Pravidelné přerazítkování
V české praxi se často mluví o nutnosti přerazítkovat různé dokumenty pravidelně, vždy než předešlému časovému razítku „vyprší platnost“. Obvykle se to objevuje buď v kontextu dokumentů PDF, nebo doručenek z datových zpráv.
Na následujících webových stránkách se všude píše o jakési pětileté lhůtě, kdy je potřeba dokument přerazítkovat:
- …prodloužíte jeho platnost až na 5 let (Česká pošta)
- Navíc prodlužuje platnost dokumentu o 5 let. (USBtokeny)
- …legislativně platný digitalizovaný dokument musí být opatřen časovým razítkem, které má ze zákona platnost jen 5 let. Pak se musí přerazítkovat. (Software602)
Shodou okolností jsou to všechno zdroje, které časová razítka a související služby prodávají – a mají z toho zisk.
Nejdále v tomto směru zašel asi DigiSign, který dramaticky popisuje, co se stane někomu, kdo by si dokument zapomněl přerazítkovat. Uvádím delší citaci pro ilustraci stylu, kterým některé firmy (DigiSign) přerazítkování propagují:
Dávejte však pozor – po jednom opomenutí obnovy razítka už nemůžete zastarání zvrátit. Dokumenty stárnou, ale zpětně „omladit“ je už nedokážete. I proto umí DigiSign dokumenty opatřit razítky automaticky (placená funkce).
Možná už ale máte dokument, který zastaral a napadá vás, jestli je to skutečně neřešitelný problém. Řešení existuje, ale je nejisté a nákladné – budete potřebovat soudního znalce, který posoudí pravost a autenticitu dokumentu a neplatného podpisu nebo pečeti. Přidávání časových razítek může znít jako otravná práce navíc, ale oproti této alternativě to nakonec není tak hrozné.
Dlouhodobá platnost časových razítek
Ve skutečnosti však neexistuje žádná norma ani zákon, český ani evropský, který by omezoval platnost dokumentů „na pět let“ anebo který by „zneplatňoval časové razítko s prošlým certifikátem“.
Neříká to ani eIDAS, ani normy EU, ani český zákon 297/2016 Sb. Oficiální metodický výklad Národního archivu ČR, který je ústřední institucí pro oblast archivnictví a spisové služby, výslovně uvádí, že žádný právní předpis neukládá povinnost „přerazítkovávat“ elektronické dokumenty před vypršením platnosti certifikátu.
Nevyplývá z nich však povinnost opatřovat opakovaně před expirací platnosti certifikátu, na kterém je ‚založeno elektronické časové razítko‘ […], dokument dalším elektronickým časovým razítkem (‚přerazítkování‘).
Normy ETSI sice připouštějí možnost pravidelného přerazítkování jako jeden z možných mechanismů dlouhodobé ochrany, ale neukládají ji jako povinnost ani nestanovují konkrétní lhůtu.
Jako hlavní argument pro pravidelné přerazítkování se obvykle uvádí to, že po vypršení TSA certifikátů je obtížné ověřit správnost času. Otázka tedy je, zda je časové razítko důvěryhodné i poté, co mu vyprší certifikát?
Na tento problém bohužel neexistuje zcela jasná a autoritativní odpověď, protože legislativa stanoví pouze obecné podmínky uznatelnosti časových razítek, ale už neříká, jak přesně mají po expiraci TSA certifikátů postupovat validátoři, archivy nebo soudy. V praxi tak existují různé implementace a výklady. Technický standard RFC 3161 článek 4.3 doporučuje přerazítkování slovem „SHOULD“ , které má v daném případě skutečně jen význam doporučení a ne povinnosti (na rozdíl od SHALL a MUST, viz RFC 2119). Příznačná je tato otázka na StackExchange se zcela protichůdnými odpověďmi a zajímavou diskuzí.
Pro dlouhodobou ověřitelnost podpisu je zcela zásadní, aby do dokumentu byly vnořeny validační a odvolací údaje jak o certifikátu podepisovatele, tak i o certifikátu časového razítka. Úroveň B-LTA toto vyžaduje. Dokud jsou použité kryptografické algoritmy považovány za bezpečné, bude podpis důvěryhodný i bez přerazítkování. Riziko, že by útočník zfalšoval čas a způsobil reálnou škodu, je mizivé, jak bylo vysvětleno minule. Nicméně může se stát, že některý software nebo validátor by podpis bez souvislého řetězce razítek neuznal. Neznamená to, že je podpis neplatný, pouze to, že validátor nedokáže bez dalších informací platnost potvrdit.
Rozhodnutí o přerazítkování je tedy technickou a organizační volbou, nikoliv legislativní povinností. Uvidíme, zda budoucnost přinese v této otázce jasnější standard.
Datové schránky
Zpráva zaslaná datovou schránkou obsahuje kromě příloh dodejku/doručenku. Je to ZFO soubor, který obsahuje metadata o zprávě: kdy, kdo, komu a otisk datové zprávy. Doručenka je opatřena elektronickou pečetí CAdES provozovatele ISDS.
Zároveň informační systém datových schránek (ISDS) uchovává doručenku 90 dní (pokud ho uživatel nedá do trezoru) a poté uchovává část metadat (haš souboru ZFO, odesílatele a doručitele) dlouhodobě.
Tím, že ISDS uchovává haš každé doručenky, umožňuje kdykoli ověřit její integritu. Stačí mít k dispozici původní soubor ZFO a otevřít ho v datové schránce přes „Otevřít ZFO“ → „Zobrazit doručenku“. Pokud tedy z nějakého důvodu potřebuji důkaz o doručení, stačí neztratit ten dokument ZFO.
Datová schránka ale nabízí možnost přerazítkování ZFO souboru a „prodloužení platnosti pečeti“. Je tam zvláštní text: „doručenka platí do data XY, ale i po tomto datu však bude soubor platný a ověřitelný pro ISDS“. Na webu také najdeme mnoho návodů, ve kterých se vysvětluje, jak „přerazítkovat ZFO soubor“. Dříve bylo možné přerazítkovat datovou zprávu jen přes webové rozhraní ISDS, letos přibyla možnost přerazítkování i přes API.
K čemu je ale dobré takové přerazítkování? Dokud ISDS existuje, stačí ten soubor mít. Až ISDS jednou přestane existovat, pak nebude fungovat ani jejich systém přerazítkování. Smysl by dávalo, kdyby ZFO bylo podepsáno s dlouhodobou platností (např. na úrovni B-LTA), ale to zatím nedělají.
Pokud je pro někoho důležitá dlouhodobá ověřitelnost doručenky, je lepší místo pravidelného přerazítkování vytvořit archivní časové razítko úrovně LTA a nechat to tak. To může technicky vytvořit kdokoli, nejen ISDS.
Je však dobré poznamenat, že ISDS provozuje Česká pošta, která přímo na svém webu šíří „informaci“ o nutnosti neustálého přerazítkovávání. Takže se nelze divit, že rádi mnohokrát přerazítkují i každou doručenku.
V dalším článku vám dám praktické rady a doporučení ohledně toho, jak věci dělat levně a bezpečně.
