Časová razítka I. – vše, co potřebujete vědět o časových razítkách

K čemu je časové razítko, jak vzniká, kdo ho vydává? Mám zvolit kvalifikované časové razítko, nebo jen časové razítko?

Časové razítko

Časové razítko je datový soubor přidaný k dokumentu, který umožňuje prokázat čas jeho vytvoření (přesněji časové razítko dokazuje, že dokument v té době a podobě již existoval). Časová razítka poskytují pomocí on-line služeb různé certifikační autority. Časové razítko je vhodné použít u elektronických dokumentů, kde je nutné prokázat čas jejich vzniku, jako jsou například účetní doklady nebo zdravotnická dokumentace.

Elektronický podpis prokazuje identitu autora dokumentu (přesněji osoby, která dokument po vytvoření elektronicky podepsala), ale nenese v sobě žádnou průkaznou informaci, kdy byl dokument vytvořen (podepsán). Elektronický podpis obsahuje pouze čas vytvoření podpisu převzatý ze systému (počítače), na kterém byl podpis vytvořen, a ten není průkazný. Právě pro odstranění tohoto nedostatku bylo vytvořeno časové razítko. Kdo chce zajistit u dokumentu prokazatelnost jak osoby, která ho vytvořila, tak času, kdy vznikl, aplikuje na daný dokument elektronický podpis, který prokáže identitu tvůrce, i časové razítko, které prokáže čas vzniku.

TS-2_Podpis-PDF-dokumentu
Elektronický podpis
TS-3_Overeni-podpisu-PDF
Ověření elektronického podpisu

Jak vzniká časové razítko?

Zjednodušeně by se vznik časového razítka dal popsat tak, že z dokumentu, ke kterému chcete přidat časové razítko, se spočítá hash. Tento hash se pošle certifikační autoritě. Certifikační autorita pak zkombinuje dodaný hash s přesným časem a takto vzniklá data následně podepíše svým, k tomu určeným, certifikátem (certifikát pro vytváření časového razítka je u časové autority veřejně dostupný pro kontrolu platnosti podpisu na časovém razítku). Vzniklý soubor dat (hash + přesný čas + podpis) se nazývá časovým razítkem. Přesný čas pro časové razítko se tedy nezjišťuje u odesílatele, ale u certifikační autority – čas díky tomu nejde zfalšovat tvůrcem dokumentu. Nazpět autorita pošle žadateli vygenerované časové razítko, které se přidá k původnímu dokumentu. Proces může být plně automatizovaný – bez nutnosti lidského zásahu jak na straně odesílatele, tak i certifikační autority. Podmínkou je online internetové připojení k certifikační autoritě.

TS-1_vznik-razitka
Vytvoření časového razítka

HASH je tzv. "otisk dokumentu", který je spočítán speciální matematickou funkcí (algoritmem). Existuje celá řada hashovacích funkcí – MD5 (již prolomena), SHA1, SHA2, BCRYPT…  Mezi hlavní požadavky na hashovací funkce patří:
(1) pro jakýkoliv vstupní soubor poskytuje stejně dlouhý výstup,
(2) malou změnou vstupních dat dosáhneme velké změny na výstupu,
(3) z hash kódu je nemožné rekonstruovat původní text zprávy,
(4) nelze naleznout 2 vstupní soubory, kterým odpovídá stejný hash.

Kdo jsou poskytovatelé časových razítek?

Je jedno, jaké časové razítko použijeme?

Časová razítka mohou po technické stránce vydávat jakékoliv organizace. Například i my umožňujeme použít v ambulantním systému v modulu eParafa časová razítka, která poskytuje společnost TrustPort zdarma. Po technické stránce jde v podstatě
o úplně stejné časové razítko, jako poskytují kvalifikovaní poskytovatelé časových razítek.

Horší je to ale s "důvěryhodností" časových razítek od poskytovatelů, kteří nejsou dle evropského nařízení eIDAS "kvalifikovanými poskytovateli služeb vytvářejících důvěru" a jejichž časová razítka nejsou "kvalifikovaná elektronická časová razítka" (dále budeme používat QTS) dle definice v eIDAS.

Důvěra v jiné než kvalifikované poskytovatele časových razítek totiž není nikde na úrovni EU ani ČR legislativy definována. Pokud tedy chcete mít jistotu, že příjemce bude časové razítko na Vašem dokumentu (a tím celý Váš dokument) považovat za důvěryhodné, doporučujeme používat kvalifikovaná časová razítka (QTS). Například jedním z požadavků na elektronickou zdravotnickou dokumentaci je, aby bylo možno provést autorizovanou konverzi dokumentu do papírové podoby. Tato konverze může být provedena pouze u úředních osob (CzechPoint, notáři, vybrané městské či jiné úřady) ty mohou ze zákona důvěřovat pouze kvalifikovaným časovým razítkům (QTS).

eIDAS je nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu, které vešlo v účinnost od 1. 7. 2016.

Kompletní seznam poskytovatelů QTS v rámci EU lze získat na portále https://webgate.ec.europa.eu/tl-browser/#/. Kvalifikovaná časová razítka jsou platná napříč celou EU, je tedy jedno, od které autority v rámci EU získáte QTS pro svůj dokument.

V České republice jsou poskytovateli QTS následující certifikační autority:

Dle zákona 297/2016  paragraf 13, článek (4) Ministerstvo vede seznam certifikátů, na jejichž základě kvalifikovaní poskytovatelé služeb vytvářejících důvěru podepisují zaručeným elektronickým podpisem nebo pečetí zaručenou elektronickou pečetí vydaná kvalifikovaná elektronická časová razítka. Seznam certifikátů zveřejňuje ministerstvo způsobem umožňujícím dálkový přístup.

Elektronická pečeť byla nově zavedena nařízením eIDAS. Pomyslnou čarou mezi elektronickým podpisem
a elektronickou pečetí je to, jestli dokument podepisuje fyzická osoba (pak je to podpis), nebo jestli jde o podpis  právnické osoby pak je to elektronická pečeť. V souladu s nařízením eIDAS vydávají kvalifikovaní poskytovatelé kvalifikované certifikáty jak pro elektronické podpisy, tak i pro elektronické pečetě.

Další články na téma časová razítka:

Jak se Vám líbil článek?

Celkové hodnocení: 5/5