Začetla jsem se do popisu postupů. Mají poněkud nešikovně (pro uživatele) uděláno "prodloužení" certifikátu. Místo toho, aby se žádost dala podepsat starým certifikátem a nemuselo se nikam chodit, je nutno opět přijít na registrační autoritu. Cituji:
"Obnova certifikátu
Platnost certifikátu je jeden rok. V dostatečném předstihu si musíte požádat o obnovu certifikátu. Proces obnovy certifikátu je totožný s vydáním prvního certifikátu. Vygenerujete si nové klíče a vytvoříte žádost o certifikát, dojde k uzavření nové smlouvy a následně je vydán certifikát. Při uzavírání smlouvy musíte předložit smlouvu k původnímu certifikátu."
Jen nechápu, proč se má předkládat stará smlouva, když se uzavírá nová. Snad místo dvou dokladů totožnosti?
Doufám, že to do toho roku, co platí certifikát, změní.
Zajímavé, ale...
Starost o identitu občana je v prvé řadě záležitost státu, u něhož má tento občan registrované občanství. Základní kvalifikovaný podpis by měl být součástí např. občanského průkazu. Tím spíše, že občan jej většinou potřebuje pro styk s úřady domovského státu.
Zároveň není dotčena možnost či právo ostatních subjektů vystavit si certifikáty vlastní, odpovídající jejich (přísnějším) podmínkám.
si rekni svym zakonodarcum, protoze oni zmrsili zakon o epodpisu tim ze do zakona vyslovne uvedli ze toto nemuze delat stat, ale musi to delat soukrome instituce :)
To mne take dostalo. Ja doma nemam snad zadnou disketu a nepoouzil jsem ji jiz nekolik let. A do dalsiho pocitace co si budu kupovat tak disketovku nenamontuji - je to zbytecnost.
Snad to pujde i pomoci Flask Disku.
Já si do počítače FDD musel dát kvůli babě účetní, bo ta není schopna (ochotna) použít jiné médium. Takže ji použiju jednou za čtvrt roku kvůli DPH a pak kvůli dani z příjmu. No a přitom jsem narazil na problém, že zhruba každá třetí disketa je čitelná pouze v mechanice, která ji naformátovala. Takže poběžím na poštu, tam disketu nepřečtou, běžím znovu...
V Ebance jsem byl take s USB diskem. Bankerka nevedela o co presne jde, ale uplny martan jsem nebyl, vypadalo to ze o tom nekde slysela. Rekla ze vubec nevi o co jde ale vedela ze se to strka do pocitace, protoze odsunula zidli a ja jsem vlezl pod stul a zapojil USB. Dale vedela kam ma jit kdyz jsem rekl at "ukaze disky". Trochu mimo byla kdyz to sice nasla ale po dablkliku to nic nedelalo. Tak jsem ji rekl, ze to nema asociovany at to nacte z toho "jejich programu". Po slove "asociovany" ji vyhrl sopel na stul. Po kratkem boji (prochazet ...) to nacetla a vyjekla ze je to ono.... Na konci zase rekla "tak si to pane vyndejte".... Celkove jsem z toho mel dobry dojem, protoze to byla profesionalka a chovala se pokorne. Tzn. ze me nevykladala co vi ona a nevysvetlovala ze to co vim ja k nicemu a ze ji to nezajima.
Byl by v cervik v ebance na worstejnu bankerky k necemu? Mozna by nejaka zabava asi byla (treba nejaky vyplatni pasky, pekny fotky jejiho psa), ale 7 000 Kc mesicne na bankovnich poplatcich platim proto ze kdyz posilam penize z cizich pocitacu a nekdo sejme klavesnici tak je mu to k nicemu. Nejsem doufam nejak prehnane naivni?
Obavam se ze to je naprosto standardni postup, ani v bance neumi certifikat nahrat na nic jineho, respektive neumi to obsluha. Kdyz jsem se zeptal jestli mi to daj na RWcko, tak mi rekla, ze asi jo a kdyz jsem s nim prisel (jsa vybaven pro jistotu paklikem disket), tak ho vrazila do mechaniky a snazila se to na neni ulozit stylem: cesta a: => zmenime na d:. Tak jsem ji vysvetlil, ze takhle to asi neklapne. USBcko jem radsi ani nezkousel, lizt v bance nekde pod stolem a pripojovat cosi, jeste by me zavreli. Nakonec mi to nahrala 3x na disketu a bylo, ja pak doma hodinu hledal mechaniku ve vecech "nekdy se muze hodit".
Já v bance náhodou dělám, takže: Dle požadavků bezpečáků máme zakázané USB, v PC není ani obyčejná CD-ROM, natož vypalovačka a certifikát neprojde přes mailserver, ten ho zahodí jako nebezpečnou přílohu. Ale snad se blýská na lepší časy, klienti se ozývají, takže to USB zřejmě povolí.
