Tuto sobotu tomu bylo přesně šest měsíců od okamžiku, kdy došlo k aktivaci všech dosud neaktivovaných datových schránek. Ačkoli je tento okamžik běžně prezentován jako ostrý start datových schránek, není to tak úplně pravda – protože k jejich startu, se všemi právními důsledky, došlo již o pět měsíců dříve, k 1.7.2009. Ale nevadí, i tak je to jistě vhodná příležitost k rekapitulaci tohoto výrazného fenoménu v životě českého eGovernmentu.
Dnes vás ale nebudu unavovat dalšími statistikami o tom, kolik datových zpráv se úspěšně přeneslo (nedávno to bylo 10 milionů), ani kolik tím ten který subjekt ušetřil (když „datově-schránkové poštovné“ za něj laskavě zaplatil stát). Spíše než samotným datovým schránkám bych se totiž chtěl věnovat tomu, co na datové schránky bezprostředně navazuje, a co existovalo i před jejich startem – ale co právě datové schránky přeměnily ze spíše akademické kuriozity v každodenní rutinu, se kterou náhle musí bojovat velmi velký okruh subjektů. Ano, mám na mysli povinnost používat elektronické dokumenty místo těch listinných.
Teorie tří časových horizontů
Abych to měl jednodušší s psaním (a vy snazší a srozumitelnější při čtení), dovolím si na úvod formulovat pracovní teorii tří časových horizontů, která se týká života elektronických dokumentů. Je to hlavně kvůli terminologii, která mi pak umožní snadněji sdělit, kde vidím hlavní změny.
Nuže tedy:
- Časovým horizontem A nechť je doba od vytvoření elektronického podpisu (či elektronické značky) na dokumentu do skončení platnosti certifikátu, na kterém je tento elektronický podpis (značka) založen. Je to časový horizont velmi krátkodobý, maximálně v délce jednoho roku. Podstatné je pro něj to, že v tomto časovém horizontu je možné ověřit platnost elektronického podpisu (provést všechny úkony, které jsou k tomu potřebné), a to i v případě, že dokument není opatřen kvalifikovaným časovým razítkem.
- Časovým horizontem B nechť je doba od ukončení platnosti certifikátu (ať již řádný uplynutím či předčasným zneplatněním) do doby, kdy je reálně možné vypočítat kolizní dokument. Délku tohoto časového horizontu (přesněji: jeho konec) dnes neznáme, a i jakékoli odhady jsou těžké. Víme jen, že dříve či později i tento časový horizont skončí. Charakteristické pro tento horizont je to, že bez dalších opatření (například bez časového razítka či posloupnosti razítek, případně nějakého dostatečně důvěryhodného dokladu o předchozím ověření platnosti podpisu) již nemusíme být schopni ověřit platnost elektronického podpisu (či značky) na dokumentu. To proto, že nemusí být možné provést všechny úkony, potřebné k ověření platnosti (což ale zákon explicitně požaduje) – a v důsledku toho nám příjemce může takovýto dokument odmítnout akceptovat. Na druhou stranu se ještě nemusíme bát toho, že by někdo vypočítal kolizní dokument (tj. jiný dokument se stejným otiskem). A tak hlavní otázka, kterou je v tomto časovém horizontu třeba řešit, zní: jak prokázat, že jde stále o „ten pravý dokument“, a jak přimět příjemce, aby ho akceptoval?
- Časovým horizontem C nechť je doba po skončení horizontu B. Tedy doba, kdy již je možné reálně vypočítat kolizní zprávu ke konkrétnímu dokumentu (ke kterému je tento horizont vztažen). Přesněji: je obecně možné vypočítat více různých kolizních zpráv (protože těch je obecně nekonečně mnoho). A tak v tomto časovém horizontu je zcela zásadní otázkou rozlišení toho, který z celé množiny vzájemně kolizních dokumentů (které všechny vykazují stejný elektronický podpis či značku) je „tím pravým“.
Teď již zpět k hodnocení vývoje kolem datových schránek: dovolím si vyjádřit názor, že datové schránky byly spuštěny (k 1.7.2009 i k 1.11.2009) pouze se zohledněním časového horizontu A. Všechno, od legislativy přes doporučené pracovní postupy až po veškeré PR, počítalo pouze s tímto krátkodobým časovým horizontem.
