ZAŠTITA ELEKTRONIČKIH ISPRAVA

Zaštita elektroničkih isprava

Mario Bartolović

Visoka policijska škola

Zagreb, travanj 2017.

ZAŠTITA ELEKTRONIČKIH ISPRAVA 2

Sadržaj

Sažetak................................................................................................................................. 3

Summary ............................................................................................................................. 3

1. Uvod ............................................................................................................................. 4

2. Elektronička isprava .................................................................................................. 5

2.1. Uporaba elektroničke isprave ............................................................................... 8

2.2. Izrada, slanje, primanje i čuvanje elektroničke isprave ....................................... 8

3. Zaštita elektroničkih isprava................................................................................... 11

3.1. Elektronički potpis i napredni elektronički potpis ............................................. 12

3.1.1. Tehnička infrastruktura elektroničkih potpisa ............................................... 14

3.2. Certifikat i kvalificirani certifikat ...................................................................... 16

3.3. Vremenski žig i napredan vremenski žig ............................................................... 18

4. Zaključak .................................................................................................................. 21

5. Literatura .................................................................................................................. 22
ZAŠTITA ELEKTRONIČKIH ISPRAVA 3

Sažetak

U ovom seminarskom radu obradit ćemo temu „Zaštita elektroničkih isprava“. Nakon

uvoda o navedenoj temi u prvom djelu definirat ćemo pojam elektroničke isprave, njene oblike i

uporabu elektroničkih isprava. U drugom djelu rada detaljno će se pojasnit pojmove i vrste

elektroničke isprave, elektroničkog potpisa, certifikata i vremenskog žiga, te njihovu ulogu u

zaštiti elektroničkih isprava.

Ključne riječi: elektronička isprava, elektronički potpis, certifikat, vremenski žig,

dokumentacijsko svojstvo.

Summary

In this term paper we will process the topic "Protection of electronic documents." After an

introduction to the topic in the first part will be define the concept of electronic documents, the

shape and the use of electronic documents. In the second part of this term paper we will detail

clarify concepts and types of electronic documents, electronic signature, certification and time

stamp, and their role in the protection of electronic documents.

Key words: electronic documents, electronic signature, certificate , time stamp, documentation

purpouse.
ZAŠTITA ELEKTRONIČKIH ISPRAVA 4

1. Uvod

Posljednjih nekoliko godina razvojem informacijsko-komunikacijskih tehnologija došlo je

do ubrzanog razvoja elektroničkog poslovanja putem interneta. Obzirom da takav način poslovanja

omogućuje brz i efikasan način trgovine javila se potreba za pravnom regulacijom ovog novog

načina poslovanja i uspostavom pravnih okvira donošenjem zakona o elektroničkom potpisu,

elektroničkoj ispravi, elektroničkoj trgovini. Ovi zakoni omogućili su izjednačavanje elektroničkih

isprva sa ispravama izdanim na papiru. Razvoj elektroničkog poslovanja omogućio da kupujemo

preko interneta i da primamo račune u elektroničkom obliku, te da ih plaćamo internet

bankarstvom. Isto tako posljednjih nekoliko godina radi se na informatizaciji tijela javnih vlasti

kako bi mogli zatražit uvid u isprave i dobiti dokumente u elektroničkom obliku.

Međutim kako bi se osigurala sigurna i povjerljiva komunikacija i razmjena elektronički isprava

internetom javila se potreba za uvođenjem mjera zaštite tih isprava. Tradicionalne isprave na

papiru imale su potpis i žig koji su jamčili vjerodostojnost sadržaja poruke i identitet stvaratelja

isprave ,a koji su se često krivotvorili kako bi se zloupotrijebili. Kako bi se to spriječilo i kako bi

se omogućila povjerljiva i sigurna upotreba elektroničke isprave ugrađuju se instrumenti zaštite

kao što su elektronički potpis, digitalni certifikat i vremenski žig kojima se omogućuje

identifikacija potpisnika, potvrda vjerodostojnosti potpisanog dokumenta, njegova autentičnost i

provjeru vremena kada je elektronički isprava ili potpis kreiran, odnosno kad je zadnji put

izvršena promjena njegova sadržaja.

ZAŠTITA ELEKTRONIČKIH ISPRAVA 5

2. Elektronička isprava

Pojavom interneta i razvojem računalne tehnologije došlo je i do razvoja informacijsko-

komunikacijske tehnologije koja svakim danom postaje sastavni dio naših svakodnevnih privatnih

i poslovnih aktivnosti i za pretpostavit je da će u budućnosti takve aktivnosti znatno povećati. Kako

u svijetu, tako i u Hrvatskoj radi se na pravnoj regulaciji poslovanja i uspostave tehnologija koja

omogućuju poslovanje putem informacijsko-komunikacijski tehnologija i upotrebe instrumenata

zaštite poput elektroničkog potpis, digitalnog certifikata i sličnih tehnologija kojima se uspostavlja

povjerenje u informacijsko-komunikacijske tehnologije. Danas se intenzivno radi na

uspostavljanju elektroničkog poslovanja i omogućavanja upotrebe elektroničkih oblika isprava i

elektroničke komunikacije u svim poslovnim radnjama, djelatnostima i postupcima predu tijelima

javne vlasti. Kad se govori o ispravi tada to uglavnom uključuje neki pisani tekst na papiru koji je

ovjeren žigom ili potpisom od strane izdavatelja, dok se elektronička isprava razlikuje od pisanog

teksta na papiru jer sam način izrade i pohranjivanja podataka u elektroničkom obliku pruža veće

mogućnosti u vezi sa načinom pohrane sadržaja isprave (Lisičar, 2010).

Prema zakonu o elektroničkoj ispravi elektronička isprava je definirana kao „jednoznačno

povezan cjeloviti skup podataka koji su elektronički oblikovani (izrađeni pomoću računalna i

drugih elektronička uređaja), poslani, primljeni i sačuvani na elektroničkom, optičkom,

magnetnom ili nekom drugom mediju, koji sadrži svojstva kojima se utvrđuje izvor (stvaratelji) i

utvrđuje vjerodostojnost sadržaja, te dokazuju postojanost sadržaja u vremenu. Sadržaj

elektroničke isprave uključuje sve oblike pisanog teksta, podatke crteže, slike, govor, zvuk, glazbu

i karte“ (čl.4., ZEI-a). „Elektronička isprava ima istu pravnu snagu kao i isprava na papiru, ako se

njena uporaba i promet provode u skladu s odredbama“ zakona o elektroničkoj ispravi. (čl.2 ZEI-

a). Nužan je izričit voljni pristanak pravne i fizičke osobe koje sudjeluju poslovnom postupcima s
ZAŠTITA ELEKTRONIČKIH ISPRAVA 6

elektroničkom ispravama kako bi njezin promet i uporaba bila valjana. Nakon što je fizička i pravna

osoba jednom prihvatila uporabu i promet elektroničkih isprava, ne može odbiti elektroničku

ispravu samo zbog toga što je sačinjena, korištena i prometovana u elektroničkom obliku (čl. 3.

st.2. ZEI-a).

Elektronička isprava mora u svim radnja uključenim u dokumentacijski ciklus osigurati

jednoznačno obilježje kojim se nedvojbeno utvrđuje pojedinačna elektronička isprava i stvaratelj

elektroničke isprave, nepovredivost i informacijsku cjelovitost elektroničke isprave, pristup

sadržaju elektroničke isprave za vrijeme dokumentacijskog ciklusa i jednostavnost oblik zapisa

koji korisniku omogućuje jednostavno čitanje sadržaja (čl. 6, ZEI-a).

Dokumentacijski ciklus predstavlja promet elektroničke isprave od trenutka izrade do

arhiviranja. Dokumentacijski ciklus „uključuje radnje izrade, slanja primanja, pohranjivanja i

čuvanja s pridruženim postupcima unošenja i ovjere podataka kojima se potvrđuje stvaratelj,

pošiljatelj, primatelj, vrijeme otpreme i vrijeme prijema, vjerodostojnost i cjelovitost, elektroničke

isprave“ (čl.4, ZEI-a).

Može se reći da da su bitne karakteristike elektroničke isprave jednoznačno povezani

podaci koji su napravljeni, pohranjeni i distribuirani elektroničkim putem uz bitno svojstvo koje

se prema zakonu o elektroničkoj ispravi naziva dokumentacijsko svojstvo. „Upravo

dokumentacijsko svojstvo čini bitnu razliku između elektroničke isprave i ostalih elektroničkih

dokumenata„ (Lisičar, 2010, str.1396). Dokumentacijsko svojstvo sadrži obavezni skup podataka

koji drugi elektronički dokumenti ne sadrže i odnose se na elektronički potpis, vrijeme izrade, naziv

ili identitet stvaratelja i ugrađuju se u elektroničku ispravu u svrhu zadržavanja cjelovitosti,

vjerodostojnosti i valjanosti kroz određeno vremensko razdoblje utvrđeno zakonima i drugim

propisima. (čl.4. ZEI-a). Osim elektroničkog potpisa kojim se provjerava vjerodostojnost poruke,
ZAŠTITA ELEKTRONIČKIH ISPRAVA 7

provjerava se i identitet stvaratelja pomoću kvalificiranog certifikata, dok se vremenskim žigom

potvrđuje sadržaj podataka u navedenom vremenu na koji se odnosi.

Na elektronički dokument se ne primjenjuju se odredbe zakona o elektroničkoj ispravi jer

on može bit neki dokument, tekst, ugovor, podaci ili video i audio zapis koji nije elektronički

potpisan naprednim elektronički potpisom, odnosno takav dokument ne zadržava dokumentacijsko

svojstvo. U praksi se vrlo često termini elektronička isprava poistovjećuje sa terminom elektronički

dokument. Elektronički dokument je elektronički zapis koji nema svojstva elektroničke isprave

(Lisičar, 2010).

Građa elektroničke isprave sastoji se od dva neodvojiv djela: općeg i posebnog.

Opći dio sastoji se od samog sadržaja isprave ( informacije u elektroničkom obliku), dok

posebni dio čini jedan ili više izrađenih elektroničkih potpisa i podaci o vremenu nastajanja

elektroničke isprave, kao i druga dokumentacijska svojstva (čl.7. ZEI-a).

Izvornost elektroničke isprave je vrlo važna činjenica u poslovnom i pravnom poslovanju.

Zato je u zakonu o elektroničkoj ispravi uređeno pitanje izvornika i preslike elektroničke isprave.

Izvornikom se smatra „svaki pojedinačni primjerak elektroničke isprave koji je potpisan

elektroničkom potpisom. Elektronička isprava ne može imati elektroničku presliku“ (čl.9 st.1. ZEI-

a). Ukoliko se izradi dvije ili više istih isprava sa identičnim podacima od kojih je jedna u

elektroničkom obliku, a druga je na papiru smatrat će se da su neovisne , a isprava na papiru neće

se smatrat preslikom elektroničke isprave.

Preslika elektroničke isprave na papiru izrađuje se ovjerom ispisa vanjskog obrasca prikaza

elektroničke isprave na papiru od strane ovlaštene osobe u tijelima javne vlasti u sklopu obavljanja

poslova u svojoj nadležnosti, dok u svim ostalim slučajevima ovjeru ispisa elektroničke isprave na

papiru obavlja javni bilježnik. Takav ispis na papiru mora sadržavati oznaku da se radi o presliku

određene elektroničke isprave (čl. 10 ZEI-a).

ZAŠTITA ELEKTRONIČKIH ISPRAVA 8

2.1.Uporaba elektroničke isprave

Uporaba elektroničkih isprava smatra se pravovaljanom ako su ispunjeni sljedeći uvjeti:

- da elektronička isprava sadrži podatke o stvaratelju, pošiljatelju i primatelju te podatke o

vremenu otpreme i prijema,

- da elektronička isprava kroz cijeli dokumentacijski ciklus sadrži isti unutarnji i vanjski

obrazac koji je oblikovan pri njenoj izradi i koji mora ostati nepromijenjen kroz bilo koje

radnje u postupcima njene otpreme i uporabe,

- da je elektronička isprava u bilo kojem trenutku dostupna i čitljiva ovlaštenim fizičkim i

pravnim osobama.

Posebnosti uporabe elektroničkih isprava u odnosu na opis građe odnosno obrasca prikaza

uređuju se zakonima i drugim propisima kojima se uređuje poslovna dokumentacija unutar

pojedinačnih djelatnosti (čl. 19. ZEI-a)

2.2. Izrada, slanje, primanje i čuvanje elektroničke isprave

Elektroničke isprave izrađuju se elektroničkim sustavima pripreme, oblikovanja i pohrane

informacijskih sadržaja u elektronički zapis. Elektroničke isprave u radnjama njihove izrade koje

čine polazište za radnje vezane za njihovu otpremu i čuvanje, potpisuju se elektroničkim potpisom

stvaratelja elektroničke isprave ili osobe koju je stvaratelj za to ovlastio ( čl.15. ZEI-a.).

Elektronička isprava smatra se otpremljenom kada je osobno otpremljena od pošiljatelja,

ili otpremljena od osobe koju je pošiljatelj ovlastio za radnje otpreme, ili je otpremljena od

informacijskog sustava pošiljatelja, odnosno informacijskog sustava osobe koju je pošiljatelj

ovlastio za te poslove (čl.16. ZEI-a).

ZAŠTITA ELEKTRONIČKIH ISPRAVA 9

Prilikom otpreme vrlo je bitno poštivati vremenske zadane okvire otpreme elektroničke

isprave koji se prema zakonu o elektroničkoj ispravi naziva vrijeme otpreme elektroničke isprave.

„Vrijeme otpreme elektroničke isprave smatra se vrijeme kada je elektronička isprava izašla iz

informacijskog sustava pošiljatelja, te ušla u informacijski sustav koji nije pod kontrolom

pošiljatelja, ili osobe koja radi po ovlaštenju pošiljatelja“ (čl. 18. st.1. ZEI-a).

„Na isti način uređuje se i pitanje prijema elektroničke isprave, ali radi pravne sigurnosti

uz prijem se regulira i izdavanje potvrde o prijemu. Time se praktički regulira elektronički oblik

preporučene pošiljke“ ( Lisičar, 2010., str. 1399). Elektronička isprava smatra se primljenom kada

je osobno zaprimljena od primatelja, ili je zaprimljena od osobe koju je pošiljatelj ovlastio na radnje

otpreme ili otpremljena od informacijskog sustava primatelja, odnosno informacijskog sustava

osobe koju je primatelj ovlastio za te poslove (čl. 17. st.1. ZEI-a). „Kod razmjene elektroničkih

isprava uobičajeno je da se potvrda o prijemu izdaje putem automatiziranih sustava. Takva potvrda

prijema još nužno mora sadržavati i obavijest o sukladnosti elektroničke isprave s unaprijed

dogovorenim tehničkim uvjetima ( Lisičar, 2010., str. 1399.). Vrijeme prijema elektroničke isprave

smatra se vrijeme kada je poslana elektronička isprava ušla u informacijski sustav primatelja, ili

informacijski sustav osobe koja radi po ovlaštenju primatelja ( čl. 18. st. 2. ZEI-a).

Vrlo bitna stavka u prometu elektroničkim ispravama je i njihovo čuvanje i pohrana. Tako

je u zakonu o električkoj ispravi u čl. 20. definirano da se elektroničke isprave moraju čuvati u

izvornom obliku u kojem su izrađene, otpremljene i pohranjene, odnosno da se pritom ne mijenja

sadržaj isprava. Moraju za cijelo vrijeme čuvanja biti dostupne u čitljivom obliku svim osobama

koje imaju pravo pristupa, pritom se mora osigurati da je u svakom trenutku moguće vjerodostojno

utvrditi podrijetlo, stvaratelja, vrijeme, način i oblik u kojem je zaprimljena u sustav na čuvanje i

da se čuvaju podaci o elektroničkim potpisima i podaci za ovjeru tih elektroničkih potpisa.

ZAŠTITA ELEKTRONIČKIH ISPRAVA 10

Potrebno ih je pohraniti u takvom obliku i pomoć takvih tehnologija i postupaka koje pružaju

jamstvo da se ne mogu izbrisati ili da ne mogu biti mijenjane.

Elektroničke isprave čuvaju se izvorno u informacijskom sustavu ili na medijima koji

omogućuju trajnost elektroničkog zapisa za utvrđeno vrijeme čuvanja, i čine elektroničku arhivu

cjeline (čl. 20. ZEI-a). Elektronička arhiva je skup elektroničkih isprava uređenih u

dokumentacijske cjeline u skladu sa zakonom i drugim propisima kojima se uređuju postupci

čuvanja i arhiviranja isprava (čl.4. ZEI-a)

„Vođenje i održavanje takve arhive često zahtjeva specijalizirana znanja iz područja

informacijskog- komunikacijskih tehnologija, pa je logično zaključiti da će se mnoge ustanove

koristiti uslugama onih pravnih i fizičkih osoba koje raspolažu takvim znanjem“ (Lisičar, 2010.,

str. 1400). Takve pravne i fizičke osobe koje pružaju takve usluge, odnosno koje u ime drugih

obavljaju, otpremu, prijem, prijenos i čuvanje elektroničkih isprava prema zakonu o elektroničkoj

ispravi u čl. 4 nazivaju se informacijski posrednik.

ZAŠTITA ELEKTRONIČKIH ISPRAVA 11

3. Zaštita elektroničkih isprava

Razvojem elektroničkog poslovanja javila se i potreba za zaštitom elektroničkih isprava.

Bez napredne elektroničke zaštite korisnici elektroničkog poslovanja bili bi izloženi brojnim

rizicima, stoga je potrebno primijeniti metode zaštite elektroničkih isprava kako bi se ti rizici

umanjili i kako bi se omogućilo uspješno elektroničko poslovanje.

Prilikom elektroničkog poslovanja potrebno je ispuniti sljedeće sigurnosne zahtjeve:

 „Autentifikacija – proces provjere korisničkog identiteta, odnosno proces kojim

korisnik dokazuje da je zaista onaj za kojeg se predstavlja (prilikom prijavljivanja u

neki sustav i sl.)

 Integritet – sigurnost da podaci u prijenosu ili obradi nisu uništeni ili promijenjeni.

Elektroničkim potpisom osigurava se cjelovitost i izvornost podataka pohranjenih na

određeno vrijeme ili onih koji se šalju mrežom. Jednostavnom provjerom može se

utvrditi da li su ti podaci nelegalno naknadno mijenjani.

 Tajnost – enkriptiranje (šifriranje) podataka koji će biti pohranjeni ili poslani mrežom

štiti čitanje sadržaja od neovlaštenih osoba.

 Neporecivost – onemogućavanje poricanja (negiranja) akcije koje je osoba poduzela

ili autorizirala. Ova mogućnost je realizirana kroz napredni elektronički potpis“

(FINA, 2017)

Za sve radnje s elektroničkim ispravama moraju se primjenjivati odgovarajući tehnološki

postupci i oprema (informacijsko-komunikacijski uređaji i programi) koji omogućuju zaštitu

ZAŠTITA ELEKTRONIČKIH ISPRAVA 12

postupaka i elektroničkih isprava. (čl.23. ZEI-a). Takvu zaštitu moguće je ostvariti uporabom

elektroničkog potpisa, naprednim elektroničkim potpisom, certifikatom, kvalificiranim

certifikatom i vremenskim žigom.

3.1. Elektronički potpis i napredni elektronički potpis

Elektronički potpis ključan je element uspjeh elektroničkog poslovanja, bez kojeg

elektronička komunikacija i elektroničko poslovanje postaje pravno nesigurna i nepouzdana.

Važan je za automatizaciju poslovnih procesa u kojima informacijski sustavi mogu obaviti poslove

bez neposredne ljudske intervencije. (Dragičević, Lisičar, Katulić, 2015).

Elektronički potpis je „skup podataka u elektroničkom obliku koji su pridruženi ili logički

povezani sa drugim podacima u elektroničkom obliku i služe za identifikaciju potpisnika i potvrdu

vjerodostojnosti potpisanog elektroničkog dokumenata (čl. 3. ZEP-a) .

Korištenjem elektroničkog potpisa osigurava se :

 autentičnost koja garantira se primatelju da je potpisnik te isprave zaista potpisao ispravu,

a ne netko tko se lažno predstavio.

 integritet- jamči da dokument nije mijenjan tijekom prijenosa (nepromjenjivost) i

cjelovitost dokumenata (Heđbeli, Missoni, Kmetić, i sur. 2016).