Osobne bych take spise preferoval banku ktera ma natolik kvalifikovane IT specialisty kteri jsou schopni technicky zabezpecit i moznost pouziti dnes zcela beznych flash disku ci pametovych karet jako nastroje pro vymnenu dat. Neoblomne trvavani na pouzivani prehistorickych a dnes jiz takrka zapomenutych technologii z bezpecnostnich duvodu je z meho uhlu pohledu jen alibismus tech linych a neschopnych.
Zrovna u MS Windows je zabezpeceni USB celkem utopie. Vzpomenme hackovani pres funkci automatickeho spusteni pred cca rokem a v dobe nedavne upgrade na admin prava v ovladaci mass storage diky sikovne upravenemu USB disku. A takovych der tam jiste jeste par ciha. Ten system je vnitrne postaven s predpokladem - A: nebo B: neco ciziho, cokoliv vyse = muj vlastni duveryhodny disk.
Jedine skutecne reseni tehle situace je pouzivani cipovych karet nebo ekvivalentnich zarizeni.
Proc MS Windows? Copak ceska posta (o ktere je v clanku rec) neprodelala strategicky presun na Linux platformu ? Matne si vzpominam ze jsem o tom nekde cetl.
Mluvili jsme o bance a at to byla jakakoliv, tak to znamena windows na stanicich. Posledni banka s Unixovymi terminaly byla CSOB a pokud jsem videl, tak uz jsou vsechny na smetisti.
V pripade posty je problem jiny, jejich bezne PC nema zadne USB porty ani CDROM/CDRW mechaniku. I kdyz pro RA asi nejaka novejsi PC nasli.
Navic ac vim dost dobre jak je udelane reseni posty a IPB, tak netusim, jestli ICZ svoje reseni udelalo v tomto frameworku a nebo ne. Pokud by bylo delane stejnym stylem, jiste by mohli data z USB/CD/diskety dostat na server stejnym zpusobem, tezko rict, proc to neudelali.
Pokud udelali neco pro windows a RA bezi na windows a s postovnim systemem sdili jen ethernet, tak v plne mire plati moje namitka, ze windows se proste chovaji k disketam zcela jinak nez ke zbytku zarizeni a snadnost zavirovanu disketou je radove mensi, nez pres CD/USB.
Vzhledem k tomu, ze vystupem pro klienta je balik obsahujici pod linuxem provozovatelnou aplikaci zabalenou v win32 .exe souboru a vyjadreni, ze na aplikaci pro ostatni platformy se pracuje, tak je druha varianta asi pravdopobnejsi.
= jdete tam pracovat, to si ale musite skutecne verit, ze vase know-how v oblasti bezpecnosti je natolik vysoke, vas zamestnavatel musi pripravit dostatecne velky rozpocet abyste mohl absolvovat napr. vsemozna skoleni, provozovat vyzkumne projekty apod apod
protoze jsem v bankach pracoval, i kdyz ne dikybohi na pobocce, verte mi, ze jsem mistni adminy proklel az za hrob nekolikrat, a to se me nastesti tykaly jen veci typu blokace vsech portu krome 80
obecne je fyzicke predani klientovi prusvih, skoro si myslim, ze by posta mela zahrnout do nakladu i maly USB disk nebo proste jedno CD-R medium
Muzete mi vysvetlit jaky je rozdil mezi disketou, USB a vypalovackou z hlediska bezpecnosti ? At premyslim jak chci, krom rychlosti prenosu dat nevidim zadny. Pokud o tom totiz nevite, misto diskety lze do mechaniky vlozit rozhrani a to pripojit trebas na externi disk. Jen se budou data prenaset trochu pomalu.
ja rozumim na co narazite, me slo o primarne spis o to, aby dane medium pochazelo od posty a nikoli klienta, diskety pak ignoruji uplne... neslo mi tedy o zabezpeceni dat jako takovych proti jejich zkopirovani opravnenym uzivatelem... na to jsou jine paky
Možná se to někomu zdá jako sen, ale znám ze své praxe MNOHO organizací, kde CD ROM v počítačích je sen nedostižný a bez diskety by nemohli dojít k počítači odkud je možné odeslat email. Jiný zajímavý případ je ten, kdy ČSSZ při příjmu žádosti o certifikát VYŽADUJE disketu, a ARCHIVUJE je.
Využitelnost tohoto certifikátu je sporná. Snad na doma ke komunikaci s kamarádem. Pro státní správu, zdravotní pojišťovny a další, kteří obecně pracují přes portál je tento certifikát k ničemu. Pokud tedy vědomě neporuší zákon, jak to dělají některé zdravotní pojišťovny a neuznají podpisový i pro přístup. Dle litery zákona jsou nutné oba, jak přístupový, tak podpisový. I když v době, kdy si každý dělá ze zákona kašpárka, je to možná jedno, ale jen do prvního průseru. Takže buďto Česká pošta přehodnotí rozsah certifikátu, nebo se změní zákon. Do té doby je to jen hračka na doma.
