Článek vznikl ve spolupráci se společností Elektronický podpis s.r.o.

Pojďme se na digitální identitu – její pravidla, fungování a možnosti podívat podrobněji. Dotkneme se i rozdílů mezi používáním identity v EU a v USA. Ukážeme možná bezpečnostní rizika, ale i cesty, jak jim spolehlivě předcházet. Chybět nebude ani pohled do možné budoucnosti elektronického podpisu a digitální identity tak, jak ji naznačují současné trendy.

Digitální identita

Digitální identita je pojem zahrnující všechny atributy, které člověka identifikují v digitálním prostoru. Už víte, že jedním z atributů je elektronický podpis. A co ty další? K nejčastěji využívaným patří:

• federované identity – přihlašování přes účty velkých poskytovatelů (Google, Facebook, Apple) 
• bankovní identita (BankID)
• Mobilní klíč eGovernmentu
• datová schránka 
• Národní identitní autorita (NIA)
• eObčanka
• MojeID

Co potřebujete vědět o elektronickém podpisu, než ho začnete používat

Elektronický podpis není jen naskenovaný obrázek rukopisu. Jde o soubor dat, který se váže k dokumentu a potvrzuje, že ho podepsal konkrétní člověk. Funguje na principu šifrování a digitálních certifikátů, které zaručují pravost i neměnnost obsahu.

Úrovně elektronického podpisu

V České republice a v EU rozlišujeme tři hlavní úrovně elektronických podpisů:

• Prostý elektronický podpis – může být i pouhé jméno pod e-mailem nebo zaškrtnutí políčka "souhlasím" na webové stránce. Neobsahuje žádný technický důkaz o identitě podepisujícího.
• Zaručený elektronický podpis – jednoznačně identifikuje podepisující osobu a detekuje jakékoliv následné změny v dokumentu. Je vázán na certifikát, a tím i na konkrétní osobu.
• Kvalifikovaný elektronický podpis – nejvyšší úroveň podpisu, vyžaduje kvalifikovaný certifikát vydaný akreditovanou certifikační autoritou. Je právně rovnocenný vlastnoručnímu podpisu, a to v celé EU.

Jak podpis funguje po technické stránce? 

Elektronický podpis využívá asymetrické kryptografie založené na dvojici klíčů. Tím prvním je soukromý klíč, a pak je tu ještě klíč veřejný. Soukromý klíč máte jen vy, používáte ho k vytvoření podpisu. Veřejný klíč může mít kdokoliv, slouží totiž k ověření vašeho podpisu.

Elektronické podepisování dokumentu probíhá v několika krocích. Nejprve systém vytvoří tzv. hash. To je jedinečný digitální otisk dokumentu. Ten se následně digitálně podepíše pomocí soukromého klíče podepisující osoby. Jde o kryptografickou operaci, která umožňuje ověření autenticity a integrity dokumentu. Výsledným kódem je onen elektronický podpis, jenž se připojí k dokumentu. 

Příjemce dokumentu může pomocí veřejného klíče snadno ověřit jak autenticitu (že podpis vytvořila opravdu daná osoba), tak integritu dokumentu (že po podepsání nedošlo k žádným změnám). 

Proč věřit elektronickému podpisu?

Důvěryhodnost celého procesu zajišťují certifikáty vydávané certifikačními autoritami, které garantují spojení mezi identitou subjektu a jeho klíčem. Tato garance je založena na právně vymahatelné odpovědnosti certifikačních autorit operujících v rámci legislativního rámce. Tím se vytváří infrastruktura veřejného klíče (PKI) s jasně definovanou hierarchií důvěry.

Certifikát elektronického podpisu má časově omezenou platnost. To neplatí o již podepsaných dokumentech, ale o samotném nástroji. Chcete-li digitální identitu v podobě elektronického podpisu používat dlouhodobě, pravidelně musíte certifikát obnovovat.

Kde získáte elektronický podpis, resp. oba klíče?

