Názory k článku Elektronický podpis na nic?

S jednou vydaným certifikátem (respektive odpovídajícím privátním klíčem) může být podepsána jakákoli smlouva - a je na držiteli certifikátu aby dokázal, že tento podpis neprovedl on, pokud dojde ke zneužití 3. osobou.

Mozna je to slovickareni, ale presto, pro presnost - dukazni povinost je na tom, kdo zaluje, takze pokud ja jako drzitel smlouvy popiram platnost nejake smlouvy s tim, ze jsem ji nepodepsal a odmitam plnit jeji ustanoveni, tak pokud me protistrana zaluje je to prave ona, kdo bude odkazovat, ze jsem smlouvu podepsal ja (coz neni ekvivalentem tvrzeni, ze zprava je podepsana el. podpisem, ktery drzim), nikoli, jak tvrdite, ze ja budu dokazovat, ze jsem nepodepsal.

Jina vec je pokud ona strana dobrovolne uzna, ze jsem smlouvu nepodepsal, ale zalovat me bude pro nahradu skody vznikle v souvislosti se zneuzitim meho podpisu.

Mne se clanek velmi libil. Autor tomu rozumi a ma na vec nejaky nazor podporeny kvalifikovanymi argumenty.. Ma byt povinnosti autora, navic autora komentare, si svuj nazor okamzite vyvratit a tim padem vyprodukovat ambivalentni blabol?

1. Zákon přikazuje zřízení e_podatelny, což je "sběrná" mailová adresa úřadu (podobně jako jeho kamenná adresa nebo číslo na spojovatelku). Nějaké aktivní www formuláře jsou prozatím jen ničím nepodloženým přáním. Nehledě na to, že nevidím důvod cokoliv s rizikem vnesení chyby přeťukávat z okna s účetním programem do www-formuláře v kanálu šifrovaného spojení, který pak slavnostně epodepíšu... (Vyplnění některých přiznání trvá i dvě hodinky.)

2. Ano, vtipná bude třeba reakce, kdy někdo na serveru úřadu změní datum na -1 rok... Potíž je v tom, že jsou případy, kdy nemůžu čekat ani půl dne na reakci, "jestli to prošlo". (Třeba je zrovna poslední hodina lhůty.) Potřebuji nějaký spolehlivý a před úřadem nezpochybnitelný doklad už v okamžiku, kdy nad cestou mého podání na stůl příslušného úředníka ztrácím kontrolu. To dnes dostanu jen na Poště nebo přímo na podací přepážce úřadu. Nehledě na to, že tento doklad je někdy nutné HNED PŘILOŽIT k následným podáním i jiným institucím. (Třeba ode dne skutečného podání přiznání příjmů se odvíjí lhůta pro podání přehledu a doplacení zdravotního pojištění.)

To urcite ne, SSL stejne jako TLS je definice protokolu. SSL pochazi puvodne z dilny Netscape a behem standardizace v ramci IETF byl prejmenovan na TLS. Neexistuje zadne standardni API jako ma napriklad LDAP.

Autor článku zmínil nebezpečí pro uživatele - a mne překvapuje, že se k tomu nikdo z diskutujících nevyjádřil.
Podle mne je to největší problém.
S jednou vydaným certifikátem (respektive odpovídajícím privátním klíčem) může být podepsána jakákoli smlouva - a je na držiteli certifikátu aby dokázal, že tento podpis neprovedl on, pokud dojde ke zneužití 3. osobou.
Ačkoli bych pro účely testování několik tisíc investoval (certifikát+karta+čtečka), toto riziko mne odrazuje. Nerad bych za čas zjistil, že jsem uzavřel několik životních pojistek, daroval auto, přenechal byt ... Dokazovat, že jsem něco NEUDĚLAL, je v principu nemožné.
Jistě, věřím, že privátní klíč při uvažování reálně dostupných technických prostředků nelze z karty zkopírovat. Ale co fáze generování klíče - je generován na kartě nebo externě a na kartu nahráván ? Další riziko je moje PC - při připojení (právě teď) jsou každých cca 15 minut scanovány jeho porty (viz HoneyNet). Jsem "znalý" uživatel, ale NIKDY bych s určitostí netvrdil, že vím o všech aplikacích, které jsou na mém PC právě spuštěny. Tím pádem nemohu s jistotou vědět, jeké dokumenty (resp. jejich hash) posílám čipové kartě k podpisu.
Kdyby existovala možnost požádat o kvalifikovaný certifikát pouze pouze pro určité operace, např. pro autentizaci přístupu, využil bych ji. Zákon o EP s touto možností nepočítá. Pár klíčů+certifikát s neomezeným použitím (a zneužitím) - děkuji nechci.

No a je někde v zákoně pojem "písemná forma" je vysvětlen tak, že vylučuje digitální písemnou formu?
O tom silně pochybuji, protože tím by elektronický podpis postrádal jakýkoliv smysl...

hmm 1. proc posilat mail ? vyplnit webovy dotaznik , kliknout submit a trada - zadne prodlevy ,proste bud je vyplneno a odevzdano ,nebo neni
2.pokud je treba poslat email ,taky to neni problem - kazdy mail v internetu ma svoji dobu zivotnosti ,po ktere je zahozen a odeslan mail s oznamenim o nedorucitelnosti - a jak zjistit ze mail byl dorucen - klasicka sluzba dnesnich mail klientu - po precteni odeslou zpravu s elektronickym podpisem.... - coz je vlastne dorucenka...

