Autor opět pěkně popisuje problémy, které i přes varování IT odborníků zůstaly v DS nadále.
Ale v jednom se mýlí, resp. by se mýlit měl:
CRL se sice může vydávat jen v intervalech, ale jinak většina CA vydává CRL "okamžitě" vždy v tom případě, když se revokuje certifikát na základě "možné/zjištěné kompromitace". Jestli to ovšem dělá tato CA (podle mě je to ovšem její povinnost)...
Jinak, tu paradoxnost neplatnosti dokumentu s již revokovaným certifikátem (evidentně bez časového razítka) popisoval uživatel u minulého článku: Úřednice k 31.12.09 skončila, revokoval se jí certifikát, a uživatel po novém roce měl při konverzi smůlu. Časové razítko by taky mělo bejt vynuceno!
Názory k článku
Autorizovaná konverze dokumentů: padělek už vám nezkonvertují
uživatel si přál zůstat v anonymitě
188.92.9.---
10. 2. 2010 8:17
Nový
Re: CRL
celé vlákno
Ono je vcelku jedno kdy a jak podpis expiruje, jednoduse po nedefinovane dobe od 0 do 365 dnu budete mit bezcenou hromadku bitu, se kterymi si muzete leda tak vytrit pr.el.
A ze na spory a soudy dojde az po teto dobe, na to muzete vzit jed. Takze se u soudu budete ohanet onemi bezcenymi bity a ten je samosebou neuzna.
---
K clanku, aby expirace byla prekazkou konverze je stejna pitomost, jako zkonvertovani pozmene zpravy. Proste posta to ma udelat a na ten papir s razitkem napsat stav, v jakem zprava byla. Navic pokud je neco jineho v zakone a jinak se chovaj urednici (byt "logicky"), tak je vyhra u soudu pro dotycneho jista a kdo to zacaluje ?
A vubec nejjednodussi a z hlediska statniho rozpoctu nejlevnejsi by bylo celou tu hovadinu zrusit. Pocitam ze to bude na soudech tak neco mezi 300 - 500GKc (stat samozrejme prohraje).
A ze na spory a soudy dojde az po teto dobe, na to muzete vzit jed. Takze se u soudu budete ohanet onemi bezcenymi bity a ten je samosebou neuzna.
---
K clanku, aby expirace byla prekazkou konverze je stejna pitomost, jako zkonvertovani pozmene zpravy. Proste posta to ma udelat a na ten papir s razitkem napsat stav, v jakem zprava byla. Navic pokud je neco jineho v zakone a jinak se chovaj urednici (byt "logicky"), tak je vyhra u soudu pro dotycneho jista a kdo to zacaluje ?
A vubec nejjednodussi a z hlediska statniho rozpoctu nejlevnejsi by bylo celou tu hovadinu zrusit. Pocitam ze to bude na soudech tak neco mezi 300 - 500GKc (stat samozrejme prohraje).
aura:82
10. 2. 2010 9:41
Nový
Re: CRLRe: CRL
celé vlákno
To je otázka, jak se k tomu postaví soud. Nedávno mě _vyděsila_ moje právnička, podle které prý soudy jako důkaz běžně uznávají vytištěný e-mail. Pokud prý jsou pochybnosti, tak se vezme PC a přizve se soudní znalec (fakt by mě zajímalo, co na tom e-mailu může spolehlivě ověřovat!)
jj (neregistrovaný)
---.net.upc.cz
10. 2. 2010 9:47
Nový
Re: CRLRe: CRL
celé vlákno
Nic. Leda řekne, že to může bejt zfalšovaný... a nebo nemusí. Každej pokročilejší uživatel IT dovede antidatovat soubory, změnit je bez možnosti forenzního důkazu atd. Natož e-mail bez el. podpisu, to snad uměj změnit už děti, co vychodily jesle...
uživatel si přál zůstat v anonymitě
---.anonymouse.org
10. 2. 2010 11:25
Nový
Re: CRLRe: CRL
celé vlákno
Myslite antedatovat? :)
10. 2. 2010 22:40
Nový
Re: CRLRe: CRL
celé vlákno
ale notak hoši.. nehádejte se tu.. ono rozhodnutí od soudu co podepíše nějaká bába a orazí ho ho razítkem se dneska dá zfalšovat stejně snadno jako ten obyč email, dyť je to jen papír s razítkem.. nemá žádný ochraný prvky podpis na něm je jen milionkrát opakovaná parafa úřednice z podatelny, která vám za kafe dá autogram i na váš zadek :o)
celej systém je o důvěře.. a pokud někdo podvádí rozhoduje soud.. a soud neni neomylnej, jen posoudí co je pravděpodobnější ;o) respektive vyhraje ten kdo má lepšího advokáta a jeho verze se tak jeví jako ta správná :o)
celej systém je o důvěře.. a pokud někdo podvádí rozhoduje soud.. a soud neni neomylnej, jen posoudí co je pravděpodobnější ;o) respektive vyhraje ten kdo má lepšího advokáta a jeho verze se tak jeví jako ta správná :o)
10. 2. 2010 13:47
Nový
Re: CRL
celé vlákno
Expirace certifikátů obecně je předvídatelná, a dá se obejít recertifikací obálky s dokumentem a digitálním podpisem s časovým razízkem pomocí novějšího certifikátu.
Standardní šifrovací aplikace jako PGP mají v revokačním certifikátu položku pro důvod zneplatnění. Jsou schopny odlišit certifikát zneplatněný pro další podepisování (kdy veškeré starší podpisy zůstávají platné) od zkompromitovaného certifikátu (kdy pozbývají věrohodnost veškeré podpisy).
Standardní šifrovací aplikace jako PGP mají v revokačním certifikátu položku pro důvod zneplatnění. Jsou schopny odlišit certifikát zneplatněný pro další podepisování (kdy veškeré starší podpisy zůstávají platné) od zkompromitovaného certifikátu (kdy pozbývají věrohodnost veškeré podpisy).
petr_p (neregistrovaný)
2002:93fb:17--:----:----:----:----:----
11. 2. 2010 11:51
Nový
Re: CRL
celé vláknoPodpis na papíře uděláte jednou a platí napořád, takže držitel dokumentu nemá s pravostí dokumentu žádné náklady. Digitální podpis ale držitel musí na vlastní náklady přerazítkovávat. Asi si zařídím časovou autoritu, bude to výnosná živnost :)
CRL také mohou evidovat důvod ukončení platnosti certifikátu. Ale dávat na CRL certifikáty prostě prošlé je hloupost, protože by seznam brzy narostl do obludných rozměrů, zvlášť když konec platnosti je uveden již v certifikátu samotném.
11. 2. 2010 12:07
Nový
Re: CRL
celé vlákno
Podpis na papíře lze falšovat také. Jen metody jsou jiné. A třeba bankovky se zastaralým a dnes již prolomeným certifikátem pravosti jsou také již dávno revokovány, a bylo je nutné recertifikovat výměnou u vydavatele.
Jinde to přesně tak funguje - prošlými certifikáty nelze už nic nového podepsat (alespoň ne zároveň se zaručenou časovou značkou), a není k tomu třeba nic nového na serveru evidovat. Pouze revokace je nutné evidovat, zároveň s důvodem, proč byly zneplatněny. Jak si platný podpis s revokovaným certifikátem a známým důvodem revokace vyloží daný subjekt, je již záležitost administrativní, nikoliv technická. Nejběžnější výklad říká: "Certifikát již není používán" => staré podpisy platí, "došlo k úniku soukromého klíče" => staré podpisy neplatí, nebo přinejmenším neplatí od uvedeného data incidentu.
Jinde to přesně tak funguje - prošlými certifikáty nelze už nic nového podepsat (alespoň ne zároveň se zaručenou časovou značkou), a není k tomu třeba nic nového na serveru evidovat. Pouze revokace je nutné evidovat, zároveň s důvodem, proč byly zneplatněny. Jak si platný podpis s revokovaným certifikátem a známým důvodem revokace vyloží daný subjekt, je již záležitost administrativní, nikoliv technická. Nejběžnější výklad říká: "Certifikát již není používán" => staré podpisy platí, "došlo k úniku soukromého klíče" => staré podpisy neplatí, nebo přinejmenším neplatí od uvedeného data incidentu.
MB (neregistrovaný)
193.86.31.---
11. 2. 2010 12:18
Nový
Re: CRL
celé vlákno
Blbost: Protože pokud certifikát není používán, neznamená to, že nedojde ještě navíc k úniku klíče. A to už nemám možnost ohlásit. A časová razítka jsou pěkně drahý folklór, který jasně odhaluje odlišné vlastnosti elektronického podpisu a podpisu na papír. Mimo jiné to, že staré bankovky mají již slabé prvky ochrany, ještě neznamená, že hlubší analýzou nejde falzifikát odhalit. U prolomeného algoritmu je možnost nulová.
11. 2. 2010 12:59
Nový
Re: CRL
celé vlákno
Únik klíče, kterým už stejně nelze nic nového podepsat, vás už nezajímá. Navíc nic nebrání, aby systém měl možnost více revokací k jednomu certifikátu.
Ano, digitální svět má konečnou rozlišovací schopnost, za kterou nelze jít, a je tomu třeba přízpůsobit administrativu. Je-li padělek do posledního bitu stejný, není technická cesta, jak jej odhalit. Stále zde však ještě existují kriminalistické metody, které použijí okolní svět jako postranní kanál, a možná se doberou pravdy.
Ne-digitální zaručená časová razítka jsou podstatně dražší folklór, většinou vyžadující zaplatit kolek nebo notářský poplatek.
Ano, digitální svět má konečnou rozlišovací schopnost, za kterou nelze jít, a je tomu třeba přízpůsobit administrativu. Je-li padělek do posledního bitu stejný, není technická cesta, jak jej odhalit. Stále zde však ještě existují kriminalistické metody, které použijí okolní svět jako postranní kanál, a možná se doberou pravdy.
Ne-digitální zaručená časová razítka jsou podstatně dražší folklór, většinou vyžadující zaplatit kolek nebo notářský poplatek.
MB (neregistrovaný)
193.86.31.---
11. 2. 2010 14:17
Nový
Re: CRL
celé vlákno
To ověření u notáře se týká až kopie. No vzhledem k tomu, že skoro každý spěchá v případě dalšího použití na Czechpoint a konvertuje, tak se poplatku také nevyhne. Nastavil někdo metodiku, kdy je nutná konverze nebo si to svévolně určují jednotlivé úřady a soudy?
11. 2. 2010 15:35
Nový
Re: CRL
celé vlákno
Zde ovšem nejde o ověření pravosti dokumentu, ale pravosti jeho datování.
Datumovka z papírnictví nemá vůbec žádnou právní váhu, stejně tak ja@toto_slovo_není_spam@ko čas nastavený v počítači.
Pravost časového razítka u papírových dokumentů lze zaručit pouze notářskou úschovou, datovanou úřední kopií nebo podobnými právními úkony.
Uznávám, že zde je to u digitálních dokumentů horší. A datové schránky neobsahují zaručenou datovou úschovu.
A tak bez pravidelného přerazítkování digitálním podpis@není_spam@em opatřeným zaručeným časovým razítkem nepůjde v roce 2020 nijak prokázat, že jste RSA1 podpis z roku 2009 nezfalšoval hrubou výpočetní silou až v roce 2019. Pokud však bude pravidelně ještě v době platnosti starého podpisu vložen do digitální obálky a opatřen platným novým (silnějším) razítkem, bude ještě v roce 2020 možné důvěryhodně doložit jeho nepozměněnost a původní datování.
Datumovka z papírnictví nemá vůbec žádnou právní váhu, stejně tak ja@toto_slovo_není_spam@ko čas nastavený v počítači.
Pravost časového razítka u papírových dokumentů lze zaručit pouze notářskou úschovou, datovanou úřední kopií nebo podobnými právními úkony.
Uznávám, že zde je to u digitálních dokumentů horší. A datové schránky neobsahují zaručenou datovou úschovu.
A tak bez pravidelného přerazítkování digitálním podpis@není_spam@em opatřeným zaručeným časovým razítkem nepůjde v roce 2020 nijak prokázat, že jste RSA1 podpis z roku 2009 nezfalšoval hrubou výpočetní silou až v roce 2019. Pokud však bude pravidelně ještě v době platnosti starého podpisu vložen do digitální obálky a opatřen platným novým (silnějším) razítkem, bude ještě v roce 2020 možné důvěryhodně doložit jeho nepozměněnost a původní datování.
MB (neregistrovaný)
193.86.31.---
11. 2. 2010 15:58
Nový
Re: CRL
celé vlákno
Ale já u papírových podepsaných dokumentů žádné časové razítko obvykle nepotřebuji. U digitálních se vzhledem k expiraci podpisu bez nich neobejdu? A pokud dnešní podpesaný e-dokument časové razítko nemá, tak mám smůlu. Přitom takových dokumentů je 99% a starší dokumenty ani časové razítko mít nemohli a zákon ho původně neznal.
Přerazítkování el. dokumentů naprosto nic neřeší, protože riziko ztráty věrohodnosti dokumentů je vysoké a chtít po obyčejných lidech a malých firmách nekonečnné přerazítkovávání - jistě české zlatokopecké IT firmy už se na to těší.
Přerazítkování el. dokumentů naprosto nic neřeší, protože riziko ztráty věrohodnosti dokumentů je vysoké a chtít po obyčejných lidech a malých firmách nekonečnné přerazítkovávání - jistě české zlatokopecké IT firmy už se na to těší.
11. 2. 2010 16:37
Nový
Re: CRL
celé vlákno
Vy sám se bez zaručených časových razítek obejdete. Vy přece víte, kdy jste daný dokument dostal, ať už v papírové nebo digitální podobě.
Problém nastává v okamžiku, kdy vy chcete dokázat někomu dalšímu, že na tom dokumentu jste v posledním roce nepozměnil ani čárku.
A průšvih nastane v okamžiku, kdy digitální podpis vyexpiruje.
Důsledné přerazítkování dokumentu autoritou s časovým razítkem problém řeší a lze ho automatizovat.
Víte snad o někom, kdo umí zlomit RSA1, aby s tím byl do konce roku hotov? Přesto už je dnes RSA1 pro jistotu odstaven. Pokud tedy opatříte do konce roku tento dokument + starý podpis + staré časové razítko novou obálkou a opatříte to RSA2 podpisem a zaručeným časovým razítkem, máte důkaz, že dokument nebyl později změněn. Právně nejméně do okamžiku expirace nového certifikátu, fakticky až do okamžiku prolomení RSA2.
