Chcete zneužít elektronický podpis? Není to vůbec složité!

Víte, že můžete podepsat nějaký dokument svým elektronickým podpisem, a až vám jej někdo bude chtít "omlátit" o hlavu, řeknete jen, že jste jej nikdy nevytvořili a že vás chce někdo poškodit? A víte, jak si dát na takové podvody pozor?
V poslední době se čím dále tím více hovoří o elektronickém podpisu. Stát konečně zprovoznil elektronické podatelny a od března se tak již budou moci některá daňová přiznání podávat elektronickou formou přes internet. Jsou ale všichni připraveni na použití elektronického podpisu?

Elektronický podpis je uznáván jakožto jednoznačná identifikace osoby, která jej používá, podobně jako klasický podpis perem na papíře. Její totožnost je ověřena nezávislou certifikační autoritou, která certifikát totožnosti příslušnému uživateli dodala. Dostatečně silné šifrovací mechanismy pak mají zajistit, aby nikdo nemohl elektronický podpis ukrást a zneužít. Jak to ale je, pokud uživatel chce zneužít svůj vlastní elektronický podpis?

Jak zneužít svůj elektronický podpis

Společnost INFIMA Software s.r.o., která vytvořila program „ePodatelna.NET“, nedávno oznámila, že objevila možnost, jak zpětně zkompromitovat hodnověrnost elektronického podpisu. Přímo na svých stránkách pak uvádí přesný popis problému:

Pachatel v čase T1 podepíše elektronický dokument za pomoci certifikátu vydaného akreditovanou certifikační autoritou. Potom v čase T2 prohlásí svůj tajný elektronický klíč za kompromitovaný a nechá zrušit platnost svého certifikátu. Dále prohlásí, že jeho elektronický podpis byl zfalšován v čase T3 > T2, tedy po nahlášené kompromitaci jeho elektronického podpisu. Vzhledem k tomu, že obvykle není k dispozici průkazný údaj o čase zhotovení nebo předání elektronického podpisu, nelze pachateli dokázat nepravdivost jeho tvrzení.

Jak by takové zneužití vlastního elektronického podpisu mohlo vypadat v praxi? To se nám pokusil přiblížit programátor Jiří Vondra právě ze společnosti Infima. Popisoval nám hypotetickou možnost, kdy plátce daně schválně podá neúplné daňové přiznání, které zasílá elektronickou formou a samozřejmě je podepíše svým elektronickým podpisem. Následně prohlásí svůj elektronický podpis za zkompromitovaný a nechá jej zrušit. Pokud finanční úřad (FÚ) posléze zjistí nesrovnalosti v daňovém přiznání, u případného soudu se pak může tento „hříšník“ hájit obviňováním úředníků finančního úřadu. Vondra doslova říká: „Pachatel může prohlašovat, že si úředník jeho zkompromitovaný elektronický podpis stáhnul kdesi z internetu a podepsal jím falešné daňové přiznání.

Právníci FÚ prý pak budou ve velice těžké situaci, protože budou muset prokázat, že přiznání bylo doručeno ještě v době platnosti pachatelova elektronického podpisu.

Toto je samozřejmě jen teoretický příklad, který nepřihlíží ke všem aspektům, ale jako ukázka možnosti zneužití vlastního elektronického podpisu patrně stačí. Jak z něj vyplývá, jde především o to, že prý nelze dostupnými prostředky jednoznačně zjistit, kdy byl dopis s elektronickým podpisem doručen. Společnost INFIMA dále uvádí, že její produkt “ePodatelna.NET“ bude v nejbližší době vybaven technologií, která by měla podobným podvodům zabránit.

Co na to vláda?

O vyjádření k tomuto problému jsme požádali ředitelku odboru elektronického podpisu na Ministerstvu informatiky paní Dagmar Bosákovou. Ta v reakci na informace ze společnosti INFIMA uvádí: "Ministerstvo informatiky tuto tiskovou zprávu posoudilo a neshledává ji relevantní pro jakékoli účely uživatelů elektronického podpisu. Pro informaci zde uvádí odborný názor, který osvětluje vzniklé nedorozumění.

V expertním stanovisku Ministerstva informatiky jsou pak uvedeny následující informace:

Koncept časového nesouladu mezi změnou statutu certifikátu a zveřejněním této informace (například formou CRL) je stejně starý jako první implementace asymetrické kryptografie v PKI. V procesu ověření elektronického (chcete-li digitálního) podpisu je ověření platnosti certifikátu, tedy jeho statutu, jedním z hlavních úkolů. Příjemce elektronicky podepsané zprávy musí ověřit (v současné době mu tuto povinnost ukládá již zákon), zda poskytovatel certifikačních služeb, který certifikát podepisující osobě vydal, tento již nezneplatnil. To se děje formou stažení aktuálního seznamu zneplatněných certifikátů nebo formou real-time dotazu do databáze poskytovatele. Poskytovatel má opět ze zákona povinnost změnit status certifikátu, pokud o to například podepisující osoba, tedy držitel certifikátu, požádá.

V procesu výkonu certifikačních služeb se vyskytuje několik důvodů, proč není možné okamžitě po přijetí žádosti o zneplatnění tuto informaci zveřejnit formou CRL (toto neplatí pro OCSP, tedy pro real-time dotazy do repository poskytovatele). Vyhláška č. 366/2001 Sb. říká, že tato doba nesmí být delší než 12 hodin. Pro osobu ověřující certifikát to znamená, že pokud se s naprostou jistotou chce zprostit odpovědnosti za možnou vzniklou škodu (ustanovení § 5 odst. 2 zákona o elektronickém podpisu), musí ověřit certifikát 12 hodin po přijetí zprávy. Tím se vyhne jakékoli pochybnosti o nesouladu mezi časem vytvoření podpisu a časem zneplatnění certifikátu.

Tímto způsobem by se měly chovat i elektronické podatelny ve státní zprávě (viz Standard ISVS č. 016/02.01) i další subjekty spoléhající na podpis. Tedy i produkt ePodatelna.NET, kterou dodává společnost Infima.

Nedodržení této 12hodinové lhůty na straně ověřovatele ovšem nepředstavuje větší riziko, jak je uvedeno na stránkách společnosti Infima. I v případě vzniku škody a příčinné souvislosti mezi touto škodou a jednáním ověřující osoby existují právní instituty, kterými je možné se domoci práva.

Co z této kauzy vyplývá?

Při střízlivém pohledu na všechny okolnosti lze usoudit, že elektronický podpis je zneužitelný podobně jako ten vlastoruční. Prohlásit za nepravý či zfalšovaný totiž může kdokoliv i svůj klasický podpis na jakékoliv listině, stejně jako podpis elektronický. V obou případech je totiž obviňován příjemce podepsaného dokumentu, že tento vytvořil sám. Následně podpis zfalšoval, aby mohl poškodit osobu, která měla být údajným odesílatelem.

Například v rámci soudního jednání o zaplacení případné pokuty za daňové úniky by se mohl podvodník hájit tím, že jeho správné daňové přiznání úředník skartoval. Poté místo něj vytvořil vlastní, na kterém napodobil jeho podpis a které obsahuje chybné údaje, za které on neručí.

Redakci zatím není známé žádné soudní rozhodnutí, který by podobnou kauzu řešilo. Sami si tedy můžete odpovědět, zda byste v roli soudce na základě dostupných informací dali za pravdu podvodníkovi, který zneužil svůj vlastní podpis a tvrdil, že jej chtěl poškodit například úředník finančního úřadu.  
  • Nejčtenější

Vyzkoušeli jsme podvod z Aliexpressu. Může vás přijít draho, i po letech

v diskusi je 110 příspěvků

14. března 2024

Nakoupili jsme na Aliexpressu a pěkně se spálili. Jednu USB paměť, dvě externí SSD a jeden externí...

