AS4 protokol — Ako funguje bezpečný prenos e-faktúr

Čo je AS4

AS4 (Applicability Statement 4) je komunikačný protokol definovaný štandardizačnou organizáciou OASIS (Organization for the Advancement of Structured Information Standards). Vznikol ako moderná náhrada starších protokolov pre výmenu obchodných dokumentov medzi podnikmi — predovšetkým AS2, ktorý sa používal desaťročia, ale postupne zastaral.

Protokol AS4 definuje, akým spôsobom sa elektronické dokumenty prenášajú medzi dvoma bodmi v sieti. Nemá nič spoločné s obsahom dokumentov — nezaujíma ho, či prenášate faktúru, objednávku alebo dobropis. Stará sa výlučne o to, aby sa správa dostala z bodu A do bodu B bezpečne, spoľahlivo a overiteľne.

V kontexte Peppol siete AS4 slúži ako transportná vrstva medzi jednotlivými Access Pointmi (digitálnymi poštármi). Keď vaša firma odošle e-faktúru, váš digitálny poštár ju zabalí do AS4 obálky, digitálne ju podpíše a odošle Access Pointu príjemcu.

Prečo Peppol zvolil AS4

Peppol sieť pôvodne používala vlastný protokol s názvom START (Secure Trusted Asynchronous Reliable Transport). Tento protokol však mal niekoľko obmedzení — bol proprietárny, nemal širokú podporu v komerčnom softvéri a jeho údržba bola nákladná.

V roku 2019 Peppol oficiálne prešiel na AS4 ako jediný podporovaný transportný protokol. Dôvody boli presvedčivé:

• Otvorený štandard — AS4 je definovaný organizáciou OASIS, čo znamená, že jeho špecifikácia je verejne dostupná a nikto nemá monopol na jeho implementáciu.
• Široká podpora — Existuje množstvo open-source aj komerčných implementácií (Holodeck B2B, Phase4, IBM, Axway a ďalšie).
• Zabudovaná bezpečnosť — Protokol natívne podporuje šifrovanie, digitálne podpisy a spoľahlivé doručenie.
• Interoperabilita — AS4 používajú aj iné európske eDelivery siete, čo uľahčuje prepojenie medzi rôznymi infraštruktúrami.

Peppol definoval vlastný profil AS4 s názvom Peppol AS4 Profile, ktorý upresňuje konkrétne nastavenia — napríklad aké šifrovacie algoritmy sa majú používať, aký je formát obálky a akým spôsobom sa správy podpisujú.

Obojstranná TLS autentifikácia

Jedným z najdôležitejších bezpečnostných prvkov AS4 v Peppol sieti je vzájomná TLS autentifikácia (mutual TLS, mTLS). Na rozdiel od bežného HTTPS, kde sa overuje len server (napríklad keď navštívite webovú stránku banky), pri mTLS sa overujú obe strany komunikácie.

Ako to funguje v praxi:

1. Odosielajúci Access Point nadviaže HTTPS spojenie s prijímajúcim Access Pointom.
2. Prijímajúci AP predloží svoj TLS certifikát — odosielateľ overí, že komunikuje so správnym serverom.
3. Odosielajúci AP predloží svoj klientsky certifikát — prijímateľ overí, že správu posiela legitímny účastník Peppol siete.
4. Až po obojstrannom overení sa začne prenos samotného dokumentu.

Tento mechanizmus zabraňuje situácii, kedy by sa neautorizovaný subjekt mohol vydávať za certifikovaného digitálneho poštára a odosielať falošné faktúry. Každý Access Point musí preukázať svoju identitu platným certifikátom.

Dva typy certifikátov

Pre prevádzku Access Pointu v Peppol sieti potrebujete dva odlišné typy certifikátov, z ktorých každý plní inú funkciu:

Peppol PKI certifikát (podpisovanie správ)

Tento certifikát vydáva priamo OpenPeppol prostredníctvom svojej PKI infraštruktúry (Public Key Infrastructure). Slúži na digitálne podpisovanie AS4 správ — každý dokument, ktorý Access Point odošle, je podpísaný týmto certifikátom. Prijímajúca strana tak môže overiť, že správa skutočne pochádza od registrovaného účastníka Peppol siete.

