Nelekejte se, kvalifikované elektronické podpisy nezanikly

Dnes
Doba čtení: 10 minut

Sdílet

Autor: Depositphotos
Česká verze oblíbeného Adobe Acrobat Reader-u po nedávných aktualizacích změnila terminologii a z kvalifikovaných elektronických podpisů udělala neexistující „prověřené elektronické podpisy“. Ty od I.CA navíc již nedokáže správně rozpoznat.

Zdarma dostupný program Adobe Acrobat Reader je asi nejpoužívanějším programem pro práci s dokumenty ve formátu PDF, i s jejich elektronickými podpisy. A stejně jako většina ostatních programů, i on se s novými verzemi vyvíjí. Ne vždy to ale přináší změny k lepšímu, alespoň z pohledu širší uživatelské veřejnosti. Jako třeba tolik kritizované zásadní překopání uživatelského rozhraní v březnu 2023, které navíc přineslo neodstranitelnou plovoucí lištu v těle zobrazovaného dokumentu, s oblibou překrývající právě to, co zrovna chcete vidět.

Nedávno, konkrétně od verze 26.001.21662, nasazované od 9. června, ale došlo k poměrně významným změnám i ve způsobu práce s elektronickými podpisy. A nejsou to, alespoň podle mého názoru, změny k lepšímu. Spíše chyby, na které jsem již upozornil společnost Adobe, a dostal příslib jejich odstranění v budoucích verzích.

Jenže než se tak stane, uživatelé s aktuálními verzemi budou těmto chybám vystaveni. Proto je dobré vědět, v čem spočívají a jak se jimi nenechat uvést v omyl. I jak se chyby v ověřování dají napravit vlastními silami.

Už ne kvalifikovaný, ale prověřený

Začněme tím jednodušším a srozumitelnějším, konkrétně terminologií. Nejprve se zmíním o jedné změně k lepšímu, ke které s novými verzemi došlo. Jde o to, jak česká verze Readeru hodnotí elektronické pečeti.

Když starší verze Readeru (před verzí 26.001.21662) narazily na kvalifikovanou elektronickou pečeť, prezentovaly ji nesprávně jako „kvalifikované elektronické razítko“.

Adobe Acrobat Reader

Autor: Jiří Peterka

Nejspíše si někdo v zámoří otevřel nějaký slovník a v něm našel, že se anglické „seal“ dá přeložit nejenom jako pečeť, ale také jako razítko. A tak použil druhou možnost. Ještě že nepoužil další možnosti, protože anglické „seal“ označuje i tuleně, případně lachtana.

Jak ukazuje následující obrázek, tento nesprávný překlad již byl opraven. Takže pečeť je už skutečně prezentována jako pečeť.

Adobe Acrobat Reader

Autor: Jiří Peterka

Jenže to bohužel není všechno: zatímco jedna terminologický chyba byla opravena, došlo k další, dle mého názoru ještě závažnější. Jde o překlad přívlastku „kvalifikovaný“ v případě kvalifikovaného elektronického podpisu. Zatímco dříve byl takovýto podpis prezentován správně jako „kvalifikovaný elektronický podpis“ (viz horní část následujícího obrázku), nově se z něj stal „prověřený elektronický podpis“ (dle spodní části obrázku).

Adobe Acrobat Reader

Autor: Jiří Peterka

Obávám se, že řadu lidí to může docela nepříjemně zmást, resp. uvést v omyl, či způsobit různé nepříjemnosti. Například když nějaký dokument vyžaduje právě kvalifikovaný elektronický podpis (jako např. výstup z autorizované konverze, notářský zápis a řada dalších), může po ručním ověření pomocí Readeru dojít k jeho omítnutí právě proto, že (podle Readeru) nesplňuje předepsané náležitosti. Že není opatřen kvalifikovaným elektronickým podpisem, ale jakýmsi „prověřeným elektronickým podpisem“, který nezná ani naše právní úprava, ani ta unijní. Ani žádný jiný nástroj pro práci s elektronickými podpisy.

Mimochodem, stejně nesprávný překlad nyní společnost Adobe používá i na svých stránkách v češtině, například zde.

Adobe Acrobat Reader

Autor: Jiří Peterka

O čem vypovídají nové hlášky?

Předchozí obrázky naznačují i další změnu, která na první pohled vypadá jen kosmeticky, ale ve skutečnosti je poměrně zásadní. Jde o upravené či nově přidané hlášky jako „Zdroj důvěry získán z místních Důvěryhodných seznamů …“, „naposledy zkontrolováno dne ….“  či „Než se na tento podpis spolehnete, ověřte aktuální stav důvěry“.

Adobe Acrobat Reader

Autor: Jiří Peterka

K pochopení významu těchto hlášek je třeba určité vysvětlení: Reader získává informace o tom, zda může nějakému certifikátu důvěřovat, z více různých zdrojů. Především z vlastního seznamu AATL (Adobe Approved Trust List), ale také z unijních důvěryhodných seznamů, které společnost Adobe chápe jako určité rozšíření a doplnění jejího seznamu AATL. Dále (na žádost uživatele) může čerpat potřebné informace i z operačního systému (např. Windows). Ještě další možností je pak to, aby svou důvěru explicitně vyjádřil uživatel. Ale to by měl dělat jen takový uživatel, který dobře ví, co dělá.

Zde popisované změny se týkají primárně využití oněch unijních důvěryhodných seznamů. Ty vydává každá členská země, aby zapsáním konkrétní služby (např. služby pro vydávání kvalifikovaných certifikátů) na národní důvěryhodný seznam udělila této službě kvalifikovaný status. EU pak nad jednotlivými národními seznamy vytváří jakýsi „rozcestník“ v podobě seznamu důvěryhodných seznamů, který se jmenuje příznačně LOTL (List of Trusted Lists).  Je to řešení, které umožňuje nejrůznějším nástrojům a službám dostat se přes jedno konkrétní místo k informacím o tom, čemu a do jaké míry mohou důvěřovat. Proto ony zmínky o „zdroji důvěry“ a jejich získání, či o „kotvách důvěry“.

V případě certifikátů jde obecně o to, zda se lze spoléhat na jejich obsah – a pak si v nich přečíst, zda jde o kvalifikovaný certifikát, zda je nastaven příznak o umístění soukromého klíče na prostředku QSCD, či zda jde o certifikát pro elektronický podpis či pečeť. Právě to totiž rozhoduje o tom, zda se ve výsledku jedná o elektronický podpis či pečeť, a zda o kvalifikovaný, uznávaný či pouze zaručený.

Na seznamu LOTL (či spíše „pod ním“) jsou ovšem i další služby, které s vydáváním certifikátů přímo nesouvisí. Proto si společnost Adobe vytváří určitou podmnožinu seznamu LOTL, se kterou pak pracují její programy, včetně Readeru. Této podmnožině říká EUTL (od: EU Trusted List), a je to právě to, na co se Reader odkazuje ve svých hláškách (i na předchozích obrázcích).

K tomu je ovšem třeba dodat, že směrodatný je seznam LOTL, který může být aktualizován v zásadě kdykoli (když kterákoli členská země aktualizuje svůj národní důvěryhodný seznam). Pak je ale otázkou, jak často se tomu přizpůsobuje (aktualizuje) ona podmnožina EUTL, a také jak s ní pracuje samotný program Reader (který si dle svého nastavení stahuje certifikáty na seznamu EUTL). Dosud ale nebylo příliš „vidět“ do toho, jak takovéto reakce na změny LOTL probíhají. Kdy dochází k aktualizaci.

Může to přitom mít poměrně zásadní vliv na výsledek ověření konkrétního podpisu či pečeti v Readeru. Například pokud byl podpisový certifikát vydán v rámci nějaké nové služby, které byl teprve čerstvě udělen kvalifikovaný status jejím zapsáním na LOTL (přesněji na příslušný národní seznam), konkrétní instance programu Reader to ještě nemusela zaznamenat. Obdobně v opačném případě, pokud byl nějaké službě kvalifikovaný status naopak odebrán.

Jak jsem se nyní dozvěděl z komunitního fóra Adobe, společnost prý reagovala na připomínky organizace FESA (European Forum of Supervisory Authority) a počínaje verzí 26.001.21662 začala indikovat, kdy naposledy došlo k aktualizaci seznamu EUTL (podle LOTL). Nyní to tedy Reader vypisuje, kdykoli zmiňuje že důvěru čerpal z unijních seznamů. Příklady ukazuje následující obrázek.

