Spolehlivé dokumenty v nespolehlivé budoucnosti

Jak zajistit čitelnost a nezpochybnitelnost dokumentů po neomezeně dlouhou dobu? Manažeři organizací, které dokumenty archivují, by se měli ptát, zda formáty, parametry podpisů a způsob péče o dokumenty odpovídá těm normám, které jsou nyní stvrzeny i legislativně.

Má-li být dokument dobře prakticky použitelný, je zapotřebí zajistit následující atributy s respektováním standardů, které mají ambice zajistit jejich dodržování.

Atributy dlouhodobé archivace elektronických dokumentů:

Samostatná existence
Čitelnost ani nezpochybnitelnost dokumentu nesmí záviset na žádné správě úložiště, certifikační autoritě ani žádné jiné instituci, která může v příštích desetiletích zaniknout.
Nezpochybnitelnost
Žádný budoucí hacker nesmí být schopen vytvořit takovou napodobeninu dokumentu, který by mohla vést k pochybnosti, které dokumenty jsou pravé a které nikoliv. Jen tak může být zachována jedna z klíčových výhod elektronického originálu dokumentů - pravost "nade vší pochybnost".
Čitelnost
Auditor, který přijde v roce 2041 s dnes neznámým zařízením, musí být schopen si do tohoto zařízení stáhnout dokument, a okamžitě jej otevřít. Jak obtížné to může být, si uvědomíme při pohledu na soubory v historických formátech na pětipalcových disketách nebo dokonce magnetických páscích.

Kromě toho je samozřejmě zapotřebí neustále hlídat soulad s legislativou. Martin Vondrouš ze Software602 k tomu uvádí, že: "Současná situace je výhodná v tom, že legislativa vyžaduje normy ETSI, které předepisují přesně to, co je z hlediska práce s dokumentem prozíravé a praktické. Každý krok má svou logiku." Tedy žádné zbytečné úkony jen proto, že by je vyžadoval předpis.

Pravé bohatství se skrývá uvnitř

Jak Martin Vondrouš vysvětluje, základní princip lze shrnout slovy, že všechno podstatné je uvnitř dokumentu nebo je k němu připojeno. To znamená, že příjemce dokumentu dostává zároveň veškeré informace potřebné pro rozlišení, zda se jedná o pravý dokument nebo nikoliv a také pro provedení kontroly, zda v dokumentu nebyly provedeny změny. Jestliže je všechno podstatné uvnitř, dokument se nepotřebuje odvolávat na žádná vnější fakta a nemůže být ani zpochybněn žádnou vnější událostí.

Tentýž princip, tedy všechno podstatné uvnitř, zajišťuje i čitelnost. S tím rozdílem, že přesná pravidla nejsou definována normami ETSI, ale ISO normami vymezujícími speciální archivační formát PDF/A.

Žádné odkazy na fonty nebo obrázky mimo dokument, žádné šifrování. Podle experta Software602 je v současné době k dispozici více verzí formátu PDF/A, nicméně tento klíčový princip platí pro všechny. A každá z verzí zajišťuje bezproblémovou čitelnost dokumentu ve všech budoucích software.

Normy ETSI a formáty PAdES, XAdES a CAdES

Postup, který z jejich aplikace vyplývá, lze stručně popsat takto:

Než je dokument uložen do archivu, musí proběhnout ověření platnosti připojených elektronických podpisů. To zahrnuje záležitosti jako kontrolu neporušenosti kontrolního otisku dokumentu či kontrolu, zda použitý certifikát není uveden na CRL (listina zneplatněných certifikátů) příslušné certifikační autority nebo zda nevypršela jeho platnost (po vypršení platnosti není možné ověřit pravost dokumentu).
Protokol o ověření, zmíněná CRL listina a další informace potřebné k ověření pravosti jsou připojeny k dokumentu nebo do něj vloženy.
K dokumentu je připojen elektronický podpis a časové razítko takovým způsobem, aby kontrolní otisk chránil nejen vlastní dokument, ale i uvedené doplňující informace.
Poté je zapotřebí pečovat o digitální kontinuitu dokumentu, to znamená připojit nové časové razítko vždy dříve, než vyprší platnost předchozího, a připojit informace potřebné pro pozdější ověření pravosti.

"Díky tomu je dokument neustále opatřen časovým razítkem s nejsilnější možnou metodou šifrování", říká Martin Vondrouš ze Software602. To znamená, že pokud bude kupříkladu v roce 2025 prolomena šifra z roku 2012 a vznikne technická možnost zpětně upravit dokument, ty správně ošetřené budou opatřeny časovým razítkem z roku 2020 nebo pozdějším. Jejich pravost bude nadále nezpochybnitelná.

Ignorujte detaily, ale hlídejte soulad s normami

Tento výklad neznamená, že by se měl finanční ředitel zajímat o otázky šifrování či výpočtu kontrolního součtu elektronického podpisu. Měl by si však být jistý, že podpisy a časová razítka na dokumentech uložených ve firemním archivu odpovídají PAdES, CAdES nebo XAdES.

To je něco, co není možné nechat na IT expertech ani na dodavatelích ujišťujících, že "je to určitě v pořádku". Nikdo se nechce dostat do situace, že by se až při finanční kontrole ukázalo, že archiv účetních dokladů může být snadno zpochybněn.

V některých organizacích se můžeme setkat s archivačními systémy, které hodnověrnost dokumentů odvozují od toho, že hardwarové nebo softwarové zařízení brání provádět v uložených dokumentech změny a vytváří záznamy o tom, kdy byl který dokument uložen. Z technologického hlediska je takové řešení zcela v pořádku. Z finančního, právního a praktického hlediska se ovšem rýsuje problém.

Nezáleží na tom, kde dokument leží, ale jaký je

"Pokud bychom chtěli dokumenty používat jen interně, vlastně bychom takové komplikované řešení ani nepotřebovali. Stačilo by ukládat dokumenty na sdílený disk a požádat IT, aby je znemožnilo mazat a provádět změny", říká výkonný ředitel Software602 Jan Petr, který je ve firmě odpovědný i za finanční řízení a schvalovací procesy.

"A tam, kde dokument potřebujeme předložit úřadům, můžeme zase narazit na problém, jestli budou potvrzení o pravosti vydaná naším vlastním systémem akceptována. Kromě toho by to pro nás znamenalo, že se stáváme závislými na jediném systému, a s případnou výměnou či změnou přijdeme o veškeré doklady.“ V zásadě stejný problém existuje i tam, kde o dokumenty pečuje nějaké nezávislé centrum. I kdyby jej dnes úřady respektovaly, budou jej respektovat ještě za 20 let? A bude takové centrum ještě vůbec existovat?"

"Podstatné není, kde je dokument uložen, ale v jakém je stavu", shrnuje to Martin Vondrouš. "Je kontrolní součet neporušený? Jedná se vůbec o PAdESový podpis? To jsou důležité otázky. Určitě bych nikomu nedoporučoval, by se spoléhal na logy nebo jiné záznamy informačního systému."

Z toho vyplývají dvě důležitá sdělení. Za prvé. Od července 2012 můžete archivovat pouze elektronicky. Za druhé. Musíte si ale zkontrolovat, jestli se jedná o správné verze referenčních formátů.

Ale ani tam, kde už nainstalovali systém, který normy ETSI nerespektuje, není nic ztraceno a nejspíš nebude zapotřebí jej měnit. Stejně tak může být relativně nenáročné přizpůsobení ERP nebo jiného informačního systému tak, aby doklady byly vytvářeny a uchovávány přímo v něm.