I N F O W A R Eurèité prechodné obdobie aj jeho papierová forma, tak ako je to dnes v elektronickombankovníctve.Za predpokladu, že si klient banky dáva pozor <strong>na</strong> svoj TK a ten je jeho výluèným tajomstvom,možno tvrdi , že platobný príkaz s digitálnym podpisom, ktorého platnos je overenápríslušným VK, resp. jeho certifikátom, mohol by podpísaný iba týmto klientom.a struènej informácie (<strong>na</strong>príklad o realizácii platobného príkazu). Vystavená je príslušnýmserverom elektronického bankovníctva, tzv. elektronickou podate¾òou, po príjmeplatobného príkazu.Elektronická podate¾òa <strong>na</strong> rozdiel od klasickej podate¾ne dokáže po príjme príkazu,žiadosti a pod. urobi kontrolu platnosti podpisu a niektoré ïalšie základné kontroly.Dokáže súèasne po<strong>sk</strong>ytnú informáciu o stave doruèeného príkazu, žiadosti a pod. <strong>na</strong>základe výsledku tejto kontroly. Pretože èas doruèenia a struèná informácia banky súdôležité údaje v prípade sporu, <strong>na</strong>chádzajú sa opä v návestí 1 digitálneho podpisu. Narozdiel od klasickej podate¾ne v tzv. elektronickej podate¾ni tento podpis – elektronickúpotvrdenku – nevystavuje konkrét<strong>na</strong> osoba, ale príslušný server banky. V tomto prípadez praktického h¾adi<strong>sk</strong>a nejde o podpis konkrétneho pracovníka, ale o podpis banky èi jejpríslušného servera.5. Kontrola platnosti podpisuNa základe VK, resp. zodpovedajúcich certifikátov jednotlivých klientov elektronickéhobankovníctva príslušný server automaticky kontroluje platnos podpisu k príslušnémudoruèenému príkazu, žiadosti klienta a podobne. Do ïalšieho spracovania sa dostávajúiba doklady, ktoré majú platný podpis, t. j. nedošlo k ich modifikácii a podpísala ichoprávnená osoba daného klienta. Klient má rov<strong>na</strong>ko možnos overi platnos elektronickejpotvrdenky, ktorú mu banka vrátila k jeho platobnému príkazu.3. Podpisovanie dokumentuDigitálny podpis sa v elektronickom bankovníctve používa <strong>na</strong> vytváranie podpisu k platobnémupríkazu, žiadosti a podobne. Vytvára sa prostredníctvom niektorej z hash funkcií(<strong>na</strong>pr. MD5, SHA-1), niektorého z asymetrických algoritmov (<strong>na</strong>pr. RSA, DSA) a uchovávasa v urèitom tvare. Podstatnou vlastnos ou digitálneho podpisu je schopnos kontrolyintegrity podpísaného elektronického dokumentu, t. j. odhalenie zmeny v elektronickomdokumente po jeho podpísaní. Ak<strong>na</strong>príklad dôjde k modifikácii platobnéhopríkazu po jeho podpísaní, digitálny podpi<strong>sk</strong> nemu stratí platnos .Digitálny podpis môže ma nieko¾koèastí, <strong>na</strong>príklad návestie 1, návestie 2, vlastnételo podpisu. V návestí 1 sa <strong>na</strong>chádzajúdôležité informácie (èas podpisu, struènáinformácia podpisovate¾a, prípadne ïalšie),pri ktorých podobne ako v samotnom podpisovanom elektronickom dokumente je potrebnéma možnos overi ich integritu. Pri podpisovaní sa táto èas podpisu pripája za podpisovanýelektronický dokument a podpis sa vytvára k obom èastiam ako celku – elektronickémudokumentu + návestiu 1. V návestí 2 sa <strong>na</strong>chádzajú informácie o asymetrickomalgoritme, hash funkcii, formáte podpisu, k¾úèi ID, názve podpisovaného súboru, prípadneïalšie, ktoré vypovedajú o tom, ako bol podpis vytvorený. Samotný digitálny podpis sa<strong>na</strong>chádza v tele podpisu.17.08.2001 15:45:34sha1RSAHEXAPRIKAZ.TXTKLIENT/klientD2CE1D64F9B2CB21B8E54E5E3E1160D4B6DB8D170327ADB181FFAA185838B0A28654B91C23D50C3776D1FC8E209603E540016BD78A60D935829ECC1A5EA290244. Potvrdzovanie dokumentuPre klienta banky je ve¾mi dôležité potvrdenie vydané bankou k ním doruèenému platobnémupríkazu. Toto potvrdenie platobného príkazu by ho malo chráni , resp. slúžiako dôkazový materiál v prípade sporu s bankou, resp. sporu s dodávate¾om èi daòovýmúradom v prípade hroziacej pe<strong>na</strong>lizácie. Pri klasickom platobnom príkaze toto potvrdeniepredstavuje peèiatka banky s vyz<strong>na</strong>èením dátumu a èasu podania príkazu a podpi<strong>sk</strong>onkrétnej pracovníèky v podate¾ni banky <strong>na</strong> kópii platobného príkazu. V prípade elektronickéhobankovníctva klienta chráni elektronická potvrdenka, èo je vlastne digitálnypodpis k doruèenému platobnému príkazu s vyz<strong>na</strong>èením dátumu a èasu príjmu príkazu17.08.2001 16:03:15Informacia o stave:Banka potvrdzuje realizaciu prikazusha1RSAHEXAPRIKAZ.TXTBANKA/banka9842A636E869554AFC1F263C39CB3387EB89CA636B420D7A1655475EF0A089DE7EA8B3102027C58D5841B804E5227F8BADD4E1652C95AEA2DCA4957D0E093E9AOkrem digitálneho podpisu <strong>na</strong> báze asymetrických k¾úèov sa v elektronickom bankovníctvepoužívajú ïalšie dva druhy „elektronického podpisu“:1. statické kódy (PIN, heslo, kontrolné otázky, súbor hesiel <strong>na</strong> tzv. Grid karte),2. dy<strong>na</strong>mické kódy <strong>na</strong> báze symetrických k¾úèov (OTP – One Time Password, MIC –Message Integrity Code). (Bližšie pozri R. Rexa a kol.: Bezpeènos elektronického bankovníctvav praxi. PCR è. 6/2001.)Bežný používate¾ EP, ktorý nie je špecialistom v kryptografii, sa dnes pravdepodobneešte nevie dostatoène zorientova , ako ním používaný EP umožòuje „zachyti obsahprávneho úkonu a urèi osobu, ktorá právny úkon urobila“. Rov<strong>na</strong>ko s tým bude maproblémy aj sudca, ktorý bude musie rozhodnú o prípadnom spore medzi dvoma stra<strong>na</strong>mi.Urèi jednoduché a pritom jasné pravidlá pri používaní EP má za úlohu zákono elektronickom podpise (ïalej ZoEP).Smernica 1999/93/EC Európ<strong>sk</strong>eho parlamentuZákladom pre vytvorenie právneho rámca v krajinách Európ<strong>sk</strong>ej únie je smernica1999/93/EC Európ<strong>sk</strong>eho parlamentu (http://europa.eu.int/eur-lex/en/com/dat/1999/en_599PC0626.html). Jej cie¾om je <strong>na</strong>pomôc využívanie EP v krajinách EU a prispiek ich vzájomnému uznávaniu. Smernica uvádza širšie definície 13 základných pojmov:elektronický podpis, zaruèený elektronický podpis (ïalej ZEP), podpisovate¾, dáta <strong>na</strong>vytváranie podpisu, prostriedok <strong>na</strong> vytváranie podpisu, bezpeèný prostriedok <strong>na</strong> vytváraniepodpisu, dáta <strong>na</strong> overovanie podpisu, prostriedok <strong>na</strong> overovanie podpisu, certifikát,kvalifikovaný certifikát, po<strong>sk</strong>ytovate¾ certifikaèných služieb, produkt <strong>na</strong> elektronickýpodpis, akreditácia.EP pod¾a smernice „predstavuje dáta v elektronickej forme, ktoré sú pripojené alebologicky súvisia s inými elektronickými dátami a ktoré slúžia ako metóda autentifikácie“(overenia pravosti). Ide o ve¾mi širokú definíciu, ktorej vyhovovuje celá škála EP. Cie¾omsmernice však nie je regulovanie obyèajných EP, to má by úlohou ZoEP príslušnej èlen<strong>sk</strong>ejkrajiny EU. S oh¾adom <strong>na</strong> s<strong>na</strong>hu o medzinárodnú kompatibilitu sa smernica podrobnejšiezaoberá zaruèeným elektronickým podpisom a s ním súvisiacimi ïalšími pojmami,ako sú kvalifikovaný certifikát, bezpeèný prostriedok <strong>na</strong> vytváranie podpisua po<strong>sk</strong>ytovate¾ certifikaèných služieb vydávajúci kvalifikované certifikáty.100 PC REVUE 10/2001
I N F O W A R EZEP v porov<strong>na</strong>ní s „obyèajným“ elektronickým podpisom <strong>na</strong>príkladmusí <strong>na</strong>vyšen by jednoz<strong>na</strong>ène spojený s podpisovate¾om,n umožòova identifikáciu podpisovate¾a,n jeho vytváranie má ma podpisovate¾ sám pod svojou kontrolou,n by spojený s dátami, ku ktorým patrí, takým spôsobom, žebude detegovate¾ná následná zme<strong>na</strong> týchto dát.ZEP má ma rov<strong>na</strong>kú právnu úèinnos ako vlastnoruèný podpisa má by prípustný ako dôkaz pri súdnom ko<strong>na</strong>ní. Nez<strong>na</strong>menáto však, že zákonná úèinnos a prípustnos môže by upretá„obyèajnému“ elektronickému podpisu, prípadne inému podobnémupodpisu dohodnutému v obèian<strong>sk</strong>oprávnych vz ahoch.Sloven<strong>sk</strong>ý zákon o elektronickom podpiseSmernica EU nerieši všetky detaily EP, to je vecou ZoEP príslušnejèlen<strong>sk</strong>ej krajiny EU. Nemecko, Rakú<strong>sk</strong>o, Èe<strong>sk</strong>á republika už majúschválený zákon o elektronickom podpise. Na Sloven<strong>sk</strong>u saschva¾ovanie tohto záko<strong>na</strong> iba oèakáva. V parlamente sú pripravenédva návrhy záko<strong>na</strong>, èo je spolu so <strong>sk</strong>úsenos ami zí<strong>sk</strong>anýmipri zavádzaní a uplatòovaní záko<strong>na</strong> o elektronickom podpisev niektorých krajinách EU dobrým predpokladom <strong>na</strong> dopracovaniekvalitnej sloven<strong>sk</strong>ej právnej normy. [Návrhy zákonov sú <strong>na</strong>adrese: http://<strong>www</strong>.nrsr.<strong>sk</strong> Zákony-návrhy: vládny – ÈT 1027(ïalej VN), poslanecký – ÈT 984 (ïalej PN), ich obhajoba, resp.recenzia je <strong>na</strong> adresách http://<strong>www</strong>.saec.<strong>sk</strong>, http://<strong>www</strong>.informatika.