Názory k článku
Datové schránky: přihlašujeme se s certifikátem

Nechápu, proč je potřeba k přihlašování používat komerční certifikát. Technicky by stačil úplně jakýkoli certifikát, třeba takový, který si vytvořím sám doma. Certifikát do ISDS nahrávám jako přihlášený uživatel, identita je tedy ověřena přihlášením – a pochybuju, že ISDS ověřuje identifikační údaje na certifikátu oproti údajům o vlastníkovi schránky (protože by to ve spoustě případů nesedělo, navíc údaje na certifikátu nejsou dostatečné pro jednoznačnou identifikaci vůči registru obyvatel).

Maximálně by mohl ISDS požadovat, aby certifikační autorita, která daný certifikát vydala, publikovala veřejně přístupný seznam odvolaných certifikátů, ale ani to by nebyl problém splnit s mnohem širším spektrem certifikátů, než jsou tři náhodně vybrané komerční služby.

Navíc použití CRL pro přihlašování je skoro zbytečné, protože zatímco s ověřováním podpisu můžete počkat na okamžik, kdy si budete jisti, že certifikát v době podpisu na CRL nebyl (budete mít k dispozici novější CRL), přihlašování musíte provést okamžitě, takže CRL neCRL je technicky nerealizovatelné zabránit všem pokusům o přihlášení s certifikátem, který již byl odvolán – pokud útočník stihne certifikát využít mezi okamžikem, kdy byl odvolán, a okamžikem, kdy si přihlašovací systém stáhne CRL kde už je odvolaný certifikát uveden, může se do ISDS přihlásit a certifikát nahradit svým (pokud zná heslo, samozřejmě).

stejna otazka, proc nestaci QCA - kvalifikovany certifikat. Je to trochu na hlavu. Drive jsme meli na komunikaci hlavne QCA - to jako jedine lze pouzit na podatelny apod statni spravy, a ted abychom komunikovali se stejnou spravou, tak musim defakto podepsat dokument kvalifikovanym certifikatem a pro prihlaseni do ISDS musim pouzit pouze heslo a nebo si koupit dalsi certifikat.

Jako kdyby poste nestacilo ze bude kasirovat 10-15 korun za par bajtu. Tj. tu samou cenu jako za dopis a doruceni dorucovatelkou.

No, pokud nejste OVM, platí pro vás fikce el.podpisu při použití DS, takže si nemusíte dělat starosti ...

QC se v zásadě nesmí používat pro jiné účely než e-podpis. To je ten důvod.

Myslím, že jak je u ČP zvykem, převzala řešení už z nějakého hotového, tj. kdy se bude k DS přistupovat přes jiné rozhraní, a protože si chce vydělat, nabídne iluzi bezpečnosti i pro přístup přes obecné webové rozhraní.

Protože http://www.mvcr.cz/clanek/informace-k-pouzivani-kvalifikovanych-certifikatu-pro-elektronicky-podpis-a-zaroven-pro-autentizaci-a-sifrovani.aspx

Požadavek resp. výrazné doporučení na používání kvalif. certifikátů výhradně pro el. podpis existuje již delší dobu, nezávisle na ISDS.

Pardon, přilepil jsem odpověď o kus výš než správně patřila - odpovídám samořejmě jen na otázku, proč nelze použít kvalif. certifikát; nikoliv na otázku proč nelze použít i jiný "nekvalifikovaný certifikát"

Na te strance http://www.mvcr.cz/clanek/informace-k-pouzivani-kvalifikovanych-certifikatu-pro-elektronicky-podpis-a-zaroven-pro-autentizaci-a-sifrovani.aspx se mj. pise:

Použití kvalifikovaného certifikátu, resp. elektronického podpisu pro autentizaci je možné řešit výhradně tak, že osoba, která se autentizuje, podepisuje srozumitelný text, např. „Tímto se přihlašuji k systému….“.

To je prece trivialni takovehle prihlaseni implementovat. Presne tak je udelany web https://adisdpr.mfcr.cz/adistc/adis/idpr_pub/auth/LoginPage.faces a krasne to funguje. To je opravdu takovy problem udelat datove schranky stejne a nebuzerovat lidi s prihlasenim certifikatem + jmenem + heslem?

Evidentne jako v mnoha dalsich ohledech u toho "tvurci" nemysleli hlavou...

Jeste neco. Je hezke, ze ve vyhlasce je ze s certifikatem + jmenem + heslem. Je ale spis otazka PROC to tam je. Kdyz normalne statu staci kvalifikovany certifikat, tak proc zrovna do DS ma byt jeste vetsi zabezpeceni? A jeste k tomu udelane tak, aby kvalifikovane certifikaty nesly pouzit?

To ma IMHO jen dve vysvetleni:

1) Je to hloupost toho kdo to vymyslel.

2) Je to vylobovane aby si poskytovatele cert. sluzeb mohli namastit kapsy na dalsich certifikatech. Ta nabidka CP na "bezpecny klic k datove schrance" je na tohle presne udelana...

V obou pripadech tam ten clovek, co to vymyslel/napsal, nema co delat!

Problém vidím v poněkud jednostranném zaměření na Win only platformu, pokud jde o použití USB tokenu iKEy 4000 (ČP prostě pokračuje v již hotovém řešení pro Czech-point). Tento token lze při připojení do jiných OS sice identifikovat, ale výrobce SafeNet, neposkytl bližší specifikaci, aby mohl být ovladač tokenu zahrnut do příslušných knihoven ovladačů, narozdíl od iKey 3000, který použití na jiných platformách umožňuje. Buď ČP při tak obrovské poptávce měla tlakem na výrobce specifikaci požadovat, anebo měla zvolit token, jehož specifikace bude multiplatformně použitelná.

Myslíte, že při zadání výběrového řízení stylem "chceme takový to, jak se to strká do počítače, aby se člověk přihlásil do banky, tak to chceme na datový schránky" někdo tento atribut vůbec zvažoval?

Ale teď vážně. Bohužel multiplatformnost jako kritérium, nepřináší pro úředníka žádnou přidanou hodnotu. Pro něj je to stejné, jako kdyby jeden klíč měl návod v Češtině a druhý v Češtině a Maďarštině. Navíc si dokážu představit, že na Win platformě jsou výrobci schopni nabídnout garance, zatímco na alt. platformách nikoliv a tak si úřad ušetří práci s psaním "Litujeme, ale že vám to nefunguje, je váš problém".

Otázka zní, zda-li my, jako uživatelé jsme ochotní to skousnout a zda-li opravdu máme právo požadovat, z pozice titěrné minority, nějakou multiplatformní podporu.

"Myslíte, že při zadání výběrového řízení stylem "chceme takový to, jak se to strká do počítače, aby se člověk přihlásil do banky, tak to chceme na datový schránky" někdo tento atribut vůbec zvažoval?"

Obávám se, že nikoli. V době před 3 roky nebyly požadavky na multiplaformnost na pořadu dne, protože šlo jen o veřejnou správu.

"Bohužel multiplatformnost jako kritérium, nepřináší pro úředníka žádnou přidanou hodnotu."

S tím bych si nebyl tak jist. Malé obce mají rozpočet značně napjatý a mnohé již alternativní platformy využívají, aby nemusely řešit stále se opakující platby za licence OS. Ústředí jim však svými jednoplatformními řešeními háže klacky pod nohy. Pokud jde o nějaké garance výrobců middleware, pokud jde o SW část, pro win platformu vzhledem k děravosti je jistě na místě, i když taková garance může být řekněme "virtuální" povahy. Na otevřených platformách si lze naproti tomu zkontrolovat zdroje. Neřeknu vám, co z toho přináší větší jistotu, to přenechme bezpečnostním expertům.

Co se týká té titěrné minority: ano, máme právo, implementaci jsme si brutálně zaplatili (v daních), tak můžeme (řekl bych, že musíme) požadovat, aby to fungovalo co možná nejlépe a vyžadovalo co nejmenší dodatečné náklady kladené na koncové uživatele - tj. např. přijímat certifikát nejenom od komerčních, ale i od CAcert.org či úplně vlastní podomácku vyrobený, více funkčních, multiplatformních USB tokenů atd.

On je problém již se samotným výrobcem kryptozařízení – i ovladače pro Windows jsou licencovány jen na jeden počítač. Pokud chcete používat zařízení z více počítačů, musíte si zaplatit více licencí. Protože se výrobce rozhodl vydělávat na softwaru, tak je logické, že nezveřejní specifikaci, aby si kdejaký hejhula napsal ovladače vlastní.

Co se týče iKey 3000, tak ten byl vyloučen, protože jeho schopnosti končí na 1024b RSA, což bude za půl roku pasé.

Ale ani verze 4000 není samospasitelná, neb ta zase neumí SHA-2. Tam se problém obešel tím, že se hashe nepočítají v zařízení, ale připraví je ovladač v počítači. Do jaké míry to je bezpečné, ponechám na čtenáři.

"Datové zprávy jako takové podepisuje (automaticky a ze zákona) až sám ISDS."

jsem myslel ze ten 602 xml filler je potreba prave kvuli tomu podepisovani zprav, ale pokud si to uzivatel nepodepisuje svim klicem, tak k cemu tam teda je?

Na nic, co jste myslel. Je to jen proto, aby se do projektu mohl namočiti i Software 602.

Navíc ten slavný 602 Filler někdy nejde ani nainstalovat. http://www.lupa.cz/diskuse/1018/

A toje konečná!

ja vim ze nejde nainstalovat, doma mam jen 64bitovej linux
a tak jsem myslel ze ten filler ma alspon nakou zazracnou funkcnost, bez ktery by to nevyhovovalo zakonum


navic ted koukam na http://www.datoveschranky.info/technicke-pozadavky/ a tam treba pisou "V jakých formátech bude možné datovou zprávou posílat přílohy?
Přesně bude formáty stanovovat prováděcí vyhláška, kterou naleznete na těchto webových stránkách." to se preci zmenilo jen na vycet povolenych ne?

sakra, spatna otazka-odpoved
myslel sem toto

Jaké budou formáty datových zpráv pro podání na úřad?
Datová zpráva může obsahovat jakýkoli typ elektronického dokumentu s výjimkou spustitelných a komprimovaných souborů. Na vstupu budou též vyloučeny přílohy obsahující škodlivý kód.

Ale toto už neplatí - platí vyjmenované formáty -
Příloha č. 3 k vyhlášce č. 194/2009 Sb.

Dobrý den, moje zkušenost je taková, že jsem se do schránky chtěl přihlásit a nešlo to. Respektive po zadání hesla mě to vyzvalo k zadání nového hesla, což chápu, ale to již nešlo potvrdit a odeslat, takže to celé zamrzlo.

Myšlenka urychlení komunikace je podle mne dobrá, ale to, co předvádí Česká pošta za technické řešení je podle mne ( pracuji v branži pár let - www.cleversolutions.cz) diletantismus první úrovně. (Odstávky, přerušení provozů, nefunkčnost přihlašování, atd)

Takže až to bude fungovat, napište o tom další PR článek, ať se tam mohu přihlásit a bezproblémově fungovat.

Díky

Honza Kareis

To je všechno hezké, ale článek je psán přesně v tom duchu, co neúnavně všude prezentuje Česká pošta (a potažmo i ministerstvo), když na všech velkolepých předváděčkách všem předvádí jen a pouze jak má "vymakané" připojení výhradně přes webový prohlížeč (a výhradně Win) a nejlépe přes certifikáty ČP. Že reálně, aby vůbec systém ISDS byl smyslplný, je všechno jinak, mlčky přehlíží. Jak se vlastně přihlásí velké úřady a jejich systémy spisových služeb? Jen málo bezpečnýme jménem a heslem konkrétního zaměstnance? Které úložiště certifikátu (předpokládám, že velké úřady tím spíše dostanou tuto možnost) bude vybráno, pokud spojení bude z aplikačního serveru? A co agendy, které si budou jen chtít ověřit, zda schránka adresáta existuje, a po dle toho připravit papírovou nebo elektronickou variantu vypravení? Systém ISDS snad z 80% pojede mimo win webové prohlížeče. Anebo úřady přejdou na elektronické ale v důsledku otrocké ruční e-vypravování?

To přihlášení certifikátem je standardní HTTPS přihlášení klientským certifikátem, takže z aplikací třetích stran půjde implementovat také. Pokud půjde spojení z aplikačního serveru, musí se na server přenést privátní klíč příslušného úředníka. To samé při ověřování existence datové schránky. Stačí, až se od 1.1. změní nějaké zákony a úřady budou v souvislosti s tím posílat hromadná oznámení nebo rozhodnutí, a hned bude provede praktický zátěžový test, jak rychle dokáže ISDS dotazy na existenci schránky ověřovat.

Pokud půjde spojení z aplikačního serveru, musí se na server přenést privátní klíč příslušného úředníka.

Mám dojem, že to je/bude řešené stejně, jako bylo vyřešené potvrzování přijetí elektronickou podatelnou – buďto potvrzení „ručně“ podepíše živý úředník (včetně všech náležitostí souvisejících s kvalifikovaným certifikátem), nebo potvrzení automaticky podepíše systém systémovým certifikátem vydaným na jméno úřadu.

Nicméně jsem zvědavý, jak konkrétně bude realizovno přihlašování heslem, protože hesla se vydávají jen na existující fyzické osoby. Systém není fyzická osoba.

Tipuji, že úřad nechá zřídit uživatelský účet osobě odpovědné za provoz elektronické spisové služby, a ta bude vlastním krkem ručit, že její heslo vložené do systému nikdo nezíská. Vlk se nažere a koza zůstane celá.

> Pokud půjde spojení z aplikačního serveru, musí se na server přenést privátní klíč příslušného úředníka.

Nevím kontext tohoto prohlášení, ale aplikace spisové služby nebo jiná aplikace se mohou přihlašovat k datové schránce tzv. "systémovým certifikátem" (právní řád neví, co to je), který nemusí být vystaven na žádného konkrétního úředníka, ale na organizaci, tj. na úřad, na obchodní společnost atp.

Tak jsem si to našel (odstavec 1 § 29):

Vedou-li orgány veřejné moci spisovou službu elektronicky, činí tak způsobem umožňujícím doručování dokumentů a provádění úkonů prostřednictvím datové schránky, ledaže je z bezpečnostních důvodů nezbytné vést spisovou službu odděleně. Přístup do datové schránky prostřednictvím elektronického systému spisové služby nebo jiné elektronické aplikace třetí osoby je možné činit rovněž prostřednictvím systémového certifikátu za podmínek stanovených v provozní dokumentaci informačního systému datových schránek; v takovém případě se ustanovení o pověřených osobách nepoužijí, přístup prostřednictvím systémového certifikátu zahrnuje i přístup k dokumentům určeným do vlastních rukou adresáta.

Otázka je, jestli se druhé souvětí Přístup do datové schránky… vztahuje jen na OVM, o kterých hovoří první souvětí, nebo (dle vašeho výkladu) na kohokoliv.

Pokud na všechny, tak i fyzická osoba si může nechat vystavit systémový certifikát (a dokonce ani nemusí být kvalifikovaný, on ani nemůže, protože kvalifikovaný se nesmí používat na šifrování) a může se přihlašovat jím bez současného použití hesla. Tudíž veškerá ustanovení o heslech jdou do kopru.

Tak nějak mi přijde, že se zákon nimrá v uživatelském webovém rozhraní, a přitom vůbec neřeší neinteraktivní webové rozhraní.

Otázka je, jaké špeky jsou v provozní dokumentaci ISDS.

Velké úřady resp. organizace se připojí ke své DS aplikací své spisové služby resp. jinou aplikací. V jejím rámci bude k dispozici i možnost přihlašovat se pomocí tzv. "systémového certifikátu" (z právního řádu nelze dedukovat, co to je), což je z praxe serverový certifikát. I aplikace se však může přihlašovat pouze pomocí login/heslo a nemusí certifikát povinně používat. Více viz mé předchozí články:

http://www.lupa.cz/clanky/prerekvizity-datovych-schranek-1-el-podpis/

http://www.lupa.cz/clanky/prerekvizity-datovych-schranek-2-spisovka/

" ... Už se ale zapomnělo na související požadavek ohledně jména a hesla – a ten zůstal."

Domnívám se, že hlavní důvod je jiný - tatáž fyzická osoba (potažmo s tímtéž certifikátem) se může přihlašovat do N schránek (např. coby jednatel N firem). Protože nikde při přihlášení nezadáváte, ke které schránce se chcete připojit, musí to být odvozeno jedině od uživatelského jména (tzn. takovýto šťastlivec bude mít N uživatelských jmen, ke každé schránce jiné).

Máte pravdu, tohle jsem nedomyslel. Mělo mne to trknout po zjištění, že různé oprávněné osoby si mohou zaregistrovat tentýž certifikát, viz závěr článku.
Děkuji za upřesnění.

Takovýto šťastlivec, zaměstnanec N firem, bude muset mít také N certifikátů? Případně N USB tokenů pro uložení jednotlivých kvalifikovaných certifikátů?
Je vůbec varianta, že taková osoba bude moct používat jeden a ten samý certifikát?

Myslím si, že to právě ne. Viz i praktický pokus a zjištění popsaný autorem článku ohledně možnosti zaregistrovat/použít tentýž autentizační certifikát pro vícero různých uživatelů.
Tedy 'šťastlivec' podle mne vystačí s jedním certifikátem, ale bude ho registrovat a používat s různými loginy pro přístup k různým schránkám.

A hádám, že podobně by to asi muselo fungovat i v případě automatizovaného přístupu pomocí systémového certifikátu, v případě že by daný systém mohl a měl obsluhovat najednou vícero datových schránek (např. centrální řešení na společné centrální podatelně pro "shluk" právnických osob typu holding apod.) ....

Jeden takový, co nosí na svém náhrdelníku N nebo alespoň deset USB tokenů tady o pár příspěvků jinde diskutuje :-) Sám ale připouští, že pro problematikou nezasažené lidi, je to nenormální požadavek.

> Jak jsem si mohl na vlastní datové schránce empiricky ověřit, v praxi skutečně může každá oprávněná osoba zvolit takovou variantu, jakou uzná za vhodné – a nezávisle na volbě ostatních. Každá oprávněná osoba si může (ale nemusí) zaregistrovat vlastní uživatelský certifikát pro potřeby přihlašování. A může to být jak jiný certifikát pro každou oprávněnou osobu, tak i stejný certifikát pro více osob (byť je to proti pravidlům jeho použití).

Děkuji, že jste to na své vlastní schránce ověřil. Já si o vlastní schránku nežádal, tím méně aktivoval, a v testovacím prostředí není možné ověřit si chování jiných účtů ke shodné DS, protože po přidání dalšího uživatele jim prostě nedojde poštou obálka s pruhem s login/heslo, aby se mohli přihlásit.

Velmi nepříznivý důsledek má tato záležitost jeden. V případě, že je uživatelem DS organizace, tak tato nemá efektivní možnost, jak technicky vynutit používání certifikátů (jakých, a kde uložených) u osob, které mají ke schránce přistupovat.

Organizace (jak OVM, tak PO) jsou doslova vydány na milost či nemilost toho, jak si budou do DS přistupující zaměstnanci počínat. Stačí jeden jediný neukázněný, který zůstane pouze na login/heslo, které se někde proláknou, a veškerá bezpečnost dané DS je vniveč!!

Čelit tomu může organizace jediným způsobem - počet oprávněných osob udržovat nejmenší možný a bezpečnost řešit jinde, v jiném prostředí. Tj. ve spisové službě, popř. jiném software, která bude přistupovat do DS za celou organizaci.

Přesto je to vážný bezpečnostní problém. Systém DS lze tak považovat za víceméně nechráněný a bezpečnost rozumné úrovně za nevynutitelnou.

IMHO právě komplikace s certifikátem povedou uživatele k tomu, že si pořídí komunikační programy (které se právě u několika firem rodí) a přístup přes web moc používat nebudou.
BTW: zajímavá úvaha k problematice náběhu datových schránek

Přes ty komunikační programy se ale opět budou přihlašovat buď jménem a heslem, nebo jménem, heslem a certifikátem.

Omlouvám se, nechtěl jsem být anonymní.

Rozpočtové škrty: peníze mohou chybět na silnice či datové schránky
http://ekonomika.idnes.cz/rozpoctove-skrty-penize-mohou-chybet-na-silnice-ci-datove-schranky-1pl-/ekonomika.asp?c=A090814_144021_ekonomika_vem

Poprve nekdo zminil myslenku, ze by cely tenhle sileny projekt DS mohl byt pozastaven nebo zrusen. Mala nadeje.

Systémový certifikát už tam mají, ale moc informací nedávají ...

Není tak úplně pravda, že .... "můžete ho zase kdykoli odregistrovat a přihlašovat se bez něj."
Můžete si ho odregistrovat po přihlášení - a když máte registrovaný prošlý certifikát ... tak se nepřihlásíte.