Procesní modelování  

Přejdi na

Procesní modelování  


Rychlé linky: Mapa serveru Textová verze Rozšířené vyhledávání


 

Hlavní menu

 

 

Informace k formátům zaručených elektronických podpisů a zaručených elektronických pečetí pro subjekty veřejného sektoru

  1. Úvod
  2. Stav po 1. červenci 2016 (účinnost ustanovení nařízení eIDAS, které se týkají služeb vytvářejících důvěru)
  3. 3. Starší formát elektronického podpisu pro PDF dokumenty - PadES Basic založený na ISO 32000-1 (formát CMS/PKCS#7)

Po vstoupení nařízení eIDAS v účinnost, respektive po začátku účinnosti ustanovení nařízení eIDAS, která se týkají oblasti služeb vytvářejících důvěru, je nutné se řídit samotným nařízením eIDAS a rovněž prováděcím rozhodnutím Komise (EU) 2015/1506.

Znění recitálu č. 50 nařízení eIDAS:

Jelikož v současnosti používají příslušné orgány v členských státech při podepisování svých dokumentů elektronickými prostředky různé formáty zaručených elektronických podpisů, je nutné zajistit, aby členské státy mohly při přijímání dokumentů, které byly podepsány elektronickými prostředky, technicky podporovat alespoň určitý počet formátů zaručených elektronických podpisů. Pokud příslušné orgány v členských státech používají zaručené elektronické pečetě, bude obdobně nutné zajistit, aby podporovaly přinejmenším určitý počet formátů zaručených elektronických pečetí.

Znění čl. 27 nařízení eIDAS: Elektronické podpisy ve veřejných službách

1. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručený elektronický podpis, uznává zaručené elektronické podpisy, zaručené elektronické podpisy založené na kvalifikovaném certifikátu pro elektronické podpisy a kvalifikované elektronické podpisy alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

2. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručený elektronický podpis založený na kvalifikovaném certifikátu, uznává zaručené elektronické podpisy založené na kvalifikovaném certifikátu a kvalifikované elektronické podpisy alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

3. Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronický podpis s vyšší zárukou bezpečnosti než kvalifikovaný elektronický podpis.

4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro zaručené elektronické podpisy. Pokud zaručený elektronický podpis vyhovuje těmto normám, předpokládá se shoda s požadavky na zaručené elektronické podpisy uvedenými v odstavcích 1 a 2 tohoto článku a v článku 26. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

5. Do 18. září 2015 Komise s přihlédnutím ke stávajícím postupům, normám a právním aktům Unie stanoví prostřednictvím prováděcích aktů referenční formáty zaručených elektronických podpisů nebo referenční metody, jsou-li používány alternativní formáty. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Znění čl. 37 nařízení eIDAS: Elektronické pečetě ve veřejných službách

1. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručenou elektronickou pečeť, uznává zaručené elektronické pečetě, zaručené elektronické pečetě založené na kvalifikovaném certifikátu pro elektronické pečetě a kvalifikované elektronické pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

2. Pokud členský stát pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje zaručenou elektronickou pečeť založenou na kvalifikovaném certifikátu, uznává zaručené elektronické pečetě založené na kvalifikovaném certifikátu a kvalifikované elektronické pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcích aktech uvedených v odstavci 5.

3. Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronickou pečeť s vyšší zárukou bezpečnosti než kvalifikovanou elektronickou pečeť.

4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro zaručené elektronické pečetě. Pokud zaručená elektronická pečeť vyhovuje těmto normám, předpokládá se shoda s požadavky na zaručené elektronické pečetě uvedenými v odstavcích 1 a 2 tohoto článku a v článku 36. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

5. Do 18. září 2015 Komise s přihlédnutím ke stávajícím postupům, normám a právním aktům Unie stanoví prostřednictvím prováděcích aktů referenční formáty zaručených elektronických pečetí nebo referenční metody, jsou-li používány alternativní formáty. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Prováděcí rozhodnutí Komise č. 2015/1506/EU stanoví referenční formáty zaručených elektronických podpisů a pečetí nebo referenční metody, jsou-li používány alternativní formáty. Zmíněné rozhodnutí vychází z prováděcího rozhodnutí Komise 2014/148/EC a je zveřejněno v Úředním věstníku EU na této adrese: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:JOL_2015_235_R_0006.

Článek 27 a 37 nařízení eIDAS stanovují povinnost pro veřejnou správu (subjekty veřejného sektoru), aby uznávala zaručené elektronické podpisy nebo pečetě alespoň ve formátech nebo s použitím metod stanovených v prováděcím rozhodnutí Komise č. 2015/1506/EU, pokud je pro využití určité on-line služby, která je poskytována subjektem veřejného sektoru nebo jeho jménem, požaduje. Tzn. veřejná správa musí umět zpracovávat alespoň určité formáty zaručených elektronických podpisů a pečetí a rovněž případně upravit procesy podepisování a opatřování pečetí tak, aby odpovídaly prováděcímu rozhodnutí Komise č. 2015/1506/EC. V případě, že by elektronické dokumenty byly podepsány nebo opatřeny elektronickou pečetí v jiných formátech než v těch, které jsou přímo specifikovány, pak je opět stanovena povinnost, aby mohly být podpisy či pečetě uznávány, aby existoval nástroj pro ověření těchto elektronických podpisů nebo pečetí, jinak nebude možné zaručit ověření těchto zaručených elektronických podpisů a pečetí u subjektů veřejného sektoru v jiných členských státech. Viz  recitál č. 7 prováděcího rozhodnutí:

Pokud se k podpisu či opatření pečetí používají jiné formáty elektronického podpisu nebo pečetě, než jaké jsou běžně technicky podporovány, měly by existovat ověřovací prostředky, jež umožňují přeshraniční ověřování elektronických podpisů či pečetí. Aby se přijímající členské státy mohly na tyto ověřovací nástroje jiného členského státu spolehnout, je nezbytné stanovit snadno dostupné informace o těchto ověřovacích nástrojích, a sice zahrnutím těchto informací do elektronických dokumentů, elektronických podpisů nebo schránek obsahujících elektronické dokumenty.

