30kmhcz

Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Pokročilé vyhledávání  

Novinky:

>>DŮLEŽITÉ UPOZORNĚNÍ: ČTOU TO TADY JAK ÚŘEDNÍCI, TAK POLICIE. Neuvádějte nic, podle čeho by protistrana mohla dovodit, o jaký případ se jedná. Jak na to? Pojďte >>sem<<.

Autor Téma: Podání emailem se zaručeným podpisem s přiloženou nepodepsanou přílohou  (Přečteno 1485 krát)

pk202

  • hard core 30kmh.cz
  • ****
  • Příspěvků: 4 411
    • Zobrazit profil

Zdravím,
nedávno jsem posílal na podatelnu sociálky email, ke kterému jsem připojil přílohu v PDF. Email jsem podepisoval zaručeným podpisem uloženým na eObčance, takž IMHO všechno cajk. PDF Přílohu jsem zvlášť nepodepisoval. Obsah podání byl v těle emailu.
Přesto dorazila tato odpověď :
Citace
Dobrý den,
Vaše datová zpráva ve věci  „XXXXXXXX.“ byla doručena  XX.02.2022 XX:25:04  na elektronickou adresu podatelny PSSZ. Datová zpráva byla po kontrole všech náležitostí přijata k dalšímu zpracování a byl jí přidělen
identifikátor: 12345/654321/22.
....
Současně Vás upozorňujeme, že Vaše datová zpráva nebyla podepsána uznávaným elektronickým podpisem, proto ji nelze považovat za podání ve smyslu ustanovení § 37 odst. 4 zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů. Vaši datovou zprávu bude možné považovat za platně učiněné podání pouze tehdy, pokud bude do 5 dnů doplněna písemně nebo ústně do protokolu anebo v elektronické podobě podepsaná uznávaným elektronickým podpisem. Nebude-li Vaše datová zpráva doplněna některým ze způsobů shora uvedených, upozorňujeme, že se jí z tohoto důvodu nebudeme dále zabývat.

Do teď jsem měl za to, že pokud elektronicky podepíšu email, vztahuje se to i na přílohu. .... nebo ne ?

EDIT: Abych se ujistil, že chyba není někde v mailovém klientovi tak jsem poslal vzápětí obyčejný , úplně stejně podepsaný email na tutéž podatelnu bez PDF přílohy. Podatelna tentokrát potvrdila příjem bez vady.
« Poslední změna: 02 Března 2022, 23:55:15 od pk202 »
IP zaznamenána

hh

  • hard core 30kmh.cz
  • ****
  • Příspěvků: 6 040
    • Zobrazit profil

Nerad bych působil zbytečně akademicky, ale problematika skrytá za dotazem je komplexní a má mnoho rovin.

Jedna je ta technická. Pokud se bavíme o podepsaných e-mailech, jde zřejmě o nějakou verzi a variantu S/MIME resp. CMS standardu (ne že by neexistovaly jiné exotičtější možnosti, ale ty by patrně podatelna nechroupala tak hezky, jak přikládáte). Ohledně toho, jaká část mailu je kryta podpisem - to standard nepředepisuje. Technicky může být podepsaný celý mail, jen tělo (odhlédneme-li od toho, že v případě zhůvěřilostí typu multipart/alternative těžko říct, co je tím tělem), jen některá příloha či libovolná podmnožina příloh. Mailový klient by teoreticky mohl nad tím uživateli ponechat určitou míru kontroly.

V praxi normální klient navržený někým aspoň trochu příčetným připojí podpis jako nejvíc vnější strukturu (tedy podepsaný hash bude odvozen od celé zprávy, včetně všech příloh). Chcete-li mít jistotu, tak si najděte tu zprávu v odeslaných, zobrazte "zdrojový kód" a uvidíte (MIME resp. S/MIME je v zásadě čitelné i bez udělátek).

Jiná rovina je právní a faktická - tedy co takový podpis znamená a jaký to má dopad např. na povahu dopisu jakožto podání, které nese nějaké právní jednání/úkon vůči adresátovi, a kde hmotné či procesní právo spojuje s podpisem nějaké účinky. Tady je problém v tom, že podpis obecně (ne pouze ten elektronický) má řadu funkcí, a zdaleka to nefunguje 1:1 u různých forem, taky ne všechny formy umožňují ty funkce oddělovat.

Obvyklý význam podpisu pod nějakým textem je zhruba "tohle jsem napsal já", pokud text obsahuje nějaké právní jednání/úkon, pak navíc i "tohle je má vůle, nechť se stane, co platné právo s takovým projevem vůle spojuje". Jenže u toho mailu s přílohami sice technicky podepisuju vše, ale patrně tím o těch přílohách neříkám ani, že jsem autorem, ani, že by obsahovaly nějakou moji vůli - jediná projevená vůle vůči těm přílohám je, že jsem je v dané podobě chtěl přiložit. Akorát, že ten elektronický podpis kromě identifikace a autentizace autora zajišťuje  i integritu podepisovaných dat, a to je velmi užitečné i vůči obsahu, ke kterému žádnou zvláštní vůli vyjadřovat nechci, ale nestojím o to, aby ho někdo po cestě nepozorovaně vyměnil. Jiná věc je, jak je zmíněno výše, že prakticky stejně nemám na výběr, typický mailový klient (pokud vůbec umí smysluplně pracovat s podpisy) se nebude ptát, co ten podpis má a nemá zahrnovat.

No a otázka za 10 bludišťáků pak zní, jak takový podpis interpretovat. Vzato technokraticky by takový typický podpis byl ekvivalentní tomu, že jsem se u papírového dopisu podepsal na obálku (resp. že jsem obálku zalepil nějakou křehkou nálepkou, přes kterou se nelze dovnitř dostat bez porušení, a podepsal jsem se přes tuto nálepku). To asi není ekvivalentní tomu, jako bych podepsal vše, co je uvnitř (tj. např. každý list zvlášť).

Další rovina problému je, co se vlastně očekává od toho robota, který podání zpracovává. Když nebude úplně marný, tak postupně rozebere ten mail či jiný nosič na části, ze kterých se skládá, s trochou štěstí identifikuje kontext (např. co je "tělo" a co přílohy), ověří ty podpisy a časová razítka kryptograficky (včetně vlastností a návazností certifikátů, na kterých jsou založeny), ale tím to zhruba končí. Nelze jednoduše odpovědět na otázku, zda jde o náležitě podepsané podání, protože na to potřebuju vědět, co je tím podáním (může být formálně klidně v nějaké příloze), kdo je podatelem (závisí na obsahu, nikoliv na metadatech podpisu) atp. Tedy ve finále by intepretaci § 37 a splnění náležitostí měl dělat živý úředník, ten stroj mu jen připraví částečné podklady. Což je samozřejmě sci-fi, v reálu bába na podatelně ví o el. podpisu jen to, že něco takového existuje, a výše popsanými nuancemi se nezatěžuje (a to pořád kloužeme po povrchu). Stejně tak kvalita softu, který podání kontroluje a podpisy ověřuje, bývá všelijaká (tedy to, že hlásí neplatný podpis, často znamená jen nemožnost ten podpis ověřit - ať už z objektivních příčin jako nedostupnost OCSP pro určitý certifikát, či ze subektivních na straně programátora).

Abych se vrátil k dotazu - pokud samotný úkon byl v těle mailu a podpis byl proveden nějak normálně, mělo by se to hodnotit jako řádně podepsané, i s tou přílohou. Nicméně co říká nějaký automat není nijak závazné. Bez detailního zkoumání navíc ani nezjistíte, jestli mu vadí příloha jako taková, nebo je problém v tom, že tam je vložena nějak chybně (z hlediska standardu, resp. toho, co podatelna předpokládá/očekává).

V praktické rovině, než se o tyhle věci s nějakým úřadem dohadovat (či nedejbůh soudit), doporučuji podání koncipovat tak, že v těle bude jen něco jako "podání v příloze", "viz přílohu" atp., a samotné podání bude v souboru Podani.pdf, a elektronicky podepsané bude přímo toto PDF (tj. v sobě, PAdES, nikoliv v rámci toho mailu). Přílohy, pokud to jen trochu lze, mít jako součást toho podepsaného PDF. Nelze-li, tak připojit samostatně s nějakými samovysvětlujícími názvy (Priloha1.pdf, Priloha2.pdf) a podepsat (kvůli integritě těch příloh) i e-mail jako celek. Ani to nezaručuje, že si na tom podatelna a/nebo úředník nevyláme zuby, ale je to mnohokrát vyzkoušený a nejmíň problematický postup.
IP zaznamenána

pk202

  • hard core 30kmh.cz
  • ****
  • Příspěvků: 4 411
    • Zobrazit profil

Učinil jsem ještě další pokus a neprojde to právě kvůli nepodepsané PDF příloze.
Pokud by takto fungovala i podatelna SO, pak bych viděl takovýto fun faktor:
1) Oskenuji do PDF příkaz nebo rozhodnutí
2) Pošlu podepsaný email kde v těle bude napsaný odpor/odvolání a přiložím nepodepsaný oskenovaný příkaz/rozhodnutí v PDF
3) Podatelna mně vyzve k doplnění podání do 5 dnů
4) Obratem na to odpovím podepsaným emailem ve smyslu - co chcete již ten původní email byl podepsaný.
5) Tohle již podatelna zkousne.
6) Ouřada odpor/odvolání neuzná - vždyť to říká podatelna a podle něj nabyde příkaz/rozhodnutí právní moci
7) Při prvním pokusu o vymáhání zaplatím
8) Po prekluzi se začnu hádat o platnosti odvolání a požádám o navrácení penízků.
IP zaznamenána

sennheiser

  • stálý člen 30kmh.cz
  • *
  • Příspěvků: 572
    • Zobrazit profil

To je tak 50:50 :-)
Ouřada to může na rozdíl od automatu vyhodnotit správně ( u hodně MČ měli chyby v implementaci nového nařízení eIDAS)
Někde používají na ověření autentizačních prvků kvalifikovanou služnu QVerify TL- poskytovatelem je ICA.
Pokud je podpis v těle zprávy, tak to odpovídá formátu podpisu CAdES-B dle ETSI TS 103 173 a s tím mají některé epodatelny problém.

Nejhorší implementaci bez následných kontrol mají i dle mých zkušeností jednoznačně na soudech a ve Šlapanicích v Brně :-)
Tedy Šlapanice po auditu z Moravského zemského archívu už dostali po prstech a epodatelnu opravili..

Tady nějaké info ohledně podpisu:
http://www.bulletin-advokacie.cz/dopady-stanoviska-nejvyssiho
IP zaznamenána