Bezpečné podepisování začíná výběrem spolehlivého nástroje. Podpis musí být platný, ověřitelný a jmenovitou autoritou chráněný proti zneužití. Na trhu najdeme vícero nástrojů pro elektronické podepisování. Některé jsou jednoduché, jiné zvládají i pokročilé funkce. V České republice se setkáte se třemi kvalifikovanými poskytovateli certifikačních služeb:

• První certifikační autorita – nejstarší český poskytovatel certifikačních služeb v ČR, nabízí službu I.CA se specializací na kvalifikované certifikáty pro elektronické podpisy a pečetě. 
• Česká pošta – provozuje certifikační autoritu PostSignum od roku 2005, vedle elektronických podpisů nabízí i časová razítka a další služby důvěryhodné infrastruktury.
• eIdentity – zaměřená na komplexní řešení elektronické identity a bezpečnosti, poskytující kvalifikované certifikáty ACAeID, ale i související služby pro firmy i veřejnou správu.

Vedle tří autorit a jejich nástrojů najdete na českém trhu i zprostředkovatele některého z nástrojů, kteří jej doplňují o rozšiřující služby, nebo poskytovatele mezinárodních certifikačních služeb. K nejznámějším patří:

• BankID – služba pro získání zaručeného podpisu pomocí bankovních údajů, umožňující přístup k digitálním službám.
• DocuSign – mezinárodní platforma pro elektronické podepisování dokumentů.
• Adobe Sign – komplexní řešení pro velké společnosti i jednotlivce s přehledným prostředím a širokou kompatibilitou.

Za zmínku stojí také ElektronickýPodpis.cz, což je služba specializující se na asistované zřízení a nastavení certifikátu PostSignum přímo u klienta, který tím ušetří čas ve srovnání s vyřizováním samostatně u České pošty.

Bezpečný elektronický podpis má své zásady. Bez výjimky

Bezpečné používání elektronického podpisu vyžaduje ze strany uživatele jistý respekt k pravidlům bezpečnosti. Především chraňte svůj soukromý klíč a přístupové údaje k němu. Používejte silná hesla a dvoufaktorovou autentizaci.

Vždycky kontrolujte, co podepisujete, dělejte to stejně pečlivě jako u papírových dokumentů. Zálohujte podepsané dokumenty na bezpečném místě a dobře si promyslete, s kým je budete sdílet. Pamatujte i na možnosti omezeného sdílení a zamykání některých částí.

Pravidelně aktualizujte software sloužící k práci s elektronickými podpisy. A hlídejte si termíny: před koncem platnosti certifikátu si včas zařiďte (nebo nechte zařídit) jeho obnovu.

Digitální identita není jen podpis, ale i možnost jeho ověření

Jen podpis nestačí. Aby měl elektronický podpis smysl, musíte být schopni si jej (vy nebo druhá strana) také ověřit. Podobně, jako se úředně ověřují podpisy rukou na papírových dokumentech. Každý elektronicky podepsaný dokument je bezcenný, pokud si podpis nemůžete ověřit.

Jak probíhá ověření? Software pro ověření digitální identity zkontroluje čtyři oblasti:  

1. Který z nástrojů elektronického podpisu odesílatel použil, 
2. platnost certifikátu a jeho úroveň (ta určuje míru důvěryhodnosti a právní závaznosti podpisu, například EIDAS platí napříč EU),
3. časové razítko a jeho pravost, 
4. integritu dokumentu – jestli se dokument po podepsání nezměnil.

Digitální nástroje zvládnou podpis ověřit automaticky. Ale vy vždycky věnujte pozornost varováním typu: „certifikát není důvěryhodný“ nebo „dokument byl po podpisu změněn“. Neberte je na lehkou váhu.

Jak se podpis ověřuje? V každém programu jinak, ale všude jednoduše

Jak na ověření konkrétního dokumentu? Stačí otevřít dokument v aplikaci, která podpisy umí ověřovat. Když je podpis kvalifikovaný a vystavený důvěryhodnou autoritou, jako je PostSignum, software ho většinou ověří automaticky a bez komplikací. 

Zde je postup v nejčastěji používaných aplikacích:

• Adobe Acrobat Reader – otevřete dokument a klikněte na modrý pruh nebo panel Signatures. Tam najdete detailní informace o podpisu (podpisech).
• PDF-XChange Editor – otevřete dokument a klikněte na záložku Ochrana. V ní vyberte položku Ověřit platnost podpisů a program vám vše ukáže, i s odpovídajícím komentářem.
• Microsoft Office (Word, Excel, PowerPoint) – po otevření podepsaného dokumentu uvidíte v horní části žlutý pruh s informací: "Tento dokument obsahuje platné podpisy" nebo "Upozornění na neplatný podpis". Kliknutím na Zobrazit podpisy se otevře panel s detaily.
• PostSignum nástroje – můžete využít online validátor, desktopovou aplikaci PostSignum Tool, nebo zkontrolovat CRL seznam. S procesem vám případně poradí zákaznická podpora.
• Online validátory (např. Ministerstvo vnitra ČR) – nahrajete dokument a validátor během pár vteřin ověří podpis, včetně časového razítka a certifikátu.

