1. Čo je kvalifikovaný elektronický podpis a aký je jeho účel?
2. Kde všade je v súčasnej dobe možné využiť kvalifikovaný elektronický podpis?
3. Aké sú podmienky vyhotovenia kvalifikovaného elektronického podpisu?
4. Môže občan získať kvalifikovaný elektronický podpis uložený na občianskom preukaze s čipom?
5. Čo je kvalifikovaný certifikát?
6. Čo je súkromný a verejný kľúč?
7. Ako súvisí občiansky preukaz s čipom s kvalifikovaným elektronickým podpisom?
8. Ako môže občan získať kvalifikovaný certifikát nevyhnutný k vytváraniu kvalifikovaného elektronického podpisu?
9. Koľko stojí kvalifikovaný certifikát pre kvalifikovaný elektronický podpis? Ako dlho bude platný?
10. Čo Aplikácia pre eID overuje?
11. Môže si občan obnoviť svoj kvalifikovaný certifikát uložený na občianskom preukaze prostredníctvom elektronickej služby cez Internet?
12. Ako môže občan využiť kvalifikovaný elektronický podpis?
13. Čo je potrebné k tomu, aby občan mohol vytvárať kvalifikovaný elektronický podpis pomocou občianskeho preukazu?
14. Kde môže občan získať softvérové vybavenie potrebné pre používanie občianskeho preukazu?
15. Čo je KEP PIN?
16. Čo je KEP PUK?
17. Aké sú dĺžky KEP PIN a KEP PUK a koľko pokusov mám pred zablokovaním?
18. Kedy si volím hodnoty pre bezpečnostný osobný kód, KEP PIN a KEP PUK?
19. Aké bezpečnostné kódy je potrebné zadať pri vytváraní kvalifikovaného elektronického podpisu?
20. Čo sa stane po zablokovaní KEP PIN-u?
21. Ako a kde riešiť zablokovanú funkcionalitu vytvárania kvalifikovaného elektronického podpisu?
22. Čo sa stane po zablokovaní KEP PUK-u?
23. Ako si môžem zmeniť hodnoty KEP PIN a KEP PUK?
24. Ako často môžem meniť KEP PIN a KEP PUK?
25. Čo znamená zrušenie certifikátu?
26. Ako možno zrušiť certifikát na občianskom preukaze?
27. Je možné vydať kvalifikovaný certifikát na občiansky preukaz dodatočne?
28. Sú certifikáty na občianskom preukaze verejné, dajú sa prečítať po zasunutí preukazu do čítačky?
29. Môžem používať občiansky preukaz na vytváranie kvalifikovaného elektronického podpisu na viacerých počítačoch?
30. Aké certifikáty môžu byť prítomné na občianskom preukaze s čipom?
31. Aký je rozdiel medzi osobným a kvalifikovaným certifikátom na občianskom preukaze?
32. Keď stratím občiansky preukaz bude mi bezplatne vydaný nový certifikát pre kvalifikovaný elektronický podpis? 
33. Ako pridám podpis alebo pečať, ak mi ich ústredný portál z technických príčin neumožňuje pridať priamo v elektronickej schránke?
34. Prečo sa kvalifikovaný elektronický podpis vytvorený cez aplikáciu Adobe Acrobat Reader vyhodnocuje ako neplatný?
35. Prečo sa na Ústrednom portáli verejnej správy pri podpisovaní vytvára formát ASiC a nie PDF s PAdES podpisom?
36. Aké legislatívne typy podpisov/pečatí existujú? 
37. Prečo mi nejde vytvoriť kvalifikovaný elektronický podpis bez Java?
38. Ako vytvorím kvalifikovaný elektronický podpis prostredníctvom občianskeho preukazu s čipom?
39. Podporuje centrálna elektronická podateľňa vnorené podpisy?

1. Čo je to kvalifikovaný elektronický podpis a aký je jeho účel?

Kvalifikovaný elektronický podpis (ďalej len „KEP“) je informácia pripojená alebo inak logicky spojená s elektronickým dokumentom, ktorá za splnenia podmienok daných zákonom č. 272/2016 Z. z. o dôveryhodných službách, umožňuje spoľahlivo a jednoznačne určiť fyzickú osobu, ktorá ho vyhotovila. Pomocou KEP je možné elektronicky realizovať právne úkony, ktoré v papierovom svete vyžadujú písomnú formu (§ 40 ods. 4 zákona č. 40/1964 Z. z. Občiansky zákonník), t. j. KEP v tomto prípade nahrádza písomnú podobu vlastnoručného podpisu. Z uvedeného dôvodu je nevyhnutné jeho použitie pri niektorých úkonoch uskutočňovaných v rámci elektronickej komunikácie s orgánmi verejnej moci a komerčným sektorom. KEP elektronického dokumentu zabezpečuje:

• autenticitu – možno jednoznačne overiť identitu subjektu, ktorý podpis vytvoril*;
• integritu – možno preukázať, že po podpísaní dokumentu nedošlo k žiadnej úmyselnej alebo neúmyselnej zmene obsahu dokumentu, aký bol v čase jeho podpisovania;
• nepopierateľnosť – autor nemôže tvrdiť, že nevyhotovil daný podpis elektronického dokumentu.

* kvalifikovaný certifikát pre elektronický podpis musí obsahovať meno a priezvisko osoby alebo pseudonym, pričom v prípade pseudonymu musí byť jasne uvedené, že ide o pseudonym; certifikát môže tiež obsahovať nepovinné údaje, pričom v SR sa obvykle uvádza rodné číslo osoby alebo číslo identifikačnej karty. Mandátny kvalifikovaný certifikát pre elektronický podpis musí obsahovať aj údaje o mandantovi a mandáte. 

