21.12.2017
ID: 3916upozornenie pre užívateľov

Pravosť podpisu dokumentov podpísaných pomocou občianskeho preukazu môže byť spochybnená

Výskumný tím z Masarykovej univerzity[1] zverejnil informácie o potenciálnej zraniteľnosti RSA šifrovacieho algoritmu obsiahnutého v knižnici používanej výrobcom elektronických čipov - spoločnosťou Infineon Technologies AG. Jedná sa o typ elektronických čipov, ktorý je použitý aj v slovenských občianskych preukazoch.

   SEMANČÍN & PARTNERS s. r. o.   

Na základe medializácie uvedených informácií došlo zo strany prevádzkovateľa certifikačných autorít SVK eID ACA, SVK eID SCA a SVK eID PCA k následnému zneplatneniu RSA certifikátov generovaných vyššie uvedenou knižnicou  - teda k  zneplatneniu podpisových certifikátov obsiahnutých v elektronických čipoch slovenských občianskych preukazoch.

Aké sú právne východiská týkajúce sa používania  občianskych preukazov s elektronickým čipom a právne následky zneplatnenia týchto certifikátov?

Občiansky preukaz obsahujúci elektronický čip
Tzv. nový typ občianskeho preukazu (elektronická identifikačná karta - eID) je typ občianskeho preukazu obsahujúci elektronický čip[2], ktorý je vydávaný pod gesciou Ministerstva vnútra Slovenskej republiky Okresnými riaditeľstvami Policajného zboru od Decembra 2013.

Občiansky preukaz typu eID môže okrem preukazovania totožnosti[3] plniť aj ďalšie funkcie, ktoré predchádzajúce typy občianskych preukazov pre absenciu elektronického čipu plniť nemohli. Obsahuje napríklad funkciu tzv. bezpečnostného osobného kódu, ktorý slúži najmä na overenie totožnosti držiteľa eID pri elektronickej komunikácii s orgánmi verejnej moci, a tiež možnosť vytvárania elektronických podpisov v súlade s osobitnými predpismi[4].

Pre využitie možnosti elektronického podpisovania prostredníctvom eID sú vydávané  tri certifikáty, ktoré sú uložené na elektronickom čipe obsiahnutom v eID:

  • kvalifikovaný certifikát ACA – slúži na vytváranie kvalifikovaného elektronického podpisu („KEP“),
  • certifikát PCA - slúži na podpisovanie elektronickým podpisom,
  • šifrovací certifikát SCA
(„certifikáty“).

Kvalifikovaný elektronický podpis tvorí v zmysle príslušných ustanovení Občianskeho zákonníka[5] elektronickú alternatívu k realizácii právnych úkonov v písomnej forme, t. j. KEP nahrádza vlastnoručný podpis držiteľa eID na dokumentoch v listinnej forme. V prípade, ak je KEP opatrený aj tzv. časovou pečiatkou, takto vytvorený KEP je spôsobilý vyvolať rovnaké právne účinky, ako vlastnoručný podpis osoby s úradným osvedčením jeho pravosti[6].

Potenciálna zraniteľnosť certifikátov

Zraniteľnosť ACA, PCA a SCA certifikátov obsiahnutých na elektronickom čipe eID úzko súvisí so spôsobom generovania týchto certifikátov. Spoločnosť Infineon Technologies AG generuje uvedené certifikáty pomocou asymetrického RSA šifrovacieho algoritmu, ktorý je implementovaný v knižnici výrobcu. Šifrovací algoritmus vygeneruje pre každý z certifikátov kľúčový pár, ktorý pozostáva z dvoch zložiek - verejného kľúča a privátneho kľúča.

Spoločnosť Infineon Technologies AG pri generovaní vyššie uvedených certifikátov použila pre urýchlenie generovania špecifickú formu tvorby potrebných prvočísel, čím však došlo k výraznému zníženiu rozsahu do úvahy prichádzajúcich prvočísiel.

Pomocou tzv. Coppersmithovho útoku je možné z verejného kľúča vypočítať jemu prislúchajúci súkromný kľúč príslušného RSA certifikátu. Znalosť súkromného kľúča je nevyhnutná pre vytvorenie elektronického podpisu. Verejný kľúč príslušného certifikátu je možné vyčítať z akéhokoľvek dostupného elektronického dokumentu podpísaného oprávneným držiteľom tohto RSA certifikátu.

