Ministerstvo vnitra České republiky  

Přejdi na

Moderní úřad


Rychlé linky: Mapa serveru Textová verze English Rozšířené vyhledávání


 

Hlavní menu

 

 

Informace k formátům zaručených elektronických podpisů a zaručených elektronických pečetí pro subjekty veřejného sektoru

  • Úvod
  • Stav po 1. červenci 2016 (účinnost ustanovení nařízení eIDAS, které se týkají služeb vytvářejících důvěru)
  • 3. Starší formát elektronického podpisu pro PDF dokumenty - PadES Basic založený na ISO 32000-1 (formát CMS/PKCS#7)

Úvod

Informace jsou principiálně rozděleny do několika částí s ohledem na účinnost některých ustanovení nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (dále jen „nařízení eIDAS“). Před datem 1. července 2016 bylo nutné situaci stran formátů zaručených elektronických podpisů a elektronických značek posuzovat podle zákona č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (dále jen „zákon o elektronickém podpisu“) a související platné legislativy.

Po datu 1. července 2016 je nutné situaci posuzovat podle nařízení eIDAS a související legislativy (zejména podle prováděcího rozhodnutí Komise č. 2015/1506 ze dne 8. září 2015, kterým se stanoví specifikace pro formáty zaručených elektronických podpisů a zaručených pečetí uznávaných subjekty veřejného sektoru podle čl. 27 odst. 5 a čl. 37 odst. 5 nařízení Evropského parlamentu a Rady (EU)č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (dále jen „prováděcí rozhodnutí č. 2015/1506/EU ze dne 8. září 2015). Rozhodnutí Komise je dostupné na adrese http://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32015D1506&from=CS).

Stav po 1. červenci 2016 (účinnost ustanovení nařízení eIDAS, které se týkají služeb vytvářejících důvěru)

Po vstoupení nařízení eIDAS v účinnost, respektive po začátku účinnosti ustanovení nařízení eIDAS, která se týkají oblasti služeb vytvářejících důvěru, je nutné se řídit samotným nařízením eIDAS a rovněž prováděcím rozhodnutím Komise (EU) 2015/1506.

Znění recitálu č. 50 nařízení eIDAS:

Jelikož v současnosti používají příslušné orgány v členských státech při podepisování svých dokumentů elektronickými prostředky různé formáty zaručených elektronických podpisů, je nutné zajistit, aby členské státy mohly při přijímání dokumentů, které byly podepsány elektronickými prostředky, technicky podporovat alespoň určitý počet formátů zaručených elektronických podpisů. Pokud příslušné orgány v členských státech používají zaručené elektronické pečetě, bude obdobně nutné zajistit, aby podporovaly přinejmenším určitý počet formátů zaručených elektronických pečetí.

Znění čl. 27 nařízení eIDAS: Elektronické podpisy ve veřejných službách

1. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručený elektronický podpis, uznává zaručené elektronické podpisy, zaručené elektronické podpisy založené na kvalifikovaném certifikátu pro elektronické podpisy a kvalifikované elektronické podpisy alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

2. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručený elektronický podpis založený na kvalifikovaném certifikátu, uznává zaručené elektronické podpisy založené na kvalifikovaném certifikátu a kvalifikované elektronické podpisy alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

3. Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronický podpis s vyšší zárukou bezpečnosti než kvalifikovaný elektronický podpis.

4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro zaručené elektronické podpisy. Pokud zaručený elektronický podpis vyhovuje těmto normám, předpokládá se shoda s požadavky na zaručené elektronické podpisy uvedenými v odstavcích 1 a 2 tohoto článku a v článku 26. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

5. Do 18. září 2015 Komise s přihlédnutím ke stávajícím postupům, normám a právním aktům Unie stanoví prostřednictvím prováděcích aktů referenční formáty zaručených elektronických podpisů nebo referenční metody, jsou-li používány alternativní formáty. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Znění čl. 37 nařízení eIDAS: Elektronické pečetě ve veřejných službách

1. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručenou elektronickou pečeť, uznává zaručené elektronické pečetě, zaručené elektronické pečetě založené na kvalifikovaném certifikátu pro elektronické pečetě a kvalifikované elektronické pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

2. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručenou elektronickou pečeť založenou na kvalifikovaném certifikátu, uznává zaručené elektronické pečetě založené na kvalifikovaném certifikátu a kvalifikované elektronické pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

3. Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronickou pečeť s vyšší zárukou bezpečnosti než kvalifikovanou elektronickou pečeť.

4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro zaručené elektronické pečetě. Pokud zaručená elektronická pečeť vyhovuje těmto normám, předpokládá se shoda s požadavky na zaručené elektronické pečetě uvedenými v odstavcích 1 a 2 tohoto článku a v článku 36. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

5. Do 18. září 2015 Komise s přihlédnutím ke stávajícím postupům, normám a právním aktům Unie stanoví prostřednictvím prováděcích aktů referenční formáty zaručených elektronických pečetí nebo referenční metody, jsou-li používány alternativní formáty. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Prováděcí rozhodnutí Komise č. 2015/1506/EU stanoví referenční formáty zaručených elektronických podpisů a pečetí nebo referenční metody, jsou-li používány alternativní formáty. Zmíněné rozhodnutí vychází z prováděcího rozhodnutí Komise 2014/148/EC a je zveřejněno v Úředním věstníku EU na této adrese: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:JOL_2015_235_R_0006.