Riziko ztráty důvěryhodnosti takového podpisového řetězce je nízké. Muselo by dojít k tomu, aby mezi prvním náznakem slabin šifry a jejím komerčním prolomením uplynula velmi krátká doba v řádu měsíců.
Uznávám, že zaručené datové úložiště by bylo jistě příjemnější než věčné přerazítkovávání dokumentů, a podivuji se, že jej tvůrci datových schránek nezavedli.
Problém nastává v okamžiku, kdy vy chcete dokázat někomu dalšímu, že na tom dokumentu jste v posledním roce nepozměnil ani čárku.
A průšvih nastane v okamžiku, kdy digitální podpis vyexpiruje.
Důsledné přerazítkování dokumentu autoritou s časovým razítkem problém řeší a lze ho automatizovat.
Víte snad o někom, kdo umí zlomit RSA1, aby s tím byl do konce roku hotov? Přesto už je dnes RSA1 pro jistotu odstaven. Pokud tedy opatříte do konce roku tento dokument + starý podpis + staré časové razítko novou obálkou a opatříte to RSA2 podpisem a zaručeným časovým razítkem, máte důkaz, že dokument nebyl později změněn. Právně nejméně do okamžiku expirace nového certifikátu, fakticky až do okamžiku prolomení RSA2.
Riziko ztráty důvěryhodnosti takového podpisového řetězce je nízké. Muselo by dojít k tomu, aby mezi prvním náznakem slabin šifry a jejím komerčním prolomením uplynula velmi krátká doba v řádu měsíců.
Uznávám, že zaručené datové úložiště by bylo jistě příjemnější než věčné přerazítkovávání dokumentů, a podivuji se, že jej tvůrci datových schránek nezavedli.
MB (neregistrovaný)
---.more.cz
11. 2. 2010 19:37
Nový
Re: CRL
celé vlákno
Pořád nechápete, že když je na listiném dokumentu v Praze dne 11.2.2010 a podpis, tak prostě pokud je podpis pravý je stvrzeno i datum. Nebo připustíme podpis na prátdný papír, ale pak... Ještě listinné dokumenty mívají razítko, ale asi to byl bezcenný otisk brambory, tak je nahrazen digitálně textem otisk úředního razítka.
11. 2. 2010 20:23
Nový
Re: CRL
celé vlákno
Jistě, že chápu. Mezi papírovým a digitálním podpisem jsou rozdíly, které nelze přehlédnout.
Rozdíl digitálních podpisů spočívá v tom, že jejich časová věrohodnost je omezená. Proto v situaci, kdy chcete někomu dokazovat věrohodnost dokumentu po uplynutí doby expirace certifikátu, musíte:
a) mít dokument opatřený zaručeným časovým razítkem, a to i kdybyste datum vzniku prokazovat nepotřeboval. Potřebujete totiž prokázat, že vznikl v době, kdy byl daný algoritmus ještě neprolomitelný.
b) provést před každou expirací certifikátu přerazítkování.
Uznávám, že toto u listinných dokumentů podstupovat opravdu nemusíte.
U listinné smlouvy mezi dvěma subjekty nemusíte nijak ověřovat datum, není-li pro obsah podstatné. Datum vzniku vám sice nemusí třetí subjekt věřit, ale na obsah smlouvy mezi vámi dvěma to nemá vliv.
Zato u digitálně podepsané a nepřerazítkované smouvy může protistrana za 10 let předložit úplně jiný dokument podepsaný cracknutým RSA1, a vy nemáte jak prokázat, že pravá je ta vaše verze. Jedná se o digitální verzi kvalitního padělku.
Digitální podpis má ale i výhody: Např. mechanismus revokace. Pokud uniklo úřední razítko do nepovolaných rukou, žádný mechanismus jeho revokace neexistuje.
(Váš příklad není vhodně zvolený, na onom vámi podepsaném papíru vám datum vzniku 11.2.2010 za 10 let věřit nemusím.)
Rozdíl digitálních podpisů spočívá v tom, že jejich časová věrohodnost je omezená. Proto v situaci, kdy chcete někomu dokazovat věrohodnost dokumentu po uplynutí doby expirace certifikátu, musíte:
a) mít dokument opatřený zaručeným časovým razítkem, a to i kdybyste datum vzniku prokazovat nepotřeboval. Potřebujete totiž prokázat, že vznikl v době, kdy byl daný algoritmus ještě neprolomitelný.
b) provést před každou expirací certifikátu přerazítkování.
Uznávám, že toto u listinných dokumentů podstupovat opravdu nemusíte.
U listinné smlouvy mezi dvěma subjekty nemusíte nijak ověřovat datum, není-li pro obsah podstatné. Datum vzniku vám sice nemusí třetí subjekt věřit, ale na obsah smlouvy mezi vámi dvěma to nemá vliv.
Zato u digitálně podepsané a nepřerazítkované smouvy může protistrana za 10 let předložit úplně jiný dokument podepsaný cracknutým RSA1, a vy nemáte jak prokázat, že pravá je ta vaše verze. Jedná se o digitální verzi kvalitního padělku.
Digitální podpis má ale i výhody: Např. mechanismus revokace. Pokud uniklo úřední razítko do nepovolaných rukou, žádný mechanismus jeho revokace neexistuje.
(Váš příklad není vhodně zvolený, na onom vámi podepsaném papíru vám datum vzniku 11.2.2010 za 10 let věřit nemusím.)
MB (neregistrovaný)
---.more.cz
11. 2. 2010 21:51
Nový
Re: CRL
celé vlákno
Já vidím jen jedinou výhodu. Na "volný papír" na digitalizovaném dokumentu nic nedopíšete (řeší podepsaná hash). Na papírovém narazíte, pokud neseženete "stejný psací stroj" nebo tisk mezitím třeba po 2 či 3 letech výrazně jinak zestárne než dotisk.
petr_p (neregistrovaný)
2002:93fb:17--:----:----:----:----:----
15. 2. 2010 15:01
Nový
Odvolání inkoustového razítka
celé vlákno
Nevím, na kolik je to formalizovaný postup, ale vnitro vydává věstník, ve kterém se zveřejňují zprávy o ztrátě razítka.
trapet (neregistrovaný)
---.engine.cz
10. 2. 2010 7:54
Nový
aktivni prvek
celé vlákno
Je vygenerovan komponentou iTextSharp
10. 2. 2010 8:31
Nový
Re: aktivni prvek
celé vlákno
Jedná se o tzv. viditelný podpis.
Pomocí Java knihovny iText - http://itextpdf.sourceforge.net/howtosign.html - lze jednoduše podepisovat PDF dokumenty.
Sám už jsem to několikrát použil k podepsání elektronické faktury.
Pomocí Java knihovny iText - http://itextpdf.sourceforge.net/howtosign.html - lze jednoduše podepisovat PDF dokumenty.
Sám už jsem to několikrát použil k podepsání elektronické faktury.
