Hlavní navigace

Názory k článku Elektronické podpisy: z bláta do louže?

  • 21. 5. 2012 8:52

    A.S. Pergill (neregistrovaný) ---.med.muni.cz

    "elektronický podpis" stále je cosi naprosto neplnohodnotného až bezcenného oproti podpisu ručnímu a normálním lidem stejně nezbude než si každý dokument nechat hned zkonvertovat do papírové podoby a řádně orazítkovat a podepsat. Jen to bude stát podstatně víc peněz, než stávající papírování. Nicméně ta konverze bude i tak levnější než nutnost neustálého sledování, kdy na kterém dokumentu "vyprší časové razítko", nebo se s ním stane jiná ptákovina, která ho zneplatní. A navíc, vzhledem k tomu, jak se neustále pohybuje legislativa s tím spojená, je zde i velká míra právní nejistoty, jaká bude platnost těchto dokumentů v budoucnosti, což se dá také vyjádřit penězi (v podstatě stejnými algoritmy, jakými se počítá pojistné).
    Nejlepší by bylo podpořit strany, které se zavážou, že celý tento shit ve státní správě zruší.

  • 21. 5. 2012 13:37

    Pavel (R)

    Certifikát stačí vyexportovat a uložit někde mimo PC, pak si ho můžu naimportovat na kolik počítačů chci.

  • 21. 5. 2012 18:35

    Pavel Šrubař

    V dávkovém vydávání CRL nevidím takový problém, těch 24 hodin požadovaných zákonem 227/2000 je beztak jen mantinel pro případ technických problémů, a ve skutečnosti jsou seznamy občerstvovány mnohem častěji. A i kdyby měl ověřovatel k dispozici pouze včerejší CRL, stačí přece přeformulovat ověřovací výrok: Elektronický podpis tohoto dokumentu byl dnes, 21. 5., ověřen jako platný ke dni 20. 5.
    Přijde mi to přijatelnější, než chodit na úřad po 24 hodinách znovu.

  • 21. 5. 2012 15:41

    bez přezdívky

    Ano, je to tak a neměl by být problém v zásadě podpis certifikátem by měl fungovat. Ale třeba přes Postsignum to není (či zpočátku nebylo) v manuálu dostatečně vysvětleno, že je třeba nezapomenout vyexportovat certifikát na externí medium. Avšak v mém případě byla ještě další svízel v při práci s prohlížečem IE9. Prostě - postup aktivace e-podpisu není ještě vymakaný, aby to mohl provést i naprostý laik 3-4 kroky. To je pak důvod, že hodně lidí od toho odejde a nesnaží se podpisování certifikátem používat.
    U DS s tím není naprosto žádný problém, aktivace mi trvala pár minut.

  • 21. 5. 2012 16:11

    marshall1727 (neregistrovaný) ---.advokati.biz

    Hodně si píšu s úřady a soudy a podpis je fakt jen na krátká sdělení, kde o nic moc nejde. Datovka je řádově lepší, zejména s iDatovkou od nic.cz.

  • 21. 5. 2012 20:29

    petr_p (neregistrovaný) 2002:93fb:17--:----:----:----:----:----

    Kde se v zákoně omezuje formát podpisu jen na <abbr>PAdES</abbr>?

    Rozhodnutí komise za referenční považuje serializaci do <abbr>CMS</abbr>, <abbr>XML</abbr> a <abbr>PDF</abbr>. Odkazovaná novela v odstavci 217 do zákona o elektronickém podpisu zasahuje takto:

    <blockquote>§ 11, <abbr>odst.</abbr> 22: Není-li v případě podepisování nebo označování dokumentu podle odstavce 2 uznávaný elektronický podpis nebo uznávaná elektronická značka v referenčním formátu stanoveném v přímo použitelném předpisu Evropské unie9),</bloc­kquote>

    Přičemž odkaz 9 je ono rozhodnutí. Z toho mi nevyplývá, že by například na <abbr>CMS</abbr> byly kladeny jiné požadavky.

  • 22. 5. 2012 9:57

    Tommik (neregistrovaný) ---.nmskb.cz

    Mě připadá nejveselejší nekompatibilita soukromého klíče z XP vs. Vista a 7. Z toho naskakují pupínky zase mě.

  • 22. 5. 2012 11:08

    Pavel (R)

    Jo jo, další bordel v tom dělá systém. Před měsícem jsem to řešil u své účetní. Certifikát od PostSignum chtěla použít na přístup do daňové schránky a na portál VZP. Používá Firefox a zatímco jedné z těch služeb stačil certifikát z úložiště WXP, druhé se ten cetrifikát musel ještě extra naimportovat do Firefoxu.

  • 22. 5. 2012 15:21

    Martin Pištora

    Ale ověření dokumentu, který byl napsán a doručen dnes, přece nestačí ke včerejšku.
    Jde např. o takovýto hypotetický scénář (který asi ještě mockrát v historii lidstva nenastal, ale který to všechno komplikuje):

    1. Příjemce obdrží zprávu 21.5. v 10 hod.
    2. Rád by ověřil její platnost k času, kdy byla napsána. To obecně nemůže, tak se spokojí s ověřením k aktuálnímu času. Provede tedy ověření 21.5. v 10 hod.. Použije k tomu poslední dostupné CRL z 20.5. a vydá o tom váš ověřovací výrok.
    3. Podle zprávy může konat jen předběžně, nemá totiž jistotu, že podpis je platný. Musí čekat 24 hod.
    4. Mezi tím se totiž může legálně stát, že autor a odesilatel zprávy zjistí, že mu byl odcizen certifikát s privátním klíčem i heslem. To musí neprodleně ohlásit certifikační autoritě a ta to zahrne do dalšího CRL.
    5. Při dalším ověření 22.5. příjemce zjistí, že podpis už není platný. Původní zpráva tedy mohla být stejně tak od původního držitele certifikátu, jako i od toho, kdo certifikát odcizil. Ze zprávy to příjemce už nikdy nerozliší, snad jedině jinými kanály.

    Důsledek je jasný a tristní.
    Podle elektronicky podepsaných zpráv lze formálně a nevratně konat až se zpožděním v řádu dne.
    Do té doby jen předběžně v dobré víře, že certifikát nebude revokován.
    Nic na tom nezmění ani on-line publikace revokací. Držiteli certifikátu nelze upřít nárok na alespoň pár hodin času pro nahlášení kompromitace certifikátu.

  • 25. 5. 2012 13:23

    Filip Jirsák

    To zpoždění není den, ale do vydání následujícího CRL. Četnost vydávání CRL je uvedena v politice CA. Pokud CA podporuje OCSP, můžete se dotazovat on-line a zpoždění je minimální. Nárok na pár hodin času k revokaci nikde v závazných dokumentech není – a připadá mi to zbytečné, v případě veřejného práva to lze řešit stávajícími prostředky.

    Jinak elektronický podpis je opravdu složitější, než vlastnoruční – je to daň za to, že se zvolila varianta, že když už se to mění, tak se to udělá pořádně a na vyšší úrovni bezpečnosti, než na úrovni toho, zda někdo umí namalovat nějaký obrázek. Navíc i ta složitost se dá dobře zautomatizovat, takže s dobrým softwarem bude pro uživatele ověření podpisu jednodušší, než když se dnes letmo podívá na obrázek, zda by to mohl být podpis.

  • 26. 5. 2012 14:03

    petr_p (neregistrovaný) ---.uhercice-cr.cz

    Jenže četnost vydávání CRL není uvedena v certifikátu, ale kdesi hlubuko v politice autority, což bývá přirozený jazyk v PDF. Takže software nemůže vědět, do kdy je nutné počkat. Naštěstí český zákon definuje nejzašší termín 1 den, takže proto ten den. Jestli je nějaká perioda určena celounijně, netuším. Ale bylo by hloupé, kdyby nebyla, když už máme povinnost uznávat unijní autority.

  • 26. 5. 2012 19:15

    Filip Jirsák

    Součástí CRL je datum a čas, kdy nejpozději bude vydán následující CRL. Takže software může vědět.

  • 27. 5. 2012 21:39

    petr_p (neregistrovaný) 2002:93fb:17--:----:----:----:----:----

    Jenže nový CRL nezaručuje, že se v něm odvolání objeví. Například e-Identity si nechává na propagaci zneplatnění až 24 hodin, třebaže CRL podepisuje každých 12 hodin.

  • 28. 5. 2012 15:20

    Filip Jirsák

    I v případě kvalifikovaných certifikátů? Ze zákona mají povinnost certifikát zneplatnit neprodleně, do toho se 24 hodin vejde jen těžko…Navíc CRL by mělo jít ověřovat automaticky, takže by mělo být zaručeno, že certifikát odvolaný k nějakému datu a času bude uveden hned na prvním následujícím CRL. Přece nebudu čekat třeba půl roku, jestli se neobjeví CRL se zneplatněním certifikát k datu před půl rokem.

  • 28. 5. 2012 20:16

    petr_p (neregistrovaný) 2002:93fb:17--:----:----:----:----:----

    Kvalifikovaná autorita má ze zákona povinnost zneplatnit certifikát neprodleně, nikoliv však oznámit zneplatnění veřejnosti. Neprodlené oznámení požaduje vyhláška jen při zneplatnění certifikátu autority.

    Například politika pro kvalifikované certifikáty eIdentity v bodě 4.9.5 říká:

    <blockquote>Cer­tifikát je po přijetí žádosti o zneplatnění zneplatněn neprodleně. Informace o zneplatnění certifikátu se objeví v zveřejněném CRL po uplynutí nejdéle 24 hodin od přijetí žádosti o zneplatnění­.</blockquote>

    Ostatně podobnou formulaci mají všechny autority.

    Znovu jsem si prošel zákon i vyhlášku a nyní mám ten dojem, že čas, o kterém tu debatujeme, nestanovují. Po prostudování politik všech tři autorit bych řekl, že oněch 24 hodin je maximum z daných hodnot. Tudíž je to jen jakási bezpečná hranice, se kterou všichni operují.

  • 29. 5. 2012 10:17

    Filip Jirsák

    24 hodiny chápu jako maximum. Důležité je ale to, zda může být vydáno CRL, které neobsahuje všechny certifikáty zneplatněné před časem vydání CRL, jejichž platnostDo je větší, než datum vydání CRL. Nebo-li zda je opravdu možná ta posloupnost, že dojde ke zneplatnění certifikátu, ale CRL vydané po okamžiku zneplatnění tento čerstvě zneplatněný certifikát ještě neobsahuje. Podle mne by to byla dost podstatná komplikace pro ověřování CRL, na druhou stranu by to CA nepřineslo žádné významné zjednodušení práce nebo jiné pozitivum.

  • 22. 2. 2013 16:12

    Martin Pištora

    Je tu ještě další komplikace. Při rigidním použití CRL se musí zkoumat, zda ho vydala opravdu ta certifikační autorita, která vydala certifikát z podpisu. A také, zda je platný podpis, kterým je CRL opatřeno. To je ale úplně stejný algoritmus ověření podpisu jako na počátku, tedy opět s 24 hod. čekáním na CRL.
    Naštěstí jde vždy o nadřazenou autoritu a pro kořenové autority se CRL nevydává vůbec (už proto, že není žádná nadřazená autorita, která by takové CRL podepsala). Takže zdržení muže být o další den nebo také ne, když certifikáty osob vydává přímo kořenová autorita.

  • 22. 2. 2013 16:19

    Martin Pištora

    Technicky samozřejmě nejsou takové anomálie vyloučeny, byť by to bylo v rozporu s politikou CA či jinými předpisy. Lze si i představit, že se nějaký certifikát v nějakém CRL objeví, ale v dalších už ne, byť ještě před expirací certifikátu.

    Nejasné také je, jak dlouho po expiraci se certifikáty do CRL ještě zahrnují. Pokud by taková doba byla nulová, nebylo by prakticky možné zneplatnit certifikát v poslední den jeho platnosti. Resp. zneplatnit ano, ale detekovat to při ověřování ne.

  • 21. 5. 2012 8:59

    bez přezdívky

    No nevím, dostal jsem se přes polovinu článku a už mě to fakt nebaví ten e-podpis. Ještě takhle zkomplikované a nepřipravené ze strany zadavatele...
    Teď odbočím - mám e-podpis (Postsignum) a již ho vůbec nepoužívám, páč jsem měnil PC a musí se to znovu všechno aktivovat, je to těžkopádné, navíc se mi to nějak nepodařilo a Helpdesk to popsal složitě, i když nemusíte na přepážku, ale přesto. Prostě, pro soukromou osobu, podnikatele nanic! Snad pro velké firmy, kde mají na servis lidi.

    Používám bez problému Datovou schránku, běží to perfektně. Bezvadné ovládání, rychlá reakce na odeslané zprávy, páč už to má hodně úřadů i obyčejných lidiček. Doporučuji všem, kteří ještě nemají.

  • 22. 5. 2012 10:13

    bluemoon (neregistrovaný) ---.74.broadband14.iol.cz

    pri dnesni cene tisku az 5Kc na stranu(dejme tomu prumerne 2 strany na dokument) a 36,- za doporucene psani s dodejkou je ten pravy duvod, proc el. podpis nezmizi, ale meli by se nejak ustalit pravidla s tim souhlasim.

  • 22. 5. 2012 12:40

    bluemoon (neregistrovaný) ---.74.broadband14.iol.cz

    To ale nijak nesouvisi s principem fungovani el. podpisu.
    Snadnejsi instalace neni prece veci certifikacnich autorit, ale samotnych prohlizecu nebo kancelarskych baliku, ale nevidim to nijak spatne.
    Vezmu si napr. lekare a ze svy zkusenosti vim, ze nainstalovat certifikat zvladne kazdy BFU. Sice si s tim musi pohrat a nejak to zvladnou a kryz se za nimi stavite, tak si radi vzdycky vizitku vezmou pro moznou pomoc, ale je to v porad pohode. Nejsou s tim zavazne problemy.

    Navic, pokud nekdo zfalsuje Vas podpis, tak zadny soud taky nebude zkoumat, jestli je Vas a dneska staci i mozny naznak souhlasu s nejakou sluzbou a uz je smlouva uzavrena a kdyz Vam ho i tak zfalsuji, tak se prava stejne nedomuzete. Jediny, co pak musite v pripade zfalsovani psaneho podpisu na smlouve, je podat trestni oznameni a v pripade narokovani plneni ze smlouvy nebo z cehokoliv jineho je vam to k nicemu, protoze stejne soud rozhoduje ve dvou rovinach a to v obcanskopravnich vecech a trestnim rizeni a k tomu soudy nemusi prihlizet, pokud po Vas bude plneni nekdo vyzadovat. Ve sfere el. podpisu je situace o mnoho lepsi a to, ze pravidelne menite podpis kazdy rok, coz v pripade klasickeho nelze a vlastne vas vsechny instituce nuti mit po cely zivot pisemny podpis porad stejny.

    Setkal jsem se s firmou, kde zfalsovani nekolik pospisu dokumentace stalo "stovku" od zkuseneho obchodniho zastupce, stacilo jen ze vas nektery OZ navstivil a vy jste se schuzkou a pak objednavkou souhlasili a uz je smlouva uzavrena.
    Vy co tu kritizujete el. podpisy si nevazite toho, co mate a jen kritizujete, ale jo, dal si podepisujte dokumenty na papir a dal piste do cernych ovci.

  • 23. 5. 2012 18:03

    x (neregistrovaný) 2001:470:9e70:----:----:----:----:----

    Mno s papirem ste na tom uplne stejne, co vic, u papiru si nemate sanci overit ze je pravej jinak nez vyzadani si (a zaplacenim) znaleckyho posudku. U papiru dokonce ani nevite, kdo jej podepsal, protoze podpis dotycneho ste v 99% pripadu vzivote nevidel, a proste !verite! ze to podepsal ten, kdo to podepsat mel.

    Takze v tomhle bych problem vubec nevidel.

  • 21. 5. 2012 10:16

    x (neregistrovaný) 2001:470:9e70:----:----:----:----:----

    Je to nepouzitelne i ve firmach ktery na to lidi maj - pro jednu takovou delam, s certifikaty pro vsechno mozne je neustale nejake drbani, neustale se resi ze to ci ono zase nefunguje protoze nekdo neco nekde zmenil ...

    S DS je to naprosto totez v blede modrem.

  • 21. 5. 2012 20:10

    MB (neregistrovaný) ---.net.upcbroadband.cz

    No a laik úředník musí mít support s asistencí. To je dobrý job pro firmy, ale naprosto nepraktické.

Podnikatel.cz: ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup