V případě obchodních či dalších sporů není nijak výjimečné, že jednotlivé strany mají dosti rozdílný názor na to, co v e-mailu či na stránkách skutečně bylo a jaká je vlastně důkazní hodnota konkrétního textu.
Naštěstí existuje celá řada metod, které lze využít pro zachycení, doložení a ověření obsahu webových stránek či e-mailové komunikace. O těch dostupnějších je tento článek, přičemž je zaměřen na postupy, které mohou s jistou mírou šikovnosti aplikovat i pověřenci pro ochranu osobních údajů či jejich realizační tým.
Doložení stavu a obsahu webu
Použití služby nezávislé třetí strany
Někdy stačí zajistit, aby stránku zachytila služba jako Wayback Machine (Internet Archive) specializující se na archivaci webových prezentací. V řadě případů lze považovat zachycení stránky službou třetí strany, která je odbornou komunitou akceptována jako seriózní, za dostatečně průkazné.
Stránku, jejíž existenci chcete mít možnost doložit, se pokuste nejprve v archivu vyhledat. A pokud v něm není, využijte funkci pro přidání stránky. Tento postup se hodí i v případě zakoupení zboží, které má na stránkách prodejce nesprávný popis, což je důvod k reklamaci. Je-li obsah konkrétní stránky s produktem spolehlivě zachycen archivační službou, máte důkaz pro případ, kdyby byla stránka s produktem po odeslání zboží prodejci aktualizována či odstraněna.
Zachycení stránky s využitím nástrojů pro vývojáře
Všichni víme, že webovou stránku lze stáhnou a uložit na pevný disk. Nicméně internetové prohlížeče nám nabízejí i mnohem pokročilejší metody. Kromě klasických screenshotů můžeme „tisknout stránky do PDF“ a hlavně uložit přenesená data do archivu. Výhodou tohoto postupu je uložení informací i ze serverů třetích stran. Stačí v nástrojích pro vývojáře zapnout analýzu síťového provozu a následně celou načtenou stránku uložit jako HAR archiv (funkce „Uložit vše jako HAR. Klikneme-li před načtením stránky na checkbox „bez vyrovnávací paměti“ či ekvivalentní (funkce může mít různá označení, např. „Disable cache" nebo „Zakázat mezipaměť"), po obnovení stránky získáme archiv s vysokou informační hodnotou.
Po zachycení lze využít nástroje pro extrakci HAR archivu, jejichž použití se zásadně neliší od rozbalování dat např. z archivů ZIP.
Použití kontrolních součtů a časových razítek
Pokud z HAR archivu nebo jiných zajištěných dat vytvoříte kontrolní součty například ve formátu SHA-256 a tyto uložíte do PDF, můžete následně využít např. kvalifikované časové razítko ke zvýšení důkazní hodnoty zachyceného obsahu k určitému datu, případně PDF rovnou elektronicky podepsat (s využitím kvalifikovaného certifikátu). Samozřejmě je možné předmětné soubory přidat do dokumentu přímo jako přílohy, v tom případě není třeba kontrolní součty generovat. Zmíněný postup je doporučeno kombinovat s archivací stránky nezávislou a důvěryhodnou třetí stranou, čímž se lze bránit nařčení z manipulace s daty před vygenerováním kontrolního součtu.
Analýza e-mailů
V případě e-mailů je často problém s argumentací protistrany, že e-mail byl pozměněn.
Nicméně i zde máme k dispozici nečekaného a velmi cenného spojence, a to poštovní server odesílatele. Většina e-mailových systémů totiž při odeslání zprávy e-mail elektronicky podepíše. Nejde o plnohodnotnou alternativu např. k elektronickému podpisu s využitím certifikátu uživatele, nicméně i zde se využívá asymetrická kryptografie a je tak možné (s trochou šikovnosti) tento podpis později ověřit a prokázat, že s e-mailem nebylo po doručení adresátovi manipulováno. Tyto techniky jsou velmi užitečné zejména u soudu, kdy jedna ze stran sporu napadá věrohodnost e-mailové komunikace předkládané druhou stranou.
Pro výše uvedené účely lze využít technologie ARC (Authenticated Received Chain) a DKIM (DomainKeys Identified Mail). My se v tomto článku zaměříme na druhou z uvedených.
Hlavním účelem DKIM je zajištění autenticity e-mailových zpráv a boj se spamem, kdy odesílající server využije svůj privátní klíč k podpisu, jehož platnost následně může ověřit server adresáta s využitím veřejného klíče. Ten je možné stáhnout z DNS záznamů domény a když se ke klíči umí dostat příchozí poštovní systém, můžeme k němu i my. Tyto klíče zůstávají v celé řadě případů v platnosti i delší dobu, ačkoliv doporučené bezpečnostní postupy zahrnují jejich pravidelnou obměnu. Je tak možné, že se ověření e-mailu podaří provést i relativně dlouho po odeslání zprávy.
Jak ověření e-mailu provést
Nejprve e-mail exportujte do textového formátu .eml.
Následně použijte např. program Mailauth nebo Dkimverify. Druhý ze jmenovaných programů vyhledá v DNS záznamech příslušný veřejný klíč a tento automaticky uschová pro pozdější použití. S trochou šikovnosti je tak možné úspěšné ověření doložit i v situaci, kdy doména zanikla nebo již došlo k vygenerování nových klíčů pro DKIM podpis. Pro úplnost uvedu, že autorem programu jsem já.
První z programů je lepší v tom, že provádí opravdu detailní rozbor, včetně ověření záznamů ARC a dalších informací. Neprovádí ale archivaci veřejného klíče a neumí ho tak později opětovně použít. Doporučuji tak oba nástroje kombinovat. Je třeba upozornit, že pro ověření DKIM podpisu musíme mít k dispozici e-mail, který prošel poštovním serverem. Nelze ověřit e-mail pouze z odeslané pošty. Také ještě stále existují servery, které DKIM podpis neaplikují, ačkoliv jsou v menšině.
Kdy se vyplatí kontaktovat nezávislého experta?
Výše jsou popsány relativně jednoduché a účinné postupy, které mohou mít v případě správného použití velmi pozitivní vliv na důkazní hodnotu zachycených informací. Nicméně je-li v sázce např. vyšší obnos peněz, vyplatí se kontaktovat odborníka a v případě důležitého sporu i soudního znalce, který může zafungovat nejen jako specialista na danou oblast, ale také coby důvěryhodná třetí strana. Investice do profesionálních služeb se v takových případech mnohonásobně vrátí, což platí pro znalce i kvalitního právního zástupce.
