospodárstva nie je špecifikáciou, na základe ktorej by bolo možné vybudovať funkčnú PKI. Keďže fungujúca národná PKI je prostriedkom pre rozvoj elektronického obchodu v SR, resp. medzi firmami v SR a zahraničnými firmami; musia slovenské elektronické podpisy uznávať v zahraničí. Ale na to budú musieť slovenské elektronické podpisy vyhovovať medzinárodným normám a musia byť vytvárané za porovnateľných bezpečnostných podmienok, ako elektronické podpisy toho istého druhu v zahraničí. Preto aj slovenský zákon o elektronickom podpise musí vytvárať rámec pre medzinárodne kompatibilnú PKI. Filozofia, ktorú uplatňujú tvorcovia vládneho návrhu zákona už poldruha roka k takémuto cieľu nepovedie.