Nebylo to spolehlive a fungovalo to nanic. Podpis se dal jednoduse falsovat/nacvicit a nasledne soudy se tahnou. Ke kvalifikovanejsim aktum potrebujete overeni na poste nebo notare pripadne pravnika.
Jeste ted mam blahe pameti x pokusu v bance o podpis kdy mne z komerkcky jako teenagera vyrazili. Bohuzel ne vsichni jsme nadani mit stejne a konzistentni pismo.
Radši ani nechci vědět, co jste myslel tím „potřebují uložit vlastní klíč“. Pro vytvoření klíčové dvojice v úložišti klíčů není potřeba žádný tajný univerzální PIN, je to normální akce, která se dělá pokaždé, když si na tom úložišti necháte třeba sám vygenerovat nové klíče.
Pro vytváření kvalifikovaných podpisů potřebujete prostředek pro vytváření kvalifikovaných podpisů, tedy takový, u kterého je zaručené, že z něj nejde privátní klíč rozumně získat. Když certifikační autorita ví, že privátní klíč vznikl na takovém zařízení, dá příslušný příznak do certifikátu. Takže úplně bude stačit, když certifikační autorita bude vědět, že česká e-občanka splňuje pravidla pro kvalifikovaný prostředek pro vytváření elektronických podpisů. Což by české CA o českých e-občankách vědět mohly.
Všechno fungovalo (a funguje) do doby, než
- si úředník vzpomněl, že potřebuje ověřený popis a vrátil dokumenty poštou. Následovalo kolečko ověřování podpisů a měsíc zpoždění
- někdo prostě cinknul podpis na plné moci, takže se to obešlo bez OP někoho, kdo o jednání jeho jménem nevěděl
- jedna strana zpochybnila pravost podpisu a dva soudem určení znalci se neshodli na pravosti podpisu
No a ty problémy ze strany autority, tam se to dá brát jako věc, kterou občan nemohl ovlivnit (podobě, jak když ho před poštou srazí auto) a pokuta by za to padnout neměla. Navíc je tam to pojištění zodpovědnosti, vydavatele certifikátu a nějaká kauce jako další pojistka, aby to nenastalo.
Hezky jste popřel sám sebe – nejdřív popíšete, jak by se to muselo chovat se standardním rozhraním, a pak napíšete, že to vlastně má proprietární ovladač, který může dělat cokoli. Doporučuju přečíst si ten manuál, který jste odkazoval, abyste zjistil, jak je to s tím PINem a PUKem. To zařízení má proprietární ovladač, to samotné zařízení je taky proprietární, nicméně to ničemu nevadí – eIDAS není postaven na tom, že se všichni stanou experty na PKI a budou si ovladače a zařízení ověřovat sami. Je postaven na tom, že to ověří opravdoví odborníci, ověří to jednou a dají tomu zařízení certifikát, že splňuje požadavky dané eIDASem.
Zatim ne, ale pocitam, ze na konci zivota to potreba bude? Tak se hlasite?
Tak ted zase vazne. Proc nazev zeme nezminite a radsi napisete utocny komentar? To se za tu zemi stydite?
Ano zeme jako Tonga apod. nemaji zadne povinne ID, ale zit bych tam nejspis nechtel :)
Duvody zatajeni jiz ted chapu. Za omluvu mate ode me palec nahoru, to je snad poprve co to v diskuzi na Lupe vidim.
Jinak si ale nemyslim, ze Lupa je portal pro lidi, kteri chteji emigrovat :) Ja osobne se tedy nikam nechystam, to by to tu (CZ) muselo jit opravdu do kytek. Zatim to nastesti nehrozi, ale jako snahy tu jsou :)
To je ale jen způsob implementace, jak PostSignum i na dálku pozná, že byl privátní klíč vytvořen pomocí kvalifikovaného prostředku pro vytváření elektronických podpisů. Není to žádný tajný univerzální PIN, a není to soukromý klíč PostSignum, ale soukromý klíč toho zařízení. PostSignum k němu eviduje veřejný klíč, takže podle toho dokáže poznat žádosti vygenerované tím zařízením.