Viac informácií o platnosti podpisového certifikátu elektronického podpisu/elektronickej pečate alebo časovej pečiatky nájdete v súvisiacom článku „Najčastejšie otázky a odpovede".

2. Kde všade je v súčasnej dobe možné využiť kvalifikovaný elektronický podpis (KEP)?

Občan môže použiť KEP pri komunikácii s orgánmi verejnej moci prostredníctvo ústredného portálu verejnej správy formou univerzálneho podania pre rôzne subjekty (notári, exekútori, organizácie štátnej správy, katastrálne úrady atď.), pri komunikácii napr. s OR SR a JKM - Služby živnostenského registra. Ďalej je možné KEP použiť pri komunikácii napr. s finančnou správou Slovenskej republiky, pri komunikácii so súdmi atď.

3. Aké sú podmienky vyhotovenia kvalifikovaného elektronického podpisu (KEP)?

Na vyhotovenie KEP musí mať občan k dispozícii:

• elektronický dokument,
• súkromný kľúč uložený na kvalifikovanom zariadení na vyhotovenie kvalifikovaného elektronického podpisu (zoznam kvalifikovaných zariadení),
• kvalifikovaný certifikát vydaný poskytovateľom dôveryhodných služieb pre verejný kľúč patriaci k súkromnému kľúču,
• prostriedok a príslušné softvérové vybavenie na vyhotovenie kvalifikovaného elektronického podpisu, pričom sa odporúča používať certifikované softvérové vybavenie resp. softvérové vybavenie z dôveryhodných zdrojov. 

4. Môže občan získať kvalifikovaný elektronický podpis (KEP) uložený na elektronickej identifikačnej karte?

Nie, KEP nie je možné získať. KEP sa dá len vytvoriť prostredníctvom nástrojov na jeho vytváranie (súkromný kľúč, podpisová aplikácia). Je to podobné ako u písomnej formy podpisu, ktorá vyžaduje nosič (napr. papier) a nástroj na jeho vytvorenie (napr. pero). Získať je možné len kvalifikovaný certifikát pre elektronický podpis vydaný na verejný kľuč patriaci k súkromnému kľúču, ktorý je uložený v elektronickej identifikačnej karte.

5. Čo je kvalifikovaný certifikát pre elektronický podpis?

Kvalifikovaný certifikát pre elektronický podpis je elektronický dokument, ktorým vydavateľ certifikátu potvrdzuje, že v certifikáte uvedený verejný kľúč patrí osobe, ktorej je certifikát vydaný (držiteľ certifikátu). Vydávať kvalifikované certifikáty môže len kvalifikovaný poskytovateľ dôveryhodných služieb.

6. Čo je súkromný a verejný kľúč?

Súkromný kľúč je tajná informácia, ktorá slúži na vyhotovenie elektronického podpisu alebo kvalifikovaného elektronického podpisu elektronického dokumentu. Verejný kľúč je informácia dostupná overovateľovi, ktorá slúži na overenie správnosti elektronického podpisu alebo kvalifikovaného elektronického podpisu vyhotoveného pomocou súkromného kľúča patriaceho k danému verejnému kľúču. Súkromný a verejný kľúč sú kryptograficky previazané a preto spolu tvoria kľúčový pár. Sú to pojmy spojené s asymetrickou kryptografiou, ktorá tvorí základ vytvárania elektronického podpisu.

7. Ako súvisí elektronická identifikačná karta s kvalifikovaným elektronickým podpisom (KEP)?

Elektronická identifikačná karta je bezpečným prostriedkom na uloženie kryptografických kľúčov (súkromný, verejný) a kvalifikovaného certifikátu pre elektronický podpis určených na vytváranie KEP. Kľúče a certifikát sú uložené v pamäti čipu elektronickej identifikačnej karty, kde súkromný kľúč nie je možné žiadnym spôsobom vyexportovať, t. j. existuje len v jedinom vyhotovení v konkrétnej elektronickej identifikačnej karte.

8. Ako môže občan získať kvalifikovaný certifikát nevyhnutný k vytváraniu kvalifikovaného elektronického podpisu?

Občan môže požiadať o vydanie kvalifikovaného certifikátu pre elektronický podpis na Okresnom riaditeľstve Policajného zboru pri preberaní eID alebo kedykoľvek neskôr.
Cudzinec môže požiadať o vydanie kvalifikovaného certifikátu pre elektronický podpis na oddelení cudzineckej polície Policajného zboru pri preberaní eDoPP alebo kedykoľvek neskôr.
Vydať kvalifikovaný certifikát pre elektronický podpis na občiansky preukaz alebo doklad o pobyte s elektronickým čipom je možné aj z pohodlia domova prostredníctvom Aplikácie pre eID, ktorá je spolu s používateľskou príručkou k dispozícii na internetovom portáli Ministerstva vnútra Slovenskej republiky alebo v sekcii Na stiahnutie.

9. Koľko stojí kvalifikovaný certifikát pre kvalifikovaný elektronický podpis? Ako dlho bude platný?

Vydanie kvalifikovaného certifikátu pre elektronický podpis na občiansky preukaz s čipom alebo doklad o pobyte cudzinca na klientskom centre alebo vzdialeným vydaním prostredníctvom Aplikácie pre eID je bezplatné. V prípade vydania kvalifikovaných certifikátov na iné zariadenia (napr. iné čipové karty, tokeny) rôznymi komerčnými poskytovateľmi dôveryhodných služieb je takáto služba obvykle spoplatnená. 

Platnosť kvalifikovaného certifikátu môže byť ukončená (revokovaná) pred uplynutím doby platnosti zrušením certifikátu (viď. otázka k zrušeniu certifikátu).

