Řešení Reference O firmě Kariéra Kontakty menu
langMenu
CZČeská republika (čeština)
SKSlovenská republika (slovenčina) ENOther countries (english)

Kontis Insights

Další insights

Typy elektronických podpisů a jejich využití v e-learningu

eSignatures v e-learningu
Jan Pejša
CEO, Kontis s.r.o.
6 minut čtení
LinkedIn contactE-mail contact

Shrnutí: Existuje několik typů elektronických podpisů, každý vhodný pro jiný účel podepisování. Popis typů elektronických podpisů, které z nich se nejčastěji používají v e-learningu a proč, co je to digitální certifikát, certifikační autorita, digitální podpis a vysvětlení principu digitálního podpisu je obsahem tohoto článku.

Typy elektronických podpisů

Na úvod je třeba poznamenat, že v názvosloví typů jednotlivých elektronických podpisů panuje jistý zmatek, a lze najít různé názvy pro jednotlivé typy v různých článcích, nařízeních a popisech. Zde je zvoleno jedno z užívaných názvosloví, nicméně setkáte se i s jinými. Podstatné není, jak je konkrétní typ podpisu nazýván, ale rozhodující jsou základní znaky, které jsou níže pospané, a které určují právní a důkazní váhu.

Rozeznáváme následující typy elektronických podpisů, seřazené od nejnižší právní váhy po nejvyšší.

Základní elektronický podpis

někdy též zvaný prostý elektronický podpis. Tento typ podpisu nemusí používat technologii digitálního podpisu s digitální certifikátem vydaným certifikační autoritou. Pro ty, kteří neznají pojmy digitální podpis, digitální certifikát a certifikační autorita jsou tyto pojmy stručně vysvětleny, včetně popsání principu digitálního podpisu v kapitole Digitální podpis.

Základní elektronický podpis je jakákoliv elektronická forma dat, která je logicky spojena tak, že z ní vyplývá projev vůle podepisujícího podepsat připojené elektronické informace a podepisující je nějak identifikován. Nemusí se tedy jednat o jeden elektronický dokument, který v sobě má nějak vložený podpis, a většinou ani nejedná. Jde spíše o systém a proces podepisování v něm, čemuž ve výsledku odpovídají uložená data v systému. Není nijak blíže specifikováno směrnicí, předpisem či zákonem, jak má takový podpis probíhat a jak má vypadat.

Může jít např. o kliknutí na tlačítko Souhlasím či zaškrtnutí souhlasného zaškrtávacího políčka u zobrazeného dokumentu či jinak zobrazených elektronických informací, které podepisující podepisuje a je identifikován např. loginem v systému, nebo jen uvedením svého jména či e-mailu. Může to být i naskenovaný dokument s vlastnoručním podpisem, může to být e-mail, kde odesílatel jen uvede na konci své jméno. Z naprosto volné definice si lze představit desítky jiných příkladů, které lze považovat za základní elektronický podpis.

Základní elektronický podpis má určitou právní váhu, nejnižší ze všech typů elektronických podpisů, má i nejproblematičtější důkazní hodnotu. V případě sporu je obtížnější prokázat autenticitu, tzn. že podepsal uvedený podepisující. Proto, aniž je nějakou normou, zákonem či směrnicí udáno, často se technicky realizuje navíc např. s 2FA ověřením podepisujícího, třeba tak, že je podepisujícímu na e-mail či jeho mobilní číslo zaslán PIN, který musí zadat současně s projevem vůle podepsat. To zvyšuje důkazní hodnotu takto provedeného základního podpisu. Obdobně může být obtížné v případě sporu prokázat, že to, co podepisující podepsal, je to samé, co nyní prezentuje jedna strana sporu. Např. máme sice díky 2FA průkaznější, že konkrétní osoba projevila vůli podepsat např. souhlas s obchodními podmínkami, ale je třeba ještě prokázat, jak tyto obchodní podmínky vypadaly v době podpisu, zda v nich nebylo něco jiného, než co nyní tvrdí jedna strana sporu. Je celá řada metod, jak zvýšit tuto důkazní hodnotu, jejichž těžiště spočívá většinou v uložení dat v systému, ve kterém se podepisuje, nicméně právní váhu základního elektronického podpisu to nezvýší, jen jeho důkazní hodnotu.