„Dodatna vrijednost potpisanog dokumenta postiže se korištenjem naprednog elektroničkog

potpisa. Njegovim se korištenjem uz autentičnost i integritet osigurava se i neporecivost

dokumenata, to znači da pošiljatelj ne može poreći potpisanu transakciju“. (Heđbeli i sur. 2016).
 ZAŠTITA ELEKTRONIČKIH ISPRAVA 13

Napredni elektronički potpis je elektronički potpis koji je povezan isključivo s

potpisnikom, koji nedvojbeno identificira potpisnika i nastaje korištenjem sredstava kojima

potpisnik može samostalno upravljati, koji su isključivo pod nazorom potpisnika i koji sadržava

izravnu povezanost s podacima na koje se odnosi i to na način koji nedvojbeno omogućava uvid u

bilo koju izmjenu izvornih podataka. (čl.4., ZEP-a). Elektronički potpis ima istu pravnu snagu i

zamjenjuje vlastoručni potpis i otisak pečata na elektroničkoj ispravi.

Kod elektroničkih potpisa provjeru vjerodostojnosti autora ili podataka moguće je provesti

korištenjem:

 „zaporki - najčešća metoda dokazivanja vjerodostojnosti je pomoću korisničkog imena i uz njega

vezane zaporke,

 ispitnog zbroja (eng. checksum ) - koristi se prvenstveno za provjeru ispravnosti primljenih

podataka, ali može poslužiti i za provjeru autentičnosti istih jer neispravan ispitni zbroj ukazuje na

neovlaštenu izmjenu podataka, •

 CRC provjere (eng. Cyclic Rendundancy Check ) – konceptualno slično ispitnom zbroju, ali koristi

dijeljenje polinoma kako bi se utvrdila ispravnost podataka,

 enkripcije s privatnim ključem,

 enkripcije s javnim ključem

 digitalnim certifikatima.“ (CIS, 2007)

Elektronički potpis može biti informacija dana prilikom identifikacije putem korisničkog

imena i lozinke ili zaporke, ili pak unosom pin broja prilikom korištenja neke od običnih ili

pametnih krtica. Također može biti i potpis koji se u današnje vrijeme daje u bankama na posebnim

potpisnim uređajima ili to može biti neki od biometrijskih podataka kao što su otiska prsta ili

skeniranje šarenice oka.

ZAŠTITA ELEKTRONIČKIH ISPRAVA 14

3.1.1. Tehnička infrastruktura elektroničkih potpisa

Kako bi bolje razumjeli infrastrukturu elektroničkog potpisa potrebno je pojasniti neke

osnovne pojmove kao što je infrastruktura javnog ključa (Public Key Infrastructure, PKI),

registracijsko tijelo RA (Registration Authority), CR ( Certificate Repository) i CA (Certificate

authority). U Hrvatskoj tehnologiju infrastrukture javnog ključa koristi FINA koja je pravi

izdavatelj digitalnih certifikata u Hrvatskoj. Infrastruktura javnog ključa PKI je složena

informacijska infrastruktura čija je svrha osigurati pouzdano i neporecivo identificiranje korisnika

elektroničkih komunikacija, razmjenu dokumenata s mogućnošću kriptiranja, digitalnog

potpisivanja, te registraciju javnih ključeva u obliku digitalnih certifikata. Infrastruktura javnog

ključa temelji se na upotrebi asimetrične kriptografije. Asimetrična kriptografija zasniva se na

metodi uporabe algoritma koji koristi dva različita ključa: tajni (privatni) i javni ključ. Svaki

korisnik ima svoj tajni (privatni) i javni ključ (Dragičević i sur., 2015.).

Privatan ključ je tajan i dostupan je samo primatelju, dok je javni ključ dostupan je svim

korisnicima putem komunikacijske infrastrukture jer je putem interneta do njega lako doći. Javni i

privatni ključ su povezani složenim matematičkim algoritmom. Pošiljatelj formira poruku, a zatim

se koristi javnim ključem kako bi šifrirao (enkriptirao) podatke koje prenosi komunikacijskom

mrežom. Primatelj uz pomoć svog privatnog ključa koji samo on posjeduje dekriptira takve

primljene podatke ( Dragičević, 2004.). „S javnim ključem svi mogu enkriptirati bilo koju poruku,

ali je dekriptirati može samo vlasnik pripadajućeg tajnog ključa i nitko više. Jednako tako, kad

netko ima javni ključ, u stanju je dekriptirati poruku enkriptiranu tajnim ključem čime se potvrđuje
ZAŠTITA ELEKTRONIČKIH ISPRAVA 15

njezina autentičnost jer je samo korisnik koji ima tajni ključ bio u mogućnosti enkriptirati tu poruku

za pripadajući javni ključ“ (Antoliš i sur., 2010., str.146.).

PKI (Publik key infrastructure) ili infrastruktura javnog ključa je sustav digitalnih

certifikata, certifikacijskih autoriteta (ovjerovitelja) i registracijskih autoriteta koji vrše provjeru

identiteta svih strana uključenih u internetsku transakciju uporabom para ključeva, koji se nazivaju

javni i tajni/privatni ključ. Osnovna namjena PKI-a je zaštićena komunikacija, nesigurnim

kanalima.

PKI tehnologija omogućuje: tajnost elektroničkih transakcija, provjeru identiteta, integritet

informacija, sigurnije procese razmjene podataka ,pristup javnosti državnim i drugim raznim e-

servisima , prihvat različitih elektronički ispunjenih dokumenata, sigurnu komunikaciju sa

zaposlenicima na udaljenim lokacijama, razmjenu tajnih podataka i smanjenje operativnih troškova

uvođenjem elektroničkoga poslovnog procesa (FINA, 2017.).

