Michal Tuláček

Je každý email elektronicky podepsaný?

2. 01. 2011 11:15:13
V dobách, kdy se začalo mluvit o elektronickém podpisu se stali cílem posměchu lidé, kteří na konec emailu nebo jiných dokumentů připojili obrázek svého naskenovaného podpisu a považovali jej za podepsaný. Podle zákona o elektronickém podpisu to ale nebyl smích opodstatněný. Elektronickým podpisem totiž může být kdeco. Já mám za to, že každý email, který je odeslán z osobní emailové adresy, je už ze své podstaty elektronicky podepsaný.

Úvodem je nutné upozornit na to, že v IT světě se používá výraz "elektronický podpis" pro to, co zákon [1] zná jako "zaručený elektronický podpis". Já v tomto článku budu používat pojmy ze zákona, na pojmy které jsou chápány v IT světě odlišně se pokusím upozornit.

Důvodem proč vůbec zkoumat, zda je něco elektronicky podepsané je to, že pomocí emailu, skype, IRC apod. můžeme činit právní úkony, třeba se dohodnout na nějaké smlouvě (například kupní, když někam pošlu objednávku, aniž bych tam volal) apod. Dle našeho občanského zákoníku jsou ale právní úkony neplatné, pokud nejsou učiněny formou, která je jim zákonem předepsána [2] (pokud je nějaká předepsaná). Formou se zde myslí ústní, konkludentní, písemná, notářský zápis apod. Email je sice zjevně písemná komunikace, ale jde o písemnou formu? Písemná forma představuje podmínku mít právní úkon sepsaný (přičemž je jedno čím a na čem, tzn. můžete klidně smlouvy sázet ve formě květin, uspořádaných do písmen...) a podepsaný. A zde přichází kámen úrazu - kdy je vlastně email podepsaný? Díky zákonu o elektronickém podpisu (ZEP) můžeme nyní říct - "když je elektronicky podepsaný".

ZEP definuje následující pojmy, týkající se elektronického podpisu [3]:

  • elektronický podpis
  • zaručený elektronický podpis
  • certifikát
  • kvalifikovaný certifikát
  • kvalifikované časové razítko
  • elektronická značka

Elektronický podpis je údaj v elektronické podobě, který je připojený k datové zprávě nebo je s ní logicky spojený a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě. Zaručený elektronický podpisje navíc jednoznačně spojen s podepisující osobou, umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou a je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat. Zaručený elektronický podpis je tedy tím elektronickým podpisem, o kterém se učí informatici. Dnes je realizován vesměs systémem veřejného a privátního klíče [4]. Definice se ale neomezuje pouze na tento způsob (dokonce ho ani nepředepisuje), jako zaručený elektronický podpis může například sloužit podpis založený na datech ze čtečky otisků prstů (pokud budou splněny ostatní náležitosti). Certifikát je pak ona dvojice veřejný/privátní klíč. Pokud ho navíc vydá státem uznaná certifikační autorita, stane se kvalifikovaným certifikátem a na jeho základě lze dokumenty podepisovat kvalifikovaným zaručeným elektronickým podpisem - ten má stát předepsáno uznávat stejně, jako když se provede legalizace [5] na CzechPoint. Kvalifikovaným časovým razítkem se potvrdí, že dokument existoval v daném čase, protože jde o potvrzení, že dokument s daným otiskem [6] existoval v daný čas [7] a toto potvrzení podepíše státem určená autorita. Konečně elektronická značka je v zásadě to samé co kvalifikovaný zaručený podpis, ale jde o automatickou věc. Zatímco u elektronicky podepsaného dokumentu se má za to, že ho podepisující četl, tak u elektronické značky se to nevyžaduje. Může se tím tedy například automaticky označovat veškerá odchozí pošta z podniku, přičemž se tím potvrzuje, že pochází z tohoto podniku.

Po úvodním vymezení pojmů můžeme přejít k meritu věci. Každý email obsahuje dvě části - hlavičky a tělo. Hlavičky jsou technické informace o zprávě, obsahují datum odeslání, odesílatele, příjemce, předmět apod. Tělo emailu je pak samotná zpráva. Uživatel s hlavičkami zpravidla nepřijde přímo do styku, jejich obsah je mu zprostředkováván skrze příslušné položky emailového programu. Naopak při odesílání emailu uživatel hlavičky přímo nevyplňuje, to činí emailový program.