Článek 27 a 37 nařízení eIDAS stanovují povinnost pro veřejnou správu (subjekty veřejného sektoru), aby uznávala zaručené elektronické podpisy nebo pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcím rozhodnutí Komise č. 2015/1506/EU, pokud je pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje. Tzn. veřejná správa musí umět zpracovávat alespoň určité formáty zaručených elektronických podpisů a pečetí a rovněž případně upravit procesy podepisování a opatřování pečetí tak, aby odpovídaly prováděcímu rozhodnutí Komise č. 2015/1506/EC. V případě, že by elektronické dokumenty byly podepsány nebo opatřeny elektronickou pečetí v jiných formátech než v těch, které jsou přímo specifikovány, pak je opět stanovena povinnost, aby mohly být podpisy či pečetě uznávány, aby existoval nástroj pro ověření těchto elektronických podpisů nebo pečetí, jinak nebude možné zaručit ověření těchto zaručených elektronických podpisů a pečetí u subjektů veřejného sektoru v jiných členských státech. Viz  recitál č. 7 prováděcího rozhodnutí:

Pokud se k podpisu či opatření pečetí používají jiné formáty elektronického podpisu nebo pečetě, než jaké jsou běžně technicky podporovány, měly by existovat ověřovací prostředky, jež umožňují přeshraniční ověřování elektronických podpisů či pečetí. Aby se přijímající členské státy mohly na tyto ověřovací nástroje jiného členského státu spolehnout, je nezbytné stanovit snadno dostupné informace o těchto ověřovacích nástrojích, a sice zahrnutím těchto informací do elektronických dokumentů, elektronických podpisů nebo schránek obsahujících elektronické dokumenty.

V případě jiných formátů zaručených elektronických podpisů/pečetí nebo s použitím jiných metod než těch stanovených v prováděcím rozhodnutí Komise č. 2015/1506/EU, subjekt veřejného sektoru se může rozhodnout, zda-li bude uznávat i jiné formáty zaručených el. podpisů/pečetí nebo použité metody, než ty, co jsou výslovně zmíněny v prováděcím aktu 2015/1506/EU a to za předpokladu dodržení ostatních právních předpisů.

Informace týkající se staršího formátu elektronického podpisu pro PDF dokumenty - PAdES Basic založený na ISO 32000-1  (formát CMS/PKCS#7) a doporučení MV jsou uvedeny na této stránce: https://www.mvcr.cz/clanek/informace-k-formatum-zarucenych-elektronickych-podpisu-a-zarucenych-elektronickych-peceti-pro-subjekty-verejneho-sektoru.aspx?q=Y2hudW09Mw%3d%3d

Prováděcí rozhodnutí je rozděleno na tři části – recitály (odůvodnění), články a přílohy s odkazy na technické specifikace. Články 1 a 2 se týkají formátů zaručených elektronických podpisů, přičemž čl. 1 odkazuje na přílohu, kde jsou uvedeny technické specifikace pro jednotlivé formáty zaručených elektronických podpisů – XAdES, CAdES, PAdES a ASiC. Pokud jde o formáty XAdES, CAdES, PAdES, ty mají být akceptovány v úrovních shody B, T a LT. Zatím není vyžadováno uznávání úrovní shody LTA. Základem je, aby byly akceptovány úrovně shody základní (B - úroveň) v jednotlivých formátech, jelikož přidáváním dalších funkčních požadavků na základní úroveň vznikají vyšší úrovně shody – T, LT i LTA.
 

Článek 2 se týká případů, kdy zaručený elektronický podpis není ve formátu podle odkazovaných technických specifikací prostřednictvím čl. 1, tj. neodpovídá specifikacím XAdES, CAdES, PAdES a ASiC v definovaných úrovních shody. V tomto případě, aby mohl být elektronický dokument podepsaný zaručeným elektronickým podpisem akceptován přijímajícím členským státem, je nutné při ověřování alternativních formátů dodržet podmínky stanovené v čl. 2 odst. 2 (tzv. referenční metody), opět je zde například stanovena povinnost existence nástroje umožňující online ověření podpisů. Výše uvedené platí rovněž pro formáty zaručených elektronických pečetí, jelikož z technického hlediska jde o totéž – čl. 3 a čl. 4.

Vzhledem ke skutečnosti, že prováděcí rozhodnutí Komise č. 2015/1506/EU vychází z prováděcího rozhodnutí Komise 2014/148/EC, tak odkazované technické specifikace pro formáty zaručených elektronických podpisů a pečetí jsou totožné:

PŘÍLOHA

Seznam technických specifikací pro zaručené elektronické podpisy XML, CMS nebo PDF a kontejner s přidruženým podpisem

Zaručené elektronické podpisy uvedené v článku 1 rozhodnutí musí vyhovovat jedné z následujících technických specifikací ETSI, s výjimkou bodu 9 uvedených specifikací:

výchozí profil XAdES

ETSI TS 103171 v.2.1.1 (1).

výchozí profil CAdES

ETSI TS 103173 v.2.2.1 (2).

výchozí profil PAdES

ETSI TS 103172 v.2.2.2 (3).

Kontejner s přidruženým podpisem uvedený v článku 1 rozhodnutí musí vyhovovat následujícím technickým specifikacím ETSI:

výchozí profil kontejneru s přidruženým podpisem

ETSI TS 103174 v.2.2.1 (4)

Seznam technických specifikací pro zaručené elektronické pečetě XML, CMS nebo PDF a kontejner s přidruženou pečetí

Zaručené elektronické pečetě uvedené v článku 3 rozhodnutí musí vyhovovat jedné z následujících technických specifikací ETSI, s výjimkou bodu 9 uvedených specifikací:

výchozí profil XAdES

ETSI TS 103171 v.2.1.1

výchozí profil CAdES

ETSI TS 103173 v.2.2.1

výchozí profil PAdES

ETSI TS 103172 v.2.2.2

Kontejner s přidruženou pečetí uvedený v článku 3 rozhodnutí musí vyhovovat následujícím technickým specifikacím ETSI:

výchozí profil kontejneru s přidruženou pečetí

ETSI TS 103174 v.2.2.1

(1) http://www.etsi.org/deliver/etsi_ts/103100_103199/103171/02.01.01_60/ts_103171v020101p.pdf (.pdf 129 KB)

(2) http://www.etsi.org/deliver/etsi_ts/103100_103199/103173/02.02.01_60/ts_103173v020201p.pdf (.pdf 95 KB)

(3) http://www.etsi.org/deliver/etsi_ts/103100_103199/103172/02.02.02_60/ts_103172v020202p.pdf (.pdf 92 KB)

(4) http://www.etsi.org/deliver/etsi_ts/103100_103199/103174/02.02.01_60/ts_103174v020201p.pdf (.pdf 85 KB)

3. Starší formát elektronického podpisu pro PDF dokumenty - PadES Basic založený na ISO 32000-1 (formát CMS/PKCS#7)

Tento starší formát elektronického podpisu je někdy také označován jako PAdES-CMS nebo jako PAdES Basic založený na ISO 32000-1 dle starší technické specifikace ETSI TS 102 778.

Subjekty veřejného sektoru (tj. veřejná správa) nemá povinnost tento starší formát elektronického podpisu uznávat, jelikož tento formát není uveden v prováděcím rozhodnutí Komise č. 2015/1506/EC. Viz informace k prováděcímu rozhodnutí uvedené na stránce https://www.mvcr.cz/clanek/informace-k-formatum-zarucenych-elektronickych-podpisu-a-zarucenych-elektronickych-peceti-pro-subjekty-verejneho-sektoru.aspx?q=Y2hudW09Mw%3d%3d.  

Ministerstvo vnitra doporučuje od používání tohoto formátu el. podpisu pro PDF dokumenty  ustoupit jednak s ohledem na jeho nepovinné uznávání ze strany subjektů veřejného sektoru a jednak s ohledem na riziko útoku na substituci podpisového certifikátu (tj. certifikátu, na kterém je el. podpis PDF dokumentu založen). Tento starší formát el. podpisu PDF dokumentů neobsahuje jako podepisovaný atribut identifikaci certifikátu pro ověření tohoto podpisu a tak může být podpisový certifikát nahrazen bez porušení integrity vlastního elektronického podpisu.   

Veřejná správa by tento typ elektronického podpisu neměla používat k podpisu PDF dokumentů již od poloviny roku 2012, pokud příslušné orgány veřejné moci, které tento typ podpisu používaly, nezpřístupnily k neomezenému a bezplatnému užití způsobem umožňujícím dálkový přístup aplikaci umožňující ověření uznávaného elektronického podpisu nebo uznávané elektronické značky.

Subjekty činící podání prostřednictvím PDF dokumentu podepsaného uznávaným el. podpisem často používají k podepsání PDF dokumentu volně dostupný nástroj pro práci s PDF dokumenty „Adobe Acrobat Reader DC“, který v základním nastavení podepisuje elektronické dokumenty výše zmíněným starším formátem el. podpisu. Jak je uvedeno výše, tento starší formát el. podpisu nemá veřejná správa povinnost akceptovat.

Nicméně nástroj „Adobe Acrobat Reader DC“ lze jednoduše přenastavit tak, aby dokumenty podepisoval novějším druhem el. podpisu, jenž má veřejná správa povinnost akceptovat.  Pro změnu tohoto nastavení je třeba provést několik snadných kroků, jejichž popis je obsažen v níže uvedeném souboru s návodem.  

 

Související dokumenty

vytisknout  e-mailem