Validace elektronických podpisů a pečetí

Jednou ze služeb vytvářejících důvěru, kterou definuje nařízení eIDAS, je i služba validace elektronických podpisů a pečetí. Ve své podstatě jde o „reverzní“ proces vytvoření elektronického podpisu nebo pečeti, kdy se zjišťuje, jakým způsobem byl daný podpis, respektive pečeť, vytvořen a zda je takovýto podpis/pečeť možné považovat za platný v daném kontextu okolností.

Validace elektronických podpisů a pečetí


Definice validace

Na nejvyšší úrovni je validace definovaná nařízením eIDAS, kde ve článku 3, odst. 41) stanoví, že „pro účely tohoto nařízení se rozumí ověřováním platnosti postup ověřující shodu a potvrzující platnost elektronického podpisu nebo elektronické pečeti“. Detailněji je validace specifikována ve článku 32 nařízení eIDAS.

Z technického hlediska jsou přesné specifikace celého procesu validace elektronických podpisů a pečetí zachyceny v harmonizovaném evropském standardu ETSI, který detailně rozebírá algoritmus ověření elektronického podpisu/pečeti včetně všech náležitostí a výstupů.

Přímo v českém právním řádu je validace ukotvena zejména v:

Zákon 297/2016 Sb.

§ 12 stanoví, že pro ověřování elektronických podpisů a pečetí se použije článek 32 [odst. 1 písm. a) až e), g) a h)] nařízení eIDAS.

Vyhláška 259/2012 Sb.

§ 4 ukládá povinnost veřejnoprávním původcům provádět ověření elektronických podpisů a pečetí při přijetí dokumentu (odst. 4) a dále uvádí, jaká data plynoucí z validace se společně s ověřeným dokumentem mají uložit ve spisové službě (odst. 5, 6 a 7).

Národní standard pro elektronické systémy spisové služby

Článek 2.5 dále rozvíjí a doplňuje požadavky uvedené ve vyhlášce 259/2012.

Zákon 499/2004 Sb.

§ 69a specifikuje povinnost původců provádět validace elektronických podpisů a pečetí při převádění elektronických dokumentů na analogové.

Proces validace

Obecný proces validace elektronických podpisů a pečetí je popsán ve výše zmíněném evropském standardu ETSI. Skutečné implementace validátorů se od tohoto mohou odlišovat, ale pro potřeby tohoto článku budou popsány principy v něm navržené.

Vstupy pro provedení validace jsou vždy minimálně:

  • dokument obsahující podpis, pečeť nebo obojí, které jsou předmětem ověření,
  • validační politika definující, jakým způsobem bude validační nástroj vyhodnocovat jednotlivé zjištěné skutečnosti,
  • další data potřebná pro provedení validace, jako jsou:
    - informace o revokaci použitých certifikátů,
    - seznam EU důvěryhodných kotev.

Provedení validace elektronického podpisu nebo pečeti je komplexní proces sestávající z několika hlavních kroků. Výsledkem každého z těchto kroků je buď „úspěch“, „selhání“, nebo „nemožnost rozhodnout“. Na konci validačního procesu se tyto jednotlivé stavy sloučí v jeden finální výsledek.

Jednotlivé kroky validace jsou naznačeny na schématu níže.
Výsledkem ověření elektronických podpisů a pečetí jsou validační reporty a další validační data, viz vstupy do validačního procesu výše.

Validace Sefira Obelisk

Řešení validace v praxi

Společnost SEFIRA nabízí produkt OBELISK Validator, který zajišťuje provedení validací elektronických podpisů a pečetí podle pravidel stanovených v nařízení eIDAS i českém právním řádu. Základními podporovanými formáty dokumentů a podpisů/pečetí k ověření jsou:

  • PAdES, PKCS#7
  • XAdES, XMLDsig
  • CAdES, PKCS#7
  • S/MIME, MS *.msg
  • Office formáty dokumentů

OBELISK Validator je nabízen v podobě virtuální appliance pro on-premise instalace, ale i jako cloudová kvalifikovaná služba vytvářející důvěru OBELISK Validator QTS.

Autor pracuje jako solution consultant ve společnosti SEFIRA.


Úvodní foto: Adobe Stock




Komentáře