Odpovídají tomu například už i definice, resp. vymezení základních pojmů. Zákony například kladou pomyslné rovnítko mezi datovou zprávu a dokumentem, a přitom nerozlišují to, že zprávy jsou typicky krátkodobé (slouží k přenosu), zatímco od dokumentů můžeme požadovat podstatně delší životnost. Asi proto také pouze 90-denní uchovávání datových zpráv a žádná starost o dlouhodobé uchovávání a udržování platnosti elektronických dokumentů.
A pokud už se někde vyskytl nějaký prvek, který pamatoval na existenci časového horizontu B, pak i on byl obětován na oltáři celkových kompromisů, jen aby se datové schránky podařilo včas spustit. Zde mám konkrétně na mysli časové razítko na dokumentech produkovaných orgány veřejné moci, které původně (podle původní verze zákona č. 300/2008 Sb.) vycházelo jako povinné, ale na poslední chvíli (skrze novelu zákona 300/2008 Sb., účinnou k 1.7.2009), bylo změněno jen na volitelné.
Časový horizont B je vzat na milost!
Za největší změnu od spuštění datových schránek považuji postupné připouštění toho, že existuje i časový horizont B – a podnikání prvních kroků ve směru, který tento časový horizont vyžaduje. Pro tento svůj názor mám následující argumenty:
- začíná „převládat názor“, že časové razítko je nezbytné a že každý elektronický dokument, který má mít dlouhodobější časovou platnost, musí být časovým razítkem opatřen. Formulací o „převládání názoru“ chci zdůraznit to, že tento zcela zásadní fakt nebyl dosud sdělen tak, jak by se na jeho význam patřilo: oficiálně a explicitně. Zatím jen „prosakuje“ na různých konferencích, seminářích, školeních, či zaznívá v rámci odpovědí na cílené dotazy. Viz třeba odpověď, kterou jsem dostal já na nedávné konferenci ISSS. Ale jako jasné a jednoznačné stanovisko (nejspíše od MV ČR) jsem jej dosud nezaznamenal.
- Autorizovaná konverze (na žádost) na CzechPointech již zohlednila existenci časového horizontu B a elektronický dokument bez časového razítka vám autorizovaně zkonvertují jen během jeho časového horizontu A (protože během časového horizontu B již CzechPoint nemůže provést všechny úkony, potřebné k ověření platnosti podpisu). Stalo se tak ke 4.2.2010, podrobněji viz tento článek.
- Možná nejvýznamnějším argumentem je to, že samo MV ČR již začíná hovořit o otázkách „digitální kontinuity“, v rámci kterých je prý „třeba se zabývat platností elektronických dokumentů i po dvou, pěti, padesáti letech“. A jako jedno z konkrétních opatření již vnitro deklarovalo, že hodlá spustit službu, která i s časovým odstupem ověří „pravost“ celé datové zprávy (díky tzv. institucionálnímu archivu). I když se to nebude týkat samotného dokumentu, ale až datové zprávy jako celku, je to přesně ta služba, která řeší základní otázku časového horizontu B: „jak prokázat, že jde stále o ten pravý dokument?“
Co jsem ale dosud nezaznamenal, je připuštění existence časového horizontu C. Tedy toho, že jednou bude existovat reálná možnost nalezení (výpočtu) kolizní zprávy. Pak ale budou veškeré dosavadní metody, založené jen na otiscích (hashích), nepoužitelné, a dokonce by se staly zbraní pro nejrůznější falzifikátory, protože by jim umožňovaly prezentovat jako pravé jimi vypočítané kolizní zprávy.
Problém je ale v tom, že s existencí časového horizontu C musíme počítat již dnes. Není možné se tvářit, že to je hudba vzdálené budoucnosti, kterou budeme řešit, až nastane. Podle velmi neoficiálních zpráv však plánovaná služba ověřování datových zpráv s časovým horizontem C určitým způsobem počítá, když si chce pamatovat otisky zpráv rozšířených o různé tajné údaje (na principu tzv. soli).
Další opatření
Připomeňme si nyní i další opatření, ke kterým za dobu používání datových schránek také došlo, a které také mají charakter „změny postoje“.
Jde například o nutnost změny doručenky, kterou již MV ČR avizovalo – a dalo najevo, že by měla být obsahově rozšířena, tak aby zahrnovala více okamžiků v „životě“ elektronického dokumentu. Tedy jak dodání, tak i doručení či přečtení, formu doručení (fikcí, přihlášením) atd.
