Vlákno názorů k článku
Kvalifikovaný certifikát na dvě věci II.

Pane Peterka, místo psaní dlouhého seriálu na zbytečné téma, nechtěl byste konečně napsat že celý humbuk okolo digitálních podpisů je k ničemu? Bylo by to jistě záslužnější, než tímto způsobem propagovat něco, co nemá žádné praktické využití a ještě dlouho let nebude....

Ja si naopak myslim, ze v zadnem pripade nejde o zbytecne tema. Prave naopak! Teprve otevrena a verejna debata na tato temata umozni posunout problematiku digitalni podepisovani az do stadia uspokojujici pouzitelnosti. Ja celkem chapu I.CA, protoze bordel v tech standardech je. A evidentne nebyt reakce pana Peterky, nedoslo by k reakci I.CA a uprave certifikatu. Vyrozumel jsem z clanku (mozna chybne), ze modifikovany certifikat jiz umoznuje dokumenty i podepisovat, nejenom autentifikovat jako drive. Nevim, zda I.CA vychazi vstric pouze klientu na request nebo upozorni i ostatni klienty na tento problem (chci doufat, ze ano). Pokud ne, nema klient, ktery nema cas nebo chut resit neco, co ma fungovat a nefunguje (procitani standardu a hledani chyby), funkcni (v sirsi souvislosti) certifikat. V tomto je tedy prinos clanku veliky (minimalne pro mne :)).
Dekuji.

Promiňte mi, příteli, ale k čemu potřebujete nějakou I.CA? Odvážím se tvrdit, že vlastně vůbec k ničemu.

Souhlas. Uz jsem se tu kdysi na toto tema rozepisoval.

Soucasne vseobecne dostupne technologie, ktere by podporovaly pouziti certifikatu (na strane vydavatelu certifikatu ale hlavne v aplikacich a na strane uzivatele) neexistuji, jsou drahe nebo vzajemne nekompatibilni. Standardu je asi celkem 50, ale jeste stejne porad stejne neresi vsechny problemy, na ktere jakakoliv vetsi implementace pouzivajici certifikaty narazi.

Po technicke strance je to velice zajimava oblast, ale po strance realizovatelnosti v provoznim prostredi je to vsechno jeste trochu predcasne.

Jenze o tom zadne certifikacni autority a dodavatele PKI, ktery na el podpisu chteji vydelat a zakonodarci, kteri si honi triko s tim jak jsou pokrokovi, nikdy mluvit nebudou.

V cem vidite problem?

Bezne pouzivane certifikaty jsou dle X.509. ICA vydava prave takove certifikaty (pominu-li na lupe popsany problem s nimi). Na WWW se bezne pouzivaji v https. Podporuji je bezni klienti posty jako Outlook ci Netscape.

Proc by to nemelo fungovat?

Certifikaty na nezabezpecenem pocitaci (W9x) jsou pomerne nanic, cipove karty, ktere by trochu pomohly, nikdo nema, ctecka karet stoji dalsi penize navic.

HTTPS podporuje osobni certifikaty, ale ne vsechny web servery podporuji SSL s osobnimi certifikaty. Kdyz uz mate funkcni web server s https podporujicimi osobni certifikaty, musi pro ten web server existovat modul, ktery jej propoji s aplikacnim serverem. Zase ne vsichni to podporuji.

Krome toho Https nepodporuje elektronicky podpis. S certifikatem u https se jenom autentizuje bezpecny kanal, ne jednotlive zpravy.

Pokud chcete zavadet certifikaty poradne, veskere back-end aplikace (vyvinute pravdepodobne v Pascalu pred 15 lety)musi certifikaty podporovat.

Takto by se dalo pokracovat dal a dal, ale bohuzel na to nemam zrovna ted cas.

Jasně, ale zaručený elektronický podpis potřebujete právě a hlavně v e-mailu.

Nevím, jak vy, ale mě představa, že budu např. všechny záležitosti s úřady řešit elektronicky e-mailem docela láká.

Připadá mi, že hledáte zbytečně problémy...