Pomocou neoprávnene získaného (vypočítaného) súkromného kľúča pre ACA certifikát teda môže následne osoba, ktorá tento kľúč získala,  podpísať akýkoľvek elektronický dokument pomocou totožného postupu, aký by použil oprávnený držiteľ tohto certifikátu umiestneného na eID karte. Takto vytvorený (podvrhnutý) elektronický podpis nie je následne možné žiadnym spôsobom odlíšiť od podpisu vytvoreného oprávneným držiteľom eID karty.

Reálna možnosť vytvorenia podvrhnutého kvalifikovaného elektronického podpisu predstavuje mimoriadne dôležitú skutočnosť, a to práve z dôvodu nemožnosti rozlíšenia, či elektronický podpis bol vytvorený reálnym držiteľom eID karty, alebo podvodne inou osobou. Situácia teda bude komplikovanejšia ako u dokumentov v listinnej forme, u ktorých je možné overiť pravosť podpisu osoby pomocou expertných postupov.

Zrušenie certifikátov vydaných certifikačnými autoritami SVK eID ACA, SVK eID SCA a SVK eID
Spoločnosť Disig, a.s., ako prevádzkovateľ certifikačných autorít SVK eID ACA, SVK eID SCA a SVK eID PCA, dňa 1. novembra 2017 zverejnila oznámenie o zrušení[7] (tzv. revokácii) všetkých platných RSA certifikátov s veľkosťou kľúčov 2048 bitov, ktoré boli vydané vyššie uvedenými certifikačnými autoritami pre občianske preukazy obsahujúce elektronický čip a pre doklady o pobyte obsahujúce elektronický čip[8] („DoP“).

Zrušenie vyššie uvedených certifikátov s veľkosťou kľúčov 2048 bitov vydaných pre eID a DoP bolo spoločnosťou Disig, a.s. vykonané dňa 31. októbra 2017 o 18:23 hod (ďalej len „zrušenie certifikátov“)[9].

Právny základ zrušenia certifikátov
Právny základ pre zrušenie certifikátov tvorí nariadenie Európskeho parlamentu a Rady o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu[10] (ďalej len „nariadenia eIDAS“), najmä ustanovenia článku 19 ods. 1, článku 24 ods. 3  a 4  a článku 28 ods. 4 tohto nariadenia.

V zmysle článku 19 ods. 1 nariadenia eIDAS je poskytovateľ dôveryhodných služieb[11] (t. j. aj spoločnosť Disig, a.s.) povinný „prijať vhodné technické a organizačné opatrenia na riadenie rizík ohrozujúcich bezpečnosť dôveryhodných služieb, ktoré poskytujú“.

V zmysle článku 28 ods. 4 nariadenia eIDAS „ak sa po počiatočnej aktivácii kvalifikovaný certifikát pre elektronické podpisy zruší, stráca svoju platnosť okamihom jeho zrušenia a jeho štatút sa za žiadnych okolností nezmení na pôvodný“.

Právne účinky zrušenia certifikátov
Z uvedeného teda vyplýva, že zrušením certifikátov obsiahnutých na eID občianskych preukazoch  zo strany prevádzkovateľa certifikačných autorít SVK eID ACA, SVK eID SCA a SVK eID PCA tieto certifikáty stratili ich platnosť, na základe čoho ich nie je následne možné po 31. októbri 2017 použiť na vytvorenie elektronického podpisu (vrátane kvalifikovaného elektronického podpisu), t. j. nie je možné nimi následne podpisovať akékoľvek elektronické dokumenty.

Problém s už vytvorenými podpismi

Kvalifikované elektronické podpisy vygenerované na základe certifikátov obsiahnutých na eID karte pred dátumom zrušenia príslušného certifikátu zostávajú však aj naďalej v platnosti. U dokumentov podpísaných len samotným kvalifikovaným elektronickým podpisom vytvoreným prostredníctvom eID (t. j. bez pripojenia tzv. časovej pečiatky) však nemusí byť možné bez ďalšieho preukázať, či k vytvoreniu kvalifikovaného elektronického podpisu došlo pred dátumom zrušenia certifikátov alebo (teoreticky) až po tomto dátume.