Stejně tak byla již avizována potřeba rozšíření datových formátů, které je možné přenášet skrze datové schránky. K tomu došlo ve dvou etapách: již v září bylo avizováno rozšíření o formáty, používané pro externí datové podpisy. V poslední době pak vnitro na různých hovoří o potřebě rozšíření repertoáru formátů také o nové formáty MS Office 2007 (např. docs, xlsx, pptx), ale třeba také formátu edi či staršího obrázkového tif. Zajímavé přitom je, že od července nedošlo ke změně příslušné prováděcí vyhlášky (č. 194/2009 Sb.), a tedy ani k „legislativnímu ukotvení“ změn, které byly avizovány již v září.
Stejně tak již byla signalizována ochota k určitým změnám v přihlašování uživatelů k informačnímu systému datových schránek, i když jen v hrubších obrysech: uživatel by mohl mít větší volnost ve výběru „síly autentizace“, a možná by mohl využívat i nějakou formu jednorázových autentizačních údajů.
Za poměrně výrazný signál charakteru „změny postoje“ považuji i nejnovější snahy resortu vnitra podpořit používání formulářů. Fakticky jde o to, aby se skrze datové schránky místo nestrukturovaných dat přenášela naopak data strukturovaná. Tedy taková, která by se dala ihned dále zpracovávat (a nemusela se naopak nějak ručně přepisovat). S tím je ovšem poněkud ve sporu dosud jednostranná orientace na dokumenty PDF, zakotvená například v celém systému konverzí.
Co se vyjasnilo a co dosud ne?
S postupem času také dochází k vyjasňování některých sporných momentů.
Zde si dovolím připomenout asi nejvýznamnější otázku toho, co a jak se děje, když někdo (orgán veřejné moci) doručuje jinak, než by měl. Tedy třeba stále klasicky, i když by měl již doručovat do datové schránky. Zde existuje stanovisko Poradního sboru ministra vnitra k otázkám správního řádu, které obecně říká, že když už je něco řádně doručeno (byť jinak než správně mělo, tj. pokud si zásilku převezmete), pak účinky doručení nastávají. Ale pokud nesprávně doručovanou zásilku nepřevezmete, nemůže nastat zákonná fikce doručení. Podrobněji viz tento můj článek.
Jiná „neurčitost“, kde jsem zatím nezaznamenal nějaké jasnější stanovisko, se týká doručování v případech, kdy orgán veřejné moci jedná v rámci soukromoprávních vztahů. Má i k tomu využívat svou „veřejnoprávní“ datovou schránku, a má se na zásilky i zde vztahovat zákonná fikce? Nebo má postupovat jinak? Například používat poštovní datové zprávy?
Zajímavá je také problematika ověřovacích doložek a samotných autorizovaných konverzí. Zde už se snad vyjasnilo (i na základě vyhlášky), že konverze musí probíhat s využitím aplikací kontaktních míst veřejné správy (tj. aplikací CzechPointů), což by mělo zahrnovat i centrální ukládání ověřovacích doložek (podrobněji viz tento článek).
Nicméně dosud jsem nezaznamenal, že by vnitro signalizovalo i potřebu změny obsahu samotné ověřovací doložky. Ta by, alespoň podle mého názoru, změnu opravdu potřebovala, protože doložka konverze z elektronické do listinné podoby například neobsahuje takové podstatné a zcela základní informace, jako kdo je podepsanou osobou (viz můj podrobnější rozbor této problematiky). Nicméně zde je asi stejný problém jako u výčtu formátů: beze změny zákonů a vyhlášek to nepůjde.
Další zajímavou oblastí, která by také zasloužila vyjasnění, je to, zda existuje elektronická analogie úředně ověřeného podpisu (pro tzv. kvalifikované formy úkonů. Podle mého názoru neexistuje (byť se o to pokoušel jeden z prvních návrhů zákona o eGovernmentu). A nejsem určitě sám, kdo si to myslí. Stejného názoru je například Odbor všeobecné správy MV ČR, který ve svém stanovisku k možnosti hlasovat na voličský průkaz v nadcházejících volbách uvádí, že žádost o vydání voličského průkazu nejde podat skrze datovou schránku, a vlastně ani jinak elektronicky s el. podpisem:
Žádost o vydání voličského průkazu tak na základě ustanovení § 6a odst. 2 zákona o volbách do Parlamentu vyžaduje kvalifikovanou formu úkonu, tj. písemné podání opatřené ověřeným podpisem voliče; tuto vyšší formu však dle našeho názoru použití zaručeného elektronického podpisu nemůže nahradit.
Co čeká datové schránky v nejbližší budoucnosti?
Na závěr si naznačme, jaké události se kolem datových schránek odehrají v nejbližší budoucnosti.
Tak třeba k 27.5.2010 skončí platnost kvalifikovaného systémového certifikátu, kterým ISDS podepisuje samotné datové zprávy, a stejně tak jednotlivé doručenky. Tím pro ně skončí časový horizont A a začne časový horizont B. Což bude problém hlavně u doručenek, které nejsou opatřovány časovým razítkem.
Také to ale znamená, že nejpozději do tohoto data bude muset být uvedený systémový certifikát vyměněn. A pokud to nebude nějaký zahraniční certifikát, ale certifikát od tuzemské certifikační autority, už to nutně bude muset být certifikát využívající hashování funkce SHA-2. Což způsobí problémy uživatelům starších platforem MS Windows (do Windows XP s SP2 včetně), které si lze již dnes vyzkoušet na testovacím prostředí ISDS: odeslané zprávy a doručenky XML Filler nepřečte vůbec.
Pokud jde o došlé zprávy, ty v dnešním testovacím prostředí stávající XML Filler sice přečte, ale s jejich značkou (vytvořenou již s certifikátem na bázi SHA2) si neporadí, a tak certifikát označuje jako nedůvěryhodný:
V červnu, konkrétně 19.6.2010, zase končí platnost systémového certifikátu, který ostrá verze ISDS používá jako serverový (pro zabezpečení SSL). Také tento certifikát bude muset být k uvedenému datu vyměněn za nový, a to může způsobit dva různé druhy problémů.
První z nich dopadne na ty uživatele, kteří v „raných dobách“ (těsně po spuštění datových schránek) dali na to, co tehdy (a zcela nesprávně) radila Česká pošta, a certifikát si sami zařadili mezi důvěryhodné. Připomeňme si onu (ne)slavnou hlášku (podrobněji viz článek: Česká pošta neradila správně):
Při pokusu o přihlášení do systému ISDS se může objevit varování, upozorňující na problém s bezpečnostním certifikátem stránky. Toto je způsobeno nepřítomností certifikátu ve standardní instalaci MS Windows či jiných operačních systémů. Upozornění je nutno ignorovat; vstup na stránku je zcela bezpečný, neboť používaný certifikát je vydán kvalifikovanou českou certifikační autoritou. Volbou přidání certifikátů k důvěryhodným certifikátům či pokračováním na stránku ISDS nevzniká žádné bezpečnostní riziko.
Pokud si někdo takto sám nainstaloval současný certifikát mezi důvěryhodné (místo toho, aby si řádně nainstaloval příslušné kořenové certifikáty), pak se mu s novým certifikátem zopakuje stejná situace: až poprvé přistoupí na stránku s novým certifikátem, jeho browser ho bude před touto stránkou varovat. Naštěstí v mezidobí si již informační web o datových schránkách pořídil alespoň lepší návod na to, jak a proč instalovat kořenové certifikáty.
Druhý problém dopadne na ty uživatele, kteří budou přistupovat k webovým stránkám ISDS z počítače, jehož software nepodporuje hashování funkce SHA2. Což je například platforma MS Windows do verze XP se Service Packem 2, viz výše. Nový certifikát, který si ISDS bude muset pořídit, totiž už bude certifikátem s SHA2 (pokud nepůjde o nějaký zahraniční, kde ještě vydávají certifikáty s SHA1).
Pak bude záležet i na tom, jaký browser uživatel používá. A již dnes si to můžete vyzkoušet na testovacím prostředí ISDS, které na SHA2 již přešlo: pokud používáte Internet Explorer, ani se nedostanete na úvodní webovou stránku (protože již ta je zabezpečena serverovým certifikátem s SHA2). A kdo si z popisu chyby správně domyslí, že jde právě o důsledek (ne)podpory SHA2?
Pokud používáte jiný browser, který s certifikáty pracuje pomocí vlastních nástrojů (a nikoli těch na úrovni operačního systému), pak stále ještě můžete mít štěstí. Například můj Firefox se do testovacího prostředí s certifikátem na SHA2 (na Windows XP s SP2) dostal. A dokonce i přečetl dodané zprávy. Ale odeslané zprávy ani doručenky ani on nezvládl – protože tyto činnosti za něj zajišťoval XML Filler. A ten zase využívá prostředky operačního systému, které SHA2 (na MSW XP s SP2 a nižší) nepodporují.