To s těmi aplikacemi vyvinutými před 15 lety jsem nepochopil, neboť i kdybych takové používal, určitě v nich nenachází uplatnění podpis (elektronický nebo jiný)

Nezapominejte na USB, to ma dnes uz kazdy novy comp.

A jeste k tomu zabezpeceni.
Soucasne a IMHO ne prilis drahe USB tokeny soukromy klic NIKDY neopusti, tim padem se neda zadnym zpusobem "vykrast" a to ani na systemu Wir9x. Navic je to zarizeni "do kapsy" takze neni problem ho udrzet pod kontrolou.

Navic do budoucna verim, ze nebude problem doplnit takovyhle token o snimac otisku prstu (jiz dnes se prodavaji klavesnice se snimacem otisku za cca 6-7 kKc)
a pouzivat otisk prstu jako PIN k soukromemu klici a tim padem zcela spolehlive padne posledni kriticke misto celeho procesu.

Ostatni je jenom otazka postupu technologie a snizovani ceny.

P.S. Pro "skarohlidy" dodavam jen, ze podobne reakce jsem okolo roku 95-96 slysel, kdyz se diskutovalo o ovladani bankovnich operaci pomoci SMART SIM v GSM telefonu.
Take byly tenkrat slyset hlasu o "blaznech" o tom ze to je moc drahe a pod..

No, to je zvlastni druh selektivni pameti ... ;-)

Kdyz uz jste totiz zminil ty SIM karty GSM telefonu - pamatujete si take, ze ani ty nemel udajne privatni klic nikdy opustit, podobne jako to ted tvrdite o USB ? Ano, on je skutecne nikdy neopusti - a presto ho je mozne u mnoha SIM karet zjistit ...

Jinak ale mate samozrejme pravdu, je to do znacne miry otazka technologie a s jejim postupem se jiste podari lecjake problemy vyresit. Rad bych ale podotknul, ze problemy se soucasnym stavem el, podpisu nejsou razu technologickeho, ale pravniho - a ani kdyby bylavami zminena technologie byla dostupna za rozumny peniz prave ted a tady, tak pravni problemy s praktickym uzitim el. podpisu, o nichz je predevsim tato diskuse, to nijak nevyresi.

Nejak mi unikl smysl toho joke :)

Mluvim o Smart SIM - neboli BANKOVNICH KARTACH, a v jejich pripade opravdu nevim o tom, ze by byly nejak cracknutelne.
Samozrejme se mohu mylit.

Jinak souhlasim s tim, ze po pravni strance je tam problem s tou "projevenou vuli" ovsem proti tomu zase stoji to, ze majitel ZEP je ODPOVEDNY za svuj klic a tedy je otazka, zda je vubec nutne se zabyvat ve sporu "podpisujici" versus "prijemce podpisu" zfalsovanim. Zfalsovat to proste nejde. Jde to jen ukrast a prave na rozdil od kradeze dokladu (OP atd) je v tomto pripade zodpovedny majitel ZEP, takze z toho vyvozuji, ze ZEP prinasi daleko vice jistoty "prijemci podpisu" a pri spatnem zachazeni muze majiteli prinest velke problemy.

A, tak to doslo k nedorozumeni. Tyto karty jsou zatim velice malo rozsirene (a tak neni prekvapive, ze se o nich nevi, ze by byly cracknutelne - uplynulo spis prilis malo casu aby se to vedelo i kdyby byly - tim nechci rict, ze urcite jsou).

Co se tyce odpovednosti za zpusobene skody - drzitel certifikatu vam nahradi skodu, kteou se vam podari vycislit a prokazat - a to neni vubec trivialni. Navic, ta smlouva (napriklad) proste bude neplatna - a to ne vzdy lze napravit jakymkoliv nahradnim plnenim nekoho jineho. Nicmene, zrejme neni o cem dal diskutovat - vy mate dojem, ze je el. podpis lepsi, protoze mate alespon zajistenu nahradu skody, ja se domnivam ze je horsi, protoze ja za uzaviranim smlouv nevidim jen penize - v mnoha pripadech si dovedu predstavit, ze (nejmene jedne strane) nejde o nejake penize, ale o plneni te smlouvy (proto tu smlouvu take uzavira) - ja chci, abych mohl byt klidny ze uzavrena smlouva je uzavrena a tedy se mohu domoci plneni dohod v ni obsazenych - a to mi zajistuje el. podpis hur nez ten vlastnorucni.