Mike (neregistrovaný)
---.eternity-group.net
10. 2. 2010 9:41
Nový
Re: aktivni prvek
celé vlákno
Stejny vyditelny podpis umi i plna verze Adobe Acrobat Pro(ne reader, ktery je free)
Jirka (neregistrovaný)
---.adsl.tmcz.cz
10. 2. 2010 8:07
Nový
Selský rozum
celé vlákno
Zdar! Pokud se na problematiku podívám selským rozumem, tak by mělo platit, že jednou podepsané platí už na vždy a ze konkrétnímu dokumentu nemůže být podpis zneplatněn.
Vždyť přeci když dostanu poštou dopis s razítkem a podpisem, tak mi taky za rok neřeknou, že ten podpis neplatí, že ten, kdo ho podepsal, už na úřadu nepracuje, nebo nemá podpisové právo. Co je jednou podepsané, tak platí...
Navíc, listiny mají platnost několik desítek let, třeba i stovek. Kdo zaručí, že za 20 let si někdo bude moci přečíst uložený dokument? Kdo zaručí, že za 20 let bude používaný formát PDF?
Jirka
Vždyť přeci když dostanu poštou dopis s razítkem a podpisem, tak mi taky za rok neřeknou, že ten podpis neplatí, že ten, kdo ho podepsal, už na úřadu nepracuje, nebo nemá podpisové právo. Co je jednou podepsané, tak platí...
Navíc, listiny mají platnost několik desítek let, třeba i stovek. Kdo zaručí, že za 20 let si někdo bude moci přečíst uložený dokument? Kdo zaručí, že za 20 let bude používaný formát PDF?
Jirka
xpckar (neregistrovaný)
---.net.upc.cz
10. 2. 2010 8:23
Nový
Re: Selský rozum
celé vlákno
Asi jsi nečetl dřívější články, tam je to jak zdůvodněno, tak je tam "snad se na tom už nějak pracuje". A to, o čem mluvíš, je právě časové razítko.
Zkráceně je důvod ten, že e-podpis je dělán algoritmem, kterej má omezenou časovou "neprůstřelnost", byť, pokud je správnej, pak jenom brute-force útokem (v době kvantových počítačů půjde ale prolomitelnost dolů o řády...).
PDF vzhledem k otevřenosti půjde přečíst (i kdyby jen virtuálními prostředky) za desítky let určitě. Jeho podepsání už ale půjde zcela jistě zfalšovat během setin vteřiny.
Zkráceně je důvod ten, že e-podpis je dělán algoritmem, kterej má omezenou časovou "neprůstřelnost", byť, pokud je správnej, pak jenom brute-force útokem (v době kvantových počítačů půjde ale prolomitelnost dolů o řády...).
PDF vzhledem k otevřenosti půjde přečíst (i kdyby jen virtuálními prostředky) za desítky let určitě. Jeho podepsání už ale půjde zcela jistě zfalšovat během setin vteřiny.
Ostap Bender (neregistrovaný)
---.802.cz
10. 2. 2010 8:25
Nový
Re: Selský rozum
celé vlákno
Selský rozum zanechte doma, tady jednáte se státním aparátem.
aura:54
10. 2. 2010 9:04
Nový
Re: Selský rozum
celé vlákno
Selským rozumem lze dojít tomu, že se certifikát využívá na co nemá. Certifikáty by se měly využívat v elektronickém styku pro okamžitou komunikaci. Já se (v tomto okamžiku) připojuji k nějakému serveru, já (v tomto okamžiku) převádím peníze přes ebanking, a certifikát mi (v tomto okamžiku) prokazuje, že k tomu mám oprávnění. Nebo (dejme tomu) já zasílám někomu dokument s příkazy, a ten při přijmutí kontroluje certifikát s vědomím, že ještě v okamžiku jeho čtení mám oprávnění mu ty příkazy vydávat.
Na co mi je prošlá ochrana certifikátem na dokumentu, kterým mám prokazovat (nikoliv vůči počítači ale vůči úřadu) právní skutečnosti po desítky let, to je ovšem záhada.
Správné řešení by asi bylo, kdyby zákon definoval že právě na právní dokumenty se DS používat nesmí. Ať se mnou tedy komunikuje úředník přes DS, a pošle mi třeba na konci informaci, že rozhodl tak a tak. Ale právní dokument (povolení , oficiální rozhodnutí,..) ať mi pošle pěkně poštou s podpisem a razítkem...
Na co mi je prošlá ochrana certifikátem na dokumentu, kterým mám prokazovat (nikoliv vůči počítači ale vůči úřadu) právní skutečnosti po desítky let, to je ovšem záhada.
Správné řešení by asi bylo, kdyby zákon definoval že právě na právní dokumenty se DS používat nesmí. Ať se mnou tedy komunikuje úředník přes DS, a pošle mi třeba na konci informaci, že rozhodl tak a tak. Ale právní dokument (povolení , oficiální rozhodnutí,..) ať mi pošle pěkně poštou s podpisem a razítkem...
uživatel si přál zůstat v anonymitě
---.znet.vse.cz
10. 2. 2010 12:12
Nový
Re: Selský rozum
celé vlákno
Konečně tady někdo alespoň trochu píše a přemýšlí jako normální člověk, který už někdy viděl nějakou agendu na počítačích fungovat.
Podle mě byla největší chyba, že datové schránky navrhovali lidé, kteří nic takového dosud neznali.
Mohl bych tady uvést konkrétní jména lidi, kteří za tenhle paskvil nesou odpovědnost, ale místo toho se zeptám, co ti IT-vizionáři dosud realizovali a kde před tím pracovali? A nejvíce mě vadí, že se prostřednictvím zrovna IT-praxí nezkušeného autora těchto článků Lupa propůjčuje k neustálemu omlování a osvětlování tohoto vnitráckého poštovního paskvilu.
Podle mě byla největší chyba, že datové schránky navrhovali lidé, kteří nic takového dosud neznali.
Mohl bych tady uvést konkrétní jména lidi, kteří za tenhle paskvil nesou odpovědnost, ale místo toho se zeptám, co ti IT-vizionáři dosud realizovali a kde před tím pracovali? A nejvíce mě vadí, že se prostřednictvím zrovna IT-praxí nezkušeného autora těchto článků Lupa propůjčuje k neustálemu omlování a osvětlování tohoto vnitráckého poštovního paskvilu.
aura:54
10. 2. 2010 12:31
Nový
Re: Selský rozum
celé vlákno
Tak doufám že jste tím nemyslel autora tohoto (i předešlých podobných ) článků. Ten naopak velice fundovaně a zároveň názorně popisuje (no dejme tomu osvětluje) stav datových schránek. Neomlouvá, pouze konstatuje. Víc nemůže, a na tomhle projektu rozhodně nepracoval.
To že to je paskvil, to víme všichni. Ale právě pomocí podobným článkům, popisující jeho právní i technické nedostatky se snad někdy dostane do stavu "jakž takž to funguje a všichni si na to zvykli".
To že to je paskvil, to víme všichni. Ale právě pomocí podobným článkům, popisující jeho právní i technické nedostatky se snad někdy dostane do stavu "jakž takž to funguje a všichni si na to zvykli".
uživatel si přál zůstat v anonymitě
---.eurotel.cz
10. 2. 2010 13:32
Nový
Re: Selský rozum
celé vlákno
to není vnitrácko poštovní paskvil, jde o langerovsko zajíčkovský paskvil. je třeba nazvat věc pravým jménem a ukázat na viníky a neházet to na úřad na kterém po nějakou dobu panovali.