Uznávaný elektronický podpis

Z hlediska typologie jde vlastně o podtyp základního elektronického podpisu, který lépe řeší důkazní hodnotu autenticity podepisujícího i pravosti podepisovaných materiálů. Na rozdíl od základního elektronického podpisu, kde lze podepsat téměř jakkoliv, uznávaný elektronický podpis je realizován pomocí digitálního podpisu. V něm použitý digitální certifikát nemusí splňovat žádné náležitosti. Může být vydán jakoukoli certifikační autoritou, například tyto certifikáty může vydávat sama firma, nebo si ho vydá sám podepisující. Pro interní použití ve firmě vykazuje vyšší zajištění v oblasti autentifikace podepisujícího a integrity podepsaného dokumentu než elektronický podpis základní, viz vysvětlení principu digitálního podpisu v kapitole Digitální podpis. Případné důkazní materiály mají vyšší váhu, pokud firma má správně zavedený proces vydávání digitálních certifikátů. Nemá však výrazně vyšší právní váhu než elektronický podpis základní.

Zaručený elektronický podpis

Tento podpis musí splňovat:

  • je jedinečně spojen s podepisující osobou.
  • umožňuje identifikaci podepisující osoby
  • je vytvořen pod výhradní kontrolou podepisující osoby.
  • je navržen tak, aby bylo možné odhalit jakoukoli změnu v podepsaných datech

Prakticky je realizován pomocí v závěru článku popsaného digitálního podpisu, kde digitální certifikát podepisujícímu vydala kvalifikovaná certifikační autorita. V ČR jsou kvalifikované certifikační autority např. První certifikační autorita, a.s., Česká pošta, s.p. (PostSignum), či eIdentity.

Z názvu kvalifikovaná certifikační autorita nejčastěji vzniká zmatek v názvech typů elektronických podpisů. Kvalifikovaná, někdy též zvaná akreditovaná certifikační autorita je definována zákonem o elektronickém podpisu a seznam akreditovaných certifikačních autorit zveřejňuje Ministerstvo vnitra České republiky. Tyto kvalifikované certifikační autority vydávají digitální certifikáty, kterým se proto někdy říká souhrnně kvalifikovaný digitální certifikát a popisům z nich vzniklý se pak říká kvalifikovaný elektronický podpis. Nicméně tyto autority vydávají často více typů digitálních certifikátů, zejména z obchodních důvodů. Např. jeden nazývají kvalifikovaný komerční, kde jsou nižší nároky na ověření podepisujícího a nižší cena, pomocí tohoto certifikátů realizovaný podpis by spadl v zde uvedené typologii do uznávaného elektronického podpisu. Dále vydávají kvalifikovaný digitální certifikát splňující vysoké zákonem dané nároky na ověření podepisujícího, ale bez hardwarového zařízení na uložení a podepisování. Pomocí tohoto certifikátů realizovaný podpis by spadl ve zde uvedené typologii do zaručeného elektronického podpisu, i když někdy je nazýván kvalifikovaným elektronickým podpisem. Ve zde uvedené typologii je však název kvalifikovaný elektronický podpis vyhrazen až na poslední, „nejvyšší“ typ, popsaný dále, pro než pak v tomto někdy používaném alternativním názvosloví chyběl název.

Zaručený elektronický podpis má vyšší právní váhu než základní či uznávaný elektronický podpis a je dostačující v běžném elektronickém právním styku.