Bývá zvykem se na konci emailu podepsat. Takový podpis jistě může být braný jako elektronický podpis - je připojen ke zprávě a může jednoznačně identifikovat, za koho se vydává odesílatel. Například pokud se někdo podepíše "Jan Novák, ředitel prodeje Novák a syn, s.r.o.", tak víme, o kterého Nováka jde, můžeme tedy ukázat na tohoto konkrétního Nováka a říct "to jste vy". Horší situace ale nastane, pokud nám ze stejné firmy přijde email podepsaný pouze "Jan Novák" - syn se zpravidla jmenuje jako otec, takže pokud nejsme z něčeho jiného schopni usoudit, o koho z nich jde, tak se to jako podpis brát nemůže. Stejná pravidla koneckonců platí i na papíře. Většina emailových zpráv, které někdo vědomě vyprodukuje (tedy neposlal vám je nějaký program, který je pouze přeposílá nebo dokonce generuje) má vyplněnou hlavičku, určující odesílatele. Emailová schránka se přitom zpravidla mezi více lidmi nesdílí. Pokud Vám tedy někdo pošle email z emailové adresy, která patří pouze jemu, pak se dle mého názoru jedná o elektronicky podepsaný email, protože jeho součástí je unikátní emailová adresa odesílatele.

Teď možná namítnete, že nejde o elektronický podpis, protože hlavička From může být zfalšovaná. To je bohužel pravda, specifikace [8] nepočítala se zabezpečením v tomto směru. Ale podobně může být zfalšován i běžný podpis na papíře, např. zručným padělatelem anebo barevnou kopírkou. Podpis dokonce může být pravý, ale dokument pozměněn po cestě. To už je ale výjimečný stav, na věci samé nic nemění - dokument je podepsaný nějakým podpisem a je na straně, která toto rozporuje, aby dokázala, že tomu tak není. V tomto případě by bylo samozřejmě na místě rovnou použít zaručený elektronický podpis nebo nejlépe kvalifikovaný zaručený elektronický podpis, ale to už je na uvážení toho, kdo email píše, jakou úroveň ochrany chce svému sdělení udělit.

Poznámky pod čarou:

  1. Zákon č. 227/2000 Sb., o elektronickém podpisu
  2. § 40 zákona č. 40/1964, občanský zákoník
  3. § 2 ZEP
  4. Osoba má k dispozici veřejný a privátní klíč. Ke zprávě se vytvoří otisk (viz poznámka 6) a ten se podepíše (zašifruje) soukromým klíčem. Každý kdo má k dispozici veřejný klíč (zpravidla bývá vystaven veřejně) může tento otisk rozšifrovat a porovnat s otiskem dokumentu, který mu přišel. Pokud se jak otisk z podpisu tak otisk vygenerovaný příjemcem shodují, je podpis uznán za platný. Samotný veřejný certifikát se dá také podepsat, a tím stvrdit, že byl vydán příslušnou certifikační autoritou.
  5. Ověření, že daný podpis patří konkrétní osobě, která prokázala svou identitu, např. předložením občanského průkazu.
  6. Otisk dokumentu je řetězec, který vznikne aplikací speciální funkce na dokument (hashovací funkce). Otisk je zpravidla mnohem kratší než vstupní dokument (např. pouze 128 znaků, ať už je vstup libovolně dlouhý). Pro otisk platí, že stejný vstup vždy vygeneruje stejný výstup (můžeme tedy ověřit, že daný otisk patří ke konkrétnímu dokumentu). Dobrá hashovací funkce navíc garantuje, že při drobné změně vstupu se otisk výrazně změní (je tedy možné ověřit, že se dokument nezměnil). Příkladem otisku (na základě ne moc dobré hashovací funkce) může být "sudý" resp. "lichý" pro přirozená čísla na vstupu (h(1) = lichá, h(2) = sudá).
  7. Pro posouzení platnosti podpisu je nutné znát okamžik vzniku podpisu. Pokud by došlo k úniku privátního klíče, je každý schopen jménem majitele tohoto certifikátu podepisovat dokumenty. Takový klíč se pak zneplatní a každý dokument, který je podepsán po okamžiku zneplatnění se nepovažuje za podepsaný. Problém ale nastává s tím, že datum a čas v podpisu se nastavuje podle údajů, které jsou aktuálně nastaveny v počítači. A ty jsou pod plnou kontrolou osoby, která podepisuje. Časovému údaji se tedy nedá věřit. Proto existuje kvalifikované časové razítko. Důvěryhodné autoritě se pošle otisk dokumentu (viz poznámka 6) a zpátky přijde tento otisk společně s časovým údajem podepsaný touto autoritou. Lze tedy prokázat, že v daný okamžik existoval dokument s daným otiskem.
  8. RFC 5322

Dodatek: Korektnost velí uvést to, že Nejvyšší soud vidí elektronický podpis jinak. V jeho rozhodnutích jsem našel odkazy na elektronický podpis ve dvou rozsudcích, přičemž přímo emaily se zabývá rozsudek sp. zn. 30 Cdo 1230/2007. V něm se neztotožňuje s tím, že by email bez dalšího byl elektronicky podepsán.

Disclaimer: Článek vyjadřuje názor autora, studenta práv, a nejde o závazný právní text. Autor se zříká veškeré odpovědnosti, které je schopen se zříci :).

Autor: Michal Tuláček | karma: 13.29 | přečteno: 3861 ×
Poslední články autora