Peppol PKI certifikát získate až po úspešnej akreditácii — najprv testovací (pre testovací režim) a neskôr produkčný (po podpísaní Service Provider Agreement). Žiadosť sa podáva cez Peppol Service Desk so súhlasom vašej Peppol Authority (na Slovensku je to Finančná správa SR).

Komerčný HTTPS certifikát (webový server)

Štandardný TLS/SSL certifikát od bežnej certifikačnej autority (Let's Encrypt, DigiCert, Sectigo a podobne). Tento certifikát zabezpečuje šifrované HTTPS spojenie medzi Access Pointmi na transportnej vrstve — teda samotný sieťový kanál, cez ktorý sa AS4 správy prenášajú.

Komerčný HTTPS certifikát si zaobstaráte samostatne, nezávisle od Peppol akreditácie. Väčšina poskytovateľov hostingu ho dokáže vystaviť automaticky.

Self-signed certifikáty nie sú povolené

Toto je bod, na ktorom mnohí začínajúci poskytovatelia stroskotajú. V Peppol sieti nie je povolené používať self-signed certifikáty — ani pre testovací, ani pre produkčný režim. Oba typy certifikátov (Peppol PKI aj komerčný HTTPS) musia byť vydané dôveryhodnou certifikačnou autoritou.

Dôvod je jednoduchý: self-signed certifikát si môže vytvoriť ktokoľvek a nie je možné overiť jeho pravosť bez predchádzajúceho zdieľania verejného kľúča. V sieti s tisíckami účastníkov by to bolo nezvládnuteľné a bezpečnostne neakceptovateľné.

Praktické dôsledky pre poskytovateľov

Ak uvažujete o tom, že sa stanete digitálnym poštárom na Slovensku, AS4 protokol má pre vás niekoľko konkrétnych dôsledkov:

Výber implementácie — Potrebujete softvér, ktorý korektne implementuje Peppol AS4 Profile. Nemôžete použiť generickú AS4 implementáciu bez úprav — musí podporovať špecifické nastavenia Peppol siete (šifrovanie AES-128-GCM, podpisovanie SHA-256, správne SOAP hlavičky).

Dostupnosť servera — Váš Access Point musí byť dostupný 24/7 na verejnej IP adrese s platným HTTPS certifikátom. Peppol vyžaduje minimálnu dostupnosť na úrovni 99,5 % — čo znamená maximálny výpadok približne 44 hodín ročne.

Testovanie pred akreditáciou — Pred získaním akreditácie musíte úspešne prejsť Peppol Testbed, ktorý overí, že váš Access Point správne implementuje AS4 protokol vrátane podpisovania, šifrovania a spoľahlivého doručenia.

Monitoring a logging — AS4 protokol vyžaduje uchovávanie dôkazov o doručení (message receipts). Každú odoslanú a prijatú správu musíte logovať vrátane časových pečiatok a statusov doručenia — tieto záznamy môže Finančná správa SR kedykoľvek vyžiadať pri audite.

Obnova certifikátov — Peppol PKI certifikáty majú obmedzenú platnosť a musia sa pravidelne obnovovať. Ak certifikát vyprší a nestihli ste ho obnoviť, váš Access Point prestane fungovať — ostatní účastníci siete odmietnu správy podpísané neplatným certifikátom.

AS4 protokol je technicky náročnejší než napríklad jednoduché REST API, ale práve vďaka tomu poskytuje úroveň bezpečnosti a spoľahlivosti, ktorú elektronická fakturácia vyžaduje. Pre firmy, ktoré zvažujú vlastnú implementáciu, je dôležité počítať s tým, že správna implementácia AS4 si vyžaduje skúsenosti s kryptografiou, SOAP/XML spracovaním a sieťovou bezpečnosťou.