Rád bych si nechal zřídit elektronický podpis, prý je to celkem jednoduché. Na http://techhity.cz/media/jak-zaridit-elektronicky-podpis jsem se dočetl, že je možné si ho zřídit na Poště, u První certifikační autority nebo Eldentity. Jelikož nemám důvěru v českou poštu, tak jsem dávám přednost Eldentity. Píšou, že na svých stránkách mají srozumitelný návod a že stačí jen vyplnit žádost a zaplatit poplatek 478 Kč. Rád bych věděl, jak jste s elektronickým podpisem spokojení vy. Opravdu to urychleje jednání s úřady? Je rozdíl mezi těmito akreditovanými společnostmi nebo je výsledek stejný? Díky.
Plná moc je trochu něco jiného, protože v tomto úkoně vystupují tři strany. Příjemce (OVM) dokáže ověřit pouze mne (FO) jako odesílající osobu, ne ono třetí osobu (které dávám plnou moc).
S poslední větou máte částečně pravdu. Pokud jako FO vůči OVM cokoliv zašlu, tak to mohu poslat třeba v TXT či JPG nebo nepodepsaném DOCu, atd. a ověření mne, jako FO, se provede vůči datovce. El. podpis není potřeba. Takže pokud dokument, který zasílá FO vůči OVM nemá v sobě el. podpis, tak se nic neděje. Pokud dokument má el. podpis, tak se ověření dělá proti tomuto podpisu.
El. podpis nelze nahradit autentizací - eIdas. Všechny úkony vůči OVM nemůžete učinit jen přes datovou schránku, pokud je tam vyžadován projev vůle, musíte se elektronicky podepsat. Např. plná moc musí být vždy podepsaná uznávaným resp. kvalifikovaným el. podpisem Změkčení se týká OVM jen potud, že je výjimka do 19.9.2018 na kvalifikovaný bezpečnostní prostředek.
Pokud by to bylo jak tvrdíte, pak by vlastně nemělo smysl vyhodnocovat el. podpis u datových zpráv z ISDS od fyzických osob, což není pravda.
Nemáte pravdu. Vůči OVM můžete komunikovat bez el. podpisu a jako autentizace se bere vaše odchozí datová schránka. Takže ano, el. podpis odesílatele nahrazuje ID vaší datové schránky.
Neznám úkon vůči OVM u kterého by nestačila identifikace datovkou, můžete být konkrétní?
Jinak v případě OVM je povinnost používat el. podpis vždy (pokud je to technicky možné). Můžete být konkrétní, jak česká legislativa toto "změkčuje" a v kterých případech upouští od podepsání el. podpisem?
El. podpis nemůže nahradit zaslání datovkou. A žádná "česká" legislativa nemůže základní princip eIdas změnit. Česká legislativa, jak o tom je i tento článek, pouze změkčuje nutnost používání el. podpisu a v některých případech upouští od podepsání el . podpisem a nahrazuje ho autentizací. To je ale pro řadu úkonů nemožné.
To já právě beru jako výhodu. Jako občan se nemusím obtěžovat s nějakým podepisováním PDF, když chci něco poslat OVM (soud, exekutor, město, atd.). Prostě to frknu do datovky a oni to berou, že je to ode mne, protože to přišlo z mojí schránky.
Poslední věta není problém soudu, to je vlastnost datovek a provádějícího zákona, který toto umožňuje. Kdyby to tak nebylo, tak musíte lidi naučit s el. podpisem a jak si ho vyběhat na poště. A to by se většina z nich na to vyprdla (z těch co již dnes používají DS) a dál by to řešili papírem.
Exekutoři vše zasílají datovkou a ta si žije vlastním životem eIDAS NEeIDAS :)
Soudy dodnes pořádně nerozlišuí nosič zprávy jako obálku od vlastního právního jednání jakožto elektronického dokumentu. Pro ně prostě platí, co proleze datovkou je jakoby podepsané, dá se přiřadit vlastníkovi dané datovky a basta.
Vdaka elektronizacii mozeme vypustit z osobitnych predpisov ako nalezitost uradneho rozhodnutia podpis uradnika a vsetky rozhodnutia budu opatrene len kvalifikovanou elektronickou pecatou uradu. Usetria sa tak miliony na kvalifikovanych certifikatoch na elektronicky podpis.
Nové občanky budou plnohodnotným QSCD. Jak se píše v článku, problematické je vydání certifikátu s příznakem uložení privátního klíče na QSCD. Příznak vkládá do certifikátu certifikační autorita, která ručí za obsah certifikátu a nevloží tento příznak, pokud nemá dostatečnou míru jistoty o správném generování klíče uvnitř QSCD.
Na rozdíl od jiných technologií (FIDO/WebAuthn, TPM), které disponují mechanizmem atestace, není důkaz původu klíče v oblasti QSCD standardizován. Nové občanky však mají implementovánu podporu pro tvorbu důkazu původu klíče, která umožňuje prokázat původ klíče z QSCD, a to i na dálku. Tato funkcionalita bude dostupná certifikačním autoritám a je jen na nich, zda a kdy tuto funkcionalitu implementují.
Technicky nová občanka umožňuje implementaci celého procesu vzdáleného vydání kvalifikovaného certifikátu s klíčem na QSCD s využitím elektronické identifikace úrovně vysoká.