Právní síla elektronického podpisu v EU

Elektronický podpis není jen technická záležitost – je to i právní úkon. Když dokument podepíšete kvalifikovaným podpisem, má stejnou váhu jako podpis rukou. Aby to platilo, musí být splněny požadavky dané legislativou. V Evropské unii je tím hlavním rámcem nařízení eIDAS.

Nařízení eIDAS (Electronic Identification, Authentication and Trust Services) sjednocuje pravidla pro elektronickou identifikaci a důvěryhodné služby v rámci EU. Účinné je od roku 2016 a zajišťuje:

• vzájemné uznávání elektronických identifikačních prostředků mezi členskými státy,
• jednotná pravidla pro poskytovatele důvěryhodných služeb,
• stejnou právní váhu kvalifikovaného elektronického podpisu, jako má vlastnoruční podpis.

Dále určuje, kdo může vydávat certifikáty, jak musí vypadat kvalifikovaný elektronický podpis, jaké jsou podmínky pro uznávání přes hranice (například mezi Českem a Německem) a jak mají fungovat důvěryhodné služby typu časová razítka, ověřování totožnosti apod. 

Díky eIDAS se nemusíte bát podepsat smlouvu s partnerem v jiné zemi EU. Jestliže oba používáte kvalifikovaný podpis, dokument má stejnou právní sílu jako vlastnoručně podepsaný. V případě sporu slouží ověřený elektronický podpis jako důkaz.

V USA jinak než v EU, na to pamatujte

Přístup k elektronickým podpisům se liší podle právního prostředí. EU a USA používají odlišné principy. Přizpůsobit se musíte podle toho, ve které zemi budete dokument uplatňovat, a podle toho zvolit vhodný typ podpisu:

• EU (eIDAS) – důraz na regulaci, certifikované autority a jasně daná pravidla,
• USA (ESIGN Act a UETA) – volnější přístup, klíčová je prokazatelná vůle podepsat dokument, nikoliv technologie samotná.

Co to pro vás znamená v praxi?

• V EU musí být podpis jednoznačně spojený s konkrétní osobou, časem a účelem,
• v USA může být právně platný i jednoduchý klik na „Souhlasím“, jakmile se prokáže, že osoba tak učinila vědomě a dobrovolně.

Bezpečnostní rizika tu jsou (jako všude v online světě). Ale ubráníte se 

Elektronický podpis šetří čas a náklady, ale bez správného zabezpečení může být zneužitelný. Stejně jako cokoliv jiného v digitálním prostředí. Je tu ale dobrá zpráva: většině hrozeb lze snadno předejít s trochou obezřetnosti.

Jak vypadají kyberútoky na digitální identitu

Nejčastější hrozby se týkají buď přímo certifikátu, nebo prostředí, ve kterém podpis používáte. Útočníci se snaží:

• napodobit weby certifikačních autorit,
• získat přístup k vašemu podpisu přes phishing nebo malware,
• vytvořit falešné podpisy bez technického zabezpečení,
• zneužít ukradený certifikát a soukromý klíč.

Co vám pomůže se bránit útočníkům

Většinu útoků odrazíte pomocí úplně základních digitálních návyků. Mezi ně patří:

• kontrola webů, ze kterých stahujete nástroje nebo dokumenty,
• opatrnost u podezřelých e-mailů a příloh. Dokud si je neověříte, neotevírejte je,
• aktuální antivir a s tím spojená ochrana nejen počítače, ale i celé sítě,
• podepisování jen v důvěryhodném prostředí,
• důsledné ověřování platnosti a původu podpisů.