Nejsilnější raketa úspěšně prošla prvním testovacím letem do vesmíru

v diskusi je 138 příspěvků

14. března 2024  12:12,  aktualizováno  15:31

Společnost SpaceX poprvé dostala svůj Starship do vesmírného prostoru. Po dvou předchozích...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Svět uznal nároky Beneše. Československo vyhrálo spor s Polskem o Javorinu

v diskusi je 42 příspěvků

12. března 2024

Před 100 lety se Československo dočkalo mezinárodního uznání ve sporu s Polskem o Javorinu....

Tato novinka ve vyhledávání Googlu lidi pěkně vytáčí. Máme řešení

v diskusi je 153 příspěvků

12. března 2024  10:45

Jedna z novinek, kterou přineslo evropské Nařízení o digitálních trzích, je změna v tom, jak Google...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Polopás není polovičaté řešení. Třetí říše byla mistrem v oboru

v diskusi je 9 příspěvků

18. března 2024

Druhá světová válka byla zlatým věkem polopásových vozidel. Vyráběli je především Němci a...

VIDEO: Střílej po mně! Kameraman natočil téměř celý útok v centru Prahy

Premium Ve čtvrtek zemřelo rukou střelce Davida K. 14 obětí, 25 lidí je zraněných, z toho deset lidí těžce. Jedním z prvních na...

Máma ji dala do pasťáku, je na pervitinu a šlape. Elišku čekají Vánoce na ulici

Premium Noční Smíchov. Na zádech růžový batoh, v ruce svítící balónek, vánoční LED svíčky na baterky kolem krku. Vypadá na...

Test světlých lahvových ležáků: I dobré pivo zestárne v obchodě mnohem rychleji

Premium Ležáky z hypermarketů zklamaly. Jestli si chcete pochutnat, běžte do hospody. Sudová piva totiž dopadla před časem...

Kuličková myš, VHS a další technologické skvosty nedávné minulosti

v diskusi je 5 příspěvků

19. března 2024

S některými bylo možné se běžně setkat ještě před deseti lety, jiné je možné koupit a používat...

Od Amazonu po Voyo. Velký test streamovacích služeb našel obří rozdíly

v diskusi je 7 příspěvků

19. března 2024

Premium V jedné můžete vybírat z dvou set filmů a seriálů, ve druhé z osmi tisíc. V jedné je speciální...

Zemřel astronaut Stafford, který si ve vesmíru „podal“ ruku s Leonovem

v diskusi nejsou příspěvky

18. března 2024  19:10

Ve věku 93 let po dlouhé nemoci zemřel někdejší astronaut Thomas Stafford, který byl zapojený do...

Apple přidá do svých zařízení generativní AI, využije k tomu Google

v diskusi nejsou příspěvky

18. března 2024  13:34

Apple jako jedna z mála technologických společností nezachytil příchod vlny generativní umělé...

Nutný výchovný pohlavek, souhlasí Bouček i Havlová s přerušením projevu na Lvu

Moderátor Libor Bouček ostře zareagoval na kauzu ohledně délky proslovu režisérky Darji Kaščejevové na předávání cen...

Švábi, vši a nevychované děti. Výměna manželek skončila už po pěti dnech

Nová Výměna manželek trvala jen pět dní, přesto přinesla spoustu vyhrocených situací. Martina ze Znojma se pokoušela...

Vyzkoušeli jsme podvod z Aliexpressu. Může vás přijít draho, i po letech

Nakoupili jsme na Aliexpressu a pěkně se spálili. Jednu USB paměť, dvě externí SSD a jeden externí HDD. Ve třech...

Chtěli, abych se vyspala s Baldwinem kvůli jeho výkonu, říká Sharon Stone

Herečka Sharon Stone (66) jmenovala producenta, který jí řekl, aby se vyspala s hercem Williamem Baldwinem (61). Měla...

Konec nadvlády programátorů. Pozic ubývá, na jednu se hlásí stále víc lidí

Premium Ochota firem splnit uchazečům skoro jakýkoli požadavek a velmi nízká konkurence. Tak by se ještě nedávno dala definovat...