Infrastrukturu javnih ključeva sačinjavaju:

 CA (eng. Certificate Authority ),

 RA (eng. Registration Authority )

 CR (eng. Certificate Repository ).

„CA ili davatelj usluge certifikacije izdaje i opoziva certifikate, upravlja njima, čuva ih te

jamči njihovu valjanost. i nalaze se unutar sigurnog okruženja, odvojen od ostalih PKI

komponenti.

RA obrađuje zahtjeve korisnika za izdavanje certifikata, registrira korisnike i surađuje sa

CA tijekom izdavanja certifikata. CA osigurava ispravnu identifikaciju korisnika i neporecivosti

digitalnih potpisa.
ZAŠTITA ELEKTRONIČKIH ISPRAVA 16

CR pohranjuje javne ključeve, certifikate korisnika i liste opozvanih certifikata“ (CIS,

2007., str.14.).

3.2. Certifikat i kvalificirani certifikat

Certifikat je elektronička potvrda kojom se potvrđuje identitet potpisnika u postupcima

razmjene elektroničkih zapisa (čl.10., ZEP-a). Certifikatom se potvrđuje identitet neke fizičke ili

pravne osobe odnosno njime se dokazuje suradnicima, poslovnim partnerima i prijateljima te

elektroničkim servisima da je informacija koju su zaprimili od vas autentična.

Najčešći oblik digitalnog certifikata je onaj kriptografski zaštićen odnosno onaj koji je se

koristi asimetričnom kriptografijom kod kojih izdane elektroničke isprave sadrže tajni ključ za

dešifriranje, dok se ovjera obavlja uporabom javnih ključeva u PKI sustavu agencije koja ga je

izdala.

Davatelji usluge, agencije ili neko tijelo javne vlasti djeluje kao posrednik između dva

računala ili korisnika, ono potvrđuje njihove identitete, povezuje i razmjenjuje njihove javne

ključeve i time sprječavaju neovlašten pristup podacima objavljivanjem lažnog javnog ključa

(Dragičević i sur., 2015.).

Digitalne certifikate izdaje davatelj usluge, odnosno neko tijelo javne vlasti ili trgovačko

društvo koje je ovlašteno za izdavanje certifikata. U Hrvatskoj za izdavanje elektroničkih

certifikata ovlaštena je FINA gdje je preko registra digitalnih certifikata pružatelj usluga

certificiranja u Republici Hrvatskoj registrirana kod Ministarstva gospodarstva. FINA je 7.12.2005

godine počela izdavati certifikate sa sigurnijim kriptografskim algoritmima i duljim

kriptografskim ključevima od 2048 bitova putem dvorazinske arhitekture certifikacijskih tijela. Do

2012 godine FINA je certifikate izdavala na multifunkcionalnoj pametnoj kartici, a nakon 2012

godine koriste se novi kriptografski uređaji koji se naziva USB token (Heđbeli i sur., 2016.).
ZAŠTITA ELEKTRONIČKIH ISPRAVA 17

Certifikati prema subjektu certificiranja mogu biti:

1. Poslovni (Certifikati za poslovne subjekte )

2. Osobni (Certifikati za fizičke osobe)

3. Certifikati za tijela državne uprave ( za državne dužnosnike i zaposlenike u tijelima

državne uprave). (FINA, 2017.)

Osim autentifikacijskog ili normaliziranog certifikata koji osigurava autentičnost,

izvornost, cjelovitost i tajnost elektroničkih isprava FINA u svom elektroničkom poslovanju koristi

i kvalificirani certifikat koji uz autentičnost, izvornost, cjelovitost jamči i neporecivost

zamjenjujući u potpunosti vlastoručni potpis ili vlastoručni potpis ili pečat.

Zakonu o elektroničkom potpisu definira pojam kvalificiranog certifikata kao „svaka

elektronička potvrda kojom davatelj usluga izdavanja kvalificiranih certifikata potvrđuje napredni

elektronički potpis“ (čl.10. ZEP-a).

Također Zakon o elektroničkom potpisu propisuje da kvalificirani certifikat mora

sadržavati:

1. oznaku o tome da se radi o kvalificiranom certifikatu

2. identifikacijski skup podataka o osobi koja izdaje certifikat (osobno ime; ime oca ili majke;

nadimak, ako ga osoba ima; datum rođenja; prebivalište, odnosno boravište; naziv pravne

osobe i sjedište, ako certifikat izdaje pravna osoba)

3. identifikacijski skup podataka o potpisniku (osobno ime, ime oca ili majke, nadimak, ako

ga osoba ima, datum rođenja, prebivalište, odnosno boravište)

4. podatke za verificiranje elektroničkog potpisa koji odgovaraju podacima za izradu

elektroničkog potpisa koji su pod kontrolom potpisnika

ZAŠTITA ELEKTRONIČKIH ISPRAVA 18

5. podatke o početku i kraju važenja certifikata

6. identifikacijsku oznaku izdanog certifikata (brojčanu ili drugu oznaku te datum izdavanja)

7. napredni elektronički potpis davatelja usluge izdavanja kvalificiranih certifikata

8. ograničenja vezana za uporabu certifikata, ako ih ima

9. ograničenja u odnosu na važnost pravnih radnji za koje se daje certifikat, ako ih ima (čl.11.,

ZEP-a).