Kvalifikované certifikáty pre elektronické podpisy (vydané SVK eID ACA) na slovenské doklady sa vydávali s platnosťou 5 rokov a 1 mesiac (61 mesiacov). Od 27. mája 2021 sa vydávajú už len s platnosťou do 30. decembra 2022 z dôvodu, že sa v tento deň skončí aj certifikácia elektronických čipov pôvodných občianskych preukazov a dokladov o pobyte. Po uvedenom termíne budú zároveň hromadne zrušené (revokované) všetky kvalifikované certifikáty s dlhšou dobou platnosti, ktoré boli vydané na občianske preukazy alebo doklady o pobyte s pôvodnými elektronickými čipmi.

Ministerstvo vnútra SR bude od 21. júna 2021 vydávať občianske preukazy s novými elektronickými čipmi, na ktoré sa budú nahrávať aj nové kvalifikované certifikáty k elektronickým podpisom (vydané SVK eID ACA2) s koncom platnosti 17. júna 2025. Ide o rovnaký dátum, kedy sa zároveň skončí aj platnosť certifikácie elektronických čipov týchto nových občianskych preukazov.

Upozornenie:

Koniec, resp. zrušenie platnosti kvalifikovaného certifikátu neznamená koniec platnosti funkcie prihlasovania sa na ústredný portál alebo špecializované portály. Neznamená ani koniec platnosti nekvalifikovaných PCA a SCA certifikátov, ktoré však nie sú použiteľné na podpisovanie podaní a príloh. Týmito certifikátmi sa môže vytvoriť iba zdokonalený elektronický podpis, ktorý v Slovenskej republike nemá právne silu, ale v zmysle nariadenia o eIDAS je to použiteľný formát, ktorý môžu akceptovať iné členské štáty EÚ, ak takúto úroveň zabezpečenia povoľujú.

Ak osoba teda nemá vydaný platný kvalifikovaný certifikát k elektronickému podpisu do 25. júna 2021 a chce podpisovať, musí požiadať o vydanie certifikátov na pôvodný preukaz do tohto termínu (s platnosťou certifikátov do konca roka 2022) alebo požiadať o vydanie občianskeho preukazu s novým elektronickým čipom (s platnosťou certifikátov do roku 2025).

Ak osoba má vydaný platný kvalifikovaný certifikát k elektronickému podpisu do 25. júna 2021,  na občianskom preukaze (vydanom pred 21. júnom 2021) sa bude môcť používať až do konca roka 2022 a občianskym preukazom s novým elektronickým čipom stačí disponovať až po tomto termíne.

10. Čo Aplikácia pre eID overuje?

Nasledovné informácie sa týkajú občianskych preukazov s elektronickými čipmi a dokladov o pobyte s elektronickými čipmi.

Aplikácia pre eID (verzie 3.6 a 3.6 Update 1) overuje po vložení eID do čítačky čipových kariet:

• exspiráciu certifikátov na eID karte – v prípade potvrdenia ponúkne aplikácia používateľovi obnovu platnosti certifikátov,
• blížiacu sa exspiráciu certifikátov na eID karte (do 30 dní) – v prípade potvrdenia ponúkne aplikácia používateľovi obnovu platnosti certifikátov. 

V prípade vloženia starších eID kariet (s CardOS 5.0) do čítačky si aplikácia pre načítanie certifikátov vyžiada zadanie bezpečnostného osobného kódu (BOK). V prípade novších eID kariet (s CardOS 5.4) sa zadanie BOK nevyžaduje.

Ak na eID karte nie sú certifikáty vydané, neponúkne sa možnosť ich vydania. Nahratie certifikátov je možné zrealizovať manuálne prostredníctvom možnosti „Vydať certifikáty“ z kontextového menu aplikácie.

Aplikácia pre eID (verzie 3.4 a staršie) overuje po vložení eID (len staršie eID s CardOS 5.0) a zadaní bezpečnostného osobného kódu (BOK):

• prítomnosť vydaných certifikátov na eID karte – v prípade absencie certifikátov ponúkne aplikácia používateľovi možnosť ich vydania,
• exspiráciu certifikátov na eID karte – v prípade potvrdenia ponúkne aplikácia používateľovi obnovu certifikátov,
• blížiacu sa exspiráciu certifikátov na eID karte (do 30 dní) – v prípade potvrdenia ponúkne aplikácia používateľovi obnovu certifikátov,
• preverenie prítomnosti starých certifikátov (2048bit) – v prípade potvrdenia ponúkne aplikácia používateľovi obnovu certifikátov.

Poznámka: od 26. júna.2021 už nie je možné vydať nové certifikáty na eID karty s CardOS 5.0, už vydané certifikáty na kartách s CardOS 5.0 sú platné do 31. decembra 2022, resp. do termínu ukončenia ich platnosti, podľa toho, čo nastane skôr.  

Upozornenie: Aplikácia pre eID neoveruje, či je certifikát na eID karte zrušený (revokovaný). Overenie je možné vykonať prostredníctvom služby Ministerstva vnútra SR.

11. Môže si občan obnoviť svoj kvalifikovaný certifikát uložený na občianskom preukaze prostredníctvom elektronickej služby cez Internet?

Áno, občan si bude môcť najskôr  30 dní pred ukončením platnosti prvého kvalifikovaného certifikátu požiadať o vydanie nového prostredníctvom služby e-Governmentu dostupnej na Internete alebo kedykoľvek po vypršaní platnosti kvalifikovaného certifikátu osobne na ktoromkoľvek oddelení dokladov Policajného zboru. 

Vydať ďalší kvalifikovaný certifikát pre elektronický podpis na občiansky preukaz alebo doklad o pobyte s elektronickým čipom je možné aj z pohodlia domova prostredníctvom Aplikácie pre eID. 