<strong>sk</strong>].Je zrejmé, že k rýchlemu zavádzaniu elektronického podpisuneprispeje ani príliš tvrdý, ani príliš mäkký ZoEP. V prvom prípadepre nereálnos splni požiadavky záko<strong>na</strong> v bežnej praxi,v druhom prípade pre nedôveru k slabému elektronickému podpisu.Prijatím záko<strong>na</strong>, ktorý sa odvoláva <strong>na</strong> nepripravené právnepredpisy, sa legislatívny proces nekonèí, ale iba zaèí<strong>na</strong>.Názorný je v tomto smere príklad z Èe<strong>sk</strong>ej republiky, kde sa užviac ako rok pracuje <strong>na</strong> vykonávacích predpisoch, ktoré byumožnili zaèa používa EP pod¾a schváleného ZoEP. Vklada dozáko<strong>na</strong> technické parametre, ktoré sa rýchlo menia, môže maza následok nutnos neustálej novelizácie záko<strong>na</strong>. Koneèná verziazáko<strong>na</strong> musí by preto citlivým kompromisom medzi uvedenýmiextrémami.Od praxe k návrhu záko<strong>na</strong>V <strong>na</strong>sledujúcej èasti sa zamyslíme <strong>na</strong>d niektorými „úzkymi“ miestamipredložených návrhov ZoEP:1. Platnos EP, ZEP a èas jeho vytvoreniaÈasový údaj, kedy bol elektronický podpis vytvorený, mádôležitý výz<strong>na</strong>m. Pod¾a VN § 4 ods. 1, resp. pod¾a PN § 5 ods. 3bplatnos EP, resp. ZEP závisí od èasu ich vytvorenia a platnostipríslušného certifikátu. V definícii elektronického podpisu savšak v návrhoch ZoEP (VN § 2 ods. b, c, PN § 5) nehovorí o èase,kedy bol podpis vytvorený. Vzniká tak nežiaduca legislatív<strong>na</strong>diera. Nejde o neriešite¾ný problém – jedno z riešení ponúka uvedenýpríklad z elektronického bankovníctva.2. Overovanie podpisu notáromV súèasnom klasickom „papierovom svete“ existujú právneúkony (spísanie závetu, prevod nehnute¾nosti a pod.), ktoré savykonávajú u notára, resp. za prítomnosti notára, ktorý okreminého overuje slobodnos vôle podpisovate¾a podpísa takýtoprávny úkon. V podobných prípadoch by ZEP v žiadnom prípadenemal v „elektronickom svete“ <strong>na</strong>hradi prítomnos notára (VNdôvodová správa k § 3).3. Elektronická potvrdenka – èasová peèiatkaVytvorenie a podpísanie elektronického dokumentu predstavujeprvú polovicu jeho osudu. Nemenej dôležitú úlohu má aj prijatiedokumentu adresátom, resp. jemu zodpovedajúcou elektronickoupodate¾òou. Aj v tomto prípade hrá èas nezanedbate¾núúlohu (vèasné podanie daòového hlásenia, príkazu <strong>na</strong> úhradudane a podobne). Právne relevatnú hodnotu má elektronickápotvrdenka, ktorá predstavuje elektronický podpis elektronickejpodate¾ne k prijatému dokumentu, doplnenému o informáciuo èase príjmu dokumentu, prípadne o jeho stave.Elektronická potvrdenka, ktorá <strong>na</strong>príklad dnes trápi aj tvorcovèe<strong>sk</strong>ého ZoEP (V. Smejkal a kol.: „Právo informaèních a telekomunikaèníchsystémù, C. H. Beck, Praha 2001, s. 100.), by malanájs zodpovedajúce miesto v sloven<strong>sk</strong>om ZoEP. V prípade, žesa rozšíri definícia EP o èasový údaj a struènú informáciu podpisovate¾a,elektronická potvrdenka bude iba EP prijímate¾a,resp. overovate¾a k prijatému, resp. overovanému elektronickéhodokumentu.