"elektronický podpis" stále je cosi naprosto neplnohodnotného až bezcenného oproti podpisu ručnímu a normálním lidem stejně nezbude než si každý dokument nechat hned zkonvertovat do papírové podoby a řádně orazítkovat a podepsat. Jen to bude stát podstatně víc peněz, než stávající papírování. Nicméně ta konverze bude i tak levnější než nutnost neustálého sledování, kdy na kterém dokumentu "vyprší časové razítko", nebo se s ním stane jiná ptákovina, která ho zneplatní. A navíc, vzhledem k tomu, jak se neustále pohybuje legislativa s tím spojená, je zde i velká míra právní nejistoty, jaká bude platnost těchto dokumentů v budoucnosti, což se dá také vyjádřit penězi (v podstatě stejnými algoritmy, jakými se počítá pojistné).
Nejlepší by bylo podpořit strany, které se zavážou, že celý tento shit ve státní správě zruší.
No nevím, dostal jsem se přes polovinu článku a už mě to fakt nebaví ten e-podpis. Ještě takhle zkomplikované a nepřipravené ze strany zadavatele...
Teď odbočím - mám e-podpis (Postsignum) a již ho vůbec nepoužívám, páč jsem měnil PC a musí se to znovu všechno aktivovat, je to těžkopádné, navíc se mi to nějak nepodařilo a Helpdesk to popsal složitě, i když nemusíte na přepážku, ale přesto. Prostě, pro soukromou osobu, podnikatele nanic! Snad pro velké firmy, kde mají na servis lidi.
Používám bez problému Datovou schránku, běží to perfektně. Bezvadné ovládání, rychlá reakce na odeslané zprávy, páč už to má hodně úřadů i obyčejných lidiček. Doporučuji všem, kteří ještě nemají.
Ano, je to tak a neměl by být problém v zásadě podpis certifikátem by měl fungovat. Ale třeba přes Postsignum to není (či zpočátku nebylo) v manuálu dostatečně vysvětleno, že je třeba nezapomenout vyexportovat certifikát na externí medium. Avšak v mém případě byla ještě další svízel v při práci s prohlížečem IE9. Prostě - postup aktivace e-podpisu není ještě vymakaný, aby to mohl provést i naprostý laik 3-4 kroky. To je pak důvod, že hodně lidí od toho odejde a nesnaží se podpisování certifikátem používat.
U DS s tím není naprosto žádný problém, aktivace mi trvala pár minut.
Jo jo, další bordel v tom dělá systém. Před měsícem jsem to řešil u své účetní. Certifikát od PostSignum chtěla použít na přístup do daňové schránky a na portál VZP. Používá Firefox a zatímco jedné z těch služeb stačil certifikát z úložiště WXP, druhé se ten cetrifikát musel ještě extra naimportovat do Firefoxu.
To ale nijak nesouvisi s principem fungovani el. podpisu.
Snadnejsi instalace neni prece veci certifikacnich autorit, ale samotnych prohlizecu nebo kancelarskych baliku, ale nevidim to nijak spatne.
Vezmu si napr. lekare a ze svy zkusenosti vim, ze nainstalovat certifikat zvladne kazdy BFU. Sice si s tim musi pohrat a nejak to zvladnou a kryz se za nimi stavite, tak si radi vzdycky vizitku vezmou pro moznou pomoc, ale je to v porad pohode. Nejsou s tim zavazne problemy.
Navic, pokud nekdo zfalsuje Vas podpis, tak zadny soud taky nebude zkoumat, jestli je Vas a dneska staci i mozny naznak souhlasu s nejakou sluzbou a uz je smlouva uzavrena a kdyz Vam ho i tak zfalsuji, tak se prava stejne nedomuzete. Jediny, co pak musite v pripade zfalsovani psaneho podpisu na smlouve, je podat trestni oznameni a v pripade narokovani plneni ze smlouvy nebo z cehokoliv jineho je vam to k nicemu, protoze stejne soud rozhoduje ve dvou rovinach a to v obcanskopravnich vecech a trestnim rizeni a k tomu soudy nemusi prihlizet, pokud po Vas bude plneni nekdo vyzadovat. Ve sfere el. podpisu je situace o mnoho lepsi a to, ze pravidelne menite podpis kazdy rok, coz v pripade klasickeho nelze a vlastne vas vsechny instituce nuti mit po cely zivot pisemny podpis porad stejny.
Setkal jsem se s firmou, kde zfalsovani nekolik pospisu dokumentace stalo "stovku" od zkuseneho obchodniho zastupce, stacilo jen ze vas nektery OZ navstivil a vy jste se schuzkou a pak objednavkou souhlasili a uz je smlouva uzavrena.
Vy co tu kritizujete el. podpisy si nevazite toho, co mate a jen kritizujete, ale jo, dal si podepisujte dokumenty na papir a dal piste do cernych ovci.
V dávkovém vydávání CRL nevidím takový problém, těch 24 hodin požadovaných zákonem 227/2000 je beztak jen mantinel pro případ technických problémů, a ve skutečnosti jsou seznamy občerstvovány mnohem častěji. A i kdyby měl ověřovatel k dispozici pouze včerejší CRL, stačí přece přeformulovat ověřovací výrok: Elektronický podpis tohoto dokumentu byl dnes, 21. 5., ověřen jako platný ke dni 20. 5.
Přijde mi to přijatelnější, než chodit na úřad po 24 hodinách znovu.
Ale ověření dokumentu, který byl napsán a doručen dnes, přece nestačí ke včerejšku.
Jde např. o takovýto hypotetický scénář (který asi ještě mockrát v historii lidstva nenastal, ale který to všechno komplikuje):
1. Příjemce obdrží zprávu 21.5. v 10 hod.
2. Rád by ověřil její platnost k času, kdy byla napsána. To obecně nemůže, tak se spokojí s ověřením k aktuálnímu času. Provede tedy ověření 21.5. v 10 hod.. Použije k tomu poslední dostupné CRL z 20.5. a vydá o tom váš ověřovací výrok.
3. Podle zprávy může konat jen předběžně, nemá totiž jistotu, že podpis je platný. Musí čekat 24 hod.
4. Mezi tím se totiž může legálně stát, že autor a odesilatel zprávy zjistí, že mu byl odcizen certifikát s privátním klíčem i heslem. To musí neprodleně ohlásit certifikační autoritě a ta to zahrne do dalšího CRL.
5. Při dalším ověření 22.5. příjemce zjistí, že podpis už není platný. Původní zpráva tedy mohla být stejně tak od původního držitele certifikátu, jako i od toho, kdo certifikát odcizil. Ze zprávy to příjemce už nikdy nerozliší, snad jedině jinými kanály.
Důsledek je jasný a tristní.
Podle elektronicky podepsaných zpráv lze formálně a nevratně konat až se zpožděním v řádu dne.
Do té doby jen předběžně v dobré víře, že certifikát nebude revokován.
Nic na tom nezmění ani on-line publikace revokací. Držiteli certifikátu nelze upřít nárok na alespoň pár hodin času pro nahlášení kompromitace certifikátu.
Mno s papirem ste na tom uplne stejne, co vic, u papiru si nemate sanci overit ze je pravej jinak nez vyzadani si (a zaplacenim) znaleckyho posudku. U papiru dokonce ani nevite, kdo jej podepsal, protoze podpis dotycneho ste v 99% pripadu vzivote nevidel, a proste !verite! ze to podepsal ten, kdo to podepsat mel.
Takze v tomhle bych problem vubec nevidel.
To zpoždění není den, ale do vydání následujícího CRL. Četnost vydávání CRL je uvedena v politice CA. Pokud CA podporuje OCSP, můžete se dotazovat on-line a zpoždění je minimální. Nárok na pár hodin času k revokaci nikde v závazných dokumentech není – a připadá mi to zbytečné, v případě veřejného práva to lze řešit stávajícími prostředky.
Jinak elektronický podpis je opravdu složitější, než vlastnoruční – je to daň za to, že se zvolila varianta, že když už se to mění, tak se to udělá pořádně a na vyšší úrovni bezpečnosti, než na úrovni toho, zda někdo umí namalovat nějaký obrázek. Navíc i ta složitost se dá dobře zautomatizovat, takže s dobrým softwarem bude pro uživatele ověření podpisu jednodušší, než když se dnes letmo podívá na obrázek, zda by to mohl být podpis.
Jenže četnost vydávání CRL není uvedena v certifikátu, ale kdesi hlubuko v politice autority, což bývá přirozený jazyk v PDF. Takže software nemůže vědět, do kdy je nutné počkat. Naštěstí český zákon definuje nejzašší termín 1 den, takže proto ten den. Jestli je nějaká perioda určena celounijně, netuším. Ale bylo by hloupé, kdyby nebyla, když už máme povinnost uznávat unijní autority.
I v případě kvalifikovaných certifikátů? Ze zákona mají povinnost certifikát zneplatnit neprodleně, do toho se 24 hodin vejde jen těžko…Navíc CRL by mělo jít ověřovat automaticky, takže by mělo být zaručeno, že certifikát odvolaný k nějakému datu a času bude uveden hned na prvním následujícím CRL. Přece nebudu čekat třeba půl roku, jestli se neobjeví CRL se zneplatněním certifikát k datu před půl rokem.
Kvalifikovaná autorita má ze zákona povinnost zneplatnit certifikát neprodleně, nikoliv však oznámit zneplatnění veřejnosti. Neprodlené oznámení požaduje vyhláška jen při zneplatnění certifikátu autority.
Například politika pro kvalifikované certifikáty eIdentity v bodě 4.9.5 říká:
<blockquote>Certifikát je po přijetí žádosti o zneplatnění zneplatněn neprodleně. Informace o zneplatnění certifikátu se objeví v zveřejněném CRL po uplynutí nejdéle 24 hodin od přijetí žádosti o zneplatnění.</blockquote>
Ostatně podobnou formulaci mají všechny autority.
Znovu jsem si prošel zákon i vyhlášku a nyní mám ten dojem, že čas, o kterém tu debatujeme, nestanovují. Po prostudování politik všech tři autorit bych řekl, že oněch 24 hodin je maximum z daných hodnot. Tudíž je to jen jakási bezpečná hranice, se kterou všichni operují.
24 hodiny chápu jako maximum. Důležité je ale to, zda může být vydáno CRL, které neobsahuje všechny certifikáty zneplatněné před časem vydání CRL, jejichž platnostDo je větší, než datum vydání CRL. Nebo-li zda je opravdu možná ta posloupnost, že dojde ke zneplatnění certifikátu, ale CRL vydané po okamžiku zneplatnění tento čerstvě zneplatněný certifikát ještě neobsahuje. Podle mne by to byla dost podstatná komplikace pro ověřování CRL, na druhou stranu by to CA nepřineslo žádné významné zjednodušení práce nebo jiné pozitivum.
Technicky samozřejmě nejsou takové anomálie vyloučeny, byť by to bylo v rozporu s politikou CA či jinými předpisy. Lze si i představit, že se nějaký certifikát v nějakém CRL objeví, ale v dalších už ne, byť ještě před expirací certifikátu.
Nejasné také je, jak dlouho po expiraci se certifikáty do CRL ještě zahrnují. Pokud by taková doba byla nulová, nebylo by prakticky možné zneplatnit certifikát v poslední den jeho platnosti. Resp. zneplatnit ano, ale detekovat to při ověřování ne.
Je tu ještě další komplikace. Při rigidním použití CRL se musí zkoumat, zda ho vydala opravdu ta certifikační autorita, která vydala certifikát z podpisu. A také, zda je platný podpis, kterým je CRL opatřeno. To je ale úplně stejný algoritmus ověření podpisu jako na počátku, tedy opět s 24 hod. čekáním na CRL.
Naštěstí jde vždy o nadřazenou autoritu a pro kořenové autority se CRL nevydává vůbec (už proto, že není žádná nadřazená autorita, která by takové CRL podepsala). Takže zdržení muže být o další den nebo také ne, když certifikáty osob vydává přímo kořenová autorita.
Kde se v zákoně omezuje formát podpisu jen na <abbr>PAdES</abbr>?
Rozhodnutí komise za referenční považuje serializaci do <abbr>CMS</abbr>, <abbr>XML</abbr> a <abbr>PDF</abbr>. Odkazovaná novela v odstavci 217 do zákona o elektronickém podpisu zasahuje takto:
<blockquote>§ 11, <abbr>odst.</abbr> 22: Není-li v případě podepisování nebo označování dokumentu podle odstavce 2 uznávaný elektronický podpis nebo uznávaná elektronická značka v referenčním formátu stanoveném v přímo použitelném předpisu Evropské unie9),</blockquote>
Přičemž odkaz 9 je ono rozhodnutí. Z toho mi nevyplývá, že by například na <abbr>CMS</abbr> byly kladeny jiné požadavky.