Zaujímavou otázkou je otázka zodpovednosti pri kompromitácii a porušení integrity elektronického dokumentu podpísaného kvalifikovaným podpisom. Ak je dokument podpísaný kvalifikovaným podpisom úradníka, zodpovedá on a on sám. Ak je dokument autorizovaný pečiatkou OVM, zodpovednosť je na orgáne OVM. Pochopiteľne zrejeme OVM majú lepší prístup k materiálno, technickému a personálnemu zázemiu na odhalenie a riešenie kompromitacie a integrity elektronického dokumentu ako samotný úradník, ktorého znalosti siahajú maximálne do úrovne použitia elektronického podpisu.
Je to teda jeden z dalších argumentov, preco pouzuvat kvalifikovane pečate namiesto podpisu úradníka.
V zmysle nariadenia pečať jednoznačne identifikuje povodcu a zabezpečuje integritu dokumentu.
Tohoto by som sa az tak nebal,lebo uradnik pri podpisovani musi pouzit certifikovany softver na vyhotovovanie kvalifikovaneho podpisu. Ak ho riadne pouzije, nikomu neprezradi svoj ZEP PIN tak v momente podpisu vznikne platny elektronicky dokument podpisany kvalifikovanym podpisom.
Od tohoto momentu ktokolvek moze porusit integritu a da sa to lahko preukazat, ale to nema ziadny vplyv na to ze by uradnik niesol zodpovednost.
ALE ak by uradnik prezradil svoj ZEP PIN napr. svojej sekretarke (to si asi mal na mysli) a este by jej pozical aj USB ci karticku tak nesie vsetku zodpovednost za vsetky dokumenty, ktore by jeho podpisom sekretarka v zlom umysle podpisala. Toto si ludia moc neuvedomuju, ze pozicanim kluca a prezradenim ZEP PINu vlastne daju niekomu do ruky svoju “vlastnu ruku”. Cize ziadne ze tu mas karticku a podpisuj, ja idem zatial na poradu…
Pecat ma tu “vyhodu”, ze sa nikdy nemusime dozvediet - zvlast nie ak uplynie dlhsia doba, kto konkretne pecat zneuzil.
U pecate cela zodpovednost za jej zneuzitie spada na cely urad, preto je z pohladu uradnika vyhodnejsie pouzit/zneuzit pecat lebo nikto za jeho ciny nemoze vyvodit osobnu zodpovednost jedine ze by mu snad dokazali ze prave on pecat zneuzil ale to by chcelo jeden logovaco-spehovaci system kto kedy pouzil pecat a na co a dokazat toto po rokoch uz neni mozne vobec.
Čo presne myslíš pod “porušením integrity”?
Integrita je atribút vyjadrujúci nemennosť v čase, t.j. jej “narušenie” vyjadruje zmenu v dokumente oproti stavu v akom bol pri podpisovaní. Integrita nerieši kto podpísal, či mal právo atď.
Samotný podpis nijako nezaručuje integritu. Triviálny príklad: podpísaný dokument zmažem, čím som jeho integritu úplne zničil.
El. podpis iba vytvára sadu údajov umožňujúcich overenie integrity v neskoršom čase, s dostatočne vysokou spoľahlivosťou.
Ak v podpísanom dokumente niečo pozmením, jediné čo mi podpis pomôže je zistiť, že niečo bolo zmenené, skrátka už to nie je ten dokument, ktorý bol podpísaný.
Samozrejme pre úradné dokumenty existuje povinnosť ochraňovať ich pred pozmenením alebo zničením - t.j. ochraňovať ich integritu. Táto povinnosť je rovnaká pre papierové aj elektronické dokumenty, a obvykle je upravená internými predpismi OVM, napr. v registratúrnom poriadku. Z tohto pohľadu je jedno či je autorizácia KEPom, alebo pečaťou.
Avšak keďže el. pečať vytvára automatizovaný systém, dá sa jednoducho riešiť aj automatizácia ukladania a následnej ochrany (vrátane ochrany integrity) autorizovaných dokumentov.
Pri autorizácii KEPom môžu nastať prípady (a nie je možné ich vylúčiť iba technickými opatreniami), kedy úradník podpíše dokument a následne mu nezabezpečí štandardnú ochranu, napr. nevloží ho do elektronickej registratúry. Tým zvyšuje riziko narušenia integrity tohto dokumentu.
Extrémny príklad: úradník si doma po večeroch podpisuje svojim KEPom úradné rozhodnutia, ktoré následne zmaže - poruší ich integritu.
Je nases poskytovateľom dôveryhodných služieb? Podľa mna nie je, preto nemôže prevádzkovať, držať, HSM modul a podpisovať/pečatiť za ostatné OVM. EIDAS povoľuje automatizované pečatenie tretími stranami iba ak sú dôveryhodným poskytovateľmi.
eIDAS Art.2.2: Toto nariadenie sa nevzťahuje na poskytovanie dôveryhodných služieb, ktoré sa používajú výhradne v uzavretých systémoch na základe vnútroštátneho práva alebo dohôd medzi vymedzenou skupinou účastníkov.
Rec.21: …In particular, it should not cover the provision of services used exclusively within closed systems between a defined set of participants, which have no effect on third parties. For example, systems set up in businesses or public administrations to manage internal procedures making use of trust services should not be subject to the requirements of this Regulation. Only trust services provided to the public having effects on third parties should meet the requirements laid down in the Regulation.
Skúsil som si v Nasese tú službu objednať a … nedalo sa, že to nie je pre verejnosť.
Ale toto je iba moja skromná skúsenosť, s dôverou sa pre vysvetlenie obráť priamo na poskytovateľa služby.
