Dne 19. 9. 2018 skončilo dvouleté přechodné období z. 297/2016 Sb., kdy bylo možné používat jen zaručené podpisy, založené na kvalifikovaném certifikátu. Nyní musí veřejnoprávní původci používat při elektronické komunikaci kvalifikované elektronické podpisy na kvalifikovaném prostředku opatřené kvalifikovaným elektronickým časovým razítkem.
Jak získat kvalifikovaný podpis na kvalifikovaném prostředku?
•Je třeba si zajistit kvalifikovaný prostředek – token. Tento prostředek musí být splňovat požadavky eIDAS (nařízení EU).
•Dále je potřeba pořídit si kvalifikovaný podpis, který bude mít soukromý (privátní) klíč uložen právě jen na kvalifikovaném prostředku, bez možnosti jeho exportu. „Starší“ certifikáty nemají informaci o tom, že soukromý klíč je uložený na kvalifikovaném prostředku, proto je nelze použít. Takovéto podpisy pak nebudou kvalifikované, ale pouze zaručené, tudíž nebudou splňovat legislativní požadavky.
Jak získat časová razítka?
•Časová razítka si můžete zakoupit od akreditované certifikační autority (např. od České pošty), a to buď ve formě balíčku (koupíte určitý počet časových razítek, které postupně spotřebováváte) nebo můžete uzavřít s danou autoritou smlouvu o odběru.
Proč opatřovat podpisy kvalifikovaným elektronickým časovým razítkem?
•Dle zákona č. 297/2016 Sb. o službách vytvářejících důvěru pro elektronické transakce §11 musí veřejnoprávní podepisující, který podepsal elektronický dokument, kterým právně jedná, opatřit podepsaný elektronický dokument kvalifikovaným elektronickým časovým razítkem, a proto je nutné ho k elektronickému podpisu připojit.
•Pokud je k elektronickému podpisu připojeno i časové razítko, lze jednoznačně určit, zda byl podpis připojen před nebo po zneplatnění certifikátu.
Pokud tedy jako veřejnoprávní původce elektronicky komunikujete, je třeba používat kvalifikovaný elektronický podpis, který má soukromý klíč na kvalifikovaném prostředku a je opatřen kvalifikovaným časovým razítkem. Na rozdíl od soukromoprávních subjektů, kteří při komunikaci s veřejnoprávními původci mají na výběr, zda budou při elektronické komunikaci používat kvalifikovaný prostředek a připojovat časové razítko.
Elektronicky podepsaný dokument má stejné právní účinky jako ručně podepsaný.
Jak to funguje?
Časové (certifikační) autoritě pošlete otisk dat (tzv. hash), pro která má být časové razítko vystaveno. Časová autorita vytvoří odpověď, která obsahuje opět otisk dat (ten, který byl součástí příslušné žádosti) doplněný o aktuální doložitelný časový údaj (a další potřebné parametry) a zašle ji zpět žadateli. Časové razítko tedy obsahuje především aktuální datum a čas, sériové číslo razítka a identifikaci autority, která toto razítko vydává. Tyto údaje se připojí ke vstupním datům a vše se opatří elektronickým podpisem autority časových razítek a tento celek se pak pošle žadateli jako odpověď na jeho žádost.
V kombinaci s elektronickým podpisem pak celek - dokument, elektronický podpis a časové razítko dává do souvislosti nejen dokument a osobu (elektronický podpis), která ho podepsala, ale i časový okamžik, před kterým dokument zaručeně existoval (časové razítko). Časová autorita nemá k dispozici daný dokument, ale pouze jeho otisk a z něj je nemožné dostat původní zprávu. Nemusíte se tedy bát, že by se někdo nepovolaný dostal k takto "orazítkovaným" datům.
Nastavení parametrů pro podepisování PDF v SSL KEO4
Parametry se nastavují v modulu Administrace - záložka Databáze - Certifikáty - Podepisování - tlačítko Podepisování PDF:
| 1) | Ve formuláři je možné upravit text důvodu podpisu a připojit údaj o místě podpisu. |
| 2) | Je třeba vybrat, jestli se mají dokumenty (PDF) podepisovat automaticky vždy, nikdy anebo na dotaz. |
3) Digitální podpis může být skrytý nebo viditelný. Viditelný podpis lze vybrat pouze pro vlastní dokumenty - nezobrazuje se u dokumentů systémových či dokumentů vzniklých konverzí do výstupního datového formátu.
Viditelný podpis lze po zaškrtnutí příslušného checkboxu použít i pro hromadné podepisování. V tom případě bude pak u komponenty kromě sloupečku pro převod do PDF/A, elektronický podpis a časové razítko ještě sloupeček pro viditelný podpis a bude ve výchozím nastavení zaškrtnutý.
Pokud je vybrána možnost viditelného podpisu, má uživatel tři možnosti této podoby podpisu:
- systémový s logem KEO4,
- systémový bez loga,
- vlastní (k digitálně podepsaným PDF souborům lze vložit grafické zobrazení vlastního podpisu).
4) Tlačítkem Určit umístění podpisu se zobrazí náhled prázdné stránky, zde je třeba přemístěním obdélníčku určit požadované umístění viditelného podpisu. Je možné také upravit jeho velikost.
| 5) | Vyberte, jestli má být podpis umístěn na první nebo poslední stránce dokumentu. |
Toto nastavení umístění je pouze orientační, viditelný podpis lze později přemístit při vlastním podepsání dokumentu. Lze pak použít některé z tlačítek (první, <, >, poslední nebo Přesunout podpis na aktuální stránku) nebo je možné obdélníček s grafickou podobou el. podpisu ručně přesunout na požadované místo:
Import podpisového certifikátu do SSL KEO4
Aby mohl uživatel ve spisové službě KEO4 elektronicky podepisovat dokumenty, musí vlastnit kvalifikovaný certifikát umístěný na kvalifikovaném prostředku (token), a tento certifikát musí být naimportován do spisové služby. Token musí být vložený do počítače.
Import certifikátu se provádí v modulu Administrace - záložka Databáze - Certifikáty - Osobní certifikáty-kvalifikované - tlačítko Nový - volba Ze systémového úložiště. Po načtení obsahu vloženého tokenu je třeba vybrat aktuálně platný kvalifikovaný (QCA) certifikát.
Nastavení parametrů pro použití časových razítek v SSL KEO4
Parametry se nastavují v modulu Administrace - záložka Databáze - Časové autority - Přihlašovací údaje pro autority - tlačítko Nový:
Zadávání parametrů se liší v souladu s tím, jestli má organizace zakoupena časová razítka ve formě balíčku anebo na smlouvu.
Dalším nutným krokem je vybrat ve Společných parametrech SSL autoritu časových razítek (modulu Administrace - záložka Databázové schéma - Moduly - Spisová služba - Parametry - Společné parametry SSL).
Pokud nebude ve společných parametrech SSL nastaveno používání časových razítek, pak budou dokumenty podepisovány bez časového razítka, bez možnosti dlouhodobého ověření.