Jak na elektronicky podepsaná PDF v praxi? – praktický průvodce

Jak na elektronicky podepsaná PDF v praxi? – praktický průvodceMUDr. Tomáš Nosek, Ph.D.Autor se dlouhodobě věnuje problematice efektivního využití ICT ve zdravotnictví, jak ve vlastním provozu, tak v souvislosti s výukou. V současnosti kromě lékařské praxe pracuje jako externí konzultant na poli ambulantních informačních systémů a e-learningu.ÚvodElektronicky podepsané dokumenty se pomalu ale jistě začínají stávat standardem ať již při elektronickém podepisování dodatků smluv se zdravotními pojišťovnami, či při komunikaci s úřady. V mnoha případech může zaslání elektronicky podepsaného dokumentu velmi urychlit zdlouhavý byrokratický proces při jednání se státními institucemi či pojišťovnami. Může však běžný lékař snadno vytvořit PDF s elektronickým podpisem?Pokusím se zde popsat poměrně elegantní a finančně nenáročné řešení pro tvorbu elektronicky podepsaných PDF s pomocí kvalifikovaných elektronických certifikátů, které již značná část lékařů používá pro komunikaci se zdravotními pojišťovnami. V následujícím textu bude vše demonstrováno na zdarma dostupné virtuální PDF tiskárně PDF Creator operační systém Windows. Principiálně lze však níže uvedený postup použít v mnoha jiných virtuálních PDF či XPS tiskárnách.Základní otázkou je proč o takovém řešení uvažovat?• Elektronické dokumenty lze indexovat a rychle vyhledat požadovaný text i ve velkém množství dokumentů.• Není problém z nich zkopírovat libovolně dlouhý text.• Jejich odeslání a příjem je otázkou minut.• Je zde i úspora nákladů za papír při tisku a za poštovné.Jaká jsou možné úskalí a komplikace?• Instalace řešení vyžaduje jistou orientaci uživatele v IT – schopnost nastavit virtuální PDF tiskárnu, práce s certifikáty v operačním systému.• Dostupnost kvalifikovaného certifikátu, který je nutný pro zaručený elektronický podpis.Elektronický podpis v praxi – digitální certifikáty a jejich použitíJedním ze způsobů realizace elektronického podpisu je využití digitálního certifikátu. Elektronický podpis je v tomto případě založen na technologii PKI (Public Key Infrastructure), která představuje využití páru klíčů pro identifikaci komunikujících partnerů v elektronickém světě. Pár klíčů je obecný název pro privátní klíč, označovaný také jako data pro vytváření elektronického podpisu, a veřejný klíč, označovaný také jako data pro ověřování elektronického podpisu.Svoji identitu pak komunikující subjekt prokazuje prostřednictvím certifikátu, který je vydán institucí – Certifikační autoritou. Certifikační autorita vystupuje při vzájemné komunikaci dvou subjektů jako třetí nezávislý důvěryhodný subjekt, který jednoznačně svazuje identifikaci subjektu s jeho daty pro tvorbu elektronického podpisu prostřednictvím certifikátu, který klientovi vydává. Certifikát se tak stává jakýmsi „elektronickým průkazem totožnosti“. Certifikáty obsahují identifikační údaje, které zajišťují nezaměnitelnost subjektů. Běžně používané certifikáty též obsahují datum počátku platnosti, datum ukončení platnosti, jméno certifikační autority, která certifikát vydala, sériové číslo a některé další informace. Certifikační autorita garantuje jedinečnost subjektů podle užité identifikace subjektu. Toto je zajištěno legislativními a technickými pravidly provozu instituce Certifikační autority definované v Certifikační politice.V praxi se lze běžně setkat s komerčním a kvalifikovaným certifikátem. Rozdíl mezi těmito certifikáty je dán hlavně způsobem jejich použití. Kvalifikovaným certifikátem je zprostředkován zaručený elektronický podpis. Komerční certifikát lze rovněž použít k elektronickému podepsání dat, ale tento podpis nelze z právního hlediska klasifikovat jako zaručený. V praxi je tak využíván hlavně za účelem šifrování dat. Použití kvalifikovaného certifikátu pro šifrování dat je omezeno platnou legislativou. Problematice se věnuje zákon č. 227/2000 Sb., dle kterého je uznávaným elektronickým podpisem zaručený elektronický podpis založený na kvalifikovaném certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb a obsahujícím údaje, které umožňují jednoznačnou identifikaci podepisující osoby.Jak v principu funguje elektronický podpis?Tvůrce PDF dokumentu potřebuje k podepsání certifikát s privátním klíčem. Hash funkce podpisového algoritmu podepisujícího software vytvoří kontrolní součet („hash“, což je jedinečný identifikační prvek, který je následně zašifrován pomocí privátního klíče. Zašifrovaný hash a veřejný klíč je přiložen k dokumentu a dokument je označen jako podepsaný. Toto se děje zcela automaticky.PDF prohlížeč příjemce při ověření podepsaného dokumentu dešifruje přiložený původní hash v podepsaném dokumentu za pomoci přiloženého veřejného klíče. Rovněž vytvoří znovu kontrolní součet dokumentu a tento nově vytvořený hash porovnává s dešifrovaným původním hash. Jejich hodnoty musejí být stejné. Pokud jsou hodnoty kontrolních součtů odlišné, byl obsah dokumentu neoprávněně modifikován.Co je třeba k vytvoření elektronicky podepsaného PDF?• Prohlížeč, editor či virtuální tiskárna PDF s funkcí elektronického podepisování• Kvalifikovaný certifikát splňující požadavky pro zaručený elektronický podpisExport kvalifikovaného certifikátu s osobním klíčem z úložiště Windows V Ovládacích panelech vyberte Možnosti Internetu, v záložce Obsah zvolte tlačítko Certifikáty.V záložce Osobní vyberte požadovaný certifikát k exportu a stiskněte tlačítko Exportovat.V průvodci vyberte exportovat privátní klíč s certifikátem. Vyberte formát Personal Information Exchange a vyberte volby Zahrnout všechny certifikáty na cestě k certifikátu, pokud je to možné a Exportovat všechny rozšířené vlastnosti. Dále zadejte heslo a jeho potvrzení k ochraně privátního klíče a vyberte název a umístění souboru s certifikátem a dokončete export.Instalace a nastavení PDF CreatoruPDF Creator je virtuální tiskárna, která jakýkoliv kompletní tiskový výstup přesměruje do formátu PDF.• Stáhněte instalační balíček na adrese http://www.pdfforge.org/pdfcreator a nainstalujte aplikaci.Podrobný průvodce Instalací:Po spuštění instalačního balíčku nezaškrtávejte expertní nastavení a na další obrazovce odsouhlaste licenci.Při zvolení součástí instalace není třeba instalovat součást Images2PDF a PDFArchitect. Další obrazovky vyzývají k instalaci „doporučených“ aplikací, které ovšem není třeba instalovat.Následně je instalace připravena a stačí ji jen dokončit.• Po instalaci je třeba nastavit správný typ používaného PDF souboru a jeho elektronické podepisování. Pro elektronickou archivaci dokumentů je nejvhodnějším typem standard PDF/A. Je to oficiální archivační verze formátu PDF definovaná v standardech ISO 19005-1:2005 a ISO 19005-2:2011. Jde o zúžení definice formátu PDF tak, aby bylo možné soubory uložené v PDF/A otevřít beze ztráty informace i všemi budoucími verzemi softwarových nástrojů.Podrobný popis nastavení:Po spuštění aplikace se objeví okno tiskového monitoru PDF. V menu tiskárna vyberte volbu možnosti.PDF Creator má rozsáhlé možnosti nastavení. Tiskový výstup umí přesměrovat do mnoha různých formátů, které lze dále nastavit dle libosti, a vše uložit do různých