Na hraní na doma nepotřebujete žádnou certifikační autoritu. Někteří laici si dokonce myslí, že bez certifikační autority nemohou používat elektronické podpisy/šifrování ani mezi sebou. Není tomu tak.
Certifikační autorita je jenom o důvěře. Pokud se sejdu se svým obchodím partnerem, vyměníme si věřejné klíče, zkontrolujeme fingerprinty a oba tomu věříme, pak je to úplně stejné.
Certifikační autorita existuje jen proto, aby si nemusel věřit "každý s každým", ale stačí, aby každý věřil této certifikační autoritě.
To já vím. Ale k čemu je mi podpisový certifikát, když většina úřadů jede přes portál a tam mi podle zákona tento nestačí. Pochopitelně, že mezi známými klidně mohu používat třepa PGP. Teď důvěryhodnější? české pošty. Ale přehled na zdravotní pojišťovnu, tedy pokud tato vědomě neporuší zákon, hpld nepošlu. Leda by to chtěli posílat e-mailem, ale o takové nevím. Do bynky taky nedám příkaz emailem a má to svůj důvod.
Trochu me znervoznuje diskriminace na MSIE 6+ a WIN. Co ostatni platformy (Linux, MAC OS?). Preci si clovek nebude v bazaru kupovat PC za pak korun, instalovat nelegalni WIN aby mohl obcas neco podepsat, kdyz jinak WIN nepouziva. Co treba pocitace, kam FDD nejde pripojit (Apple Imac, MAC MINI - viz. apple.cz)?
Vydany certifikat muzete pouzivat kdekoli, kde ho podporuje SW. Co se generovani zadosti tyka, ke stazeni poskytuje postovska autorita Java aplikaci - bohuzel jen jako balik pro Windows. Nicmene, po instalaci se vytvori adresar, ktery je pouzitelny pres
java -jar postSignumTool.jar
Vsechny komponenty, ktere jsou soucasti baliku jsou cista Java, takze by to melo bezet kdekoli, kde je java 1.4.
Jen pro uplnost seznam komponent - vse jsou free veci:
Avalon Framework
Batik (SVG renderer)
FOP (XSL FO procesor)
Bouncy Castle Crypto Library
Mimochodem ... pokud chcete nastorj pouzivat jinde, nez na Windows, stahnete si onen balik zde: http://postsignum.r73.info/
A jeste ke flash disku .. v Praze v Jindrisske jsem pochodil s flash diskem ... ale byl to nestandardni den .. rekl bych, ze se tam sesel cely management projektu a sledovali, jak to slape :-) tak me k registracni autorite do prvniho patra vyvedl nejaky okravatovany pan ...
Postup, jak se s flashkou vyrovnali: clovet z IT podpory (rekl bych) moji zadost zkopiroval na disketu .. tu mi dal .. s disketou jsem si vyridil vse .. a pak mi z diskety zase zkopiroval certifikat na flashdisk ....
Kdyby si nekdo zkopiroval zadost o certifikat nebo certifikat samotny, nemuze z nej bezne rekonstruovat soukromy klic nutny k elektronickemu podepsani.
Certifikat je verejny dokument a certifikacni autority ho bezne vystavuji primo na webu ( http://s.ica.cz/crt.cgi nebo http://qca.postsignum.cz/www/query_crt.php ).
Takze ani kdyby si ho nekdo neopravnene okopiroval, nedoslo by tim k naruseni bezpecnosti ani duveryhodnosti CA.
Jine je to s ochrannou soukromeho klice - medium s nim bych ale rozhodne nikomu nepujcoval s ohledem na §5 ZoEP.
co to je za blbost ? naruseni bezpecnosti ?
ten IT z posty ma jiste podepsanou mlcenlivost a vse je pod kontrolou (papirovou). Jak jinak byste to chtel zabezpecit ?
... soudruzi úředníci si stejně budou uznávat podpis jen od té certifikační autority, od které uznají za vhodné (nebo která zaplatí?), viz třeba " Certifikáty tohoto typu vydává v současné době akreditovaná certifikační autorita 1.CA. Certifikáty nesplňující výše uvedené požadavky nelze použít pro elektronické podepsání formuláře v této aplikaci." (http://forms.mpsv.cz/sspforms/Zabezpeceni.jsp#cert)
Hmmmm... Prima: zájemce si zajde na poštu s DISKETOU(!!!). A certifikát dostanou pouze ti, kteří přijedou koněspřežkou nebo mají naději i ti, co použijí motocykl Laurin & Klement?
Naše společnost se zabývá zprostředkováním digitálních podpisů přímo na míru, ať už jste fyzická osoba, podnikatel či organizace. Vyřídíme za Vás veškeré papírování a komunikaci s certifikační autoritou. Získané digitální podpisy Vám samozřejmě pomůžeme nainstalovat a zprovoznit na Vašich počítačích. http://www.digitalni-podpis.cz