Názory k článku
Elektronické podpisy: z bláta do louže?

A.S. Pergill
A.S. Pergill (neregistrovaný) ---.med.muni.cz
21. 5. 2012 8:52 Nový

Jinými slovy,

celé vlákno

"elektronický podpis" stále je cosi naprosto neplnohodnotného až bezcenného oproti podpisu ručnímu a normálním lidem stejně nezbude než si každý dokument nechat hned zkonvertovat do papírové podoby a řádně orazítkovat a podepsat. Jen to bude stát podstatně víc peněz, než stávající papírování. Nicméně ta konverze bude i tak levnější než nutnost neustálého sledování, kdy na kterém dokumentu "vyprší časové razítko", nebo se s ním stane jiná ptákovina, která ho zneplatní. A navíc, vzhledem k tomu, jak se neustále pohybuje legislativa s tím spojená, je zde i velká míra právní nejistoty, jaká bude platnost těchto dokumentů v budoucnosti, což se dá také vyjádřit penězi (v podstatě stejnými algoritmy, jakými se počítá pojistné).
Nejlepší by bylo podpořit strany, které se zavážou, že celý tento shit ve státní správě zruší.

bluemoon
bluemoon (neregistrovaný) ---.74.broadband14.iol.cz
22. 5. 2012 10:13 Nový

Re: Jinými slovy,

celé vlákno

pri dnesni cene tisku az 5Kc na stranu(dejme tomu prumerne 2 strany na dokument) a 36,- za doporucene psani s dodejkou je ten pravy duvod, proc el. podpis nezmizi, ale meli by se nejak ustalit pravidla s tim souhlasim.

Květoš Vícha aura:19

raději DS

celé vlákno

No nevím, dostal jsem se přes polovinu článku a už mě to fakt nebaví ten e-podpis. Ještě takhle zkomplikované a nepřipravené ze strany zadavatele...
Teď odbočím - mám e-podpis (Postsignum) a již ho vůbec nepoužívám, páč jsem měnil PC a musí se to znovu všechno aktivovat, je to těžkopádné, navíc se mi to nějak nepodařilo a Helpdesk to popsal složitě, i když nemusíte na přepážku, ale přesto. Prostě, pro soukromou osobu, podnikatele nanic! Snad pro velké firmy, kde mají na servis lidi.

Používám bez problému Datovou schránku, běží to perfektně. Bezvadné ovládání, rychlá reakce na odeslané zprávy, páč už to má hodně úřadů i obyčejných lidiček. Doporučuji všem, kteří ještě nemají.

x
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
21. 5. 2012 10:16 Nový

Re: raději DS

celé vlákno

Je to nepouzitelne i ve firmach ktery na to lidi maj - pro jednu takovou delam, s certifikaty pro vsechno mozne je neustale nejake drbani, neustale se resi ze to ci ono zase nefunguje protoze nekdo neco nekde zmenil ...

S DS je to naprosto totez v blede modrem.

Pavel (R) aura:96
21. 5. 2012 13:37 Nový

Re: raději DS

celé vlákno

Certifikát stačí vyexportovat a uložit někde mimo PC, pak si ho můžu naimportovat na kolik počítačů chci.

Květoš Vícha aura:19

Re: raději DS

celé vlákno

Ano, je to tak a neměl by být problém v zásadě podpis certifikátem by měl fungovat. Ale třeba přes Postsignum to není (či zpočátku nebylo) v manuálu dostatečně vysvětleno, že je třeba nezapomenout vyexportovat certifikát na externí medium. Avšak v mém případě byla ještě další svízel v při práci s prohlížečem IE9. Prostě - postup aktivace e-podpisu není ještě vymakaný, aby to mohl provést i naprostý laik 3-4 kroky. To je pak důvod, že hodně lidí od toho odejde a nesnaží se podpisování certifikátem používat.
U DS s tím není naprosto žádný problém, aktivace mi trvala pár minut.

MB
MB (neregistrovaný) ---.net.upcbroadband.cz
21. 5. 2012 20:10 Nový

Re: raději DS

celé vlákno

No a laik úředník musí mít support s asistencí. To je dobrý job pro firmy, ale naprosto nepraktické.

Pavel (R) aura:96
22. 5. 2012 11:08 Nový

Re: raději DS

celé vlákno

Jo jo, další bordel v tom dělá systém. Před měsícem jsem to řešil u své účetní. Certifikát od PostSignum chtěla použít na přístup do daňové schránky a na portál VZP. Používá Firefox a zatímco jedné z těch služeb stačil certifikát z úložiště WXP, druhé se ten cetrifikát musel ještě extra naimportovat do Firefoxu.

bluemoon
bluemoon (neregistrovaný) ---.74.broadband14.iol.cz
22. 5. 2012 12:40 Nový

Re: raději DS

celé vlákno

To ale nijak nesouvisi s principem fungovani el. podpisu.
Snadnejsi instalace neni prece veci certifikacnich autorit, ale samotnych prohlizecu nebo kancelarskych baliku, ale nevidim to nijak spatne.
Vezmu si napr. lekare a ze svy zkusenosti vim, ze nainstalovat certifikat zvladne kazdy BFU. Sice si s tim musi pohrat a nejak to zvladnou a kryz se za nimi stavite, tak si radi vzdycky vizitku vezmou pro moznou pomoc, ale je to v porad pohode. Nejsou s tim zavazne problemy.

Navic, pokud nekdo zfalsuje Vas podpis, tak zadny soud taky nebude zkoumat, jestli je Vas a dneska staci i mozny naznak souhlasu s nejakou sluzbou a uz je smlouva uzavrena a kdyz Vam ho i tak zfalsuji, tak se prava stejne nedomuzete. Jediny, co pak musite v pripade zfalsovani psaneho podpisu na smlouve, je podat trestni oznameni a v pripade narokovani plneni ze smlouvy nebo z cehokoliv jineho je vam to k nicemu, protoze stejne soud rozhoduje ve dvou rovinach a to v obcanskopravnich vecech a trestnim rizeni a k tomu soudy nemusi prihlizet, pokud po Vas bude plneni nekdo vyzadovat. Ve sfere el. podpisu je situace o mnoho lepsi a to, ze pravidelne menite podpis kazdy rok, coz v pripade klasickeho nelze a vlastne vas vsechny instituce nuti mit po cely zivot pisemny podpis porad stejny.

Setkal jsem se s firmou, kde zfalsovani nekolik pospisu dokumentace stalo "stovku" od zkuseneho obchodniho zastupce, stacilo jen ze vas nektery OZ navstivil a vy jste se schuzkou a pak objednavkou souhlasili a uz je smlouva uzavrena.
Vy co tu kritizujete el. podpisy si nevazite toho, co mate a jen kritizujete, ale jo, dal si podepisujte dokumenty na papir a dal piste do cernych ovci.

Tommik
Tommik (neregistrovaný) ---.nmskb.cz
22. 5. 2012 9:57 Nový

Re: raději DS

celé vlákno

Mě připadá nejveselejší nekompatibilita soukromého klíče z XP vs. Vista a 7. Z toho naskakují pupínky zase mě.

marshall1727
marshall1727 (neregistrovaný) ---.advokati.biz
21. 5. 2012 16:11 Nový

Re: raději DS

celé vlákno

Hodně si píšu s úřady a soudy a podpis je fakt jen na krátká sdělení, kde o nic moc nejde. Datovka je řádově lepší, zejména s iDatovkou od nic.cz.

Pavel Šrubař aura:85
21. 5. 2012 18:35 Nový

Periodické vydávání CRL

celé vlákno

V dávkovém vydávání CRL nevidím takový problém, těch 24 hodin požadovaných zákonem 227/2000 je beztak jen mantinel pro případ technických problémů, a ve skutečnosti jsou seznamy občerstvovány mnohem častěji. A i kdyby měl ověřovatel k dispozici pouze včerejší CRL, stačí přece přeformulovat ověřovací výrok: Elektronický podpis tohoto dokumentu byl dnes, 21. 5., ověřen jako platný ke dni 20. 5.
Přijde mi to přijatelnější, než chodit na úřad po 24 hodinách znovu.

Martin Pištora aura:41

Re: Periodické vydávání CRL

celé vlákno

Ale ověření dokumentu, který byl napsán a doručen dnes, přece nestačí ke včerejšku.
Jde např. o takovýto hypotetický scénář (který asi ještě mockrát v historii lidstva nenastal, ale který to všechno komplikuje):

1. Příjemce obdrží zprávu 21.5. v 10 hod.
2. Rád by ověřil její platnost k času, kdy byla napsána. To obecně nemůže, tak se spokojí s ověřením k aktuálnímu času. Provede tedy ověření 21.5. v 10 hod.. Použije k tomu poslední dostupné CRL z 20.5. a vydá o tom váš ověřovací výrok.
3. Podle zprávy může konat jen předběžně, nemá totiž jistotu, že podpis je platný. Musí čekat 24 hod.
4. Mezi tím se totiž může legálně stát, že autor a odesilatel zprávy zjistí, že mu byl odcizen certifikát s privátním klíčem i heslem. To musí neprodleně ohlásit certifikační autoritě a ta to zahrne do dalšího CRL.
5. Při dalším ověření 22.5. příjemce zjistí, že podpis už není platný. Původní zpráva tedy mohla být stejně tak od původního držitele certifikátu, jako i od toho, kdo certifikát odcizil. Ze zprávy to příjemce už nikdy nerozliší, snad jedině jinými kanály.

Důsledek je jasný a tristní.
Podle elektronicky podepsaných zpráv lze formálně a nevratně konat až se zpožděním v řádu dne.
Do té doby jen předběžně v dobré víře, že certifikát nebude revokován.
Nic na tom nezmění ani on-line publikace revokací. Držiteli certifikátu nelze upřít nárok na alespoň pár hodin času pro nahlášení kompromitace certifikátu.

x
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
23. 5. 2012 18:03 Nový

Re: Periodické vydávání CRL

celé vlákno

Mno s papirem ste na tom uplne stejne, co vic, u papiru si nemate sanci overit ze je pravej jinak nez vyzadani si (a zaplacenim) znaleckyho posudku. U papiru dokonce ani nevite, kdo jej podepsal, protoze podpis dotycneho ste v 99% pripadu vzivote nevidel, a proste !verite! ze to podepsal ten, kdo to podepsat mel.

Takze v tomhle bych problem vubec nevidel.

Filip Jirsák
25. 5. 2012 13:23 Nový

Re: Periodické vydávání CRL

celé vlákno

To zpoždění není den, ale do vydání následujícího CRL. Četnost vydávání CRL je uvedena v politice CA. Pokud CA podporuje OCSP, můžete se dotazovat on-line a zpoždění je minimální. Nárok na pár hodin času k revokaci nikde v závazných dokumentech není – a připadá mi to zbytečné, v případě veřejného práva to lze řešit stávajícími prostředky.

Jinak elektronický podpis je opravdu složitější, než vlastnoruční – je to daň za to, že se zvolila varianta, že když už se to mění, tak se to udělá pořádně a na vyšší úrovni bezpečnosti, než na úrovni toho, zda někdo umí namalovat nějaký obrázek. Navíc i ta složitost se dá dobře zautomatizovat, takže s dobrým softwarem bude pro uživatele ověření podpisu jednodušší, než když se dnes letmo podívá na obrázek, zda by to mohl být podpis.

petr_p
petr_p (neregistrovaný) ---.uhercice-cr.cz
26. 5. 2012 14:03 Nový

Re: Periodické vydávání CRL

celé vlákno

Jenže četnost vydávání CRL není uvedena v certifikátu, ale kdesi hlubuko v politice autority, což bývá přirozený jazyk v PDF. Takže software nemůže vědět, do kdy je nutné počkat. Naštěstí český zákon definuje nejzašší termín 1 den, takže proto ten den. Jestli je nějaká perioda určena celounijně, netuším. Ale bylo by hloupé, kdyby nebyla, když už máme povinnost uznávat unijní autority.

Filip Jirsák
26. 5. 2012 19:15 Nový

Re: Periodické vydávání CRL

celé vlákno

Součástí CRL je datum a čas, kdy nejpozději bude vydán následující CRL. Takže software může vědět.

petr_p
petr_p (neregistrovaný) 2002:93fb:17--:----:----:----:----:----
27. 5. 2012 21:39 Nový

Re: Periodické vydávání CRL

celé vlákno

Jenže nový CRL nezaručuje, že se v něm odvolání objeví. Například e-Identity si nechává na propagaci zneplatnění až 24 hodin, třebaže CRL podepisuje každých 12 hodin.

Filip Jirsák
28. 5. 2012 15:20 Nový

Re: Periodické vydávání CRL

celé vlákno

I v případě kvalifikovaných certifikátů? Ze zákona mají povinnost certifikát zneplatnit neprodleně, do toho se 24 hodin vejde jen těžko…Navíc CRL by mělo jít ověřovat automaticky, takže by mělo být zaručeno, že certifikát odvolaný k nějakému datu a času bude uveden hned na prvním následujícím CRL. Přece nebudu čekat třeba půl roku, jestli se neobjeví CRL se zneplatněním certifikát k datu před půl rokem.

petr_p
petr_p (neregistrovaný) 2002:93fb:17--:----:----:----:----:----
28. 5. 2012 20:16 Nový

Re: Periodické vydávání CRL

celé vlákno

Kvalifikovaná autorita má ze zákona povinnost zneplatnit certifikát neprodleně, nikoliv však oznámit zneplatnění veřejnosti. Neprodlené oznámení požaduje vyhláška jen při zneplatnění certifikátu autority.

Například politika pro kvalifikované certifikáty eIdentity v bodě 4.9.5 říká:

<blockquote>Cer­tifikát je po přijetí žádosti o zneplatnění zneplatněn neprodleně. Informace o zneplatnění certifikátu se objeví v zveřejněném CRL po uplynutí nejdéle 24 hodin od přijetí žádosti o zneplatnění­.</blockquote>

Ostatně podobnou formulaci mají všechny autority.

Znovu jsem si prošel zákon i vyhlášku a nyní mám ten dojem, že čas, o kterém tu debatujeme, nestanovují. Po prostudování politik všech tři autorit bych řekl, že oněch 24 hodin je maximum z daných hodnot. Tudíž je to jen jakási bezpečná hranice, se kterou všichni operují.

Filip Jirsák
29. 5. 2012 10:17 Nový

Re: Periodické vydávání CRL

celé vlákno

24 hodiny chápu jako maximum. Důležité je ale to, zda může být vydáno CRL, které neobsahuje všechny certifikáty zneplatněné před časem vydání CRL, jejichž platnostDo je větší, než datum vydání CRL. Nebo-li zda je opravdu možná ta posloupnost, že dojde ke zneplatnění certifikátu, ale CRL vydané po okamžiku zneplatnění tento čerstvě zneplatněný certifikát ještě neobsahuje. Podle mne by to byla dost podstatná komplikace pro ověřování CRL, na druhou stranu by to CA nepřineslo žádné významné zjednodušení práce nebo jiné pozitivum.

Martin Pištora aura:41

Re: Periodické vydávání CRL

celé vlákno

Technicky samozřejmě nejsou takové anomálie vyloučeny, byť by to bylo v rozporu s politikou CA či jinými předpisy. Lze si i představit, že se nějaký certifikát v nějakém CRL objeví, ale v dalších už ne, byť ještě před expirací certifikátu.

Nejasné také je, jak dlouho po expiraci se certifikáty do CRL ještě zahrnují. Pokud by taková doba byla nulová, nebylo by prakticky možné zneplatnit certifikát v poslední den jeho platnosti. Resp. zneplatnit ano, ale detekovat to při ověřování ne.

Martin Pištora aura:41

Re: Periodické vydávání CRL

celé vlákno

Je tu ještě další komplikace. Při rigidním použití CRL se musí zkoumat, zda ho vydala opravdu ta certifikační autorita, která vydala certifikát z podpisu. A také, zda je platný podpis, kterým je CRL opatřeno. To je ale úplně stejný algoritmus ověření podpisu jako na počátku, tedy opět s 24 hod. čekáním na CRL.
Naštěstí jde vždy o nadřazenou autoritu a pro kořenové autority se CRL nevydává vůbec (už proto, že není žádná nadřazená autorita, která by takové CRL podepsala). Takže zdržení muže být o další den nebo také ne, když certifikáty osob vydává přímo kořenová autorita.

petr_p
petr_p (neregistrovaný) 2002:93fb:17--:----:----:----:----:----
21. 5. 2012 20:29 Nový

Jen PDF?

Kde se v zákoně omezuje formát podpisu jen na <abbr>PAdES</abbr>?

Rozhodnutí komise za referenční považuje serializaci do <abbr>CMS</abbr>, <abbr>XML</abbr> a <abbr>PDF</abbr>. Odkazovaná novela v odstavci 217 do zákona o elektronickém podpisu zasahuje takto:

<blockquote>§ 11, <abbr>odst.</abbr> 22: Není-li v případě podepisování nebo označování dokumentu podle odstavce 2 uznávaný elektronický podpis nebo uznávaná elektronická značka v referenčním formátu stanoveném v přímo použitelném předpisu Evropské unie9),</bloc­kquote>

Přičemž odkaz 9 je ono rozhodnutí. Z toho mi nevyplývá, že by například na <abbr>CMS</abbr> byly kladeny jiné požadavky.

Zasílat nově přidané příspěvky e-mailem