Je komické vidět, že ty různé bláboly vesmírných lidí (či jak se to kdysi jmenovalo) o "čipové totalitě" nabývají konkrétních rozměrů :-)
Dříve stačil k běžným úkonům podpis propiskou za 10 Kč, případně prokázání se papírovým/plastovým Občanským průkazem. Bylo to spolehlivé, fungovalo bez operačního systému, nezávislé na specifickém hardware a jeho podpoře.
Dnes se zde buduje závislost na řešení čistě komerčních subjektů, které mohou kdykoli ukončit svoji činnost nebo za ni požadovat obrovské finanční částky (hardware čteček, přístup z internetu na vybrané servery atd.). Neexistuje nic, žádný zákon, který by jim v tom bránil. Narozdíl od doručování písemností Českou poštou, která má tuto povinnost v zákoně, pokud máte jasně označenou schránku (zde fixní náklad v řádech stokorun, případně si ji můžete vyrobit ze staré okapové roury).
Představuji si to jako takový Facebook vynucený státem. Jde o soukromý podnik, kde vám účet kdykoli bez udání důvodu zablokují a požadují dalši úkony (spojené s poskytováním osobních údajů nebo s placením) k obnovení přístupu. Den předtím, než například budete chtít odeslat daňové přiznáni a podepsat, vám soukromý poskytovatel identity oznámí, že vám identitu zablokoval. Můžete buď zaplatit 100 000 Kč (bylo to uvedeno v podmínkách na straně 358) nebo nemusíte. Úřad vám pak dá pokutu, protože požaduje podat přiznání elektronickou cestou a jak si to vyřešíte je pouze váš problém. Přesně takto to nakonec dopadne.
Jenže nakonec alespoň jeden z těch dokladů prokazující totožnost stejně potřebujete https://en.wikipedia.org/wiki/Identity_documents_in_the_United_States
Toto je i pro mě ještě jedna z nezodpovězených otázek. Osobně si myslím, že min. PostSignum díky tomu, že přes Českou poštu spadá pod stát, bude své kvalifikované certifikáty umisťovat i na e-Občanky a zvolí podobnou cestu, jakou má dnes při umístění certifikátů na Token ME, který zasílá z e-shopu. Jinak autority jsou u nás tři, ještě eIdentity.cz
Máte pravdu. Jen ten alternativní autentifikátor je vydáván opět na čipové kartě, pro kterou si musíte na cizineckou policii. Více k tomu píši na http://blog.nic.cz/2017/06/23/jak-by-eidas-mohl-pomoci-ceskym-firmam-na-slovensku/.
No to asi ne. Stát se nemůže takto míchat do komerční činnosti jako je vydávání certifikátů (i na OP) tím, že by protěžoval nějakou certifikační autoritu. Tam musí být rovnost. Čili kvalifikovaný certifikát pojede jako dnes a je na vás zda ho na OP chcete a od koho a za kolik tam si ho koupíte. Stát vám jen obstará certifikát pro identifikaci od své NIA.
Doporučuji vaší ctěné pozornosti pojem „servisní klíč“ v dokumentaci ke kvalifikovaným prostředkům.
eIdentity neni kvalifikovanym poskytovatelem sluzeb vytvarejicich duveru? A proc jsou tedy stale evidovani na strankach MVCR, jako kvalifikovani poskytovatele (http://www.mvcr.cz/clanek/seznam-kvalifikovanych-poskytovatelu-sluzeb-vytvarejicich-duveru-a-poskytovanych-kvalifikovanych-sluzeb-vytvarejicich-duveru.aspx)? Pomijejte co chcete, ale dvouleta vyjimka je tu z jinych duvodu. Tuzemsti poskytovatele ziskali statut automaticky na 1 rok a meli povinnost, do 1.7.2017 odevzdat zpravu o shode, jinak jim bude statut automaticky odebran (https://www.lupa.cz/clanky/prvni-pulrok-s-narizenim-eidas-prichazi-elektronicke-peceti/). Vzhledem k tomu, ze mame 12.7.2017 a eIdentity tam stale je, je Vase tvrzeni vice nez komicke. Podle ceho usuzujete, ze neni poskytovatelem prostredku ve smyslu eIDAS? Co vubec znamena "byt poskytovatelem prostredku ve smyslu eIDAS"? To neni ani MVCR a tyto prostredky bude poskytovat ve forme eOP.