Ako se prilikom stvaranja elektroničkog potpisa upotrijebi normirani digitalni certifikat,

tada nastaje običan elektronički potpis koji nema snagu neporecivosti. Ukoliko se prilikom izrade

elektroničkog potpisa upotrijebi kvalificirani elektronički certifikat, tada nastaje napredni

elektronički potpis. (Heđbeli i sur., 2016.).

3.3. Vremenski žig i napredan vremenski žig

Vremenski žig koristi se za provjeru vremena kada je elektronički isprava, dokument ili

potpis kreiran, odnosno kad je zadnji put izvršena promjena njegova sadržaja. Vremenski žig

ugrađuje se u ispravu ili dokument i time se omogućuje pouzdano dokazivanje :

 da je dokument ili potpis postojao u tom obliku prije vremena navedenog u ugrađenom

vremenskog žigu,

 da isprava nije mijenjana nakon vremena navedenog odnosno vremena naznačenog u

vremenskom žigu

 da se verifikacija elektroničkog potpisa dokumenta može pouzdano obaviti i nakon opoziva

ili isteka potpisnog certifikata, potpisnika, pa se na taj način omogućuje arhiviranje i

pohrana elektroničkog potpisanog sadržaja

ZAŠTITA ELEKTRONIČKIH ISPRAVA 19

 da je dokument poslan ili zaprimljen u vrijeme navedeno u vremenskom žigu

Vremenski žig je elektronički potpisana potvrda izdavatelja vremenskog žiga koja

potvrđuje postojanje sadržaja podataka, elektroničkih zapisa, elektroničkih dokumenata na koje se

vremenski žig odnosi, u vremenu navedenom u vremenskom žigu (FINA, 2017).

„Vremenski žig sadrži sljedeće:

 sažetak podataka, elektroničkog zapisa, elektroničkog dokumenta i sl. koji je ovjeren

vremenskim žigom,

 oznaku točnog vremena izrade vremenskog žiga,

 druge pripadajuće podatke u vremenskom žigu,

 elektronički potpis izdavatelja vremenskog žiga“ (FINA, 2017.).

„Napredan vremenski žig je elektronička potpisana potvrda ovjerovitelja koja ispunjava

uvjete za napredan elektronički potpis“ (čl.2 ZEP-a)

Autori Heđbeli i sur. (2016) navodi da napredni ili „kvalificirani vremenski žig je

elektronički potpisana potvrda davatelja usluge kvalificiranog vremenskog žiga da su određeni

podaci postojali prije vremena navedenog u vremenskom žigu“ (Heđbeli i sur., 2016., str. 35).

Takav napredni vremenski žig može se koristiti kao podrška elektroničkom potpisu koji se temelji

na kvalificiranom certifikatu. Kvalificiranim vremenskim žigom dobivenim od pouzdanog

davatelja usluge izdavanja kvalificiranog vremenskog žiga omogućuje se povjerenje u vrijeme

naznačeno u vremenskom žigu. Njime se dokazuje da je elektronički potpis izrađen u navedeno

vrijeme navedeno u kvalificiranom vremenskom žigu.

ZAŠTITA ELEKTRONIČKIH ISPRAVA 20

Na vremenski žig i s njim povezane usluge na odgovarajući način primjenjuju se odredbe

ZEP-a koje reguliraju certifikat, a za napredni vremenski žig i s njim povezane usluge ZEP-a koje

se odnose na kvalificirani certifikat.

FINA je za sada jedina u Hrvatskoj koja pruža usluge javne vremenske ovjere. FINA svojim

korisnicima kao Time Stamp Authority (TSA) pruža usluge, servis ovjere elektroničkog potpisa

potpisnika sa vremenskim žigom kojim se potvrđuje da je elektronički potpis postojao stavljanja

vremenskog žiga. Kao davatelj usluga vremenske ovjere izdaje potvrde o vremenu neke transakcije

sukladno zakonu o elektroničkom potpisu RH i direktivama EU o kvalificiranom elektroničkom

potpisu i vremenskoj ovjeri. (FINA, 2017)

Isto tako FINA kao treća osoba od povjerenja (Trusted Third Party- TTP) jamči nepristran

i ispravan, pouzdan rad servisa kvalificiranog vremenskog žiga. Izdavanjem vremenskog žiga

FINA TTP osigurava pouzdan dokaz o postojanju podataka u određenom vremenu.

Trusted Third Party (TTP) ili povjerljiva treća strana jamči ispravan i nepristran rad

sukladno javno objavljenim pravilnicima rada. U elektroničkom svijetom postoje organizacije koje

će potvrditi i garantirati identitete korisnika, tako i u Hrvatskoj postoji registrirani davatelj usluge

FINA koja se može vjerovati i koja će svojim radom, stabilnošću ulijevat povjerenje kod svih

korisnika elektroničkih usluga i kojoj se vi korisnici mogu obratiti kao trećoj strani i prihvatiti

njezine garancije o identitetu sudionika.. Tako FINA TTP kao registrirani davatelj usluge

kvalificiranih certifikata posjeduje dozvolu za izdavanje kvalificiranih digitalnih certifikata (FINA,

2017).