Bohužel z legislativních a organizačních důvodů se nedá neočekávat, že v brzké době bude možné vydat qvalifikovaný certifikát s příznakem původu klíče na občanku. Vzdálenému vydání brání legislativa, která neumožňuje certifikační autoritě stát se kvalifikovaným systémem podle zákona o elektronické identifikaci. Jedinou cestou je tedy cesta prezenční, která vyžaduje, aby držitel vložil občanku do čtečky certifikační autority a zadal do ní podpisový PIN.
Zpusob, jakym to CR celkove realizuje, se mi nelibi. U fyzickeho podpisu funguje kuprikladu jako urcita pojistka externi autorita - notar, a pak samozrejme specificke fyzikalni atributy. U elektronicke verze je jen lokalni kryti - PINem nebo nejakym heslem, nebot i certifikace na FIPS 140-2 je "jen" v dobre vire.
Libilo by se mi, pokud by to bylo spise zalozeno na libovolnych technikach tridy OTS (prislusny token by naplnil statni organ) jeste navic se zapojenim MFA pro oficialni potvrzeni kazdeho jednotliveho pouziti tokenu. Pokud by v danem case nebyl mozny on-line MFA, tak by se postupovalo off-line pres papir s opsanim prislusneho digest k danemu podpisu. Tim by bylo s vysokou mirou pravdepodobnosti znemozneno zneuziti digitalniho podpisu, pricemz pro bezneho uzivatele by se oproti implementovanemu zpusobu prakticky nic nezmenilo.
Třeba exekutoři mají s pečetí smůlu, pečeť nelze vydat fyzické osobě. A hodně exekutorům se dokumenty generují na serveru, kde klíče byly dosud uložené v systému.
A další problém (konkrétně my) máme v tom, že app servery se "stěhují" on-the-fly v rámci Xen clusteru po různých fyzických serverech (výpadky serverů, vytížení, atd.) a HW token je pouze na jednom fyzickém serveru.
No, musíme se s tím nějak poprat.
Přihlašování do portálů veřejné správy se tento článek (ani zmíněná výjimka zákona) nijak netýká.
Ale jak to bude s automatizovaným pečetěním kvalifikovanou pečetí generovaných výstupů Czechpointů, Datovek, PVS apod., to je jiná věc - podle mě to je problém ještě víc zanedbaný než podpisy zde zmíněné a jistě by si to zasloužilo vlastní článek.
Úředníci mají mít své privátní klíče uložené na bezpečnostním prostředku už dávno. Nejde dokonce jen o to, že někdo může jeho certifikát zneužít, ale že se on sám při nějakém maléru se může na možné zneužití klíče vymlouvat. Pokud měl povinnost mít zabezpečeně uložen privátní klíč a o prostředek se náležitě starat, je pak problém zneužití čistě na něm.
Zatím jedinou výhodu vidím v tom, že dotyčný snadno zjistí, že prostředek už nemá - ztratil jej. Jinak, normální úředník pracuje s agendou na jediném PC, nemá potřebu mít prostředek, se kterým by mohl přecházet mezi počítači (nějaké drobné výjimky asi budou, ale ti už mají karty nebo tokeny). Tato mobilní výhoda tokenu je spíš jen domnělá, stejně jako další omluvná obezlička - že si uvědomí, že pracuje s podpisem když musí připojit fyzické zařízení. Certifikát v systému jednoho PC je zneužitelný v případě, že se útočník dozví heslo. Když se útočník dozví heslo, zneužije i kvalifikovaný token. Asi nebudeme přepokládat, že běžný úředník bude vždy ukládat token do trezoru, že. A pokud ho bude nosit s sebou, tím spíš ho ztatí, zapomene. Je větší riziko, že se token ztratí nebo rozbije, než že přijde o počítač s certifikátem v úložišti (se zálohou zaheslovaného certifikátu v zabezpečeném datovém trezoru jinde). Certifikát na kvalifikovaném token nebo kartě bude existovat pouze jeden na jednom místě, tedy pouze jeden originál, což je dobrá jistota. ale na druhou stranu není možnost zálohy a certifikáty nejsou zadarmo.
Ano, bezpecnost kvalifikovanych certu je vetsi. Ale taky to zalezi na cloveku. Ale pohodli? To ani omylem. Kdyz tu kartu nekdo ztrati (coz je o dost lehci, nez ztratit PC :P), je taky zneuzitelna. A to, cim si bude muset clovek projit, nez ziska znovu certifikat.. Ale nechci aby to vyznelo ve stylu "vyrobit klice chvili trva, tak proc mit na baraku zamky". To jiste ne. Jen to neni tak cernobile.
A odpoved na titulni otazku? Ale no tak... Bavime se o ceske statni sprave!
90% z nich zjisti, ze je pruser, nejdriv tyden pred terminem. Spis mesic po nem. A nekteri az po pul roce, az je nekdo bude otravovat, ze mu poslali neco, co uz podle legislativy neni spravne. Neverite? Kamarad, ktery ma datovou schranku, do dneska(!) pravidelne resi se svym mestskym uradem, ze mu vsechno tvrdohlave posilaji postou a na datovou schranku kaslou. Ti lidi jsou totiz desne otravni a komplikujou chudakum urednikum zivot. No uznejte, 9999 lide je normalnich a jeden je exot s DS. To jim dela urcite naschval. Ale oni se nenechaji a stejne mu to poslou postou :)