Petr (neregistrovaný)
---.par.adsl.static.bluetone.cz
10. 2. 2010 15:13
Nový
Re: Selský rozum
celé vlákno
Tohle je opravdu zajímavý názor, který bude asi nejblíže pravdě. Prostě datový schránky nechat datovejma schránkama (jako takový lepší e-mail) a kromě toho zavést aspoň zavést povinnost poslat to na vyžádání normální poštou. Takže kdyby mi přišel nějaký dokument, u kterého předpokládám potřebu v budoucnu, tak zavést povinnost, že na požádání mi místo pochybný konverze zašlou poštou hezky klasický originál.
(Jediný problém je, že člověk někdy neví, co bude za pár let potřebovat.)
(Jediný problém je, že člověk někdy neví, co bude za pár let potřebovat.)
uživatel si přál zůstat v anonymitě
---.78-99-184.t-com.sk
10. 2. 2010 18:05
Nový
Re: Selský rozum
celé vlákno
Jo, je to tak. Mne to pripada, jako kdyz dite veme ctverec a tiskne ho do kulaty formy.
system, ktery byl dizajnovan na online trazakce (vznik kratkodobych casovych vazeb), nelze pouzit na situace, kde je vyzadovana dlouhodoba jistota, kde vznikaji dlouhodobe vazby. (napr. pravotvorni dokumenty, ktere garantuji jistotu do budoucna, t.j vznik, zmena a zanik prav a povinosti
Elektronicky podpis proto neni klasickym podpisem, je to jenom kratkodobe certifikovani a to i kdyz je opatren casovym razitkem protoze elektronicky dokumet ma v reale vahu podepsaneho dokumentu jenom po dobu platnosti certifikatu.
zakonodarce by proto mnel zmenit definici epodpisu
na elektronickou certifikaci, kde by misto epodepisovani dokumentu definoval ecertifikaci dokumetu. sluvko certifikat evokuje presnej, ze jede o neco casove omezene
system, ktery byl dizajnovan na online trazakce (vznik kratkodobych casovych vazeb), nelze pouzit na situace, kde je vyzadovana dlouhodoba jistota, kde vznikaji dlouhodobe vazby. (napr. pravotvorni dokumenty, ktere garantuji jistotu do budoucna, t.j vznik, zmena a zanik prav a povinosti
Elektronicky podpis proto neni klasickym podpisem, je to jenom kratkodobe certifikovani a to i kdyz je opatren casovym razitkem protoze elektronicky dokumet ma v reale vahu podepsaneho dokumentu jenom po dobu platnosti certifikatu.
zakonodarce by proto mnel zmenit definici epodpisu
na elektronickou certifikaci, kde by misto epodepisovani dokumentu definoval ecertifikaci dokumetu. sluvko certifikat evokuje presnej, ze jede o neco casove omezene
bývalý volič ODS (neregistrovaný)
213.226.250.---
10. 2. 2010 23:55
Nový
Re: Selský rozum
celé vlákno
No právě...někdo kdysi certifikát přeložil jako podpis a je to v bruseli. To co známe jako zertifikát je jakási pečeť která zaručuje neporušenost vnitřku dopisu, ale jen a pouze do doby kdy dokážu ještě poznat pravost pečetě a maximálně do doby otevření dopisu a rozlomení pečetě.
No joo ale tohle říkejte fašounskýmu Langerovi
No joo ale tohle říkejte fašounskýmu Langerovi
jirick (neregistrovaný)
---.msmt.cz
10. 2. 2010 8:25
Nový
Pro třetí stranu
celé vlákno
Nesmyslnost konverze spočívá také v tom, že některým např. ministerstvům je třeba doložit originál stavebního povolení, které bylo stavebním úřadem stavebníkovi doručeno datovou zprávou. Jedinou cestou je konverze, což se někdy pěkně prodraží. Proč není možné SP přeposlat do datové schránky ministerstva?
CET (neregistrovaný)
83.91.86.---
10. 2. 2010 9:34
Nový
Re: Pro třetí stranu
celé vlákno
A jsi si jistej, ze to mozne neni? To, co ty dostanes je prece original. Osobne bych jim to proste preposlal a at se uzijou srandu pri konverzi sami. Na to ty DS snad jsou, aby se to posilalo elektronicky a ne papirove.
z (neregistrovaný)
---.asko-as.cz
10. 2. 2010 12:14
Nový
Re: Pro třetí stranu
celé vlákno
Omyl. DS jsou proto, aby si par vyvolenych nahrabalo, nic vic.
jh (neregistrovaný)
---.r-fin.cz
10. 2. 2010 8:30
Nový
Časové razítko
celé vlákno
Podle člověka, který vyvíjí knihovnou pro přístup k datovým schránkám, je zpráva nejprve "orazítkovaná" časovým razítkem a teprve potom podepsána. Viz. http://www.abclinuxu.cz/blog/pb/2010/2/zprava-zvyvoje-libisds
Takže si nejsem jistý jestli tam to razítko k něčemu je.
Takže si nejsem jistý jestli tam to razítko k něčemu je.
petr_p (neregistrovaný)
2002:93fb:17--:----:----:----:----:----
10. 2. 2010 10:32
Nový
Re: Časové razítko
celé vlákno
To je ale podpis zprávy. Pan Peterka rozebírá podpis dokumentu.
MB (neregistrovaný)
193.86.31.---
10. 2. 2010 14:37
Nový
Re: Časové razítko
celé vlákno
Samotná datová zpráva se v ISDS nepodepisuje, naopak dostává časové razítko. Podle mne , když mi expiruje podpis na dokumetu a je obsažen v datové zprávě opatřené časovým razítkem, tak by podle selského rozumu mohl být podpis vyhodnocen alespoň k tomuto času... Ale sw to neumí.
Zatím jsem se nesetkal s PDFkem opatřeným časovým razítkem a Acrobat reader sice píše o neověření času, ale nedává mi možnost ho tam s podpisem vlepit. Samozřejmě by se mělo časové razítko vztahovat na podpis resp, již podepsaný dokument. Tak jako se vztahuje na datovou zprávu s již vloženým podepsaným PDF. Pokud budu podepisovat dokument opatřený časovým razítkem, tak pouze potvrzuji datum uveřejnění rozhodnutí (tak to ale chce zřejmě správní řád). To je ale za úplně jiným účelem, než abych prokazoval na Czechpointu dobu podepsání dokumentu! V tom případě musí mít dokument časová razítka DVĚ :-) - tedy pokud chci datovat vydání rozhodnutí v jiný okamžik než podpis.