Èasova peèiatka (èasová z<strong>na</strong>èka)Je zrejmé, že bežná elektronická podate¾òa nebude vybavenádrahým ciachovaným èasovým zariadením, ktoré bude spåòarôzne ïalšie bezpeènostné požiadavky, a èasový údaj elektronickejpodate¾ne <strong>na</strong> elektronickej potvrdenke nemusí by dostatoènepresný. Preto je <strong>na</strong> mieste služba nezávislej èasovej peèiatky(VN § 2 ods. m, § 6, PN § 3 ods. 23, § 11). Ide v podstate opäo elektronickú potvrdenku, t. j. elektronický podpis tejto nezávislejtretej strany s garanciou presného údaja o èase.Je zrejmé, že v bežnej praxi sa takáto služba nezávislej tretejstrany bude využíva iba v sporných prípadoch, ak elektronickápodate¾òa po<strong>sk</strong>ytne nesprávny údaj o èase. V klasickom „papierovomsvete“ podobná služba, ktorá by potvrdila, že hodinky pracovníèkyv podate¾ni sú nepresné, a k urèitému papierovémudokumentu by priradila presný, právne relevantný údaj o èase,dodnes neexistuje. Èasová peèiatka nezávislej tretej strany všakbez elektronickej potvrdenky druhej strany nemá zmysel.4. Forma certifikátuIba elektronická forma certifikátu (VN § 2 ods. g, PN § 8) budezbytoène brzdi využívanie EP v èase od prijatia ZoEP do prijatiavykonávacích predpisov a vybudovania infraštruktúry certifikaènýchautorít.5. Žiados o vydanie certifikátuPri rozširovaní autentifikácie pomocou klasického podpisuo elektronickú autentifikáciu prostredníctvom elektronickéhopodpisu by mala by podchytená vô¾a danej osoby k takémutorozšíreniu autentifikácie – <strong>na</strong>pr. jej písomnou žiados ou, kde jeuvedený opis VK a klasický podpis tejto osoby.6. Podpisovate¾Zúženie podpisovate¾a <strong>na</strong> fyzickú osobu bude v elektronickomsvete s rôznymi automatickými elektronickými podate¾òami z<strong>na</strong>me<strong>na</strong>ve¾a praktických problémov.7. Uzatvorený systémDnešná prax z elektronického bankovníctva dáva dostatok príkladov,ako po<strong>sk</strong>ytovate¾ elektronickej služby po<strong>sk</strong>ytuje takétoslužby <strong>na</strong> nízkej bezpeènostnej úrovni, so zmluvnými podmienkami,ktoré presúvajú zodpovednos za zneužitie tejto nízkejbezpeènosti <strong>na</strong> používate¾a bez toho, aby bol používate¾ <strong>na</strong> totoriziko upozornený.Vsunutie „legislatívnej vaty“ v podobe uzavretého systému(§ 1 ods. 3 VN i PN), <strong>na</strong> ktorý sa zákon o elektronickom podpisenevz ahuje, zbytoène „zahmlieva“ takýto systém v oèiach nez<strong>na</strong>lýchpoužívate¾ov a zlegalizuje uvedený prístup zo strany po<strong>sk</strong>ytovate¾aslabo zabezpeèenej elektronickej služby.Obèian<strong>sk</strong>y zákonník dáva dostatoèný priestor <strong>na</strong> dohoduzmluvných strán o forme a podpise urèitého právneho úkonu.Definovanie uzatvoreného systému z uvedených dôvodov nepovažujeza potrebné ani aktualizovaná smernica EU.Existujú ešte ïalšie úzke miesta predložených návrhov ZoEP(http://<strong>www</strong>.saec.<strong>sk</strong>, http://<strong>www</strong>.informatika.<strong>sk</strong>), ktoré je tiežpotrebné zváži pri príprave koneèného znenia ZoEP. Na kvalitnýa funkèný ZoEP <strong>na</strong> Sloven<strong>sk</strong>u už dlhší èas netrpezlivo èaká širokáobec priaznivcov, používate¾ov, návrhárov a tvorcov rôznychelektronických služieb.R.Rexa@e-unicom.<strong>sk</strong>10/2001 PC REVUE 101