Tento týden dostali novináři věcný návrh zákona o digitálním podpisu. Co v něm je a co se vás bude týkat.
Tento týden dostali novináři věcný návrh zákona o digitálním podpisu. Sami si jej můžete
přečíst na adrese a nebo
zde.
Co je to vlastně digitální podpis? Mám nějaký dokument v digitální formě, třeba smlouvu napsanou v MS Wordu. Tu pak chci zaslat e-mailem mému obchodnímu partnerovi. Ten ale nemusí vůbec věřit, že jsem ji poslal právě já. Existuje mnoho možností jak odeslat e-mail s identitou někoho jiného. Řešením je právě digitální podpis. Jedná se o jistou informaci, která se přidá k samotným datům. Tato informace v sobě obsahuje identitu podepisujícího a nelze ji smysluplně modifikovat (je to zakódovaný řetězec).
Digitální podepisování funguje na bázi asymetrické kryptografie. Každá komunikující strana má svůj soukromý a veřejný klíč. Klíče jsou navzájem komplementární. Zpráva zašifrovaná jedním se dá odšifrovat druhým. Jestliže chci nějaký dokument digitálně podepsat, musím jej jakoby zašifrovat svým soukromím klíčem (ten znám jen já). Kdokoliv tento dokument může sice dešifrovat, ale jen mým veřejným klíčem a to je důkaz, že jsem zprávu podepsal právě já. Tento základní princip se ale v praxi používá se několika vylepšeními. Zaprvé není nutné podepisovat celý dokument nýbrž jen jeho charakteristiku (vytvořenou distribuční (hašovací) funkcí). Tím se výrazně sníží velikost podpisu. Za druhé je nutné zřídit tzv. certifikační autority. Ty mohu potvrzovat klíče neboli ujišťovat, komu který klíč patří.
A teď k samotnému návrhu zákona. Digitálně podepisovat se v současné době může kdokoliv. Oblíbený je například systém PGP (Pretty Good Privacy). Právní váha takového podpisu je ale pramalá (o tom hovoří návrh v sekci B). Přijetím zákona by se digitální podpis dostal na úroveň běžného vlastnoručního (byl by ale mnohem bezpečnější).
Ve věcném návrhu (oddíl C) jsou nejprve vymezeny pojmy, podobně jako v úvodu článku. Dále se návrh točí kolem certifikačních autorit, certifikátů a nakládání s nimi. Prve bude zřízen úřad předběžně nazývaný Národní certifikační autorita. Ten by měl vydávat licence jednotlivým certifikačním autoritám (pravděpodobně komerčním subjektům). Ty by pak certifikovaly klíče jednotlivých klientů (fyzických osob).
V sekci D je několik stran diskuse a vysvětlení principů navržených v zákoně. Zákon musí (aspoň by měl) respektovat kromě našich požadavků i doporučení OSN a Evropské Unie. Stávající návrh vzal v potaz nám (geograficky) nejbližší německý zákon.Po přečtení celého dokumentu mě překvapila důsledná pozornost věnovaná certifikačním autoritám a certifikování. Co jsem ale postrádal je vysvětlení nebo úprava samotného aktu elektronického podpisu. Samozřejmě nečekám, že se v zákoně budou specifikovány přímo šifrovací algoritmy, ale aspoň nějaké zmínka by v zákoně být mohla.
Nakonec se vrátím k otázce z nadpisu článku. Kdy tedy bude zákon schválen? Zatím se o návrhu diskutuje v rámci Úřadu pro státní informační systém. Optimistické předpovědi říkají jeden rok, pesimistické deset. Tak si vyberte.
