Typy elektronických podpisov a ich využitie v e-learningu

Zhrnutie: Existuje niekoľko typov elektronických podpisov, každý vhodný na iný účel podpisovania. Popis typov elektronických podpisov, ktoré z nich sa najčastejšie používajú v e-learningu a prečo, čo je to digitálny certifikát, certifikačná autorita, digitálny podpis a vysvetlenie princípu digitálneho podpisu je obsahom tohto článku.
Typy elektronických podpisov
Na úvod je potrebné poznamenať, že v názvosloví typov jednotlivých elektronických podpisov panuje istý zmätok a možno nájsť rôzne názvy pre jednotlivé typy v rôznych článkoch, nariadeniach a popisoch. Tu je zvolené jedno z používaných názvosloví, avšak stretnete sa aj s inými. Podstatné nie je, ako je konkrétny typ podpisu nazývaný, ale rozhodujúce sú základné znaky, ktoré sú nižšie popísané a ktoré určujú právnu a dôkaznú váhu.
Rozlišujeme nasledujúce typy elektronických podpisov, zoradené od najnižšej právnej váhy po najvyššiu.
Základný elektronický podpis
niekedy tiež nazývaný prostý elektronický podpis. Tento typ podpisu nemusí používať technológiu digitálneho podpisu s digitálnym certifikátom vydaným certifikačnou autoritou. Pre tých, ktorí nepoznajú pojmy digitálny podpis, digitálny certifikát a certifikačná autorita sú tieto pojmy stručne vysvetlené, vrátane popisu princípu digitálneho podpisu v kapitole Digitálny podpis.
Základný elektronický podpis je akákoľvek elektronická forma dát, ktorá je logicky spojená tak, že z nej vyplýva prejav vôle podpisujúceho podpísať pripojené elektronické informácie a podpisujúci je nejako identifikovaný. Nemusí ísť teda o jeden elektronický dokument, ktorý v sebe má nejak vložený podpis, a väčšinou ani nejde. Ide skôr o systém a proces podpisovania v ňom, čomu vo výsledku zodpovedajú uložené dáta v systéme. Nie je nijako bližšie špecifikované smernicou, predpisom či zákonom, ako má takýto podpis prebiehať a ako má vyzerať.
Môže ísť napr. o kliknutie na tlačidlo Súhlasím či zaškrtnutie súhlasného zaškrtávacieho políčka pri zobrazenom dokumente či inak zobrazených elektronických informáciách, ktoré podpisujúci podpisuje a je identifikovaný napr. loginom v systéme, alebo len uvedením svojho mena či e-mailu. Môže to byť aj naskenovaný dokument s vlastnoručným podpisom, môže to byť e-mail, kde odosielateľ len uvedie na konci svoje meno. Z úplne voľnej definície si možno predstaviť desiatky iných príkladov, ktoré možno považovať za základný elektronický podpis.
Základný elektronický podpis má určitú právnu váhu, najnižšiu zo všetkých typov elektronických podpisov, má aj najproblematickejšiu dôkaznú hodnotu. V prípade sporu je ťažšie preukázať autenticitu, tzn. že podpísal uvedený podpisujúci. Preto, aj keď to nie je žiadnou normou, zákonom či smernicou určené, často sa technicky realizuje navyše napr. s 2FA overením podpisujúceho, napríklad tak, že je podpisujúcemu na e-mail či jeho mobilné číslo zaslaný PIN, ktorý musí zadať súčasne s prejavom vôle podpísať. To zvyšuje dôkaznú hodnotu takto vykonaného základného podpisu. Podobne môže byť ťažké v prípade sporu preukázať, že to, čo podpisujúci podpísal, je to isté, čo teraz prezentuje jedna strana sporu. Napr. máme síce vďaka 2FA presvedčivejšie, že konkrétna osoba prejavila vôľu podpísať napr. súhlas s obchodnými podmienkami, ale je potrebné ešte preukázať, ako tieto obchodné podmienky vyzerali v čase podpisu, či v nich nebolo niečo iné, než čo teraz tvrdí jedna strana sporu. Existuje celý rad metód, ako zvýšiť túto dôkaznú hodnotu, ktorých ťažisko spočíva väčšinou v uložení dát v systéme, v ktorom sa podpisuje, avšak právnu váhu základného elektronického podpisu to nezvýši, len jeho dôkaznú hodnotu.