profilů dle potřeby. Zde se však omezíme pouze na nastavení dokumentu PDF/A s vloženým elektronickým podpisem.Profil neměňte a nechte Předvolený. V menu Program – Dokument, v záložce Vlastnosti dokumentu 1 zaškrtněte používat standardního autora a zvolte jméno. Změnu nastavení je vždy třeba uložit tlačítkem v pravém dolním rohu okna. V záložce Vlastnosti dokumentu 2 je vhodné nastavit pevnou velikost stránky na velikost A4. Toto nastavení zajistí, že lze bez potíží zajistit zobrazení validity elektronického podpisu v pravém horním rohu první strany dokumentu.Dále v menu Program-Uložit navolte Standardní formát pro ukládání – PDF/A-1b. Můžete zde zadat šablonu názvu souboru, ve kterém bude tištěný dokument uložen. Standardně je nastaven Název souboru na Title – standardní název tiskového výstupu, jde však např. přidat i datum a čas, počítadlo nebo autora.Posledním krokem je nastavení elektronického podpisu pro podepsání PDF dokumentu. V menu Program – Formáty v záložce Podpis zvolte Podepsat soubor PDF. Vyberte umístění souboru s kvalifikovaným certifikátem obsahujícím osobní klíč (v případě, že je certifikát umístěn v úložišti systému Windows, je třeba jej nejdříve exportovat do souboru). Dále zadejte důvod podpisu např.: „potvrzuji pravost tohoto dokumentu“ a ideálně e-mailový kontakt. Pro zobrazení digitálního podpisu přímo v dokumentu je nutné potvrdit Viditelný podpis a dále souřadnice jeho umístění. Ideální pro umístění ve většině dokumentů je pravý horní roh stránky, kde většinou nebývá tištěn žádný obsah. Souřadnice pro zobrazení v pravém horním rohu stránky A4 jsou: Vlevo X = 475, Y=740, Vpravo X = 575, Y = 840.Po uložení této poslední změny je PDF Creator nastaven k tisku elektronicky podepsaných dokumentů.Nastavení Adobe Reader X a XI pro integraci s úložištěm certifikátů WindowsAby byly informace o platnosti podpisů v dokumentu správně zobrazeny, je třeba, aby měl prohlížeč dostupné informace o kořenových certifikátech důvěryhodných Certifikačních autorit.Toto lze nastavit buď zcela samostatně a importovat potřebné kořenové certifikáty důvěryhodných autorit do Adobe Readeru nebo lze nastavit integraci s centrálním úložištěm Windows.Vzhledem k tomu, že vše potřebné je mnohdy nastaveno v úložišti Windows, přijde mi vhodnější propojit prohlížeč s tímto úložištěm.Nastavení Acrobat Reader XVše lze provést skrze menu Úpravy›Předvolby (klávesová zkratka CTRL + K). Zde je třeba vybrat položku Zabezpečení a Další předvolby.V záložce Integrace s Windows nastavte povolit hledání certifikátů v úložišti Windows a zvolit důvěřovat pro ověřování podpisů a ověřování certifikovaných dokumentů.Nastavení Acrobat Reader XI Vše lze provést skrze menu Úpravy›Předvolby (klávesová zkratka CTRL + K). Zde je třeba vybrat položku Podpisy a u volby Ověření zvolit Další.Ve volbě Integrace s Windows nastavte „Důvěřovat VŠEM kořenovým certifikátům v seznamu certifikátů Windows“ pro „Ověřování podpisů“ a „Ověřování certifikovaných dokumentů“.ZávěrByť se počáteční nastavení může zdát poměrně komplikované, vlastní vytvoření podepsaného PDF je již velmi jednoduché, protože se pouze při tisku z kterékoli aplikace zvolí jako výstupní tiskárna PDF Creator. Možnosti nastavení této virtuální PDF tiskárny jsou velmi široké a je možné vytvářet i profily pro rychlou tvorbu různých typů dokumentů. V konfiguračním souboru profilu je možné i trvale nastavit heslo pro příslušný podpisový certifikát, ale vzhledem k tomu, že je elektronický podpis dnes ekvivalentem podpisu klasického, myslím, že je při jeho použití ochrana heslem zcela namístě.