Zaručený-nezaručený elektronický podpis

Aneb zaručený elektronický podpis, který nezaručuje...

Zaručený elektronický podpis založený na nekvalifikovaném certifikátu

Stručně

Pomocný pojem. Elektronický podpis, který zaručuje, že jej nelze podvodně vyjmout z jedné zprávy a vložit do jiné, ale nijak zvlášť (a někdy i vůbec) nezaručuje, že byl skutečně podepsán osobou, jejíž jméno obsahuje.

Definice

Zaručený elektronický podpis založený na extrémně slabém nekvalifikovaném certifikátu.

Komentář

Jedná se o poněkud paradoxní kategorii zaručených podpisů, která vzniká většinově uznávaným ztotožněním zaručených podpisů s digitálními podpisy. Digitální podpis totiž může být vytvořen i na základě tzv. self-signed testovacího certifikátu, který si každý může vystavit sám sobě, nebo třeba, jak s oblibou uvádí Jiří Peterka, na jméno Josefa Švejka (zde, zde, zde). Digitální podpis založený na "self-signed" certifikátu Josefa Švejka evidentně nezaručuje autora podpisu, ale stále je to digitální podpis a jelikož je všeobecně uznáváno, že digitální podpisy a zaručené podpis jsou totéž, je takový podpis Josefa Švejka i zaručený elektronický podpis.

To je na první pohled rozporné s prvními dvěma body definice zaručeného podpisu, dle čl. 26 eIDAS:

  1. je jednoznačně spojen s podepisující osobou;
  2. umožňuje identifikaci podepisující osoby;

Jak vysvětluje tento rozpor právě pan Jiří Peterka, je uvedeno na stránce o zaručeném podpisu.

Osobně s existencí této kategorie nesouhlasím a argumentaci předkládám v odděleném článku. Respektuji však většinový názor a i celé kompendium je koncipováno na základě premisy, že zaručené podpisy jsou digitální podpisy.

Ačkoliv tedy takový zaručený-nezaručený podpis nezaručuje autora podpisu, přesto zaručuje nezměnitelnost obsahu podepsaných zpráv či dokumentů - resp. pokud někdo zprávu/dokument podvodně změní, uživatel je vždy právě na základě sofistikovaného digitálního podpisu upozorněn na tuto podvodnou změnu obsahu. Mimochodem nic takového nedokáže zaručit vlastnoruční podpis, pouze se tomu blíží občas užívaná praxe parafování smluv na každé straně. (Ostatně leckterý vlastnoruční podpis nezaručuje ani autora.)

Do paradoxní kategorie zaručených-nezaručených podpisů si kromě testovacích certifikátů dovoluji zařadit podpisy založené na osobních certifikátech certikačních autorit (např. zde a zde), které ověřují žadatele pouze doručením e-mailu (a žadatel si opět může založit např. e-mail josef.svejk1977@seznam.cz).

I zaručené-nezaručené elektronické podpisy mohou být v ČR podle práva používány v jednáních mezi soukromými osobami (§ 7 ZSVD). Zaručené-nezaručené podpisy však ze zákona nemohou být používány vůči veřejnoprávním institucím (§ 6 ZSVD) a už vůbec ne ze strany veřejnoprávních institucí (§ 5 ZSVD).

Do paradoxní kategorie zaručených-nezaručených podpisů jistě nespadají podpisy založené na komerčních certifikátech našich certifikačních autorit a na certifikátech vystavených bankami, byť tyto certifikáty nejsou kvalifikované. Jejich legální použití je však stejné jako u zaručených-nezaručených podpisů (pouze mezi soukromými osobami).

© David Navara, nuabi, s.r.o. ~ rev. 18.02.2020 00:23 ~ Kopírovat jen s uvedením zdroje: www.elektronicky-podpis.info.

NAVRCHOLU.cz


Využijte služby INOXI: Zřízení elektronického podpisu v pohodlí Vaší kanceláře bez nutnosti návštěvy pošty. Nebo bez dopravy vzdálená asistence a instalace po celé ČR. Obojí včetně kompletní instalace a zaškolení.