Uznávaný elektronický podpis
Z hľadiska typológie ide vlastne o podtyp základného elektronického podpisu, ktorý lepšie rieši dôkaznú hodnotu autenticity podpisujúceho aj pravosti podpisovaných materiálov. Na rozdiel od základného elektronického podpisu, kde možno podpísať takmer akokoľvek, uznávaný elektronický podpis je realizovaný pomocou digitálneho podpisu. V ňom použitý digitálny certifikát nemusí spĺňať žiadne náležitosti. Môže byť vydaný akoukoľvek certifikačnou autoritou, napríklad tieto certifikáty môže vydávať sama firma, alebo si ho vydá sám podpisujúci. Pre interné použitie vo firme vykazuje vyššie zabezpečenie v oblasti autentifikácie podpisujúceho a integrity podpísaného dokumentu než elektronický podpis základný, viď vysvetlenie princípu digitálneho podpisu v kapitole Digitálny podpis. Prípadné dôkazné materiály majú vyššiu váhu, ak firma má správne zavedený proces vydávania digitálnych certifikátov. Nemá však výrazne vyššiu právnu váhu než elektronický podpis základný.
Zaručený elektronický podpis
Tento podpis musí spĺňať:
- je jedinečne spojený s podpisujúcou osobou.
- umožňuje identifikáciu podpisujúcej osoby
- je vytvorený pod výhradnou kontrolou podpisujúcej osoby.
- je navrhnutý tak, aby bolo možné odhaliť akúkoľvek zmenu v podpísaných dátach
Prakticky je realizovaný pomocou v závere článku popísaného digitálneho podpisu, kde digitálny certifikát podpisujúcemu vydala kvalifikovaná certifikačná autorita. Na Slovensku a v ČR sú kvalifikované certifikačné autority napr. Prvá certifikačná autorita, a.s., Česká pošta, s.p. (PostSignum), či eIdentity.
Z názvu kvalifikovaná certifikačná autorita najčastejšie vzniká zmätok v názvoch typov elektronických podpisov. Kvalifikovaná, niekedy tiež nazývaná akreditovaná certifikačná autorita je definovaná zákonom o elektronickom podpise a zoznam akreditovaných certifikačných autorít zverejňuje Ministerstvo vnútra Slovenskej republiky alebo Českej republiky. Tieto kvalifikované certifikačné autority vydávajú digitálne certifikáty, ktorým sa preto niekedy hovorí súhrnne kvalifikovaný digitálny certifikát a popisom z nich vzniknutým sa potom hovorí kvalifikovaný elektronický podpis. Avšak tieto autority vydávajú často viac typov digitálnych certifikátov, najmä z obchodných dôvodov. Napr. jeden nazývajú kvalifikovaný komerčný, kde sú nižšie nároky na overenie podpisujúceho a nižšia cena, pomocou tohto certifikátu realizovaný podpis by spadol v tu uvedenej typológii do uznávaného elektronického podpisu. Ďalej vydávajú kvalifikovaný digitálny certifikát spĺňajúci vysoké zákonom dané nároky na overenie podpisujúceho, ale bez hardvérového zariadenia na uloženie a podpisovanie. Pomocou tohto certifikátu realizovaný podpis by spadol v tu uvedenej typológii do zaručeného elektronického podpisu, aj keď niekedy je nazývaný kvalifikovaným elektronickým podpisom. V tu uvedenej typológii je však názov kvalifikovaný elektronický podpis vyhradený až na posledný, „najvyšší“ typ, popísaný ďalej, pre ktorý potom v tomto niekedy používanom alternatívnom názvosloví chýbal názov.
Zaručený elektronický podpis má vyššiu právnu váhu než základný či uznávaný elektronický podpis a je postačujúci v bežnom elektronickom právnom styku.
Kvalifikovaný elektronický podpis
Kvalifikovaný elektronický podpis je realizovaný rovnako ako zaručený elektronický podpis, pomocou digitálneho podpisu s digitálnym certifikátom vydaným kvalifikovanou certifikačnou autoritou. Navyše ho však podpisujúci musí vytvoriť kvalifikovaným prostriedkom na vytváranie elektronických podpisov. Nestačí mať svoj súkromný kľúč, ktorý podpisujúcemu vydala kvalifikovaná certifikačná autorita spolu s jeho digitálnym certifikátom, uložený len niekde na disku počítača. Súkromný kľúč musí byť uložený na nejakom hardvérovom zariadení opäť certifikovanom akreditovanou audítorskou spoločnosťou a podpis sa musí urobiť na tomto zariadení.
Kvalifikovaný elektronický podpis zodpovedá nariadeniam EÚ č. 910/2014 (nariadenie eIDAS) pre elektronické transakcie na vnútornom európskom trhu a možno ho považovať za digitálny ekvivalent vlastnoručného podpisu na celom európskom trhu vrátane Slovenska a ČR.
Elektronické podpisy v e-learningu
Podpisovanie dokladov o preškolení
Bežné systémy na riadenie výučby (LMS) obvykle spravujú používateľov, kurzy a riadia štúdium týchto kurzov. Pre administrátorom vybrané kurzy sú tieto LMS schopné v prípade úspešného absolvovania kurzu študentom vydať certifikát či doklad o absolvovaní.
Pre kurzy riešiace interné záležitosti firmy sú tieto certifikáty právne nevýznamné a nedáva z právneho pohľadu zmysel ich nejako elektronicky podpisovať, aj keď nič tomu nebráni.
Existujú kurzy, ktorými musia zamestnanci na konkrétnych pracovných pozíciách prejsť zo zákona, napr. školenia bezpečnosti práce, požiarnej ochrany, prvej pomoci, GDPR, AML/CFT a desiatky ďalších preškolení pre špecifické pracovné činnosti. Ak sa pracovníci v týchto kurzoch školia pomocou e-learningu, prichádza do úvahy aj elektronicky podpisovať doklad o preškolení.
Viď vyššie popísané typy elektronických podpisov, podpísanie dokladu o preškolení pomocou zaručeného elektronického podpisu splní právne požiadavky a úspešne by riešilo aj prípadné právne spory. Avšak v praxi sa to týmto typom elektronického podpisu nerobí z niekoľkých dôvodov:
- cena vydaného digitálneho certifikátu pre zaručený elektronický podpis pre jednu osobu na jeden rok sa pohybuje v rádoch niekoľkých stoviek Kč v závislosti od konkrétnej kvalifikovanej certifikačnej autority. Cena za každé ročné obnovenie býva podobná, z toho si možno ľahko spočítať ročné náklady napr. na zaobstaranie pre všetkých zamestnancov firmy, ktorí musia absolvovať BOZP.
- digitálne podpísanie vyžaduje technické vybavenie a technické zručnosti podpisujúceho, ktoré väčšinou nemožno zabezpečiť pre všetkých zamestnancov, ktorí majú doklad o preškolení podpisovať
Existujú preto stále zamestnávatelia, ktorí preškolenie v e-kurze zo zákonnej oblasti riešia tak, že výsledný doklad o preškolení, ktorý LMS zamestnancovi automaticky vystaví po úspešnom absolvovaní kurzu, nechávajú zamestnanca vytlačiť, vlastnoručne podpísať a doručiť tento podpísaný dokument do papierového archívu firmy na archiváciu. Tento proces je administratívne aj finančne tiež pomerne náročný.
Stále väčší počet firiem preto na podpisovanie dokladu o preškolení používa základný elektronický podpis a panuje pomerne široká zhoda, že to je dostatočné. Túto zhodu potvrdzujú existujúce všeobecné súdne rozhodnutia (napr. rozhodnutie Mestského súdu v Prahe v roku 2024) a stanoviská (napr. stanovisko SÚIP), ktoré naznačujú, že prostý elektronický podpis môže byť právne záväzný za podmienok, že je možné preukázať identitu podpisujúcej osoby, jej vôľu dokument podpísať a to, že bol podpisujúci oboznámený s konkrétnymi informáciami a jeho znalosti boli overené.
Obvykle to býva v e-learningu riešené tak, že príslušný e-kurz obsahuje e-test znalostí, do elektronického dokladu o preškolení, ktorý automaticky generuje LMS, sa vypíše garant obsahu kurzu a konkrétne informácie obsiahnuté v kurze, podpisujúci potom podpíše základným elektronickým podpisom s prípadnými vylepšeniami nad rámec definície základného elektronického podpisu, popísanými v kapitole Základný elektronický podpis.
Riešenie podpisov v platforme iTutor
V Kontis vyvíjame e-learningové systémy pre podnikový sektor viac ako 25 rokov, za ten čas sme nazbierali množstvo skúseností s podpisovaním dokladov o preškolení v stovkách firiem podnikajúcich v rôznych odboroch, ako sú financie, energetika, doprava, výroba, telco, obchod, zdravie atď. Napr. v odbore dopravy používajú náš systém České dráhy či Železnice Slovenskej Republiky na povinné školenie desiatok tisíc zamestnancov v profesiách podľa železničného zákona, školia svojich zamestnancov v stovkách e-kurzov na to špeciálne vyrobených.
Platforma iTutor rieši nielen funkcionalitu obvyklého LMS, ktorej súčasťou je vydávanie e-certifikátov a ich prípadné e-podpisovanie.
Platforma iTutor má množstvo nadstavbových modulov, riešiacich oblasti riadenia výkonu, talentu či spolupráce. Na splnenie požiadaviek na elektronické podpisovanie nielen certifikátov kurzov, ale aj v ďalších menovaných oblastiach, je v platforme iTutor implementovaný modul iTutor Signature. Ten podporuje aj všetky v článku popísané vyššie typy elektronických podpisov, ktoré spĺňajú právne požiadavky na podpis pracovných zmlúv, čo možno v iTutor využiť napríklad v procese onboardingu, či na podpisy akýchkoľvek iných firemných dokumentov a zmlúv.
Pretože iTutor Signature podporuje digitálny podpis, možno aj na podpisovanie dokladov o preškolení použiť uznávaný elektronický podpis. Ten prináša, ako je popísané v článku, vyššie zabezpečenie v oblasti autentifikácie podpisujúceho a integrity podpísaného dokumentu než podpis základný. Ale v praxi sa to často nepoužíva a zostáva sa pri podpise základnom. Vďaka vlastnému vydávaniu digitálnych certifikátov firmou pri uznávanom elektronickom podpise odpadnú vysoké náklady na zaobstaranie digitálnych certifikátov od kvalifikovanej certifikačnej autority, ale zostáva požiadavka na technické vybavenie a technické zručnosti podpisujúcich. A pribúda požiadavka na implementáciu procesu vydávania vlastných digitálnych certifikátov zamestnancom, čo tiež nie je triviálne, viď popísaný proces vydávania digitálnych certifikátov od certifikačnej autority v kapitole Digitálny certifikát a certifikačná autorita.
Digitálny podpis
V závere článku vysvetlenie terminológie pre tých, čo s ňou nie sú detailne oboznámení. Termín elektronický podpis sa používa na akékoľvek elektronické podpísanie elektronického dokumentu, jednotlivé spôsoby takéhoto podpísania sú popísané v kapitole Typy elektronických podpisov.
Termínom digitálny podpis sa označuje technológia, ktorá umožňuje elektronicky podpísať elektronický dokument tak, že tento akt nemožno sfalšovať, je zaručená autenticita podpisujúceho a digitálnym podpísaním je obsah podpísaného dokumentu uzamknutý, už obsah nemožno zmeniť, bez toho aby vykonaná zmena nebola rozpoznateľná, čo digitálny podpis dokumentu zneplatní.
Digitálny podpis je založený na asymetrickej kryptografii, ktorej podstatou je, že existujú vždy dvojice kľúčov, verejný a súkromný. Vlastník súkromného kľúča je schopný pomocou tohto kľúča zašifrovať akúkoľvek správu či dokument. Vlastník zodpovedajúceho verejného kľúča je schopný túto zašifrovanú správu dešifrovať. Preto „asymetrická“ kryptografia, konkrétnou dvojicou kľúčov možno jedným správu len šifrovať a zodpovedajúcim druhým len spätne dešifrovať.