Kvalifikovaný elektronický podpis

Kvalifikovaný elektronický podpis je realizovaný stejně jako zaručený elektronický podpis, pomocí digitálního podpisu s digitálním certifikátem vydaným kvalifikovanou certifikační autoritou. Navíc ho však podepisující musí vytvořit kvalifikovaným prostředkem pro vytváření elektronických podpisů. Nestačí mít svůj soukromý klíč, který podepisujícímu vydala kvalifikovaná certifikační autorita spolu jeho digitálním certifikátem, uložený jen někde na disku počítače. Soukromý klíč musí být uložen na nějakém hardwarovém zařízení opět certifikovaném akreditovanou auditní společností a podpis se musí udělat na tomto zařízení.

Kvalifikovaný elektronický podpis odpovídá nařízením EU č. 910/2014 (nařízení eIDAS) pro elektronické transakce na vnitřním evropském trhu a lze ho považovat za digitální ekvivalent vlastnoručního podpisu na celém evropském trhu včetně ČR.

Elektronické podpisy v e-learningu

Podepisování dokladů o proškolení

Běžné systémy pro řízení výuky (LMS) obvykle spravují uživatele, kurzy a řídí studium těchto kurzů. Pro administrátorem vybrané kurzy jsou tyto LMS schopny v případě úspěšného vystudování kurzu studentem vydat certifikát či doklad o vystudování.

Pro kurzy řešící interní záležitosti firmy jsou tyto certifikáty právně nevýznamné a nedává z právního pohledu smysl je nějak elektronicky podepisovat, i když nic tomu nebrání.

Existují kurzy, kterými musí zaměstnanci na konkrétních pracovních pozicích projít ze zákona, např. školení bezpečnosti práce, požární ochrany, první pomoci, GDPR, AML/CFT a desítky dalších proškolení pro specifické pracovní činnosti. Školí-li se pracovníci v těchto kurzech pomocí e-learningu, přichází v úvahu i elektronicky podepisovat doklad o proškolení.

Viz výše popsané typy elektronických podpisů, podepsání dokladu o proškolení pomocí zaručeného elektronického podpisu splní právní požadavky a úspěšně by řešilo i případné právní spory. Nicméně v praxi se to tímto typem elektronického podpisu nedělá z několika důvodů:

  • cena vydaného digitálního certifikátu pro zaručený elektronický podpis pro jednu osobu na jeden rok se pohybuje v řádu několika set Kč v závislosti na konkrétní kvalifikované certifikační autoritě. Cena za každé roční obnovení bývá podobná, z toho si lze lehce spočíst roční náklady např. pro pořízení pro všechny zaměstnance firmy, kteří musí absolvovat BOZP.
  • digitální podepsání vyžaduje technické vybavení a technické dovednosti podepisujícího, které většinou nejde zajistit pro všechny zaměstnance, kteří mají doklad o proškolení podepisovat

Existují proto stále zaměstnavatelé, kteří proškolení v e-kurzu ze zákonné oblasti řeší tak, že výsledný doklad o proškolení, který LMS zaměstnanci automaticky vystaví po úspěšném absolvování kurzu, nechávají zaměstnance vytisknout, vlastnoručně podepsat a doručit tento podepsaný dokument do papírového archivu firmy k archivaci. Tento proces je administrativně i finančně také poměrně náročný.

Stále větší počet firem proto pro podepsání dokladu o proškolení používá základní elektronický podpis a panuje poměrně široká shoda, že to je dostatečné. Tuto shodu potvrzují existující obecná soudní rozhodnutí (např. rozhodnutí Městského soudu v Praze v roce 2024) a stanoviska (např. stanovisko SÚIP), která naznačují, že prostý elektronický podpis může být právně závazný za podmínek, že je možné prokázat identitu podepisující osoby, její vůli dokument podepsat a to, že byl podepisující seznámen s konkrétními informacemi a jeho znalosti byly ověřeny.

Obvykle to bývá v e-learningu řešeno tak, že příslušný e-kurz obsahuje e-test znalostí, do elektronického dokladu o proškolení, který automaticky generuje LMS, se vypíše garant obsahu kurzu a konkrétní informace obsažené v kurzu, podepisující pak podepíše základním elektronickým podpisem s případnými vylepšeními nad rámec definice základního elektronického podpisu, popsanými v kapitole Základní elektronický podpis.

Řešení podpisů v platformě iTutor

V Kontis vyvíjíme e-learningové systémy pro podnikovou sféru více jak 25 let, za tu dobu jsme nasbírali řadu zkušeností s podepisováním dokladů o proškolení v stovkách firem podnikajících v různých oborech, jako jsou finance, energetika, doprava, výroba, telco, obchod, zdraví atd. Např. v oboru dopravy používají náš systém České dráhy či Železnice Slovenskej Republiky pro povinné školení desítek tisíc zaměstnanců v profesích dle drážního zákona, školí své zaměstnance ve stovkách e-kurzů pro to speciálně vyrobených.

Platforma iTutor řeší nejen funkcionalitu obvyklého LMS, jejíž součástí je vydávání e-certifikátů a jejich případné e-podepisování.

Platforma iTutor má řadu nadstavbových modulů, řešící oblasti řízení výkonu, talentu či spolupráce. Pro splnění požadavků na elektronické podepisování nejen certifikátů kurzů, ale i v dalších jmenovaných oblastech, je v platformě iTutor implementován modul iTutor Signature. Ten podporuje i všechny v článku popsané vyšší typy elektronických podpisů, které splňují právní požadavky na podpis pracovních smluv, což lze v iTutor využít třeba v procesu onboardingu, či na podpisy jakýchkoliv jiných firemních dokumentů a smluv.

Protože iTutor Signature podporuje digitální podpis, lze i pro podepisování dokladů o proškolení použít uznávaný elektronický podpis. Ten přináší, jak je popsáno v článku, vyšší zajištění v oblasti autentifikace podepisujícího a integrity podepsaného dokumentu než podpis základní. Ale v praxi se to často nepoužívá a zůstává se u podpisu základního. Díky vlastnímu vydávání digitálních certifikátů firmou u uznávaného elektronického podpisu odpadnou vysoké náklady na pořízení digitálních certifikátů od kvalifikované certifikační autority, ale zůstává požadavek na technické vybavení a technické dovednosti podepisujících. A přibývá požadavek na implementaci procesu vydávání vlastních digitálních certifikátů zaměstnancům, což také není triviální, viz popsaný proces vydávání digitálních certifikátů od certifikační autority v kapitole Digitální certifikát a certifikační autorita.

Digitální podpis

V závěru článku vysvětlení terminologie pro ty, co s ní nejsou detailně seznámeni. Termín elektronický podpis se používá pro jakékoliv elektronické podepsání elektronického dokumentu, jednotlivé způsoby takovéhoto podepsání jsou popsané v kapitole Typy elektronických podpisů.

Termínem digitální podpis se označuje technologie, která umožňuje elektronicky podepsat elektronický dokument tak, že tento akt nejde zfalšovat, je zaručena autenticita podepisujícího a digitálním podepsáním je obsah podepsaného dokumentu zamknut, již obsah nelze změnit, aniž by provedená změna nebyla rozpoznatelná, což digitální podpis dokumentu zneplatní.

Digitální podpis je založen na asymetrické kryptografii, jejíž podstatou je, že existují vždy dvojice klíčů, veřejný a soukromý. Vlastník soukromého klíče je schopen pomocí tohoto klíče zašifrovat jakoukoliv zprávu či dokument. Vlastník odpovídajícího veřejného klíče je schopen tuto zašifrovanou zprávu dešifrovat. Proto „asymetrická“ kryptografie, konkrétní dvojicí klíčů lze jedním zprávu jen šifrovat a odpovídajícím druhým jen zpětně dešifrovat.

Digitální certifikát a certifikační autorita

Abych mohl nějaký elektronický dokument digitálně podepsat, potřebuji digitální certifikát. Digitální certifikát je soubor dat, obsahující moje identifikační údaje a můj veřejný klíč. Digitální certifikát vydává certifikační autorita. Ta ověří, když mi vydává digitální certifikát, že „já jsem já“, např. pomocí občanského průkazu. Vygeneruje dvojici veřejného a soukromého klíče, vytvoří elektronickou soubor dat, do které vloží moje identifikační údaje a pro mne vygenerovaný veřejný klíč a tento soubor dat podepíše svým soukromým klíčem. Co to je podepsání soukromým klíčem bude vysvětleno dále. Tímto postupem vznikne můj digitální certifikát. K certifikátu mi certifikační autorita svěří navíc můj soukromý klíč, který budu používat při podepisování dokumentů. Ten nesmím nikomu předat, jinak osoba vlastnící tento soukromý klíč by mohla podepisovat dokumenty stejně jako já. Veřejný klíč certifikační autority, jehož protějškem v podobě soukromého klíče certifikační autority podepsala certifikační autorita můj digitální certifikát, je veřejně známý. Každý si proto pomocí tohoto veřejného klíče certifikační autority může ověřit můj digitální certifikát. Opět bude vysvětleno dále, jak se ověřuje. Toto je zjednodušený popis pro pochopení principu digitálního certifikátu, vynechávající např. úložiště digitálních certifikátů a přenosy důvěry, pro účely tohoto článku nepodstatné.

Princip digitálního podpisu dokumentu

Podepsání

Pokud vlastním digitální certifikát, mohu s ním podepsat jakýkoliv dokument jako jsou MS Word či PDF dokumenty, e-maily apod. Podepisovaný dokument může být poměrně dlouhý, např. mnohostránková smlouva. Zašifrování mým soukromým klíčem při podepisování i následné dešifrování veřejným klíčem při ověření takovéhoto dokumentu by bylo výpočetně velmi náročné, algoritmy asymetrické kryptografie jsou složité. Cílem není, aby obsah dokumentu byl nečitelný, cílem je mít ověřitelné, kdo dokument podepsal a že obsah dokumentu po podpisu nebyl změněn.

Každý dokument z hlediska digitálního podpisu si lze představit jako jedno „velké“ číslo, obsahující i miliony cifer. Využívá se tzv. hash funkce, matematicky poměrně složitá funkce, která zjednodušeně pro účely tohoto článku dokáže z jakýchkoliv čísel, tedy i „velkých“ čísel o milionech cifer, počítat čísla „malá“, např. s řádově stovkami cifer. Výraz „malá“ je zde použit jako opak „velká“ ono číslo se stovkami cifer nebývá malé číslo z běžného pohledu. Přitom pro hash funkci platí, že z každého „velkého“ čísla spočte takové „malé“ číslo (hash), že neexistuje jiné číslo, z kterého by se hash funkcí spočetlo stejné „malé“ číslo (hash). Jinými slovy, z každého dokumentu dokáže hash funkce udělat poměrně malé číslo (hash), které je jedinečné.

Digitální podepsání probíhá tak, že se z dokumentu vypočte hash. Tento hash se zašifruje soukromým klíčem podepisujícího a připojí se k dokumentu včetně digitálního certifikátu podepisujícího, který obsahuje identifikaci podepisujícího a jeho veřejný klíč.

Ověření

Ověření podepsaného dokumentu probíhá tak, že se spočte hash z ověřovaného dokumentu. Dešifruje se k dokumentu přiložený hash pomocí veřejného klíče podepisujícího, tento veřejný klíč je v k dokumentu přiloženém digitálním certifikátu. Pokud je dešifrovaný hash stejný jako vypočítaný hash, znamená to, že dokument nebyl po podpisu změněn a byl podepsán osobou uvedenou v přiloženém digitálním certifikátu u dokumentu. Pokud se oba hash neshodují, dokument byl po podpisu změněn, nebo byl použit jiný klíč pro podepsání než klíč v přiložené digitálním certifikátu. Podpis neodpovídá a nejedná se tedy o platně podepsaný dokument. Obdobně se ověří i přiložený digitální certifikát u dokumentu.

Další insights