Adobe Acrobat Reader

Autor: Jiří Peterka

Pokud jde o frekvenci těchto aktualizací, sama společnost Adobe k tomu ve své nápovědě k seznamu EUTL (v anglické verzi, nikoli ve stručnější české, naposledy aktualizované v březnu 2024) uvádí, že k nim dochází:

Přibližně jednou měsíčně, obvykle během prvního týdne kalendářního měsíce.

Tomu odpovídá i předchozí obrázek, s výsledky ověření ve dvou různých dnech (viz zelené podtržení).

K tomu je ale nutné dodat, že podle stejného zdroje (anglické verze nápovědy) může trvat až dalších14 dnů, než se aktualizace projeví i na konkrétní instanci Reader-u, který si seznam EUTL pravidelně stahuje k sobě pro jeho rychlejší využití. Zde ale platí, že toto stažení může uživatel vyvolat sám (přes Předvolby a Správce práv). Onu „měsíční“ aktualizaci EUTL podle LOTL uživatel ovlivnit nemůže.  

Důvěru a kvalifikovaný status si zkontrolujte sami, ručně

Otázkou samozřejmě je, co s nesprávnými výsledky, které by mohly vzniknout kvůli dosud neprovedené aktualizaci. Jak jsme si již naznačili, může totiž dojít k tomu, že nějaký certifikát (a na něm založený podpis či pečeť) nebude správně rozpoznán, a v důsledku toho ověření dopadne jinak, než jak by správně mělo dopadnout.

Asi již tušíte, že to nemohlo dopadnout jinak, než přehozením horké brambory na uživatele. Konkrétně zavedením disclaimeru v podobě hlášky „Než se na tento podpis spolehnete, ověřte aktuální stav kotvy důvěry“, která byla k vidění i na předchozích obrázcích.

Následující obrázek tuto hlášku ukazuje znovu, spolu s další novou hláškou, nabízející „Další informace“. Obě tyto hlášky jsou aktivní odkazy, vedoucí na prohlížeč seznamu LOTL, resp. na stránky s nápovědou Adobe k seznamu EUTL (ještě s možností odskoku na neudržovanou českou verzi).

Adobe Acrobat Reader

Autor: Jiří Peterka

Jak konkrétně „ověřit aktuální stav kotvy důvěry“, i s nezbytným vysvětlením, by bylo na samostatný článek (pokud by o něj byl zájem, prosím o reakci do komentářů k tomuto článku).

Kde Reader nově chybuje při ověřování

S novými verzemi Reader-u přišlo i několik dalších změn, které se mi podařilo detekovat. Tou nejzávažnější je asi změna v samotném způsobu využití seznamů EUTL a AATL, která v ČR dopadá hlavně na podpisy a pečeti, založené na kvalifikovaných certifikátech od I.CA.

Dříve Reader fungoval tak, že když mohl čerpat důvěru z obou seznamů (tedy EUTL i LOTL), využil (a explicitně zmínil) obě. Ukazuje to i následující obrázek.

Adobe Acrobat Reader

Autor: Jiří Peterka

Nově se ale fungování Readeru změnilo tak, že když dokáže čerpat důvěru v certifikát ze seznamu AATL, v některých případech (konkrétně u kvalifikovaných certifikátů od I.CA) ji už nečerpá z EUTL.

Důsledek ukazuje následující obrázek: Reader ze seznamu AATL zjistil, že certifikátu může důvěřovat, a díky tomu mohl vyhodnotit podpis jako platný. V certifikátu je sice uvedeno, že jde o kvalifikovaný certifikát pro elektronický podpis, ale bez čerpání důvěry z unijních seznamů (LOTL/EUTL) na to Reader nesmí dát. A tak certifikát hodnotí jako komerční, resp. ne-kvalifikovaný, a výsledný podpis pak nutně prezentuje jen jako zaručený elektronický podpise.

