Čo priniesla novela zákona o elektronickom podpise
V článku uvediem niekoľko zásadných zmien, ktoré od 1. januára 2009 vstúpili do platnosti na platforme elektronického podpisu. Pozornosť sústredím na zmeny, ktoré klienti priamo pocítia a ktoré sa dotýkajú Zaručeného Elektronického Podpisu (ZEP) - na pripomenutie, ide o takú formu elektronického podpisu, ktorá je legislatívne rovnocenná vlastnoručnému podpisu a teda jeho použitie podlieha predpísaným bezpečnostným pravidlám.
Zmena prvá: Kvalifikovaný certifikát s rodným číslom (§5)
Zákon predpisuje, že ak bude kvalifikovaný certifikát používaný pre styk s orgánmi verejnej moci, musí obsahovať rodné číslo držiteľa. Cieľom tejto úpravy je zjednodušenie komunikácie s verejnou mocou. Tí čitatelia, čo už majú skúsenosti s elektronickým daňovým priznaním vedia, že prvotné kroky k tejto modernej forme komunikácie sú pomerne ťažkopádne. Držiteľ sa musí najskôr zaregistrovať na portáli DRSR, potom musí navštíviť daňový úrad, kde sa jeho certifikát priradí k jeho účtu a až potom môže reálne začať elektronicky komunikovať. Možno si poviete, že inde je byrokracia omnoho horšia. Máte síce pravdu, ale predstavte si, že by ste sa takto museli registrovať na každej inštitúcii, s ktorou by ste chceli elektronicky komunikovať. Práve preto by sa aspoň pri styku s verejnou mocou táto bariéra mala odstrániť. Principiálne nemusí byť v certifikáte rodné číslo. Keby existoval na Slovensku iný jednoznačný identifikátor fyzickej osoby, mohol by sa použiť ten. Dôležité je, že ak je takýto identifikátor súčasťou kvalifikovaného certifikátu, tak orgány verejnej moci (resp. hociktorá inštitúcia, ktorá má prístup k tejto databáze) takto získajú nespochybniteľnú informáciu o tom, kto ZEP k doručenému dokumentu vyhotovil. Odpadla by tak potreba napríklad ísť osobne podať žiadosť o pas, zbrojný preukaz, a iné činnosti na úradoch, ktoré podliehajú overeniu totožnosti. Predstavte si, že by ste takto mohli komunikovať s katastrom, obecným úradom, školami, zdravotníckymi inštitúciami atď. atď. Bez ohľadu na vzdialenosť, úradné hodiny, bez čakania vo fronte... a bez potreby predchádzajúcej registrácie svojho certifikátu.
Zmena druhá: Kvalifikovaný certifikát obsahujúci oprávnenie (§7)
Novela priniesla možnosť vydať kvalifikované certifikáty obsahujúce aj oprávnenie držiteľa k nejakým úkonom. Napríklad konať v mene firmy. Certifikačná autorita uvedie toto oprávnenie do certifikátu na základe žiadosti a po predložení platného oprávnenia. Takto overovateľ podpisu - ľudovo povedané - zabije dve muchy jednou ranou. Jednak si overí, že podpis je platný a patrí osobe, ktorá je v certifikáte uvedená a navyše mu je z certifikátu zrejmé, či osoba je oprávnená overovaný dokument právoplatne podpísať. Na ozrejmenie doplním príklad: ak by som napríklad ja podpísal za firmu príkaz na úhradu do banky, tak podpis by bol síce platný, lebo by bol môj, ale úkon by bol neplatný, lebo nemám na podpisy v mene firmy voči banke mandát. (Pozn. Počas prípravnej diskusie o novele sa týmto certifikátom hovorilo mandátové, v zákone ale tento pojem nie je.)
Podotknem ešte, že novela ukladá povinnosť takýto certifikát bezodkladne zrušiť akonáhle držiteľ už nesmie alebo nemôže podpisy s ním vyhotovovať. Dôvody sú zrejmé - zabrániť zneužitiu.
Zmena tretia: Elektronické podateľne orgánov verejnej moci (§29)
Táto zmena sa síce nedotýka priamo jednotlivých klientov, ale jej dopad je pre nich takmer prelomový. Ukladá totiž orgánom verejnej moci do šiestich mesiacov od vstupu novely do platnosti (t.j. do 30. 6. 2009) oznámiť úradu (rozumej Národnému Bezpečnostnému Úradu - NBÚ) elektronickú adresu elektronickej podateľne, na ktorej prijímajú podania vo forme elektronických dokumentov podpísané elektronickým podpisom alebo elektronických dokumentov podpísaných zaručeným elektronickým podpisom.
Zoznam týchto elektronických adries potom zverejní NBÚ na svojej stránke a cesta k elektronickej komunikácii sa otvorí.
Ostatné zmeny:
Novela samozrejme obsahuje množstvo iných zmien, upresnení a úprav, ktoré sa ukázali ako účelné a potrebné jednak na základe skúseností z minulosti a jednak na zosúladenie s normami EU. Ďalšie zmeny sa týkajú samotných certifikačných autorít a ich vnútorného fungovania. Predefinovali sa niektoré pojmy, upravili sa niektoré postupy a vzťahy.
Samostatnou kapitolou sú zmeny technického charakteru, konkrétne potreba zvýšiť bezpečnosť používaním kryptografických algoritmov vyššej úrovne. Jednou zo zmien je zdvojnásobenie dĺžky šifrovacieho kľúča RSA - na 2 048 bitov a druhou je postupné nahradenie hašovacieho algoritmu SHA 1* algoritmom SHA2 (konkrétne SHA 256).
Tieto zmeny sa síce dotknú všetkých klientov, ale z pohľadu zmien v ich postupoch sú pre nich okrajovou záležitosťou. Pozorne sú sledované hlavne výrobcami a dodávateľmi SW a HW používaného pre ZEP (zaručený elektronický podpis). Prechod na ne sa samozrejme nedá vykonať skokovo, preto je prijaté prechodné obdobie, kedy budú doterajšie algoritmy prirodzene vo vydaných certifikátoch dožívať a novovydávané už budú vyhovovať novým podmienkam.
V náväznosti na tento článok vyjde ešte jeden, ktorého cieľom bude poskytnúť čitateľom viac informácií o výraze haš (HASH), ako sa stal dôležitým pre elektronický podpis a prečo sa musí zmeniť na vyšší.
Text: Ing. Dušan Šiplák
* SHA (Secure Hash Allgorithm) je skupina hašovacích funkcií, ktoré vyvinula americká Národná bezpečnostná agentúra (NSA). Zabezpečujú hlavne kontrolu integrity dát, teda či nedošlo k ich pozmeneniu. Z toho plynie použitie napr. v digitálnych certifikátoch a následne aj elektronickom podpise, či v systéme PGP.
Aktuálne vydanie
Partnerské periodiká
Copyright © 2008 TechPark, o.z. | Všetky práva vyhradené | Realizácia: Webmax