12. Ako môže občan využiť kvalifikovaný elektronický podpis?

KEP-om môže občan podpisovať elektronické dokumenty pri komunikácii s orgánmi verejnej moci a komerčnými subjektmi, pričom tak môže spraviť buď priamo na k tomu určených webových stránkach dostupných cez Internet alebo offline pomocou softvérových prostriedkov inštalovaných na počítači občana. Nie je teda potrebná osobná návšteva danej inštitúcie.

13. Čo je potrebné k tomu, aby občan mohol vytvárať kvalifikovaný elektronický podpis pomocou občianskeho preukazu?

Na vytváranie KEP prostredníctvom elektronickej identifikačnej karty musia byť splnené nasledovné podmienky:

• eID alebo eDoPP s platným kvalifikovaným certifikátom pre elektronický podpis uloženým na čipe;
• počítač vybavený:
  • kontaktnou čítačkou čipový kariet a príslušnými ovládačmi,
  • softvérovým vybavením pre eID,
  • aplikáciou pre vytváranie KEP;
  • znalosť BOK a KEP PIN.

V prípade vytvárania KEP pri online komunikácii so službami verejnej moci musí byť počítač občana navyše vybavený:

• pripojením do internetu,
• internetovým prehliadačom s nainštalovanou aplikáciou pre vytváranie KEP.

14. Kde môže občan získať softvérové vybavenie?

Kompletné softvérové vybavenie potrebné k vytváraniu KEP prostredníctvom elektronickej identifikačnej karty je dostupné na internetovom portáli Ministerstva vnútra Slovenskej republiky a na Ústrednom portáli verejnej správy v sekcii Na stiahnutie.

15. Čo je KEP PIN?

Jedným z bezpečnostných hľadísk vytvárania KEP je aj to, že sa pri ňom uplatňuje tzv. dvojfaktorová autentizácia, t. j. že občan vytvárajúci KEP niečo vlastní (elektronickú identifikačnú kartu so súkromným kľúčom) a niečo pozná (KEP PIN). Bez týchto dvoch faktorov nie je možné vytvoriť KEP. KEP PIN je teda bezpečnostná ochrana pred vytvorením KEP neoprávnenou osobou.

16. Čo je KEP PUK?

Ďalšou bezpečnostnou ochranou vytvárania KEP prostredníctvom elektronickej identifikačnej karty je limitovaný počet nesprávne zadanej hodnoty KEP PIN. Po troch (3) nesprávne zadaných hodnotách KEP PIN sa zablokuje možnosť použitia súkromného kľúča na vytvorenie KEP. Odblokovanie je možne len prostredníctvom KEP PUK.

17. Aké sú dĺžky KEP PIN  a KEP PUK a koľko pokusov mám pred zablokovaním?

Dĺžka KEP PIN je šesť (6) číselných znakov a KEP PUK je osem (8) číselných znakov. K zablokovaniu KEP PIN dôjde po treťom (3) nesprávne zadanom kóde. Počet nesprávne zadaných hodnôt sa počíta priamo v karte, takže nie je možné ho ovplyvniť vytiahnutím karty z čítačky alebo vypnutím počítača. Vynulovanie počítadla nesprávne zadaných hodnôt je možné len zadaním správnej hodnoty. Ak je KEP PIN zablokovaný, odblokovanie je možné len KEP PUK-om. KEP PUK sa zablokuje po desiatich (10) nesprávne zadaných hodnotách.

18. Kedy si volím hodnoty pre bezpečnostný osobný kód, KEP PIN a KEP PUK?

KEP PIN a KEP PUK si občan volí v procese prvého vydania kvalifikovaného certifikátu pre elektronický podpis na elektronickú identifikačnú kartu.

19. Aké bezpečnostné kódy je potrebné zadať pri vytváraní kvalifikovaného elektronického podpisu?

Po vložení elektronickej identifikačnej karty do čítačky čipových kariet je nutné zadať BOK. Následne pri vytváraní KEP sa musí zadať KEP PIN.

20. Čo sa stane po zablokovaní KEP PIN-u?

Po zablokovaní KEP PIN sa stane súkromný kľúč uložený na elektronickej identifikačnej karte a určený na vytváranie KEP nedostupný a KEP nie je možné vytvoriť.

21. Ako a kde riešiť zablokovanú funkcionalitu vytvárania kvalifikovaného elektronického podpisu?

Zablokovanie funkcionality pre vytváranie KEP na elektronickej identifikačnej karte je možné zablokovaním BOK alebo KEP PIN. V prípade zablokovania BOK sa musí občan dostaviť na Okresné riaditeľstvo Policajného zboru, kde mu bude BOK odblokovaný. Ak máte doklad vydaný po 21. júni 2021, môžete odblokovať BOK pomocou PUK v nastaveniach Aplikácie pre eID v sekcii PIN manažment. V prípade, zablokovania KEP PIN si tento môže občan odblokovať prostredníctvom KEP PUK, pokiaľ si ho pri vydávaní elektronickej identifikačnej karty zvolil. Ak nemá zvolený KEP PUK a zablokuje si KEP PIN, tak odblokovanie funkcionality pre vytváranie KEP bude možné len na Okresnom riaditeľstve Policajného zboru, a to v podobe vydanie nového kvalifikovaného certifikátu pre elektronický podpis. Rovnaká možnosť je aj pri zablokovaní KEP PUK.

22. Čo sa stane po zablokovaní KEP PUK-u?

Po zablokovaní KEP PUK dôjde k nevratnému zablokovaniu časti karty, kde sú uložené kryptografické kľúče a kvalifikovaný certifikát pre elektronický podpis. Po zablokovaní KEP PUK už nie je možné použiť tam uložené kryptografické kľúče a jediným riešením je obnova celej oblasti karty, ktorá ma za následok stratu dovtedy používaných kľúčov.

23. Ako si môžem zmeniť hodnoty KEP PIN a KEP PUK?

Zmenu KEP PIN a KEP PUK je možn vykonať cez činnosť PIN manažment v Aplikácii pre eID.

24. Ako často môžem meniť KEP PIN a KEP PUK?

Hodnoty je možné meniť kedykoľvek bez obmedzenia.

25. Čo znamená zrušenie certifikátu?

Zrušenie certifikátu sa využíva v prípade, že má občan podozrenie, že iná osoba ako on má k dispozícii jeho elektronickú identifikačnú kartu a môže v jeho mene vytvoriť KEP, napr. pri strate eID alebo jeho krádeži. Zrušenie certifikátu sa využíva aj poskytovateľmi dôveryhodnej služby vydávajúcimi kvalifikované certifikáty napríklad ak exspiruje certifikát kvalifikovaného zariadenia pre uchovávanie privátneho kľúča, príde k oslabeniu používaných algoritmov alebo získa informácie o zmene údajov v certifikáte. 

26. Ako možno zrušiť certifikát na elektronickej identifikačnej karte? 

O zrušenie akéhokoľvek certifikátu na elektronickej identifikačnej karte môže občan požiadať pri osobnej návšteve na ktoromkoľvek Okresnom riaditeľstve Policajného zboru alebo prostredníctvom elektronickej služby.

Kvalifikované certifikáty môže zrušiť aj samotný vydavateľ certifikátu (poskytovateľ dôveryhodnej služby) bez žiadosti držiteľa certifikátu, napríklad v prípade, ak platnosť vydaného kvalifikovaného certifikátu presahuje dobu platnosti certifikácie zariadenia (napr. čipovej karty), na ktorú bol vydaný alebo v prípade známeho zníženia jeho bezpečnosti pre použité kryptografické algoritmy. 

27. Je možné vydať kvalifikovaný certifikát na občiansky preukaz dodatočne?

Pokiaľ sa občan rozhodne o vydanie kvalifikovaného certifikátu pre elektronický podpis na elektronickú identifikačnú kartu až dodatočne, toto vydanie je možné na Okresnom riaditeľstve Policajného zboru alebo prostredníctvom Aplikácie pre eID.

28. Sú certifikáty na elektronickej identifikačnej karte verejné, dajú sa prečítať po zasunutí preukazu do čítačky?

Nie. Na zobrazenie certifikátov je potrebné, aby občan zadal svoj osobný bezpečnostný kód (BOK).

29. Môžem používať elektronickú identifikačnú kartu na vytváranie kvalifikovaného elektronického podpisu na viacerých počítačoch?

Áno, pokiaľ je k príslušnému počítaču pripojená čítačka čipových kariet a nainštalovaný potrebný obslužný softvér k čítačke a elektronickej identifikačnej karte.

30. Aké certifikáty môžu byť prítomné na občianskom preukaze s čipom?

Na elektronickú identifikačnú kartu môžu byť jej držiteľovi vydané tri rôzne typy certifikátov:

• kvalifikovaný certifikát pre elektronický podpis, určený na vytváranie KEP rovnocenného s vlastnoručným podpisom; na doklady vydané do 20.júna 2021 je možné od 1.1.2023 do 31.12.2024 vydať kvalifikovaný certifikát pre uznaný spôsob autorizácie (zdokonalený elektronický podpis založený na kvalifikovanom certifikáte);
• nekvalifikovaný certifikát na šifrovanie, určený na šifrovanie elektronickej komunikácie určenej pre občana;
• nekvalifikovaný certifikát pre elektronický podpis, určený na vytváranie zdokonaleného elektronického podpisu alebo iného elektronického podpisu; certifikát sa nepoužíva pri komunikácii s orgánmi verejnej moci, nakoľko ním vyhotovený podpis spravidla nie je uznávaný orgánmi verejnej moci. 

31. Aký je rozdiel medzi osobným a kvalifikovaným certifikátom na občianskom preukaze?

Rozdiel medzi certifikátmi je hlavne v tom, na aký účel sa certifikáty môžu používať v platnej legislatíve, podľa ktorej je len s kvalifikovaným certifikátom možné vytvoriť KEP, ktorý je elektronickým ekvivalentom vlastnoručnému podpisu a v prípade zahrnutia kvalifikovanej časovej pečiatky ekvivalentom úradne overeného vlastnoručného podpisu. Osobným certifikátom, ktorý nie je kvalifikovaný, nie je možné vytvoriť platnú autorizáciu v zmysle zákona o e-Governmente a obvykle sa nepoužíva pri komunikácii s orgánmi verejnej moci. 

32. Keď stratím občiansky preukaz bude mi bezplatne vydaný nový certifikát pre kvalifikovaný elektronický podpis?

Po strate/odcudzení dokladu nasleduje vydanie nového dokladu (za poplatok). Certifikáty sú na novo vydávané karty vydávané bezplatne.

33. Ako pridám podpis alebo pečať, ak mi ich ústredný portál z technických príčin neumožňuje pridať priamo v elektronickej schránke?

Ak potrebujete pridať podpis alebo pečať k dokumentu, ktorý z technických príčin nemôže aplikácia pre vytváranie KEP alebo Centrálna elektronická podateľňa spracovať (t. j. v prostredí pre vytváranie správ sa vám nezobrazuje možnosť "podpísať" alebo sa zobrazí chybová hláška odkazujúca na použitie aplikácií od iných poskytovateľov), môžete využiť služby ako napríklad QSign, Disig Desktop Signer, Podpisuj.sk, QES portál, QES aplikáciu alebo D.Bulk Signer – Standard. Na uvedených portáloch dokument najskôr nahráte, potom ho podpíše alebo zapečatíte a následne si ho stiahnete a nahráte tam, kam potrebujete.