Nejde asi ani tak o to, jestli tomu bude posta duverovat, protoze to reklo MVCR, ale spise o technickou realizaci, ktera je pro postu problematictejsi, protoze pokud vim, tak system autority maji "pouze" koupeny a nemuzou provadet zadne zasahy ze sve vule, tedy to bude stat tezky prachy (ne ze by to postu trapilo, kdyz neni na vyplaty, tak se poprosi u mecenase MVCR, ktery to zadotuje). Kazdopadne neverim, ze to zrovna posta nevyresi, to si nemuze dovolit.
Doporučuji nastudovat rozhraní PKCS#11. Aby PostSignum servisní klíč vytvořila, musí znát váš PIN nebo PUK, nebo musí veškerá data zničit. To znamená, že PostSignum může nakládat s vaším budoucím kvalifikovaným soukromým klíčem, protože zná PUK a vy si PUK změnit nemůžete, protože byste tím zničili servisní klíč tudíž by vám PostSignum nevystavila certifikát ke kvalifikvanému klíči. Nehledě na to, že se zařízením se komunikuje prostřednictvím proprietárního ovladače, který může dělat cokoliv. Mně to opravdu proti předchozí legislativě (držitel má výhradní kontrolu nad soukromým klíčem) připadá jako krok zpět.
Nikde nevidím oznámení o udělení statusu pro eIdentity pro vydávání kvalifikovaných prostředků nebo certifikátů. Na tom vámi odkazovaném seznamu (ke kterému se není jak doklikat) mohou být zastaralé informace. Datum aktualizace je 14. 6. 2017. Zrovna tak eIdentity se na svém webu toto skutečností nijak nechlubí,. Z toho všeho jsem vyvozoval, že není poskytovatelem prosředků podle eIDAS.
Když si nyní čtu jejich poslední certifikační politiku 2.6 z 19. 9. 2016, tak máte pravdu, že se tam je zmíněna ona směrnice, ale zrovna tak se tam píše:
Tato Certifikační politika nevyžaduje na straně podepisující osoby používání prostředku pro bezpečné vytváření elektronických podpisů.
Což je docela zvláštní, protože jsem měl za to, že pokud chcete vydávat kvalifikované certifikáty podle eIDAS, tak kvalifikované prostředky jsou nutnou podmínkou.
Ad MVČR. MVČR má vlastní neveřejnou autoritu. Předpokládám tedy, že ji provede celým atestačním procesem, aby takové prostředky vydávat mohla. Nebo formálně outsourcuje vydávání se všemi právními náležitostmi na PostSignum, nebo, což v našem státě považuji za nejpravděpodobnější, prostě občanské průkazy na rozdíl od slibů nebudou pro kvalifikované podpisy použitelné.
Jako že pošlu občanku na servisní středisko PostSigna, tam mi zresetují obsah nebo použijí velmi tajný univerzální PIN, protože potřebují uložit vlastní soukromý klíč, a zase mi ji pošlou zpátky a všichni se budeme tvářit, jak je to teď bezpečnější :D
eIdentity není poskytovatelem kvalifikovaných služeb (pomineme-li dvouletou výjimku) a ani prostředků ve smyslu eIDAS.
"přičemž jediná možnost přihlášení (pokud nemá zahraniční jednatel trvalý pobyt na Slovensku) je přes slovenské e-občanky."
Myslim, ze to neni uplne presne - houby te madarstine rozumim, ale asi pro zahranicni osoby, bez pobytu na uzemi SR, nabizi jeste jakysi authentikator.
Internet Info Lupa.cz (www.lupa.cz)
Server o českém Internetu. ISSN 1213-0702
Copyright © 1998 – 2021 Internet Info, s.r.o. Všechna práva vyhrazena.