Nicmene, obavam se, ze musim tuto debatu ukoncit - za chvili odjizdim, a az se vratim, bude uz tato debata hluboko v propadlisti archivu.

Ale pánové, vy pořád nechápete že neexistuje způsob jak by někdo mohl DOKÁZAT že někdo nesplnil svůj díl odpovědnosti za svůj klíč.

U elektronického podpisu prostě vždy chybí onen akt použití vlastní ruky k vlastnoručnímu podpisu. Chybí též jakákoliv možnost ověřit zda k podpisu klíčem vůbec skutečně došlo. A ono je, popravdě, jedno zda vědomě či nevědome.

To že na něčem je jakýsi shluk binárních dat nazkládá právní podklad čehokoliv.

Bude stačit první soudní spor na toto téma v USA a elektronický podpis skončí.

Vy jste opravdu nejaky chytry. Co kdybych k vam prisel a usekl vam ruku, kterou podepisu nejakou smlouvu? Bude vlastnorucne podepsana a tedy platna.

To je asi tak uroven vasi argumentace.

ICA potřebujete, protože jako jediný subjekt vám může vydat kvalifikovaný certifikát. A k čemu právě kvalifikovaný certifikát? Kvalifikovaný proto, že jen takový lze použít pro komunikaci s orgány státní moci.

Nyní zbývá prověřit, zda to opravdu funguje;-)

Některé úřady již před delší dobou deklarovaly, že zřídily elektronické podatelny. Avšak měly pádnou výmluvu, proč elektroniká podání neakceptovat - bez kvalifikovaných certifikátů nemohl být elektronický podpis s předepsanými náležitostmi vytvořen ani ověřen. To už ale neplatí.

Ano, a nejen s organy statni moci ale i s ostatnimi lidmi nebo firmami. Napriklad podpis smlouvy muze byt proveden na dalku a zaruceny certifikat od ICA na rozdil od ostatnich bude mit u pripadneho soudu vahu.
Dovedu si zive predstavit napriklad podpis leasingove smlouvy pomoci ZEP. Osobne to povazuji za daleko duveryhodnejsi nez obcanka s prelepenou fotkou.

Jenom jde o to, aby se jeste dopracovaly urcite paragrafy zakonu, a aby soudy uznaly, ze pokud nekdo natuka PIN sveho klice jedna se o "projev vule" a ze ztrata soukromeho klice nebo jeho nespravne ulozeni, ci dokonce prozrazeni hesla je proste to same jako podepsat prazdny papir nebo bianko smenku.

Pokud mluvite o tom 4-mistnem ciselnem naprosto stupidnim kodu (napr. u platebni karty ho mate celou dobu zivotnosti Vaseho konraktu (nikoli karty!!!) stejny), pak doufam, ze soudu bude muset protistrana dokazat jasne muj projev vule... - a s tim, jak se planuje predavani napr. PINu na postach & spol., tak to radeji bez el. podpisu...

Asi je to u každé banky jinak. U Poštovní spořitelny dostávám s novou kartou (tj. minimálně každé dva roky) pokaždé nový PIN.

Nechci vám příteli příliš kazit radost, ale přítomnost elektronického podpisu na jakémkoliv množství binárních dat není projevem vůle ve významu přítomnosti skutečného podpisu. A důvěryhodnost tam, pardon, není vůbec žádná.

To se bohudík (nebo bohužel) mýlíte. Inu zákony se změnily, takže i na to pamatují, třeba Obč.Z v §40 odst 3.
Nevím, na základě čeho (kromě vlastního přesvědčení) se domníváte, že el. podpis. je méně "projevem vůle" či méně důvěryhodný, než podpis vlastnoruční na papíře.
Zkuste se na to podívat a pak můžeme věcně debatovat;-)

Jest to prosté. Elektronický podpis není nikdy podpisem osoby, ale podpisem počítače. Díky čemuž není nikdy zaručitelné, že podpis skutečně provedla vědomě ona konkrétní osoba. Mohl totiž být proveden automaticky, nevědomě. Včetně toho že mohl být zfalšován a nikdo nikdy neprokáže, že k tomu došlo či nedošlo.

Toto je známá skutečnost, která v americkém světě spolehlivě zabrání uvedení elektronických podpisů na roveň skutečných podpisů.

A jenom skutečný blázínek může vlastnoruční podpis stavět na roveň podpisu elektronickému.

To, co jste popsal, není specifické pro podpis elektronický.

Analogicky "papírový" podpis je podpisem propisovací tužky, mohl být proveden automatizovaně (třeba na tiskárně) a může být zfalšován.

Způsob a obtížnost případného dokazování může být u obou způsobů podpisu odlišná, z toho ovšem neplyne neplatnost elektronického podpisu...

Ta analogie není až tak jasná, jak myslíte.
Zatímco zfalšování "papírového" podpisu lze za určitých okolností prokázat, u elektronického podpisu nelze žádným způsobem odlišit autentický a zfalšovaný podpis.

Ta analogie není až tak jasná, jak myslíte. Zatímco zfalšování "papírového" podpisu lze za určitých okolností prokázat, u elektronického podpisu nelze žádným způsobem odlišit autentický a zfalšovaný podpis.

Jenže celkem dobře zfalšovat 'papírový' podpis není zas tak náročné jako zfalšovat podpis elektronický.
Navíc zfalšování papírového podpisu se nemůžete ubránit.
Oproti tomu zfalšovat podpis elektronický lze POUZE pokud uděláte nějakou chybu a zacházíte se svým soukromým klíčem neopatrně, jinak to NEJDE.

Uvedu příklad: Známému ukradli peněženku i s doklady. Věc celkem běžná. Přesto, že ztrátu okamžitě (cca hodinu po činu) oznámil, stačili během dvou dnů šikulové na jeho "papíry" nabrat na půjčky a splátky zboží za cca 2 600 000. Pravda něco "investovali" do akontací ale i tak je škoda přes 1 500 000. Teď z toho má těžké problémy a ani ti obchodníci a leasingovky se proti tomu těžko mohli bránit.
Pokud by mu místo toho ukradli třeba token s klíčem, nebyl by jim bez PINu k ničemu, a i kdyby znali/odhadli/prolomili tento PIN, tak by jim to opět nebylo k ničemu jelikož by certifikát byl do hodiny zneplatněn a zase k ničemu.

Já tedy vidím bezpečnost ZEP jako DALEKO DALEKO vyšší než jakékoliv stávající metody.

Podivejte, kdyz budete chtit prosadit sva prava plynouci z podpisu jine osoby na nejakem dokumenty a ona je nebude ochotna plnit dobrovolne, pak ji musite zalovat. Jelikoz ji musite zalovat, jste to vy na kom lezi dukazni povinost - a jste to tedy vy, kdo musi prokazat, ze onen dokument podepsala prave ona osoba. U rucne psaneho podpisu bude takovym dukazem grafologicky posudek - takova je proste obvykla praxe a tak se to dela. Muzete nejak naznacit, jakym zpusobem se pokusite neco takoveho prokazat u podpisu elektronickeho ?

Samozrejme, ze z hlediska podepisujiciho je elektronicky podpis daleko bezpecnejsi nez podpis rucni - pri slusnem zachazeni s daty je opravdu daleko hure zfalsovatelny. Z hlediska prijemce podpisu je ale el. podpis mene bezpecny nez podpis rucni - protoze zdanlivy podepisujici ma prakticky kdykoli moznost namitnout, ze on ten dokument nepodepsal i kdyz podpis je jeho (a zrejme ho tedy podepsal nekdo jiny, nejspis pomoci odcizenych dat, na jejichz odcizeni se prislo az ted).

Já to vidím trochu z jiného pohledu. Pokud provádím nějaký právní úkon klasicky - neelektronicky, druhá strana po mě zpravidla požaduje

1. Písemnou formu bez jakéhokoli podpisu (takto kupodivu posílá např. VZP upomínky)
2. Vlastnoručně podepsaný dokument, příjemce nijak nekontroluje kdo a kdy jej podepsal a zda je předkládá podepisující osoba (napr. podáni daňového přiznání)
3. Dokument podepsaný před příjemcem s ověřením totožnosti příjemce (např. výběr hotovosti v bance)
4. Notářsky ověřený podepsaný dokument

Elektronický podpis má dle mého názoru nejblíže k variantě č.4. Z hlediska příjemce je tedy elektronický podpis bezpečnější než "papírový" podpis minimálně způsoby (1) a (2), kterých je v reálu většina.

Vámi popsaná situace, kdy eletronický podpis je popírán podepísující osobou, je naprosto marginální. Grafologická analýza navíc není spolehlivá a v případě neshody (resp. nepotvrzení shody) je výsledek bezcenný (není nikde stanoveno, že můj podpis musí být shodný/podobný mému jinému podpisu)

Elektronicky podepsaný dokument odpovída jen a pouze bodu 2 s tím že nikdy není zaručeno zda vůbec byl kýmkoliv podepsán, takže se skoro blíží variantě 1.

Rozhodně nemůže mít nic společného s bodem 4 - není zde totiž nikdo kdo by zaručil to co zaručuje notář.

Pane Ptáčku, co kdybyste někdy svůj *názor* aspoň trochu zdůvodnil?

1) u fyzického dokumentu také není nikde zaručeno, zda byl skutečně někým podepsán.

2) Pro realizaci podpisu potřebují soukromý klíč -- tento dávám do ekvivalence např. s občanským průkazem, proto se příkláním spíš k variantě 3-4.

Příklad: daňové přiznání mohu "papírově" vyplnit a odevzdat bez problému za někoho jiného (var. 2), elektronicky mnou podepsané takové DP však přijato nebude.

3) Co zaručuje notář? Pokud vím, požaduje pouze průkaz totožnosti a grafologicky libovolný vlastnoruční podpis.

To posledni uz, myslim, doresene je - za skody zpusobene zneuzitim certifikatu v zasade odpovida ten, komu byl vystaven. Nikdy tedy nevite, jestli je elektronicky podepsana smlouva platna, ale vite, ze pokud se zjisti, ze neni, tak zpusobenou skodu mate na kom vymahat (coz neni totez, co vymoci).

Pane Lukeš, to myslíte vážně? Je to potom jenom o důvod víc proč se vůbec nezabývat pořízením jakéhosi nepoužitelného certifikátu.

Mimochodem jde o těžko akceptovatelnou právní konstrukci, protože je to totéž jako by za škodu způsobenou automobilem odpovídal jeho vlastník a nikoliv ten kdo škodu způsobil.

Staci aby to zakon konstatoval v pripade automobilu tak, jako to konstatoval v pripade certifikatu a zodpovidat za ni budete.

Diky za info... o duvod vic proc se o to vubec nezajimat...

O duvod vic, proc se o to zajimat. Pokud se o to zajimat nebude, naletite. Nechci Vas ale chytat za slovo, patrne jste minil, o duvod vic, proc si tento certifikat neporizovat.

Tohle ale ja ted prece neresim. Slo o prinos clanku a ten tu bezesporu je. Nechci vyvolavat spor, proste jen nemam rad unahlena a jednoznacne nespravna rozhodnuti, tot vse.

Ze zkusenosti s podobnymi diskusemi si ale vy zrejme nikdy certifikat neporidite, protoze ho nepotrebujete. Pokud byste ho totiz potreboval, tak byste misto toho, ze vse odmitnete, hledal zpusob, jak si bezpecny certifikat opatrit, k cemuz samozrejme patri i aktivni vyhledavani informaci a takoveto clanky byste pak vital, nikoli odmital.

Díky za tuto reakci, jinak bych ji sem musel dát sám. Dovolil bych si Vás jen poopravit, myslím si, že dodatek "a ještě dlouho let nebude" je příliš optimistický. Jakoby totiž naznačoval, že celé tyto dnešní akce jednou budou nějaké využití mít. To si tedy já nemyslím.