Báječný svět

V tomto videu si odpovíme na otázku, zda je možné se elektronicky podepsat za někoho jiného. Tedy vytvořit takový elektronický podpis, který by měl patřit někomu jinému.

Můžeme si ale tuto otázku také obrátit: když budeme mít před sebou elektronický podpis, který se prezentuje jako podpis nějaké konkrétní osoby, jak moc se můžeme spoléhat na to, že tomu tak skutečně je?

Právo v této souvislosti hovoří o pravosti podpisu: říká, že podpis je pravý, pokud jej skutečně vytvořila ta osoba, které má patřit. Tedy ta osoba, jejíž identita je nám prezentována jako identita podepsané osoby.

Takže naše otázka vlastně zní: je možné vytvořit elektronický podpis, který není pravý? Tedy takový, který ve skutečnosti vytvořil někdo jiný? Nebo opačně: kdy se můžeme spoléhat na pravost elektronického podpisu, a kdy nikoli?

Odpověď je v zásadě velmi jednoduchá a zní tak, že záleží na druhu elektronického podpisu. Pokud se jedná o kvalifikovaný elektronický podpis, nebo o uznávaný elektronický podpis, pak se na jeho pravost můžeme spoléhat. Jinými slovy: kvalifikovaný a uznávaný elektronický podpis zaručuje identitu podepsané osoby. Takovýto podpis mohla vytvořit pouze ta osoba, která je také prezentována jako podepsaná osoba.

Jinak je tomu ale u elektronických podpisů, které jsou pouze zaručenými elektronickými podpisy. Je to nepříjemný protimluv a bohužel i docela závažná chyba v terminologii, protože zaručený elektronický podpis obecně nezaručuje identitu podepsané osoby, a nemůžeme se tedy ani spoléhat na jeho pravost. Zaručený elektronický podpis mohl vytvořit někdo úplně jiný než ten, kdo je prezentován jako podepsaná osoba. Ostatně konkrétní příklad si právě ukazujeme, jde o zaručený elektronický podpis, který se prezentuje jako podpis literární postavy Josefa Švejka. Tedy někoho, koho asi všichni dobře známe, ale současně víme, že jako skutečná fyzická osoba neexistuje. Tudíž se nemohl podepsat, a to ani vlastnoručně, ani elektronicky.

Co je ale důvodem toho, že u kvalifikovaných a uznávaných elektronických podpisů se můžeme spoléhat na jejich pravost, zatímco u zaručených elektronických podpisů obecně nikoli?

Důvodem jsou rozdílné požadavky na certifikát, na kterém jsou jednotlivé druhy elektronických podpisů založeny. Konkrétně to, zda obsah takovéhoto certifikátu musí být pravdivý, tedy odpovídat skutečnosti, nebo nemusí. Protože právě z toho, co je uvedeno v certifikátu, dovozujeme to, komu příslušný podpis patří. Tedy koho máme považovat za podepsanou osobu.

V případě kvalifikovaných elektronických podpisů, stejně jako v případě uznávaných elektronických podpisů, je požadováno, aby se jednalo o kvalifikovaný certifikát. Přitom základní vlastností každého kvalifikovaného certifikátu je to, že jeho obsah musí být pravdivý a odpovídat skutečnosti. Pod velmi přísnými pokutami za to ručí ten, kdo takový certifikát vystavuje.

Kvalifikovaný certifikát pro elektronický podpis tak může být vystaven jen skutečně existující fyzické osobě. Nesmí být vystaven například literární postavě, byť sebevíce známé. Z tohoto důvodu nemůže existovat ani kvalifikovaný, ani uznávaný elektronický podpis literární postavy Josefa Švejka.

Naproti tomu zaručený elektronický podpis literární postavy Josefa Švejka existovat může, ostatně si ho celou dobu ukazujeme. A může existovat díky tomu, že u zaručených elektronických podpisů není kladen žádný požadavek na certifikát. Rozhodně to nemusí být kvalifikovaný certifikát.

Zaručený elektronický podpis může být založen opravdu na jakémkoli certifikátu. Tedy i na takovém, jehož obsah není pravdivý, resp. vůbec neodpovídá skutečnosti. Může to být třeba i tzv. testovací certifikát, který si někdo vystaví sám a napíše si do něj úplně cokoli, co jen uzná za vhodné.

K vytvoření takového testovacího certifikátu přitom nejsou zapotřebí žádné specifické nástroje ani znalosti. Vše potřebné nabízí například již volně dostupný program Adobe Acrobat Reader, ve kterém je zabudován jednoduchý nástroj na vystavování takovýchto testovacích certifikátů.

Příklad jeho využití si můžeme ukázat na následující ukázce, ve které budeme vytvářet vizualizovaný elektronický podpis. Proto nás program Adobe Acrobat Reader nejprve vyzve k určení místa, kde má být vizualizace umístěna. Následně již začneme vytvářet nový testovací certifikát, kterému program říká "digitální identifikátor". Pak musíme napsat, komu má být takovýto certifikát vystaven. Napsat můžeme opravdu cokoli, protože žádná správnost ani nic jiného se zde nekontrolují. Uvést můžeme i další podrobnosti, včetně emailové adresy. I tyto další údaje mohou být libovolně smyšlené.

Jakmile dopíšeme, stačí už jen nechat uložit nově vytvořený certifikát. Pak již můžeme nechat vytvořit nový zaručený elektronický podpis, založený na tomto testovacím, certifikátu. Můžeme si i vybrat podobu vizualizace podpisu, který je následně ihned vytvořen. A hned je také ověřen jako platný.

Můžeme se ještě podívat na detaily certifikátu, který jsme právě vytvořili, a na kterém je podpis založen. Vidíme, že jde o certifikát, který někdo vydal sám sobě: vydavatel certifikátu je zde shodný s tím, komu je certifikát vystaven. Jinými slovy: držitel certifikátu si takovýto certifikát podepsal sám sobě. Proto se mu také říká certifikát s vlastním podpisem, anglicky: self-signed.

Není to ale jediný možný příklad testovacího certifikátu. Tedy takového, který slouží jen pro potřeby výuky a testování, a na jehož obsah se nemůžeme spoléhat, protože jej nikdo nekontroluje.

Testovací certifikát vám vydají i někteří renomovaní vydavatelé. Ti vedle kvalifikovaných a řady dalších zpoplatněných certifikátů, u kterých pečlivě kontrolují požadovaný obsah, mohou nabízet, obvykle zdarma, právě i vydávání testovacích certifikátů. No a při jejich vydávání také nijak nekontrolují to, co si přejete, aby v takovémto testovacím certifikátu bylo uvedeno. Smyšlené tak může být vše, snad kromě adresy, na kterou vám mají vydaný testovací certifikát doručit.

Takto pak vypadá testovací certifikát, vydaný společností I.CA. Nikoli ale její kvalifikovanou dceřinou autoritou, která vydává kvalifikované certifikáty, ale samostatnou autoritou, která vydává právě a pouze testovací certifikáty.

Zdůrazněme si tedy ještě jednou, že zaručené elektronické podpisy obecně nezaručují identitu podepsané osoby, neboli pravost podpisu. Tedy to, že podpis vytvořil skutečně ten, kdo jej vytvořit měl. Na tom nic nemění ani skutečnost, že příslušný elektronický podpis je vyhodnocen jako platný. Právě u zaručených elektronických podpisů z jejich technické platnosti nutně nevyplývá jejich právní pravost.

Abychom tomu ale správně rozuměli: není to tak, že by takový elektronický podpis, který je pouze zaručený, nikdy nemohl být pravý. Může být pravý. Jen jeho pravost nemůžeme dovozovat ze samotné skutečnosti, že jde o zaručený elektronický podpis. Musíme se rozhodovat podle certifikátu, na kterém je založen, a zkoumat kým byl vydán a podle jakých pravidel.

Zde je dobré si připomenout, že vedle kvalifikovaných certifikátů existuje i řada ne-kvalifikovaných certifikátů, na jejichž obsah se také můžeme spoléhat, protože příslušný vydavatel za jejich obsah ručí. Jsou to například tzv. komerční certifikáty, vydávané obvykle stejnými vydavateli, kteří vydávají kvalifikované certifikáty, a se stejně důkladným ověřením toho, komu je vydávají.

Takže: pokud na základě posouzení příslušného certifikátu zjistíme, že se na jeho obsah můžeme spoléhat, můžeme i pouze zaručený elektronický podpis považovat za pravý. A jen si na závěr zdůrazněme, že v případě kvalifikovaných a uznávaných elektronických podpisů máme práci ušetřenou v tom, že již nemusíme zkoumat detaily certifikátu. Víme, že musí být kvalifikovaný, a obsah tohoto certifikátu tedy musí odpovídat skutečnosti.

Proto u těchto druhů elektronických podpisů můžeme dovozovat jejich pravost již ze samotné skutečnosti, že jde o kvalifikovaný elektronický podpis, nebo alespoň o uznávaný elektronický podpis.