Pečetě jsou využívány právnickými osobami k prokázání původu elektronickou pečetí opatřeného dokumentu, nebo obecně elektronických dat, tzn. toho, že zapečetěný dokument (data) vznikl v určité organizaci. Fyzická osoba nemůže disponovat elektronickou pečetí, a naopak právnická osoba nemůže disponovat elektronickým podpisem (v rámci právnických osob elektronickými podpisy disponují její zaměstnanci).
Definice elektronických pečetí
Hlavními předpisy definující elektronické pečetě v ČR jsou eIDAS a zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce (ZoSVD).
Elektronická pečeť je z pohledu legislativy definována v článku 3 nařízení eIDAS jako „data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena s cílem zaručit jejich původ a integritu“. Jak takovou definici interpretovat?
- „data v elektronické podobě“ – výsledek procesu aplikování principů asymetrické kryptografie, tak aby vznikl soubor dat, který je možné interpretovat jako elektronickou pečeť,
- „jiným datům v elektronické podobě“ – typicky jde o elektronický dokument, případně jiný multimediální (nebo obecně binární soubor), který má být opatřen elektronickou pečetí,
- „která jsou připojena … nebo jsou s nimi logicky spojena“ – mechanismy asymetrické kryptografie zajišťují, že elektronická pečeť je zaručeně spojena pouze a jedině s daným pečetěným souborem dat,
- „s cílem zaručit jejich původ a integritu“ – opět asymetrická kryptografie zajišťuje ověření integrity zapečetěného souboru dat (tedy že od zapečetění nebyl daný soubor binárně změněn) a původu, tedy ověření původce dané pečetě, respektive vlastníka kryptografických klíčů a k nim vystaveného certifikátu, na jehož základě byla daná elektronická pečeť vytvořena.
Úrovně elektronických pečetí
Podobně jako u elektronických podpisů se rozlišují úrovně elektronických pečetí:
- Zaručené elektronické pečetě (eIDAS, čl. 3, odst. 26; čl. 36) – v praxi zaručená pečeť znamená, že je vytvořena podle technických standardů AdES a pomocí certifikátu, který odpovídá požadavkům eIDAS (eIDAS, příloha III).
- Uznávané elektronické pečetě (ZoSVD, § 9, odst. 2) – platí požadavky na zaručenou pečeť, a navíc musí být použit kvalifikovaný certifikát.
- Kvalifikované elektronické pečetě (eIDAS, čl. 3, odst. 27) – opět platí požadavky na uznávanou elektronickou pečeť, ale navíc je nutné, aby byly vytvářeny prostřednictvím kvalifikovaných prostředků pro vytváření elektronických pečetí (tzv. QSCD).
Povinnost použití elektronických pečetí
Použití elektronických pečetí v definovaných úrovních určuje ZoSVD, a to takto:
- Kvalifikovanou elektronickou pečeť mají povinnost používat veřejnoprávní podepisující při výkonu své působnosti (§ 8).
- Alespoň uznávanou (lze dobrovolně použít i kvalifikovanou) elektronickou pečeť mají povinnost používat subjekty, které jednají vůči veřejnoprávnímu podepisujícímu (§ 9).
Jakoukoli úroveň elektronické pečetě lze použít ve všech ostatních případech. Např. obchodní korporace mohou při komunikaci mezi sebou nebo s fyzickými osobami dobrovolně použít kvalifikovanou, uznávanou, zaručenou úroveň elektronické pečetě, nebo také žádnou (§ 10). Záleží tedy na dohodě (smluvním vztahu) mezi danými subjekty.
QSCD – kvalifikované prostředky pro vytváření elektronických pečetí
Pro vytváření kvalifikovaných pečetí je nutné použít kvalifikovaných prostředků pro vytváření elektronických pečetí, tzv. QSCD zařízení (někdy též QSealCD, z anglického Qualified Seal Creation Device). QSCD jsou speciální, zpravidla hardwarová zařízení určená k práci s kryptografickými klíči a k provádění kryptografických operací.
eIDAS QSCD (v článku 3, odstavci 31 a 32) definuje jako:
- prostředkem pro vytváření elektronických pečetí se rozumí konfigurované programové vybavení nebo technické zařízení, které se používá k vytváření elektronických pečetí,
- kvalifikovaným prostředkem pro vytváření elektronických pečetí se rozumí prostředek pro vytváření elektronických pečetí, který přiměřeně splňuje požadavky stanovené v příloze II.
V praxi se setkáváme zejména s hardwarovými QSCD v podobě USB tokenů, čipových karet nebo specializovaných serverových zařízení HSM (z anglického Harware Security Module).
Aby určité zařízení mohlo být považováno za QSCD, musí splňovat požadavky stanovené nařízením eIDAS a certifikace daného zařízení musí být zveřejněna v pravidelně zveřejňovaném seznamu QSCD.
Jak vyřešit kvalifikovanou pečeť prakticky
Vytváření kvalifikovaných pečetí lze v organizaci vyřešit v zásadě dvěma způsoby:
1. Využívání služby kvalifikovaného elektronického pečetění některého z kvalifikovaných poskytovatelů
2. Implementace prostředků pro vytváření kvalifikovaných pečetí on-premise
On-premise kvalifikovaná pečeť
Výhodami provozu infrastruktury pro kvalifikovanou pečeť ve vlastní správě organizace jsou zejména:
- škálovatelný výkon i dostupnost prvků pro kvalifikované pečetění,
- možnosti integrace prostřednictvím SOAP rozhraní webových služeb,
- široké možnosti dalšího využití HSM:
- správa dalších kryptografických klíčů (např. pro vzdálené vytváření elektronických podpisů),
- zabezpečení klíčů pro interní certifikační autority,
- šifrování dat databází nebo datových úložišť,
- akcelerace SSL,
- zabezpečení autentizačních a auditních řešení,
- cena nezávislá na počtu pečetěných dokumentů.
Společnost SEFIRA nabízí kompletní služby pro implementaci infrastruktury pro kvalifikované elektronické pečetění zahrnující dodávku HSM a jeho nastavení do módu QSCD přes dodávku systému OBELISK Signer jako integračního middleware pro využívání pečetících klíčů spravovaných s HSM po konzultace a správu celého řešení kvalifikovaných pečetí.
Michal Hanzal, paperless solution consultant, SEFIRA
PŘEDPLATNÉ
ČLÁNKY DO MAILU