Premium

Získejte všechny články
jen za 89 Kč/měsíc

Chcete zneužít elektronický podpis? Není to vůbec složité!

Víte, že můžete podepsat nějaký dokument svým elektronickým podpisem, a až vám jej někdo bude chtít "omlátit" o hlavu, řeknete jen, že jste jej nikdy nevytvořili a že vás chce někdo poškodit? A víte, jak si dát na takové podvody pozor?
V poslední době se čím dále tím více hovoří o elektronickém podpisu. Stát konečně zprovoznil elektronické podatelny a od března se tak již budou moci některá daňová přiznání podávat elektronickou formou přes internet. Jsou ale všichni připraveni na použití elektronického podpisu?

Elektronický podpis je uznáván jakožto jednoznačná identifikace osoby, která jej používá, podobně jako klasický podpis perem na papíře. Její totožnost je ověřena nezávislou certifikační autoritou, která certifikát totožnosti příslušnému uživateli dodala. Dostatečně silné šifrovací mechanismy pak mají zajistit, aby nikdo nemohl elektronický podpis ukrást a zneužít. Jak to ale je, pokud uživatel chce zneužít svůj vlastní elektronický podpis?

Jak zneužít svůj elektronický podpis

Společnost INFIMA Software s.r.o., která vytvořila program „ePodatelna.NET“, nedávno oznámila, že objevila možnost, jak zpětně zkompromitovat hodnověrnost elektronického podpisu. Přímo na svých stránkách pak uvádí přesný popis problému:

Pachatel v čase T1 podepíše elektronický dokument za pomoci certifikátu vydaného akreditovanou certifikační autoritou. Potom v čase T2 prohlásí svůj tajný elektronický klíč za kompromitovaný a nechá zrušit platnost svého certifikátu. Dále prohlásí, že jeho elektronický podpis byl zfalšován v čase T3 > T2, tedy po nahlášené kompromitaci jeho elektronického podpisu. Vzhledem k tomu, že obvykle není k dispozici průkazný údaj o čase zhotovení nebo předání elektronického podpisu, nelze pachateli dokázat nepravdivost jeho tvrzení.

Jak by takové zneužití vlastního elektronického podpisu mohlo vypadat v praxi? To se nám pokusil přiblížit programátor Jiří Vondra právě ze společnosti Infima. Popisoval nám hypotetickou možnost, kdy plátce daně schválně podá neúplné daňové přiznání, které zasílá elektronickou formou a samozřejmě je podepíše svým elektronickým podpisem. Následně prohlásí svůj elektronický podpis za zkompromitovaný a nechá jej zrušit. Pokud finanční úřad (FÚ) posléze zjistí nesrovnalosti v daňovém přiznání, u případného soudu se pak může tento „hříšník“ hájit obviňováním úředníků finančního úřadu. Vondra doslova říká: „Pachatel může prohlašovat, že si úředník jeho zkompromitovaný elektronický podpis stáhnul kdesi z internetu a podepsal jím falešné daňové přiznání.

Právníci FÚ prý pak budou ve velice těžké situaci, protože budou muset prokázat, že přiznání bylo doručeno ještě v době platnosti pachatelova elektronického podpisu.

Toto je samozřejmě jen teoretický příklad, který nepřihlíží ke všem aspektům, ale jako ukázka možnosti zneužití vlastního elektronického podpisu patrně stačí. Jak z něj vyplývá, jde především o to, že prý nelze dostupnými prostředky jednoznačně zjistit, kdy byl dopis s elektronickým podpisem doručen. Společnost INFIMA dále uvádí, že její produkt “ePodatelna.NET“ bude v nejbližší době vybaven technologií, která by měla podobným podvodům zabránit.

Co na to vláda?

O vyjádření k tomuto problému jsme požádali ředitelku odboru elektronického podpisu na Ministerstvu informatiky paní Dagmar Bosákovou. Ta v reakci na informace ze společnosti INFIMA uvádí: "Ministerstvo informatiky tuto tiskovou zprávu posoudilo a neshledává ji relevantní pro jakékoli účely uživatelů elektronického podpisu. Pro informaci zde uvádí odborný názor, který osvětluje vzniklé nedorozumění.