Z uvedeného dôvodu nie je preto vylúčené, že pri kvalifikovaných elektronických podpisoch vytvorených pomocou eID karty bez použitia funkcie časovej pečiatky môže byť v niektorých prípadoch problematické preukázať skutočnosť, či bol kvalifikovaný elektronický podpis vytvorený pomocou v tom okamihu platného ACA certifikátu, čo je problém.

Právne účinky takto vytvoreného kvalifikovaného elektronického podpis teda môžu byť sporné najmä v prípadoch, v ktorých bude absentovať iný (následný) úkon držiteľa eID karty, t. j. úkon, z ktorého by bolo možné vyvodiť časovú súvislosť medzi vytvorením kvalifikovaného elektronického podpisu a týmto následným úkonom.

Vo všeobecnej rovine by nemala nastať spornosť platnosti kvalifikovaného elektronického podpisu v prípadoch, keď bol elektronický dokument, podpísaný týmto elektronickým podpisom, využitý v rámci iného elektronického úkonu pred vykonaním samotnej revokácie certifikátov prevádzkovateľom certifikačných autorít. Mohlo by sa jednať napríklad o priloženie takto podpísaného dokumentu k žiadosti (návrhu), ktorá bola príslušnému orgánu verejnej moci adresovaná prostredníctvom služieb ústredného portálu verejnej správy, alebo iných obdobných služieb. Orgány verejnej moci disponujú elektronickou podateľňou, ktorá automaticky k prijatej žiadosti priradí aj príslušný dátum a čas jej doručenia.

Ani vyššie uvedený postup však nerieši situáciu, v ktorej bol príslušný elektronický dokument podpísaný pomocou podvodne vygenerovaného elektronického podpisu, t. j. na základe využitia zraniteľnosti 2048 bitových RSA kľúčov obsiahnutých na eID karte.

Odporúčaný postup
V prípade, ak chcete využívať možnosť podpisovania elektronických dokumentov aj po revokácii certifikátov obsiahnutých na eID karte, je potrebné zabezpečiť nahranie nových RSA certifikátov na vašu eID kartu.

Tieto nové 3072 bitové RSA certifikáty sú síce generované pomocou teoreticky obdobne zraniteľného algoritmu, v súčasnosti však nie je známa žiadna efektívna forma útoku, ktorá by umožňovala efektívne zistenie privátneho kľúča RSA certifikátu využitím znalosti príslušného verejného kľúča.

Aktuálne je možné nové certifikáty získať výlučne formou osobnej návštevy ktoréhokoľvek z príslušných pracovísk Okresných riaditeľstiev Policajného zboru.
V prípade, ak ste pomocou eID karty podpísali elektronické dokumenty bez využitia funkcie časovej pečiatky, odporúčame Vám do budúcna archivovať akékoľvek dôkazné prostriedky, prostredníctvom ktorých môžete následne preukázať, že kvalifikovaný elektronický podpis bol vytvorený ešte pred samotnou revokáciou príslušných certifikátov.

Mgr. Ing. Martin Konvit

Mgr. Ing. Martin Konvit

Advokátsky koncipient


Advokátska kancelária SEMANČÍN & PARTNERS s.r.o.

Vajnorská 100/A
831 04 Bratislava

Tel: +421 2 32 609 451
E-mail: office@semancin.sk

______________________________
[1] Odkaz TU
[2] § 3 ods. 1 zákona č. 224/2006 Z. z. o občianskych preukazoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
[3] § 2 ods. 1 zákona 224/2006 Z. z. o občianskych preukazoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
[4] Nariadenie Európskeho parlamentu a Rady č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES
[5] Zákon č. 272/2016 Z. z. o dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zmene a doplnení niektorých zákonov (zákon o dôveryhodných službách) v znení neskorších predpisov
[6] § 40 ods. 4 zákona č. 40/1964 Z. z. Občiansky zákonník v znení neskorších predpisov
[7] § 40 ods. 5 zákona č. 40/1964 Z. z. Občiansky zákonník v znení neskorších predpisov
[8] Odkaz TU
[9] § 73 ods. 3 zákona č. 404/2011 Z. z. o pobyte cudzincov a o zmene a doplnení niektorých zákonov
[10] Nariadenia Európskeho parlamentu a Rady č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (ďalej len „Nariadenie eIDAS“)
[11] Článok 3 bod 19 nariadenia eIDAS


© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk