nav line

Dynamický biometrický podpis z hlediska běžného uživatele

Už po Vás někdo chtěl, abyste se podepsali na nějakou krabičku místo na papír? Pokud ne, nejspíš Vás to brzy čeká. Pokud ano, možná jste se v danou chvíli cítili trochu nejistě, nebo dokonce měli určité obavy. V tom případě byste měli číst dál.

V dnešní době se stále více firem zbavuje závislosti na papírových dokumentech a přechází na práci s dokumenty elektronickými. To se týká i uzavíraných smluv a dalších dokumentů, které se dosud podepisovaly tradičním způsobem. Jak se ale s problematikou podpisu dokumentu vypořádat v digitálním světě? Již skoro 15 let je v českém právním řádu zakotven elektronický podpis a především tzv. uznávaný elektronický podpis, založený na kvalifikovaném certifikátu vydaném akreditovanou certifikační autoritou. Právní i technický rámec pro elektronické podepisování tedy existuje již dlouho, realita je ovšem taková, že v praxi se to příliš neujalo. Pro běžného občana je získání, každoroční obnova a správa osobního kvalifikovaného certifikátu nepřekonatelnou bariérou.

V posledních 2-3 letech zažívá proto v ČR boom jiná technologie elektronického podpisu, tzv. dynamický biometrický podpis. Řada bank, poskytovatelů úvěrů, telco operátorů, pojišťoven a dalších v poslední době nasadila, nebo se zabývá nasazením dynamického biometrického podpisu na pobočkách, případně pro agenty „v terénu“. Hlavní výhodou tohoto přístupu je, že je založena na staletími prověřeném vlastnoručním podpisu, tedy něčem, na co je veřejnost zvyklá a co si každý člověk „nosí s sebou“, aniž by ho to jakkoliv zatěžovalo.

Článků cílených primárně na firmy, které by mohly či měly chtít biometrický podpis zavádět, už byla napsána řada (jeden i na našem blogu). Zde se na věc podíváme především z pohledu běžného uživatele a pokusíme se odpovědět na několik otázek, které si takový uživatel může klást, zejména co se týče své bezpečnosti.

Jak to funguje?

Podrobné vysvětlení překračuje rámec tohoto článku. Ale jednoduše to lze popsat takto. Člověk se podepíše na specializovaném zařízení (tzv. signature pad), případně na tabletu s podporou biometriky (toto dostatečně podporují v současné době pouze některé modely). Zařízení zaznamená podpis a získaná data jsou pak vložena do elektronického dokumentu způsobem, který zajistí, že

  • ani dokument ani data podpisu nejde dodatečně změnit (resp. změna je technicky detekovatelná)
  • data podpisu z dokumentu nelze získat a použít na jiný dokument
  • data podpisu nemohou být přečtena neautorizovanou osobou

Celé to stojí na asymetrické kryptografii a řadu principů a mechanismů to přebírá ze světa klasických elektronických podpisů, založených na certifikátech.

Proč po mě někdo chce, abych se podepisoval na nějakou krabičku a ne na papír? Co tím sleduje, co z toho má?

Firmy to dělají proto, aby si zjednodušily, zrychlily a zlevnily svoje interní procesy. Zpracování papírových dokumentů, které je třeba posílat poštou, kurýrem, či jinak fyzicky přepravovat a následně fyzicky někde archivovat, je pracné, drahé a pomalé. Elektronicky obíhající dokument umožňuje řadu věcí zrychlit, nebo dokonce automatizovat. Pro klienta to pak znamená levnější a rychlejší služby.

Mám se bát, když mi někdo podstrčí jakousi krabičku, na které se mám podepsat?

To závisí především na tom, kdo Vám tu krabičku podstrkává. Pokud něco podepíšete podvodníkovi, který se vás cíleně snaží nějak podvést, je vcelku jedno, zda to bude na papír, nebo elektronicky.

Technologie umí zajistit mnohé, ale v konečném důsledku to vždycky skončí na tom, že někomu zkrátka budete muset věřit. Nikomu nelze v principu zabránit, aby Vám podstrčil krabičku, která nebude fungovat tak, jak jsem popsal výše… To ale není vlastnost jen biometrických podpisů. Je to vlastnost i klasických elektronických podpisů - musíte věřit certifikační autoritě, musíte věřit HW a SW který sám provádí podpis pomocí vašeho soukromého klíče, že tento klíč nepoužije taky na něco jiného... Je to vlastnost jakékoliv operace prováděné prostřednictvím počítače - jen výrobce SW ví, co to všechno přesně dělá a vy holt musíte věřit, že Microsoft (nebo nějaký jeho “podlý“ zaměstnanec) do Windows nenaprogramuje čtení hesel k vašemu internetovému bankovnictví. Ve skutečnosti je to vlastnost jakékoliv operace zahrnující více než jednu stranu. I peníze mají hodnotu jen proto, že věříte, že vláda zítra neprovede měnovou reformu atd. Bez důvěry nemůže existovat nic. Naprosto neprůstřelné zabezpečení nebo prokazatelná nezneužitelnost čehokoliv není z principu možná, stejně jako perpetum mobile. 100% záruky čehokoliv v reálném světě neexistují. Existují jen mechanismy jak důvěru (bezpečnost) posílit.

Pokud důvěřujete své bance natolik, abyste jí svěřili své peníze (nemluvě o podpisovém vzoru na papíře), proč byste jí nevěřili natolik, abyste se báli něco biometricky podepsat, přestože nemáte možnost, jak si ověřit, že s vaším podpisem neprovádí něco nekalého? I teoreticky méně hodnověrným subjektům běžně svěřujeme čísla kreditních karet, osobní údaje, dokonce půjčujeme občanku, aby si udělali její kopii! Teoretické riziko, které podstoupíte, pokud něco biometricky podepíšete, není o nic větší než to, které už teď běžně podstupujete v mnoha situacích.

A co když narazím na nějakého toho podvodníka?

Někoho by mohlo napadnout, že rozdíl je v tom, že podvodník na papíře získá jen jeden pravý podpis/jeden dokument, který jste ve skutečnosti podepsat nechtěli. (Nechme stranou, že podle něj může vytvářet falzifikáty a písmo znalci nejsou v jejich určení rozhodně 100% bezchybní). Kdežto elektronický podpis by vám mohl někdo ukrást a libovolně ho kopírovat a vkládat do jakýchkoliv dokumentů.

Ano, pokud by se CIA (NSA, Mosad, FSB…) rozhodla za každou cenu (nehledě na zdroje, které by si to žádalo) získat nějak váš biometrický podpis a pomocí něj padělat nějaký dokument, který jste ve skutečnosti nikdy nepodepsali, nepochybně by to dokázala.

Proč není důvod se bát? Za prvé nejste tak bohatí, aby se komukoliv vyplatilo investovat potřebné zdroje do toho, aby Vás tímto způsobem připravil o to, co máte. A pokud jste miliardář, odněkud se záhadně vynořivší směnka na celý váš majetek bude silně podezřelá podpis nepodpis. Nemluvě o tom, že podvodník má k dispozici tolik jednodušších způsobů, jak někoho okrást... Za druhé jenom v pohádce to funguje tak, že jakmile jednou čertovi úpis podepíšete, jdete do pekla a nic s tím nenaděláte, a to i kdyby třeba podpis vylákal nějakým podfukem. V reálném světě vždy máte spoustu možností, jak prokázat, že jste něco nepodepsali. Jakýkoliv podpis navíc není žádný absolutně platný a nezpochybnitelný akt souhlasu s obsahem dokumentu i v případě, že pravost nelze samotnou analýzou dokumentu a podpisu vyvrátit. Kdyby to bylo jinak, nebylo by třeba žádných rafinovaných zločinů, natož tak komplikované věci jako padělání biometricky podepsaných dokumentů. Dát někomu k hlavě pistoli a získat pravý podpis čehokoliv by bylo mnohem jednodušší… Ostatně se dnes v ČR můžete (podle mě bohužel) s požehnáním soudu vyhnout dodržování i pravých smluv, které jste vědomě skutečně podepsali a dokonce svůj podpis ani obsah dokumentu nezpochybňujete. Ale to už je jiný příběh.

Závěr

Když to shrnu, teoretické riziko existuje, to ale existuje vždy, papírové podpisy nevyjímaje. Nicméně zcizit a úspěšně (tak aby to nebylo poměrně snadno odhalitelné) zneužít Váš biometrický podpis, kterým jste něco podepsali důvěryhodné organizaci, jež se Vás od začátku cíleně nesnaží podvést a nemá na to předem připraven speciální podvodnický HW a SW, je mimořádně obtížné. Nesrovnatelně obtížnější než zcizit a zneužít např. občanku, nebo úspěšně (tak aby to soudní znalec neoznačil jako nepochybný padělek) napodobit podpis na papíře, případně získat Váš pravý podpis na papíře a přicvaknout k němu jiný text…

Vždy bych se zamyslel nad tím, komu něco na nějaké krabičce podepisuju. Ano, časem, až se bude biometricky podepisovat kde co kde komu, můžou se objevit i cílené podvody. Ale stejně tak už dnes existují podvody s papírovými podpisy a dokumenty, kradenými nebo padělanými doklady apod. A hlavně, stejně jako riziko, že se v autě zabijete, neznamená, že lidé přestanou jezdit auty, jezdit by neměli, nebo by to dokonce mělo (pro jejich vlastní dobro) být postaveno mimo zákon, není riziko spojené s biometrickými podpisy důvodem je nepoužívat. Riziko zneužití je velmi malé a i kdyby snad přece jen k němu došlo, dopady nejsou nijak zásadní - jde jen o peníze a lze se bránit, žádný, jakkoliv pravě vypadající podpis, není nezpochybnitelný. Srovnejme to s těmi auty. Nehod víc než podvodů s podpisy, a přitom jde o zdraví a život, přičemž jakékoliv „opravné prostředky“ neexistují…

Ohodnoťte článek

Dynamický biometrický podpis z hlediska běžného uživatele
Seriál
Dynamický biometrický podpis

Související články

Vyhledávání na blogu

Webová integrace

Webová integrace jako nová oblast pro business „velkých" webových agentur.

o webové integraci

Profily blogujících