V expertním stanovisku Ministerstva informatiky jsou pak uvedeny následující informace:

Koncept časového nesouladu mezi změnou statutu certifikátu a zveřejněním této informace (například formou CRL) je stejně starý jako první implementace asymetrické kryptografie v PKI. V procesu ověření elektronického (chcete-li digitálního) podpisu je ověření platnosti certifikátu, tedy jeho statutu, jedním z hlavních úkolů. Příjemce elektronicky podepsané zprávy musí ověřit (v současné době mu tuto povinnost ukládá již zákon), zda poskytovatel certifikačních služeb, který certifikát podepisující osobě vydal, tento již nezneplatnil. To se děje formou stažení aktuálního seznamu zneplatněných certifikátů nebo formou real-time dotazu do databáze poskytovatele. Poskytovatel má opět ze zákona povinnost změnit status certifikátu, pokud o to například podepisující osoba, tedy držitel certifikátu, požádá.

V procesu výkonu certifikačních služeb se vyskytuje několik důvodů, proč není možné okamžitě po přijetí žádosti o zneplatnění tuto informaci zveřejnit formou CRL (toto neplatí pro OCSP, tedy pro real-time dotazy do repository poskytovatele). Vyhláška č. 366/2001 Sb. říká, že tato doba nesmí být delší než 12 hodin. Pro osobu ověřující certifikát to znamená, že pokud se s naprostou jistotou chce zprostit odpovědnosti za možnou vzniklou škodu (ustanovení § 5 odst. 2 zákona o elektronickém podpisu), musí ověřit certifikát 12 hodin po přijetí zprávy. Tím se vyhne jakékoli pochybnosti o nesouladu mezi časem vytvoření podpisu a časem zneplatnění certifikátu.

Tímto způsobem by se měly chovat i elektronické podatelny ve státní zprávě (viz Standard ISVS č. 016/02.01) i další subjekty spoléhající na podpis. Tedy i produkt ePodatelna.NET, kterou dodává společnost Infima.

Nedodržení této 12hodinové lhůty na straně ověřovatele ovšem nepředstavuje větší riziko, jak je uvedeno na stránkách společnosti Infima. I v případě vzniku škody a příčinné souvislosti mezi touto škodou a jednáním ověřující osoby existují právní instituty, kterými je možné se domoci práva.

Co z této kauzy vyplývá?

Při střízlivém pohledu na všechny okolnosti lze usoudit, že elektronický podpis je zneužitelný podobně jako ten vlastoruční. Prohlásit za nepravý či zfalšovaný totiž může kdokoliv i svůj klasický podpis na jakékoliv listině, stejně jako podpis elektronický. V obou případech je totiž obviňován příjemce podepsaného dokumentu, že tento vytvořil sám. Následně podpis zfalšoval, aby mohl poškodit osobu, která měla být údajným odesílatelem.

Například v rámci soudního jednání o zaplacení případné pokuty za daňové úniky by se mohl podvodník hájit tím, že jeho správné daňové přiznání úředník skartoval. Poté místo něj vytvořil vlastní, na kterém napodobil jeho podpis a které obsahuje chybné údaje, za které on neručí.

Redakci zatím není známé žádné soudní rozhodnutí, který by podobnou kauzu řešilo. Sami si tedy můžete odpovědět, zda byste v roli soudce na základě dostupných informací dali za pravdu podvodníkovi, který zneužil svůj vlastní podpis a tvrdil, že jej chtěl poškodit například úředník finančního úřadu.  
  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 20 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Načapali jsme otesánka, který se velkého sousta nezalekne. Boeing 747-400F

v diskusi je 8 příspěvků

21. března 2024

Poté, co na Letiště Václava Havla Praha přestaly v barvách Qatar Airways létat nákladní Boeingy...

Dočasná raketa se po téměř 70 letech loučí. Nyní startuje naposledy

v diskusi jsou 2 příspěvky

28. března 2024  15:36

Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 20 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 20 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Úspěšný let prototypu XB-1 vrací do hry cestování nadzvukovou rychlostí

v diskusi je 33 příspěvků

27. března 2024  17:17

Po více než dvaceti letech, od ukončení provozu letounu Concorde, se možná opět dočkáme nadzvukové...

FOR KIDS by měl být zážitkem pro celou rodinu, říká Monika
FOR KIDS by měl být zážitkem pro celou rodinu, říká Monika

Monika Pavlíčková (35 let) je maminkou dvou dcer, sedmileté Terezy a čtyřleté Laury, a zároveň také manažerkou obchodního týmu společnosti ABF,...

Rána pro britskou monarchii. Princezna Kate má rakovinu, chodí na chemoterapii

Britská princezna z Walesu Kate (42) se léčí s rakovinou. Oznámila to sama ve videu na sociálních sítích poté, co se...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...