Adobe Acrobat Reader

Autor: Jiří Peterka

Na obrázku je přitom stejný elektronický podpis, jako na tom předchozím. Tedy kvalifikovaný elektronický podpis, založený na kvalifikovaném certifikátu, s příznakem uložení soukromého klíče na kvalifikovaném prostředku (QSCD). Jenže Reader nyní čerpá důvěru pouze ze seznamu AATL, a v samotném certifikátu tak důvěřuje pouze příznaku o uložení soukromého klíče (ve spodní části obrázku). Úplně zde ale chybí zjištění, že jde o kvalifikovaný certifikát. Proto samotný podpis prezentuje pouze jako zaručený – a nikoli jako kvalifikovaný, jakým ve skutečnosti je.

Stejně je tomu pro kvalifikované elektronické pečeti, založené na kvalifikovaných certifikátech od I.CA.

Adobe Acrobat Reader

Autor: Jiří Peterka

Jak problém dočasně odstranit vlastními silami?

O příčinách právě popsaných chyb mohu pochopitelně jen spekulovat.

Určitým vodítkem ale mohou být předchozí dva obrázky, které ukazují, že Reader při dovozování důvěry (pouze ze seznamu AATL) sestavoval certifikační cestu až ke kořenovému certifikátu (konkrétně od I.CA Root CA/RSA 05/2022) – zatímco pokud by čerpal důvěru z EUTL, sestavoval by kratší certifikační cestu, vedoucí jen ke kvalifikované dceřiné autoritě (zde: ICA EU Qualified CA2/RSA 06/22). Protože na unijních důvěryhodných seznamech jsou (v případě hierarchicky uspořádaných autorit) jako kotvy důvěry služby jejich dceřiných autorit, reprezentované jejich certifikáty, a nikoli certifikáty kořenových autorit.  

K tomu je dobré dodat, že I.CA má na seznamu AATL jak své kořenové certifikáty, tak i certifikáty svých dceřiných autorit, včetně těch kvalifikovaných. Zatímco třeba PostSignum, coby druhá česká autorita, zastoupená v AATL, zde má jen jeden kořenový certifikát (a popisovaná chyba se u jejích certifikátů neprojevuje). Vše ukazuje následující obrázek.

Adobe Acrobat Reader

Autor: Jiří Peterka

Moje hypotéza je, že když při své standardní instalaci Reader načítá do svého úložiště důvěryhodných certifikátů nejprve seznam AATL, načte certifikáty kvalifikovaných dceřiných autorit I.CA jako podřízené, a nikoli jako kořenové (což z pohledu seznamu AATL skutečně nejsou). Jenže pak, při načítání seznamu EUTL, již nezmění jejich status tak, jak to odpovídá jejich roli v seznamu EUTL (kde představují kotvy důvěry, resp. mají fungovat jako kořenové).

Alespoň dočasným řešení, než společnost Adobe opraví popisované chyby, by bylo nejprve vyprázdnit Readeru jeho úložiště důvěryhodných certifikátů, a pak tyto znovu načíst – ovšem v opačném pořadí (nejprve EUTL, teprve pak AATL). Protože pak se certifikáty dceřiných autorit načtou jako kořenové, a následné načtení AATL to už nezmění. Ověřování pak funguje tak, jak má.

Snazší a rychlejší je ale jiný postup: upravit důvěryhodnost příslušných certifikátů dceřiných autorit ručně. Jak se to dělá, ukazuje následující obrázek. Měli by to ale dělat opravdu jen zkušenější uživatelé, kteří vědí co dělají, i se kterými certifikáty.

Adobe Acrobat Reader

Autor: Jiří Peterka

Jak ukazuje další obrázek, po takovémto zásahu již i nové verze Readeru čerpají důvěru tak, jak mají. Nicméně nemusí to vydržet libovolně dlouho – vzhledem k tomu, že Reader si při svém standardním nastavení (podle vlastních pravidel) sám aktualizuje oba seznamy, jejich načtením do svého úložiště důvěryhodných certifikátů. Tím může vše vrátit do původního stavu.  

Adobe Acrobat Reader

Autor: Jiří Peterka

Pochopitelně nesprávný překlad anglického „Qualified“, který z kvalifikovaného elektronického podpisu udělal „prověřený elektronický podpis“, se zásahem uživatele napravit nedá. To musí udělat společnost Adobe.

  • Chcete mít Lupu bez bannerů?
  • Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
  • Chcete mít k dispozici strojové přepisy podcastů?
  • Chcete získat slevu 1 000 Kč na jednu z našich konferencí?

Staňte se naším podporovatelem

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, 10 let byl členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.



Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).