Još jedna od usluga koju FINA pruža kao Archiving Authority je usluga elektroničke arhive.

Tim uslugama FINA TTP mora osigurati sigurno arhiviranje dokumenata. TTP ili povjerljiva treća

strana FINA vremenskim žigom ovjerava primitak u arhivu i osigurava svim korisnicima pristupu
ZAŠTITA ELEKTRONIČKIH ISPRAVA 21

arhivu, kao i mogućnost izvlačenja iz arhive na zahtjev sudionika odnosno korisnika. Izvadak

FINA elektronički potpisuje.

4. Zaključak

Primjena novih tehnologija i razvoj informatičke tehnologije i elektroničkog poslovanja

znatno je utjecalo na svakodnevni život svih građana. Razvoj nove informatičke tehnologije

omogućile su nam da sa bilo kojeg mjesta pristupimo javnim elektroničkim podacima, da

podnesemo poreznu prijavu elektroničkim putem, da platimo račune internet bankarstvom, da na

brži i jednostavniji način ostvarimo neka svoja prava ili ispuniti svoje obaveze bez potrebe za

obilaženjem šaltera tijela javne uprave ili privatnih tvrtki. Međutim u Hrvatskoj još nije iskorišten

puni potencijal elektroničkog poslovanja i uporaba elektroničkih isprava jer se kasno počelo i još

uvijek se slabo koristi, ali su se prepoznale prednosti uporabe elektroničkih isprava i za očekivat je

da će se elektroničko poslovanje brzo širiti i da će elektroničke isprave u potpunosti zamijeniti

isprave na papiru.

Elektroničku ispravu kao i ispravu na papiru moguće je krivotvoriti i zlouporabiti. Da bi

se spriječile takve opasnosti koje prijete elektroničkom poslovanju i elektroničkim ispravama

potrebno ih je zaštititi. Zaštita elektroničkih isprava ostvaruje se elektroničkim potpisom kojim se

provjerava vjerodostojnost potpisanog elektroničkog zapise, zatim certifikatom koji se provjerava

identitet stvaratelja i vremenskim žigom kojim se potvrđuje da su određeni podaci postojali prije

vremena navedenog u vremenskom žigu.

Koliko god se trudili zaštiti elektroničke isprave uvijek se pojavljuju novi načini zlouporabe

isprava i uvijek netko pokušava neovlašteno izvršit uvid u isprave i zato je potrebno ulagati u
ZAŠTITA ELEKTRONIČKIH ISPRAVA 22

tehnološki razvoj zaštite elektroničkih isprava kako bi elektroničko poslovanje učinili što

sigurnijim i pouzdanijim.

5. Literatura

1. Antoliš i sur. (2010). Sigurnost informacijskih sustava. Zagreb: Algebra d.o.o.

2. Bača M. (2004). Uvod u računalnu sigurnost. Zagreb: Narodne Novine d.d.

3. Čerić V., Varga M., Birola H. (1998). Poslovno računarstvo. Zagreb: Znak d.o.o.

4. Dragičević, D. (2004). Kompjuterski kriminalitet i informacijski sustavi. Zagreb: IBS

5. Dragičević, D. (2015). Pravna informatika i pravo informacijskih tehnologija . Zagreb:

Narodne Novine d.d.

6. Heđbeli Ž., Missoni E., Kmetić S., Slovinac I., Jelinović V Šaban J. (20016). Arhiviranje,

evidencije i rokovi čuvanja dokumentacije. Zagreb: TEB- poslovno savjetovanje

7. Katulić T., (2011). Razvoj pravne regulacije elektroničkog potpisa, elektroničkog potpisa,

elektroničkog certifikata i elektroničke isprve u Hrvatskom i poredbenom pravu, Zbornik

PFZ, 61 (1339-1378),

http://hrcak.srce.hr/index.php?show=clanak&id_clanak_jezik=104942, 1.travnja 2017.

8. Lisičar H., (2010). Mogućnost uporabe elektroničke isprave i elektroničkih dokumenata u

parničnom postupku, Zbornik PFZ, 60, (1391-1422),

http://hrcak.srce.hr/index.php?show=clanak&id_clanak_jezik=94423, 1. travanj 2017..

Internetske stranice:

1. FINA, 1. travanj 2016.

ZAŠTITA ELEKTRONIČKIH ISPRAVA 23

http://www.fina.hr/Default.aspx?sec=940

http://www.fina.hr/Default.aspx?sec=960,

http://www.fina.hr/Default.aspx?art=10755

http://www.fina.hr/Default.aspx?art=10788

http://www.fina.hr/Default.aspx?art=10751

2. CARNet Cert,. http://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-

2007-02-182.pdf, 3.travnja 2016

3. Zakon o elektroničkom potpisu (NN 10/2002, NN 80/2008, NN 30/2014),.

http://www.zakon.hr/z/211/Zakon-o-elektroni%C4%8Dkom-potpisu, 28. ožujak 2017.

4. Zakon o elektroničkoj ispravi (NN 150/2005),

http://narodne-novine.nn.hr/clanci/sluzbeni/2005_12_150_2898.html, 28. ožujka 2017.

ZAŠTITA ELEKTRONIČKIH ISPRAVA 24

Pitanja

1. Što je to elektronički potpis?

2. Što je to certifikat?

3. Što je vremenski žig?