Upozorňujeme, že orgány verejnej moci sú povinné prijímať len formáty dokumentov predpísané podľa právnych predpisov.

34. Prečo sa kvalifikovaný elektronický podpis vytvorený cez aplikáciu Adobe Acrobat Reader vyhodnocuje ako neplatný?

V zmysle Nariadenia Európskeho parlamentu a Rady EÚ č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu sa akceptujú kvalifikované elektronické podpisy vo formátoch ASiC, XAdES, CAdES, PAdES. 

Ak ste teda na podpísanie použili aplikáciu Adobe Acrobat Reader a váš kvalifikovaný elektronický podpis je vyhodnotený ako neplatný, môže to byť zapríčinené tým, že ste v nastaveniach ponechali predvolený formát podpisu PKCS#7 a nezmenili ste ho na akceptovaný formát CAdES.

Formát podpisu v aplikácii Adobe Acrobat Reader môžete zmeniť nasledovne: v sekcii „Úpravy“ prejdite na „Predvoľby“, v časti „Kategórie“ zvoľte „Podpisy“. V časti „Vytvorenie a vzhľad“ kliknite na tlačidlo „Viac...“. Otvorí sa nové okno, kde je potrebné v poli „Predvolený formát podpisu“ vybrať „Ekvivalentný CAdES“. Kliknutím na „OK“ sa zmena uloží (Obr. 1).

Obr. 1 – Zmena predvoleného formátu podpisu v aplikácii Adobe Acrobat Reader

Upozornenie: Za správnu funkčnosť podpisovania prostredníctvom aplikácií tretích strán (ako je napr. Adobe Reader) Národná agentúra pre sieťové a elektronické služby nezodpovedá a neposkytuje pre tieto aplikácie podporu.

35. Prečo sa na Ústrednom portáli verejnej správy pri podpisovaní vytvára formát ASiC a nie PDF s PAdES podpisom? 

Uvádzame hlavné dôvody, prečo sa na ÚPVS vytvára formát ASiC a zároveň porovnanie vlastností s formátom PDF obsahujúcim podpis PAdES. 

Podpisy v ASiC vytvárané na ÚPVS 

• Znemožňujú meniť dokument po jeho podpísaní, bez zneplatnenia existujúceho podpisu.
• V prípade potreby podpísania dokumentu viacerými osobami každá podpisujúca osoba podpisuje v ASiC identický dátový obsah. (Používajú sa tzv. paralelné podpisy.)
• ASiC-XAdES alebo ASiC-CAdES je jeden z povinných formátov, ktoré musia akceptovať všetky členské štáty EÚ podľa Nariadenia EP a Rady EÚ č. 910/2014 od 1. júla 2016.
• V ASiC je možné podpisovať ľubovoľné formáty súborov. Na ÚPVS sú v súčasnosti vzhľadom na povinné štandardy verejnej správy SR podporované pri podpisovaní len základné 4 formáty - PDF, PNG, TXT, XML dáta formulára, pričom tieto formáty je povinná prijímať celá verejná správa v SR.
• Umožňuje podpisovanie XML údajov vyplnených podľa elektronického formulára, ktoré sú podľa zákona č. 305/2013 Z. z. o e-Governmente povinným formátom pre elektronické podania a elektronické úradné dokumenty. Pre vizualizáciu údajov sú povinne predpísané transformácie (XSLT) do formátu HTML, XHTML alebo TXT.
• Jeho výhodou je, že ide o ZIP súbor so špecifickou príponou a s jednoduchou štruktúrou priečinkov a súborov. V prípade podpísaného súboru je možné pomerne jednoducho tento súbor získať otvorením v aplikácii podporujúcej otváranie ZIP súborov. V prípade špecifických formátov ako sú XML údaje vyplnené podľa elektronického formulára je však pre zobrazenie potrebné použitie aplikácie pre transformáciu XML údajov pomocou XSLT transformácie do vizualizácie.
• Jeho nevýhodou je, že zatiaľ nie je priamo podporovaný v bežných aplikáciách pre prácu s dokumentami. Do budúcna sa však očakáva rozšírenie jeho podpory vzhľadom na platnú európsku legislatívu.
• ASiC je možné na ÚPVS vytvárať v aplikácii D.Suite/eIDAS poskytovanej na ÚPVS bezplatne, pričom táto aplikácia podporuje len formát ASiC-XAdES. NASES sa v minulosti s ohľadom na používateľov rozhodol, že nebude od používateľov vyžadovať inštaláciu dvoch odlišných podpisovacích aplikácií (jednu pre XAdES / ASiC-XAdES a druhú pre PAdES a CAdES).
• Umožňuje spoločnú autorizáciu viacerých dokumentov jedným podpisom alebo pečaťou. Spoločná autorizácia sa v zmysle zákona povinne vyžaduje pre niektoré prípady ako je napríklad zaručená konverzia z listinnej do elektronickej formy alebo pre autorizáciu niektorých typov elektronických úradných dokumentov. 