V případě jiných formátů zaručených elektronických podpisů/pečetí nebo s použitím jiných metod než těch stanovených v prováděcím rozhodnutí Komise č. 2015/1506/EU, subjekt veřejného sektoru se může rozhodnout, zda-li bude uznávat i jiné formáty zaručených el. podpisů/pečetí nebo použité metody, než ty, co jsou výslovně zmíněny v prováděcím aktu 2015/1506/EU a to za předpokladu dodržení ostatních právních předpisů.

Informace týkající se staršího formátu elektronického podpisu pro PDF dokumenty - PAdES Basic založený na ISO 32000-1  (formát CMS/PKCS#7) a doporučení MV jsou uvedeny na této stránce: https://www.mvcr.cz/clanek/informace-k-formatum-zarucenych-elektronickych-podpisu-a-zarucenych-elektronickych-peceti-pro-subjekty-verejneho-sektoru.aspx?q=Y2hudW09Mw%3d%3d

Prováděcí rozhodnutí je rozděleno na tři části – recitály (odůvodnění), články a přílohy s odkazy na technické specifikace. Články 1 a 2 se týkají formátů zaručených elektronických podpisů, přičemž čl. 1 odkazuje na přílohu, kde jsou uvedeny technické specifikace pro jednotlivé formáty zaručených elektronických podpisů – XAdES, CAdES, PAdES a ASiC. Pokud jde o formáty XAdES, CAdES, PAdES, ty mají být akceptovány v úrovních shody B, T a LT. Zatím není vyžadováno uznávání úrovní shody LTA. Základem je, aby byly akceptovány úrovně shody základní (B - úroveň) v jednotlivých formátech, jelikož přidáváním dalších funkčních požadavků na základní úroveň vznikají vyšší úrovně shody – T, LT i LTA.
 

Článek 2 se týká případů, kdy zaručený elektronický podpis není ve formátu podle odkazovaných technických specifikací prostřednictvím čl. 1, tj. neodpovídá specifikacím XAdES, CAdES, PAdES a ASiC v definovaných úrovních shody. V tomto případě, aby mohl být elektronický dokument podepsaný zaručeným elektronickým podpisem akceptován přijímajícím členským státem, je nutné při ověřování alternativních formátů dodržet podmínky stanovené v čl. 2 odst. 2 (tzv. referenční metody), opět je zde například stanovena povinnost existence nástroje umožňující online ověření podpisů. Výše uvedené platí rovněž pro formáty zaručených elektronických pečetí, jelikož z technického hlediska jde o totéž – čl. 3 a čl. 4.

Vzhledem ke skutečnosti, že prováděcí rozhodnutí Komise č. 2015/1506/EU vychází z prováděcího rozhodnutí Komise 2014/148/EC, tak odkazované technické specifikace pro formáty zaručených elektronických podpisů a pečetí jsou totožné:

PŘÍLOHA

Seznam technických specifikací pro zaručené elektronické podpisy XML, CMS nebo PDF a kontejner s přidruženým podpisem

Zaručené elektronické podpisy uvedené v článku 1 rozhodnutí musí vyhovovat jedné z následujících technických specifikací ETSI, s výjimkou bodu 9 uvedených specifikací:

výchozí profil XAdES

ETSI TS 103171 v.2.1.1 (1).

výchozí profil CAdES

ETSI TS 103173 v.2.2.1 (2).

výchozí profil PAdES

ETSI TS 103172 v.2.2.2 (3).

Kontejner s přidruženým podpisem uvedený v článku 1 rozhodnutí musí vyhovovat následujícím technickým specifikacím ETSI:

výchozí profil kontejneru s přidruženým podpisem

ETSI TS 103174 v.2.2.1 (4)

Seznam technických specifikací pro zaručené elektronické pečetě XML, CMS nebo PDF a kontejner s přidruženou pečetí

Zaručené elektronické pečetě uvedené v článku 3 rozhodnutí musí vyhovovat jedné z následujících technických specifikací ETSI, s výjimkou bodu 9 uvedených specifikací:

výchozí profil XAdES

ETSI TS 103171 v.2.1.1

výchozí profil CAdES

ETSI TS 103173 v.2.2.1

výchozí profil PAdES

ETSI TS 103172 v.2.2.2

Kontejner s přidruženou pečetí uvedený v článku 3 rozhodnutí musí vyhovovat následujícím technickým specifikacím ETSI:

výchozí profil kontejneru s přidruženou pečetí

ETSI TS 103174 v.2.2.1

(1) http://www.etsi.org/deliver/etsi_ts/103100_103199/103171/02.01.01_60/ts_103171v020101p.pdf (.pdf 129 KB)

(2) http://www.etsi.org/deliver/etsi_ts/103100_103199/103173/02.02.01_60/ts_103173v020201p.pdf (.pdf 95 KB)

(3) http://www.etsi.org/deliver/etsi_ts/103100_103199/103172/02.02.02_60/ts_103172v020202p.pdf (.pdf 92 KB)

(4) http://www.etsi.org/deliver/etsi_ts/103100_103199/103174/02.02.01_60/ts_103174v020201p.pdf (.pdf 85 KB)


Odbor eGovernmentu, 14.4.2016

vytisknout  e-mailem