Digitálny certifikát a certifikačná autorita
Aby som mohol nejaký elektronický dokument digitálne podpísať, potrebujem digitálny certifikát. Digitálny certifikát je súbor dát, obsahujúci moje identifikačné údaje a môj verejný kľúč. Digitálny certifikát vydáva certifikačná autorita. Tá overí, keď mi vydáva digitálny certifikát, že „ja som ja“, napr. pomocou občianskeho preukazu. Vygeneruje dvojicu verejného a súkromného kľúča, vytvorí elektronický súbor dát, do ktorého vloží moje identifikačné údaje a pre mňa vygenerovaný verejný kľúč a tento súbor dát podpíše svojím súkromným kľúčom. Čo to je podpísanie súkromným kľúčom bude vysvetlené ďalej. Týmto postupom vznikne môj digitálny certifikát. K certifikátu mi certifikačná autorita zverí navyše môj súkromný kľúč, ktorý budem používať pri podpisovaní dokumentov. Ten nesmiem nikomu odovzdať, inak osoba vlastniaca tento súkromný kľúč by mohla podpisovať dokumenty rovnako ako ja. Verejný kľúč certifikačnej autority, ktorého protikladom v podobe súkromného kľúča certifikačnej autority podpísala certifikačná autorita môj digitálny certifikát, je verejne známy. Každý si preto pomocou tohto verejného kľúča certifikačnej autority môže overiť môj digitálny certifikát. Opäť bude vysvetlené ďalej, ako sa overuje. Toto je zjednodušený popis na pochopenie princípu digitálneho certifikátu, vynechávajúci napr. úložisko digitálnych certifikátov a prenosy dôvery, na účely tohto článku nepodstatné.
Princíp digitálneho podpisu dokumentu
Podpísanie
Ak vlastním digitálny certifikát, môžem s ním podpísať akýkoľvek dokument ako sú MS Word či PDF dokumenty, e-maily a pod. Podpisovaný dokument môže byť pomerne dlhý, napr. mnohostránková zmluva. Zašifrovanie mojím súkromným kľúčom pri podpisovaní aj následné dešifrovanie verejným kľúčom pri overovaní takéhoto dokumentu by bolo výpočtovo veľmi náročné, algoritmy asymetrickej kryptografie sú zložité. Cieľom nie je, aby obsah dokumentu bol nečitateľný, cieľom je mať overiteľné, kto dokument podpísal a že obsah dokumentu po podpise nebol zmenený.
Každý dokument z hľadiska digitálneho podpisu si možno predstaviť ako jedno „veľké“ číslo, obsahujúce aj milióny číslic. Využíva sa tzv. hash funkcia, matematicky pomerne zložitá funkcia, ktorá zjednodušene na účely tohto článku dokáže z akýchkoľvek čísel, teda aj „veľkých“ čísel o miliónoch číslic, počítať čísla „malé“, napr. s rádovo stovkami číslic. Výraz „malé“ je tu použitý ako opak „veľké“ – ono číslo so stovkami číslic nebýva malé číslo z bežného pohľadu. Pri tom pre hash funkciu platí, že z každého „veľkého“ čísla vypočíta také „malé“ číslo (hash), že neexistuje iné číslo, z ktorého by sa hash funkciou vypočítalo rovnaké „malé“ číslo (hash). Inými slovami, z každého dokumentu dokáže hash funkcia urobiť pomerne malé číslo (hash), ktoré je jedinečné.
Digitálne podpísanie prebieha tak, že sa z dokumentu vypočíta hash. Tento hash sa zašifruje súkromným kľúčom podpisujúceho a pripojí sa k dokumentu vrátane digitálneho certifikátu podpisujúceho, ktorý obsahuje identifikáciu podpisujúceho a jeho verejný kľúč.
Overenie
Overenie podpísaného dokumentu prebieha tak, že sa vypočíta hash z overovaného dokumentu. Dešifruje sa k dokumentu priložený hash pomocou verejného kľúča podpisujúceho, tento verejný kľúč je v k dokumentu priloženom digitálnom certifikáte. Ak je dešifrovaný hash rovnaký ako vypočítaný hash, znamená to, že dokument nebol po podpise zmenený a bol podpísaný osobou uvedenou v priloženom digitálnom certifikáte pri dokumente. Ak sa oba hash nezhodujú, dokument bol po podpise zmenený, alebo bol použitý iný kľúč na podpísanie než kľúč v priloženom digitálnom certifikáte. Podpis nezodpovedá a nejde teda o platne podpísaný dokument. Podobne sa overí aj priložený digitálny certifikát pri dokumente.