Formát PAdES 

• PAdES umožňuje do už podpísaného dokumentu vkladať ďalšie údaje, čo môže ďalších používateľov pracujúcich s podpísaným dokumentom uviesť do omylu, keďže väčšina aplikácií podporujúcich PDF dokumenty pracuje vždy s poslednou revíziou a neupozorňuje používateľa, že podpísaná verzia dokumentu sa líši od aktuálne zobrazenej. Táto vlastnosť potenciálne umožňuje vykonávanie útokov ako je PDF Shadow attack, kedy po podpise prvou osobou môže prísť k úprave PDF súboru, ktorá spôsobí, že druhá osoba bude podpisovať odlišný informačný obsah, než prvá osoba.
• V prípade autorizácie viacerými osobami v PAdES nie je možné v bežne dostupných aplikáciách zistiť, či všetky osoby podpísali rovnaký obsah, čo môže viesť k pochybnostiam. Porovnávanie obsahu môže predstavovať v niektorých prípadoch výrazné praktické problémy a manuálne porovnávanie obsahu. V PAdES sa používajú sekvenčné/sériové podpisy, v prípade ktorých každý ďalší podpis zahŕňa celý predchádzajúci podpis a ďalšie dodatočné informácie.
• PAdES je jeden z povinných formátov, ktoré musia akceptovať všetky členské štáty EÚ v zmysle Nariadenia EP a Rady EÚ č. 910/2014.
• PAdES umožňuje podpisovať výlučne formát PDF.
• PAdES neumožňuje podpisovať povinné XML údaje vyplnené podľa elektronického formulára predpísané legislatívou.
• Jeho výhodou je, že PDF súbory podpísané s PAdES sú štandardné PDF súbory, ktoré vo svojom vnútri obsahujú podpis. Je ich možné priamo otvárať v množstve aplikácií podporujúcich zobrazovanie PDF.
• Nevýhodou je, že väčšina aplikácií nepodporuje zobrazovanie informácií o podpisoch, zobrazovanie obsahu podpísaného jednotlivými osobami alebo porovnanie tohto obsahu. Ďalšou nevýhodou je, že v PDF existujú aj iné formáty podpisov, ktoré však nespĺňajú legislatívne požiadavky EÚ a preto sa stáva, že používateľ vytvorí s kvalifikovaným certifikátom podpis, ktorý však nie je pri validácii vyhodnotený ako kvalifikovaný.
• Je ho možné použiť pre podpisovanie príloh aplikáciami tretích strán mimo ÚPVS, pokiaľ sa v konkrétnom konaní vyžaduje prikladanie príloh.
• Neumožňuje spoločnú autorizáciu viacerých dokumentov, ktorá sa v zmysle zákona povinne vyžaduje pre niektoré prípady ako je napríklad zaručená konverzia. 

36. Aké legislatívne typy podpisov/pečatí existujú?  

Obr. 2 - Rozšírenie údajov vo výsledku informatívneho overenia o typ legislatívneho podpisu/pečate

Vo výsledku informatívneho overenia legislatívneho podpisu/pečate na Ústrednom portáli verejnej správy sa môžu vyskytnúť nasledujúce legislatívne typy podpisov: 

Kvalifikovaný podpis - Ide o kvalifikovaný elektronický podpis, ktorý má v zmysle Nariadenia Európskeho parlamentu a Rady EÚ č. 910/2014 (eIDAS) rovnocenný právny účinok ako vlastnoručný podpis. V zmysle zákona č. 305/2013 Z. z. o e-Governmente je kvalifikovaný elektronický podpis jedným zo spôsobov, ktorým je možné autorizovať elektronické podania. V prípade, ak kvalifikovaný elektronický podpis zahŕňa kvalifikovanú časovú pečiatku, má právny účinok úradne overeného podpisu. 

Kvalifikovaná pečať - Ide o kvalifikovanú elektronickú pečať, ktorá je v zmysle zákona č. 305/2013 Z. z. o e-Governmente jedným zo spôsobov, ktorým je možné autorizovať elektronické podania a v prípade pripojenia kvalifikovanej časovej pečiatky aj elektronické úradné dokumenty. 

Kvalifikovaný elektronický podpis alebo pečať, pri ktorom sa vo výsledku informatívneho overenia podpisov zobrazuje slovenská vlajka, nie sú orgány verejnej moci povinné akceptovať, nakoľko je vyhotovený v slovenskom formáte používanom podľa legislatívy účinnej do 30. júna 2016, ktorý nie je plne súladný s Vykonávacím rozhodnutím Komisie EÚ č. 2015/1506.

Uznaný spôsob autorizácie podľa Vyhlášky MIRRI SR o uznaných spôsoboch autorizácie. Orgány verejnej moci sa môžu v zmysle § 23 ods. 10 zákona č. 305/2013 Z. z. rozhodnúť, či tento spôsob autorizácie budú akceptovať. Zoznam služieb, pre ktoré je akceptovaný uznaný spôsob autorizácie, je zverejnený v tomto článku. Počas účinnosti vyhlášky od 1.1.2023 sú zdokonalené elektronické podpisy založené na kvalifikovanom certifikáte overované na ústrednom portáli verejnej správy ako Uznaný spôsob autorizácie. Ide o prechodné riešenie kvôli skončeniu platnosti certifikácie občianskych preukazov s čipom a dokladov o pobyte vydaných do 20. júna 2021. 

Kvalifikovaný mandátny podpis - Ide o kvalifikovaný elektronický podpis vyhotovený použitím mandátneho certifikátu. V zmysle zákona č. 305/2013 Z. z. je takýto podpis s pripojenou kvalifikovanou časovou pečiatkou vyžadovaný v prípade autorizácie elektronických úradných dokumentov, ak osobitný zákon vyžaduje autorizáciu konkrétnou osobou alebo osobou v konkrétnom postavení. 

Zdokonalený podpis založený na kvalifikovanom certifikáte - Tento typ podpisu nie je možné použiť na autorizáciu elektronických úradných dokumentov. Orgán verejnej moci sa môže rozhodnúť takýto podpis akceptovať na elektronickom podaní alebo jeho prílohách, ak ich osobitný predpis umožňuje zaslať bez autorizácie. Orgán verejnej moci je povinný tento typ  podpisu akceptovať v prípade, ak by osobitný predpis vyžadoval autorizáciu zdokonaleným elektronickým podpisom (príp. pečaťou) založeným na kvalifikovanom certifikáte alebo zdokonaleným elektronickým podpisom.

Ide o podpis vyhotovený s kvalifikovaným certifikátom, ktorý nie je uložený na kvalifikovanom bezpečnom zariadení pre vytváranie kvalifikovaných podpisov a preto neobsahuje príznak QSCD alebo SSCD. Vzhľadom na možnosť prenášať privátny kľúč takéhoto kvalifikovaného certifikátu bez kvalifikovaného bezpečného zariadenia má takýto podpis nižšiu mieru bezpečnosti. 

Zdokonalená pečať založená na kvalifikovanom certifikáte - Tento typ pečate nie je mžné použiť na autorizáciu elektronických úradných dokumentov. Orgán verejnej moci sa môže rozhodnúť takýto podpis akceptovať na elektronickom podaní alebo jeho prílohách, ak ich osobitný predpis umožňuje zaslať bez autorizácie. Orgán verejnej moci je povinný tento typ podpisu akceptovať v prípade, ak by osobitný predpis vyžadoval autorizáciu zdokonalenou elektronickou pečaťou založenou na kvalifikovanom certifikáte alebo zdokonalenou elektronickou pečaťou.

Ide o pečať vyhotovenú s kvalifikovaným certifikátom, ktorý nie je uložený na kvalifikovanom bezpečnom zariadení pre vytváranie kvalifikovaných pečatí a preto neobsahuje príznak QSCD alebo SSCD. 

Je však potrebné upozorniť, že do nadobudnutia účinnosti zákona č. 272/2016 Z. z. o dôveryhodných službách dňa 18. októbra 2016 niektorí poskytovatelia dôveryhodných služieb vydávali kvalifikované certifikáty pre pečať bez príznaku QSCD alebo SSCD aj v prípade, ak boli uložené na kvalifikovanom zariadení. Týka sa to najmä certifikátov vydaných CA Disig a CA Disig QCA3, ktorých platnosť postupne skončila počas rokov 2019 a 2020. V prípade takýchto pečatí preto vo výsledku overenia bude uvedené, že ide iba o zdokonalené elektronické pečate založené na kvalifikovanom certifikáte. 

Zdokonalený podpis - Ide o podpis vyhotovený bez použitia kvalifikovaného certifikátu, ktorý nie je možné použiť na autorizáciu elektronických úradných dokumentov alebo elektronických podaní a príloh k nim. 

Pre overenie platnosti takéhoto typu podpisu obvykle nie sú bežne dostupné služby a preto sa vo verejne dostupných službách obvykle overuje ako neplatný. 

Orgán verejnej moci sa môže rozhodnúť takýto podpis akceptovať na elektronickom podaní alebo jeho prílohách, ak osobitný predpis umožňuje zaslať elektronické podanie alebo jeho prílohy bez autorizácie. Orgán verejnej moci je povinný takýto  podpis akceptovať, ak osobitný predpis vyžaduje autorizáciu zdokonaleným elektronickým podpisom.

Zdokonalená pečať - Ide o pečať vyhotovenú bez použitia kvalifikovaného certifikátu, ktorú nie je možné použiť na autorizáciu elektronických úradných dokumentov alebo elektronických podaní a príloh k nim. 

Pre overenie platnosti takéhoto typu pečate obvykle nie sú bežne dostupné služby a preto sa vo verejne dostupných službách zvyčajne overuje ako neplatná. 

Orgán verejnej moci sa môže rozhodnúť takúto pečať akceptovať na elektronickom podaní alebo jeho prílohách, ak osobitný predpis umožňuje zaslať elektronické podanie alebo jeho prílohy bez autorizácie. Orgán verejnej moci je povinný takúto pečať akceptovať, ak osobitný predpis vyžaduje autorizáciu zdokonalenou elektronickou pečaťou.

37. Prečo mi nejde vytvoriť kvalifikovaný elektronický podpis bez Java?

V súčasnosti je pre vytvorenie kvalifikovaného elektronického podpisu v používateľskom prostredí ústredného portálu verejnej správy v operačných systémoch Apple macOS alebo GNU/Linux nevyhnutné mať prístupné knižnice: Java 8+, Java Web Start, Java FX a Java Architecture for XML Binding (JAXB). Všetky tieto komponenty sa aktuálne bezplatne nachádzajú vo verzii Oracle Java 8, ktorá umožňuje bezproblémové vytváranie kvalifikovaného elektronického podpisu. Jej podpora bude k dispozícii do Marca 2022.

Národná agentúra pre sieťové a elektronické služby si uvedomuje situáciu na trhu a prechod na iné technológie, a preto do budúcnosti plánuje sprístupnenie nových verzií podpisovačov. Tento krok bude odkomunikovaný na portáli slovensko.sk.

38. Ako vytvorím kvalifikovaný elektronický podpis prostredníctvom občianskeho preukazu s čipom?

Návod na vytvorenie kvalifikovaného elektronického podpisu prostredníctvom občianskeho preukazu s čipom.

39. Podporuje centrálna elektronická podateľňa vnorené podpisy?

Služba informatívneho overenia podpisov centrálnej elektronickej podateľne nepodporuje overovanie vnorených podpisových kontajnerov. Preto odporúčame, aby ste si v prípade potreby získať informácie o všetkých vnorených podpisoch preverili, či niektorý z podpisových kontajnerov najmä vo formáte ASiC neobsahuje vnorené podpisy. Vnorené podpisy sa môžu v podpisovom kontajneri nachádzať najmä v prípade, ak sa vo vnútri ASiC súboru nachádza:

• PDF súbor (.pdf) - takýto PDF súbor môže vo svojom vnútri obsahovať ďalší podpis (PAdES)
• ASiC súbor (typicky s príponou .asice, .sce, .asics, .scs) Sú možné aj iné vnorené formáty, avšak v praxi sa bežne nevyskytujú.