Zatím jsem se nesetkal s PDFkem opatřeným časovým razítkem a Acrobat reader sice píše o neověření času, ale nedává mi možnost ho tam s podpisem vlepit. Samozřejmě by se mělo časové razítko vztahovat na podpis resp, již podepsaný dokument. Tak jako se vztahuje na datovou zprávu s již vloženým podepsaným PDF. Pokud budu podepisovat dokument opatřený časovým razítkem, tak pouze potvrzuji datum uveřejnění rozhodnutí (tak to ale chce zřejmě správní řád). To je ale za úplně jiným účelem, než abych prokazoval na Czechpointu dobu podepsání dokumentu! V tom případě musí mít dokument časová razítka DVĚ :-) - tedy pokud chci datovat vydání rozhodnutí v jiný okamžik než podpis.
petr_p (neregistrovaný)
2002:93fb:17--:----:----:----:----:----
10. 2. 2010 18:46
Nový
Re: Časové razítko
celé vláknoDatovou zprávu (a doručenku) jako celek podepisuje na vyžádání vnitro (najděte si ve specifikaci službu SignedMessageDownload). Co je smyslem, nevím, protože celá zpráva je tvořena obálku a seznamem dokumentů a informacemi o doručení (které se v čase mění). Jinak řečeno tímto ministerstvo stvrzuje, že dotyčná zpráva v konkrétním stavu prošla systémem. Papírová pošta v podstatě nic takového nenabízí. V podstatě se jedná o jinou formu dodejky/doručenky.
Časové razítko podepisuje pouze obálku a seznam dokumentů a to těsně po přijetí zprávy systémem. Zaručuje tedy, že daná zpráva byla v určitém čase podána. V podstatě nahrazuje podací razítko pošty otiskované na papírovou obálku.
Samozřejmě že podle selského rozumu by razítko zprávy mělo stačit na stanovení času pro kontrolu platnosti certifikátu přenášeného dokumentu, protože z ně jednoznačně vyplývá, kdy podpis dokumentu existoval.
Otázka ale je, jestli takový postup má oporu v zákoně o elektronickém podpisu, protože razítko podepisuje otisk zvláštním způsobem vybraného binárního podřetězce.
Pokud budu podepisovat dokument opatřený časovým razítkem, tak pouze potvrzuji datum uveřejnění rozhodnutí.
Nikoliv. Když podepisujete dokument, tak vyjadřujete svůj souhlas s podepisovanými údaji. Takže když podepisujete {dokument, razítko(dokumentu)}, tak vyjadřujete souhlas se všemi prvky množiny, tedy i s obsahem dokumentu. Kdybyste chtěl stvrdit platnost času existence dokumentu, tak podepíšete jen {razítko(dokumentu)}.
Jason (neregistrovaný)
---.csa.cz
11. 2. 2010 9:46
Nový
Re: Časové razítko
celé vlákno
... "Zatím jsem se nesetkal s PDFkem opatřeným časovým razítkem a Acrobat reader sice píše o neověření času, ale nedává mi možnost ho tam s podpisem vlepit." ...
a právě proto i 602 nyní říká, že vlastně "Vytváření elektronických dokumentů s právním účinkem není možné bez elektronického časového razítka. " a pohotově rozšířila nabídku a funkcionalitu Print2PDF o časová razítka :-))
http://www.602.cz/tsa
a právě proto i 602 nyní říká, že vlastně "Vytváření elektronických dokumentů s právním účinkem není možné bez elektronického časového razítka. " a pohotově rozšířila nabídku a funkcionalitu Print2PDF o časová razítka :-))
http://www.602.cz/tsa
aura:54
10. 2. 2010 9:20
Nový
jestli tomu správně rozumím
celé vlákno
Tak správný postup by byl, nahrát si dokument na CD, zajít na CZech Point, vystát si tam frontu, tam by si ho nahráli,vydali by mi potvrzení o přijetí, šel bych domů, počkalo by se 24 hodin, než by se převzali aktuální údaje o revokaci, pak bych na tu poštu zašel znova, znova vystál frontu, a konečně by mi to vytiskli á 30Kč??? ?????????????
Čímž ale ta legrace teprve začíná. Kdokoliv (a kterýkoliv úřad) by mohl odmítnout platnost přijatého dokumentu s certifikátem s odvoláním na to, že si nemůže aktuálně ověřit zda nebyl revokován. Čili by všechny dokumenty přebíral až s 24 hodinovým zpožděním. Co na to patřičné lhůty o přebírání dokumentů???
Čímž ale ta legrace teprve začíná. Kdokoliv (a kterýkoliv úřad) by mohl odmítnout platnost přijatého dokumentu s certifikátem s odvoláním na to, že si nemůže aktuálně ověřit zda nebyl revokován. Čili by všechny dokumenty přebíral až s 24 hodinovým zpožděním. Co na to patřičné lhůty o přebírání dokumentů???
Johnnik (neregistrovaný)
---.MIT.EDU
10. 2. 2010 10:21
Nový
Ono s těmi konverzemi to bude
celé vlákno
ještě slušný chaos. Konverze mohou provádět i advokáti a notáři (kteří jsou v zákoně schováni pod pojem kontaktní místo veřejné správy) - a už je vidím, jak to budou všechno ověřovat a zkoumat.
aura:54
11. 2. 2010 7:21
Nový
Re: Ono s těmi konverzemi to bude
celé vlákno
No ono se naštěstí v zákoně píše "vybraní notáři", a dá se usoudit, že ti, kteří budou napojení na síť Czech Pointu aby mohli online provést jak kontrolu certifikátu, tak i v rámci systému DS zaznamenat provedení konverze.
Do doby, kdy ti spřátelenej (nebo podplacenej) advokát dá na výpis z počítače razítko "autorizovaná konverze z DS" je ještě daleko..
Do doby, kdy ti spřátelenej (nebo podplacenej) advokát dá na výpis z počítače razítko "autorizovaná konverze z DS" je ještě daleko..
aura:54
10. 2. 2010 10:30
Nový
no to snad ne
celé vlákno
Technicky je to vyšpekulované hezky, a já věřím že v technickém prostředí lze převzít počítač či projekt s výhradou, že na 0,0001% se v něm projeví chyba, což lze ověřit tím že se podívám do toho a to logu, a podobně.
Ale jakou cenu bude mít právní dokument v jehož konverzní doložce bude výhrada "tento dokument byl možná vydán neoprávněně. Aby se potvrdila jeho platnost, je nutné se podívat na seznam revokovaných certifikátů ze dne (datum možná někdy před 5 či 10 lety, technická kontrola nemožná...)
Řekl bych že vůči hodnotě takového právního dokumentu se bude toaleťák vyvažovat zlatem...
Ale jakou cenu bude mít právní dokument v jehož konverzní doložce bude výhrada "tento dokument byl možná vydán neoprávněně. Aby se potvrdila jeho platnost, je nutné se podívat na seznam revokovaných certifikátů ze dne (datum možná někdy před 5 či 10 lety, technická kontrola nemožná...)
Řekl bych že vůči hodnotě takového právního dokumentu se bude toaleťák vyvažovat zlatem...
Martin (neregistrovaný)
174.120.233.---
10. 2. 2010 11:41
Nový
soubory z datové schránky zůstávají na disku?
celé vlákno
s překvapením jsem dnes zjistil, že na mých Windows 7 existuje adresář:
C:\Users\(username)\AppData\Local\Temp\BinFiles602\
a v něm jsou všechny dokumenty, které jsem si při práci s datovou schránkou kdy prohlížel.. To je v pořádku nebo je to jen další bezpečnostní díra v systému datových schránek?
C:\Users\(username)\AppData\Local\Temp\BinFiles602\
a v něm jsou všechny dokumenty, které jsem si při práci s datovou schránkou kdy prohlížel.. To je v pořádku nebo je to jen další bezpečnostní díra v systému datových schránek?
tykrááávo (neregistrovaný)
---.net.upc.cz
10. 2. 2010 14:39
Nový
Re: soubory z datové schránky zůstávají na disku?
celé vlákno
Evidentně díra, protože 602 po sobě prostě nemaže temp soubory. Ale s timhle šmejdem fialovym (DS) se už nedivim ničemu...
uživatel si přál zůstat v anonymitě
---.net.upc.cz
11. 2. 2010 1:42
Nový
Re: soubory z datové schránky zůstávají na disku?
celé vlákno
No vidíte, a kdo si myslíte, že připravoval ten paskvil - vnitro-pošta nebo Zajíček-Langer a nevím-jak-přidružené-firmy-602-Novell.... Je to fialovej šmejd s modrejma puntíkama....
uživatel si přál zůstat v anonymitě
---.net.upc.cz
11. 2. 2010 2:10
Nový
Re: soubory z datové schránky zůstávají na disku?
celé vlákno
Buďte rád, že je máte aspoň na disku, v systému DS o ně po 90 dnech přijdete ;-)
10. 2. 2010 12:46
Nový
RE: Autorizovaná konverze dokumentů: padělek už vám nezkonvertují
celé vlákno
Také je zajímavé, že existují dva typy konverze - pro občana, a pro vnitřní potřebu úřadu, a ta konverze pro vnitřní potřebu úřadu se dá provádět i na dokumentech PDF bez elektronického podpisu, což na doložce je uvedeno. Příjde mi ale, že právní síla zkonvertovaného dokumentu bez elektronického podpisu je stejná, jako bychom si ho jednoduše okopírovali.
michals (neregistrovaný)
---.193.broadband11.iol.cz
10. 2. 2010 13:01
Nový
i odeslane datove zpravy se mazou - hrozne jednani podpory
celé vlákno
At se na me nikdo nezlobi, ale datove schranky nas neskutecne vytaci.
Dneska jsem napriklad zjistil, ze se mi smazaly odeslane datove zpravy z rijna, takze nemame jediny doklad o odeslani zprav uradum.
Asi jsme neco prehledli, ale nechali jsme se ovlivnit informaci, ktera se zobrazuje hned v uvodu:
Lhůta pro uchování doručených zpráv
je 90 dnů ode dne doručení do datové
schránky.
Nikde se ale nepise o odeslanych zpravach?
volali jsme tedy na podporu, kde mi pani arogante sdelila, ze mame smulu (s urcitou davkou radosti). a ze je to v podminkach, ze se zpravy mazou.
rekl jsem ji,ze by mohla byt minimalne trochu ochotnejsi, kdyz se jedna o novou vec a vsichni se ucime.
takze ponauceni pro ostatni.
Michal
Dneska jsem napriklad zjistil, ze se mi smazaly odeslane datove zpravy z rijna, takze nemame jediny doklad o odeslani zprav uradum.
Asi jsme neco prehledli, ale nechali jsme se ovlivnit informaci, ktera se zobrazuje hned v uvodu:
Lhůta pro uchování doručených zpráv
je 90 dnů ode dne doručení do datové
schránky.
Nikde se ale nepise o odeslanych zpravach?
volali jsme tedy na podporu, kde mi pani arogante sdelila, ze mame smulu (s urcitou davkou radosti). a ze je to v podminkach, ze se zpravy mazou.
rekl jsem ji,ze by mohla byt minimalne trochu ochotnejsi, kdyz se jedna o novou vec a vsichni se ucime.
takze ponauceni pro ostatni.
Michal
Jirka (neregistrovaný)
---.adsl.tmcz.cz
10. 2. 2010 14:06
Nový
RE: Autorizovaná konverze dokumentů: padělek už vám nezkonvertují
celé vlákno
Podle mě je jediná možnost, jak datové schránky zlepšit: neustále o problému psát, kritizovat, posílat urgence na ministerstvo a vládu, aby si konečně uvědomili, že to, co udělali, je paskvil. Samozřejmostí by přece mělo být uchovávání došlých i odeslaných zpráv po celou dobu funkčnosti datových schránek. Přeci taky nikdo ke mě po 3 měsících nepřijde a neroztrhá mi lejstro.
Ten, kdo tohle navrhoval, byl asi hodně ožralej, že vůbec dovolil, aby to takhle fungovalo.
Omlouvám se, ale nedá mi to, je to prostě šlendriján!
Ten, kdo tohle navrhoval, byl asi hodně ožralej, že vůbec dovolil, aby to takhle fungovalo.
Omlouvám se, ale nedá mi to, je to prostě šlendriján!
Hexer (neregistrovaný)
---.silesnet.net
10. 2. 2010 18:02
Nový
Paskvil
celé vlákno
Smekam pred autorem protoze to vypada ze je to jediny clovek ktery ma ve schrankach jasno :)))
Tak neskutecny paskvil jakym jsou Datove schranky mohl projit jedine v nasi bananove republice :) take vubec nechapu proc zustavaji dokumenty ulozeny jen 90 dni... v dnesni dobe kdy existuji donwload servery atp. prece nemuze byt problem skladovat par terabajtu dat... tohle ja osobne povazuju za nejvetsi pruser celych schranek... pro obycejneho uzivatele... (nemyslim ted pro nekoho kdo v tom bude hledat chyby)
Diky autorovi za informace z jungle :)
Tak neskutecny paskvil jakym jsou Datove schranky mohl projit jedine v nasi bananove republice :) take vubec nechapu proc zustavaji dokumenty ulozeny jen 90 dni... v dnesni dobe kdy existuji donwload servery atp. prece nemuze byt problem skladovat par terabajtu dat... tohle ja osobne povazuju za nejvetsi pruser celych schranek... pro obycejneho uzivatele... (nemyslim ted pro nekoho kdo v tom bude hledat chyby)
Diky autorovi za informace z jungle :)
uživatel si přál zůstat v anonymitě
---.net.upc.cz
11. 2. 2010 2:28
Nový
Podpis oprávněné osoby
celé vlákno
Jen poznámka - požadavek na to, aby dokument byl podepsán oprávněnou osobou, je v zákoně proto, že někteří filutové chtěli, aby stačilo např. to, že podpis (resp. e-značku) ke každé zprávě přidá systém DS, a tím je to vyřízené - to by ovšem došlo k přenosu odpovědnosti za obsah všech zpráv v systému DS na Poštu nebo vnitro (kromě toho, že to je hovadina, ale některým lidem se to nedalo vysvětlit).... Toto je věc, kterou neověří systém, ale je divné, když např. stavební povolení bude podepsáno zaměstnancem ministerstva školství - to je přeci podezřelé, že? Ale toto není kontrolovatelné automatizovaně, je třeba to ověřit "selským rozumem" - stejně tak na papíře byste také na takové stavební povolení s razítkem Ministerstva školství koukal divně. Nemyslím si, že to má kontrolovat pošťák, protože to je již spíše věcná otázka, ale má si to ověřit ten, kdo se na obsah podepsaného dokumentu spoléhá.
MB (neregistrovaný)
---.more.cz
11. 2. 2010 7:44
Nový
Re: Podpis oprávněné osoby
celé vlákno
na takové stavební povolení s razítkem Ministerstva školství koukal divně - no a tak to právě je!!! Vždyť místo razítka je tam jen text "Otisk úředního razítka" a el. podpis, který sice má obsahovat i služební údaje zaměstnance, ale...kdo z běžných lidí umí tato data vůbec z certifikátu vylovit! Vždyť kolik lidí jde na Czechpoint zbytečně, protože si nezkontroloval, že mu úřad poslal neplatně podepsaný dokument (třeba vůbec nepodepsaný)
petr_p (neregistrovaný)
2002:93fb:17--:----:----:----:----:----
11. 2. 2010 11:44
Nový
Re: Podpis oprávněné osoby
celé vlákno
Tohle by mohl řešit připravovaný registr práv a povinností.
L (neregistrovaný)
---.net.upc.cz
12. 2. 2010 14:47
Nový
Re: Podpis oprávněné osoby
celé vlákno
O registru práv a povinností si někteří lidé myslí, že to bude CML-Centrální mozek lidstva, ale to opravdu existuje jen ve sci-fi... Zkuste si spíš představit, jak jste si mysleli, že budou fungovat datové schránky a jak reálně fungujou a s registry to bude podobné, ne-li ještě horší, protože to je obtížněji uchopitelné - zvlášť registr práv a povinností.... Doufala jsem, že až se změní garnitura, bude haluze s registrem práv a povinností zrušena...
aura:44
13. 2. 2010 21:01
Nový
Problémy CRL
celé vlákno
Narozdíl od kontroly podpisu, kterou lze provádět off-line, je pro zkoumání revokace certifikátů potřeba spolehnout se na CA.
Spolehlivost není nijak technicky zajištěna - jen předpisem. Revokované certifikáty se v CRL nemusí objevit. Nebo hůře: mohou se objevit, ale v pozdějších vydáních už ne. Pokud dvě strany budou zkoumat stejný dokument s podpisem stejným algoritmem, mohou dojít k různým výsledkům.
Problematické je také získání CRL z potřebného data po mnoha letech. Optimální je si stahovat a ukládat všechna vydaní CRL všech CA :-)
Spolehlivost není nijak technicky zajištěna - jen předpisem. Revokované certifikáty se v CRL nemusí objevit. Nebo hůře: mohou se objevit, ale v pozdějších vydáních už ne. Pokud dvě strany budou zkoumat stejný dokument s podpisem stejným algoritmem, mohou dojít k různým výsledkům.
Problematické je také získání CRL z potřebného data po mnoha letech. Optimální je si stahovat a ukládat všechna vydaní CRL všech CA :-)
petr_p (neregistrovaný)
2002:93fb:17--:----:----:----:----:----
15. 2. 2010 15:11
Nový
Re: Problémy CRL
celé vlákno
CA musí ze zákona držet kumulativní CRL 10 let, pak tato povinnost přechází na vnitro. Jak je na to ministerstvo připraveno, nevím.
Jason (neregistrovaný)
84.244.101.---
15. 2. 2010 17:24
Nový
Re: Problémy CRL
celé vlákno
CA musí tyto záznamy ze zákona uchovávat (a pak je předat MV). Ale nemusí je po tuto dobu zveřejňovat a ani to nedělá - v aktuálním CRL jsou typicky uvedeny pouze certifikáty, které (kromě toho že jsou revokované) neexpirovaly.
MB (neregistrovaný)
---.more.cz
15. 2. 2010 18:38
Nový
Re: Problémy CRL
celé vlákno
On je tu i problém, že certifikáty obsahují osobní data (třeba bydliště). A co s tím, když držitel certifikátu se rozhodne tyto data nadále nezveřejňovat. Certifikát dávno expiroval, byl zneplatněn a on by neměl možnost to změnit.
petr_p (neregistrovaný)
2002:93fb:17--:----:----:----:----:----
16. 2. 2010 12:31
Nový
Re: Problémy CRL
celé vlákno
V CRL se eviduje číslo certifikátu, čas zneplatnění (a volitelně důvod zneplatnění). Tudíž v CRL žádné osobní údaje nejsou.
petr_p (neregistrovaný)
2002:93fb:17--:----:----:----:----:----
16. 2. 2010 12:29
Nový
Re: Problémy CRL
celé vláknoAle musí je zveřejňovat (§ 6 odstavec 1 písmeno a, § 6a odstavec 1 písmeno f). Dokonce tam není výslovně omezena délka na 10 let.
V CRL nemusí být vedeny vypršené neodvolané certifikáty. Proč taky, když hranice platnosti jsou uvedeny v certifikátu samotném.
Jason (neregistrovaný)
84.244.101.---
17. 2. 2010 17:18
Nový
Re: Problémy CRL
celé vlákno
A přesto si myslím, že v aktuálním CRL nemusí být a nejsou uvedeny již "vypršené" revokované certifikáty. Viz příslušné RFC i viz např. konkrétní obsah aktuálních CRL třeba i našich akreditovaných CA.
BTW mj. asi i právě proto je naopak k dispozici možnost stáhnout si stará, historická CRL ...
BTW mj. asi i právě proto je naopak k dispozici možnost stáhnout si stará, historická CRL ...
petr_p (neregistrovaný)
2002:93fb:17--:----:----:----:----:----
18. 2. 2010 10:35
Nový
Re: Problémy CRL
celé vláknoUž rozumím. Jde o to, že odvolaný certifikát z CRL zmizí, jakmile uplyne standardní doba platnosti certifikátu.
Na RFC se podívám. Asi vzniklo v době, kdy se časová razítka nenosila a certifikáty se vždy ověřovaly k současnosti.
Takto to docela podkopává jakýkoliv pokus o automatizaci (přístup k historickým seznamům asi není nijak standardizovaný). Navíc to značně zatěžuje prostředky, protože by to znamenalo, že ke každému certifikátu by se musel stáhnout vlastní CRL vydaný v době nejbližší po času podepsání. To už by se vyplatilo nasadit OCSP.
aura:44
15. 2. 2010 17:43
Nový
Re: Problémy CRL
celé vlákno
Tak to je lepší, než jsem si myslel, ale je to právě jen to "zajištění předpisem". Teoreticky tedy může být v libovolném CRL kdykoliv cokoliv. A navíc je velká pravděpodobnost, že si neshody nikdo nevšimne.
Běžný software se pro to CRL na MV těžko dostane.
Běžný software se pro to CRL na MV těžko dostane.
petr_p (neregistrovaný)
2002:93fb:17--:----:----:----:----:----
16. 2. 2010 12:43
Nový
Re: Problémy CRL
celé vláknoTeoreticky je možné cokoliv. Pokud takový ošklivý CRL získáte, není problém jej použít jako důkaz proti autoritě, protože autorita CRL podepisuje. (I CRL musí být chráněn proti padělání.) A vězte, že pokuty za porušení dotčených předpisů mají horní hranici řádově v miliónech korun.
Běžný software hledá CRL tam, kam ho odkáže certifikát. Rozumnější software je možné nastavit, aby se díval i do jiných CRL (často se používá ve větších podnicích pro potlačení zátěže způsobené masivním stahováním stejného souboru všemi pracovními stanicemi). Takže úplně stejně je možné nastavit nahlížení do seznamů ministerstva.
Problém ale spíše bude ten, že ministerstvo potřebný systém ještě ani nemá vybudovaný. Tedy alespoň se mi nedoneslo, že by něco takového již fungovalo.
Tiskni