Jak spolehlivě ochráníte svůj elektronický podpis

Vedle obecných digitálních návyků se naučte ještě specifická pravidla pro ochranu zaměřenou přímo na váš elektronický podpis:

• Certifikáty nenechávejte uložené přímo v počítači – ideální je použití hardwarového tokenu nebo čipové karty,
• zařízení, která certifikát obsahují, by měla být šifrovaná, používejte silná hesla, pravidelně je měňte a nikdy je nesdílejte,
• aktivujte dvoufaktorové ověření (například přes aplikaci nebo SMS),
• pravidelně instalujte aktualizace systému a bezpečnostních nástrojů,
• neinstalujte pochybné programy – mohou obsahovat keyloggery nebo spyware,
• ještě spolehlivěji svá data ochráníte, když budete k podepisování používat samostatný (ideálně offline) počítač nebo virtuální prostředí (určené jen k práci s podpisy),
• sledujte aktivitu v účtech spojených s elektronickým podpisem a nastavte si upozornění na podezřelé chování.

Co když svůj podpis ztratíte?

Když ztratíte zařízení obsahující certifikát nebo budete mít podezření na únik dat či zneužití podpisu, vyžádejte si u poskytovatele tzv. revokaci. To je předčasné ukončení platnosti (podobně, jako jsme zvyklí u platební karty). Dosud podepsané dokumenty zůstávají platné, ale k novému podpisu už tento certifikát nepůjde použít.

Stejně se postupuje, když ve firmě ukončuje pracovní poměr osoba, která elektronický podpis obsluhovala. Ani tady se to bez revokace neobejde.

Jakou budoucnost naznačují současné trendy digitální identity?

Digitální identita se neustále vyvíjí. Jedním z nejvýraznějších trendů je decentralizovaná identita. Hlavní změnou by měl být samotný správce identity. Místo toho, aby jím byly centrální organizace (stát nebo velká firma), stará se o svou digitální identitu v tomto konceptu přímo uživatel. 

Umožní mu to tzv. self-sovereign identity, třeba prostřednictvím aplikace v mobilu. Osobní údaje se už nemají ukládat do jedné centrální databáze. Využít by se měl blockchain, který zajišťuje transparentnost, důvěryhodnost a nižší riziko úniku dat.

Souběžně s decentralizací identity roste význam umělé inteligence (AI), která už dnes pomáhá s biometrickým ověřováním (např. rozpoznávání obličeje nebo hlasu), s odhalováním falešných dokumentů nebo s analýzou podezřelého chování při podepisování.

AI dokáže vyhodnotit, zda podpis neprobíhá z podezřelého zařízení nebo lokality. Do budoucna se očekává zesílení její role, například:

• bezpečnostní systémy se budou adaptovat v reálném čase,
• kombinace biometrie (rozpoznávání obličeje, hlasu) a AI zvýší přesnost a bezpečnost ověřování,
• bude potřeba řešit stále pokročilejší hrozby (deepfakes).

Ale nevyvíjí se jen technologie. I právní rámec čekají notné změny. Chystá se eIDAS 2.0, který klade důraz především na:

• mobilní identitu a digitální peněženky,
• větší integraci národních systémů elektronické identity v EU,
• zvýšený důraz na ochranu soukromí, 
• větší tlak na integraci podpisů do firemních systémů.

Digitální identita zkrátka míří k větší důvěryhodnosti, komfortu i bezpečnosti. Pro firmy to s sebou ale nese nové výzvy, jak zabezpečit procesy, a zároveň zůstat v souladu s právem.

Závěrem

Elektronický podpis se stal nenahraditelným nástrojem v digitálním světě. Zajišťuje právní závaznost dokumentů, ověření identity a integritu dat. Různé úrovně elektronických podpisů nabízejí řešení pro různé potřeby: od běžné komunikace až po právně závazné dokumenty. 

Digitální identita se stává základem moderního fungování a s rostoucím významem online světa bude její důležitost dále růst. Správným přístupem využijete všechny výhody elektronického podepisování a minimalizujete bezpečnostní rizika.

Jednotlivcům doporučujeme:

• zvážit pořízení kvalifikovaného elektronického podpisu pro komunikaci s úřady a důležité dokumenty,
• dbát na bezpečné uložení certifikátů a přístupových údajů,
• pravidelně obnovovat certifikáty před vypršením jejich platnosti.

Pro firmy je vhodné:

• zavést jasné postupy pro používání elektronických podpisů,
• školit zaměstnance v oblasti bezpečnosti digitální identity,
• zvážit centralizované řešení pro správu elektronických podpisů.

K digitální identitě přistupujte stejně zodpovědně jako k té fyzické. Pamatujte na základní bezpečnostní pravidla. Důležitost digitální identity i jejího zabezpečení dále poroste.