Časové razítko
Časové razítko je datový soubor přidaný k dokumentu, který umožňuje prokázat čas jeho vytvoření (přesněji – časové razítko dokazuje, že dokument v té době a podobě již existoval). Časová razítka poskytují pomocí on-line služeb různé certifikační autority. Časové razítko je vhodné použít u elektronických dokumentů, kde je nutné prokázat čas jejich vzniku, jako jsou například účetní doklady nebo zdravotnická dokumentace.
Elektronický podpis prokazuje identitu autora dokumentu (přesněji osoby, která dokument po vytvoření elektronicky podepsala), ale nenese v sobě žádnou průkaznou informaci, kdy byl dokument vytvořen (podepsán). Elektronický podpis obsahuje pouze čas vytvoření podpisu převzatý ze systému (počítače), na kterém byl podpis vytvořen, a ten není průkazný. Právě pro odstranění tohoto nedostatku bylo vytvořeno časové razítko. Kdo chce zajistit u dokumentu prokazatelnost jak osoby, která ho vytvořila, tak času, kdy vznikl, aplikuje na daný dokument elektronický podpis, který prokáže identitu tvůrce, i časové razítko, které prokáže čas vzniku.
Jak vzniká časové razítko?
Zjednodušeně lze vznik časového razítka popsat tak, že z dokumentu, ke kterému chcete přidat časové razítko, se spočítá hash. Tento hash se pošle certifikační autoritě. Certifikační autorita pak zkombinuje dodaný hash s přesným časem a takto vzniklá data následně podepíše svým, k tomu určeným, certifikátem (certifikát pro vytváření časového razítka je u časové autority veřejně dostupný pro kontrolu platnosti podpisu na časovém razítku). Vzniklý soubor dat (hash + přesný čas + podpis) se nazývá časovým razítkem. Přesný čas pro časové razítko se tedy nezjišťuje u odesílatele, ale u certifikační autority – čas díky tomu nelze zfalšovat tvůrcem dokumentu. Nazpět autorita pošle žadateli vygenerované časové razítko, které se přidá k původnímu dokumentu. Proces může být plně automatizovaný – bez nutnosti lidského zásahu jak na straně odesílatele, tak certifikační autority. Podmínkou je online internetové připojení k certifikační autoritě.
HASH je tzv. "otisk dokumentu", který je spočítán speciální matematickou funkcí (algoritmem). Existuje celá řada hashovacích funkcí – MD5 (již prolomena), SHA1, SHA2, BCRYPT… Mezi hlavní požadavky na hashovací funkce patří:
(1) pro jakýkoliv vstupní soubor poskytuje stejně dlouhý výstup,
(2) malou změnou vstupních dat dosáhneme velké změny na výstupu,
(3) z hash kódu je nemožné rekonstruovat původní text zprávy,
(4) nelze nalézt 2 vstupní soubory, kterým odpovídá stejný hash.
Kdo jsou poskytovatelé časových razítek?
Je jedno, jaké časové razítko použijeme?
Časová razítka mohou po technické stránce vydávat jakékoliv organizace. Například i my umožňujeme použít v ambulantním systému v modulu eParafa časová razítka, která poskytuje společnost TrustPort zdarma. Po technické stránce se jedná v podstatě o úplně stejné časové razítko, jaké poskytují kvalifikovaní poskytovatelé časových razítek.
Horší je to ale s "důvěryhodností" časových razítek od poskytovatelů, kteří nejsou dle evropského nařízení eIDAS "kvalifikovanými poskytovateli služeb vytvářejících důvěru" a jejichž časová razítka nejsou "kvalifikovaná elektronická časová razítka" (dále budeme používat QTS) dle definice v eIDAS.
Důvěra v jiné než kvalifikované poskytovatele časových razítek totiž není nikde na úrovni EU ani ČR legislativy definována. Pokud tedy chcete mít jistotu, že příjemce bude časové razítko na Vašem dokumentu (a tím celý Váš dokument) považovat za důvěryhodné, doporučujeme používat kvalifikovaná časová razítka (QTS). Například jedním z požadavků na elektronickou zdravotnickou dokumentaci je, aby bylo možno provést autorizovanou konverzi dokumentu do papírové podoby. Tato konverze může být provedena pouze u úředních osob (CzechPoint, notáři, vybrané městské či jiné úřady) – ty mohou ze zákona důvěřovat pouze kvalifikovaným časovým razítkům (QTS).
eIDAS je nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu, které vešlo v účinnost od 1. 7. 2016.
Kompletní seznam poskytovatelů QTS v rámci EU lze získat na portálu https://webgate.ec.europa.eu/tl-browser/#/. Kvalifikovaná časová razítka jsou platná napříč celou EU, je tedy jedno, od které autority v rámci EU získáte QTS pro svůj dokument.
V České republice jsou poskytovateli QTS následující certifikační autority:
- První certifikační autorita, a.s. (www.ica.cz/)
- PostSignum (www.postsignum.cz)
- eIdentity a.s. (www.eidentity.cz)
Dle zákona 297/2016 – paragraf 13, článek (4) – Ministerstvo vnitra ČR vede seznam certifikátů, na jejichž základě kvalifikovaní poskytovatelé služeb vytvářejících důvěru podepisují zaručeným elektronickým podpisem nebo pečetí zaručenou elektronickou pečetí vydaná kvalifikovaná elektronická časová razítka. Seznam certifikátů zveřejňuje ministerstvo způsobem umožňujícím dálkový přístup.
Elektronická pečeť byla nově zavedena nařízením eIDAS. Pomyslnou čarou mezi elektronickým podpisem
a elektronickou pečetí je to, zda dokument podepisuje fyzická osoba (pak je to podpis), nebo zde se jedná o podpis právnické osoby (pak je to elektronická pečeť). V souladu s nařízením eIDAS vydávají kvalifikovaní poskytovatelé kvalifikované certifikáty jak pro elektronické podpisy, tak pro elektronické pečetě.
Další články na téma časová razítka:
- Časová razítka I. – vše, co potřebujete vědět o časových razítkách
- Časová razítka II. – platnost elektronicky podepsaných dokumentů
- Časová razítka III. – časová razítka a legislativa
- Časová razítka IV. – cena elektronické dokumentace
- Časová razítka V. – praktický dopad časových razítek na možnost autorizované konverze (CzechPOINT)
- Časová razítka VI - kvalifikovaná časová razítka od CGM dostupná ve všech ambulantních systémech