... ale jaky je zasadni rozdil mezi SSL a TLS?

Ja tomu rozumim tak, ze SSL je API, ktere je nadstavbou nad BSD sockets API (nekdo mozna muze komunikovat i po siti a pouzivat neco jineho nez sockety, napriklad streams blahe pameti), zatimco TLS je definice protokolu (bez ohledu na API).

Mozna se pletu.

-Yenya

no nebyl bych si tak jistý. Pakliže je v zákoně, že některá smlouva (např. převod nemovitostí atd.) je možná pouze písemnou formou, a pojem "písemná forma" je vysvětlen tak, že vylučuje digitální písemnou formu, pak jej ani jiné smluvní pojednání nemůže změnit.
P.S.: čím jste podepsali smlouvu o použití PGP?

Ale proč ne? Pořád zde někdo hledá důvody, proč to NEJDE, ale že by to autor vubec vyzkoušel, to neee....

Abych byl konkretni - nektere městské úřady již přijímají elektronicky podepsaná podání, např Praha 5 - viz.např

http://podatelna.praha5.cz/

A nepište "datumu" :-)

Nesouhlasím. Pokud si přečtu na Lupě články např. p. Peterky, vidím snahu o objektivitu a je tu vždy pohled z různých stran na věc.

Zato tento poslední článek p. Ludvíka nemohu pochopit jinak, než že autor hledá pouze argumenty PROTI el. podpisu.

To už je ale jiný problém. Bezny dopis lze take zahodit => stejny efekt.

Ad nemoznost sifrovani
Proc? Alespon jednosmerne - sifruje se klicem prijemce, urad muze zverejnit verejny klic pro sifrovane podavani a tuto moznost nabidnout jako alternativu k plaintext mailu.

Nejsem si ted vubec jisty, tak me pri omylu moc nekamenujte:
Zakon podle me vubec nepredpoklada existenci nejakeho klice URADU, ale pouze klice (a kvalifikovane certifikaty) jednotlivych uredniku. Adresa e_podatelny je spolecna pro cely urad, takze nebudete moct konkretizovat osobu adresata. Obsah mailu je prece sifrovany. Snad jen to napsat do Predmetu ("Priznani Pepy Nose, k rukam slecny Financni"), anebo pridat nesifrovanou cast - neco jako pruvodni dopis.

Vidim ale daleko zavaznejsi nedostatek (samozrejme ne ZoEP). Na vsechno mate predepsane lhuty, ze. Jak zajistite doruceni e-mailu s priznanim na urad vcas? Jak se dozvite, ze byl dorucen vcas? Jak pozdeji (i za 3 roky?) uradu dokazete, ze byl alespon odeslan??? Z hlavicky mailu prebirajici aktualni nastaveni ve Vasem PC asi tezko, ze vsech logu po ceste snad, ale dost obtizne.
Muselo by to vse zavazne jit pres nejakou vseobecne uznavanou nezavislou "centralni sluzbu pridelovani casovych razitek", nejakou obdobu postovni prepazky, odkud si odnesete podaci listek s datem podani a o vic se nestarate - pokud nedorucej, jste mimo problem. Nevim, zda neco takoveho na Inetu vubec funguje, ale bez jednotneho casu a nezpochybnitelnych e_dorucenek to nevidim dobre...
Coz ale nic nemeni na tom, ze by se soucasny rodici se system nemel vsemozne zkouset (viz muj drivejsi pomerne nadseny prispevek vyse). Akorat bych si dovolil odhadnout prakticke pouziti tak na prespristi vladu.

Jsem rad, ze na i-netu zaznivaji ruznorode nazory, a to konecne i v pripade e-podpisu, dosud tomu tak temer nebylo (pouze sama budovatelska hesla typu "Amerika jiz ma e-podpis a my nic!").

Neco poznamek:

Zejmena fazi pripravy ZoEP chybela sirsi obcanska diskuse.

Pro oblast obcanskeho prava je ZoEP nevhodny, proc do nej tvurci ZoEP vrtali? Postacovala stavajici pravni uprava.

Nechte lidi, at si vyberou, GPG (PGP rulez) nebo neco jineho, ale nenutte je jednat vzdy dle ZoEP.

Sam ZoEP je brzdou rozsireni e-podpisu.

A pro verejnou spravu ustanovte pravni zaklad pro neco, co neni jen zalozeno nebo zavisle na produktech fy Microsoft a ji podobnych.

Novelizujte ZoEP co nejrychleji.

Nebo radeji napiste novy, protoze text ZoEP je textem prelozene evropske smernice. Zakony se vsak nedaji delat prekladem evropskych technicko-politickych norem.

A necinte na lidech dalsi socialni inzenyrstvi.

V Komoře daňových poradců právě ověřujeme podávání přiznání k DPH. (Příjmy sice přiznává víc lidí, ale jen 1x ročně.)

A nejsou jen přiznání, je fůra odvolání, ohlašování změn, prostě jen texty - e_podatelny úřadů jsou zřízené, certifikáty máme, tak jen do nich! Říká se tomu tuším průzkum bojem...

Jinak se chystají veřejné XML formuláře, taky závazné ISO češtinování a konečně snad postupně zmizí .DOCy a podobné "standardy" jednotlivých správců z jednotlivých úřadů.

Pro zájemce o plánované propojování úřadů navzájem je pár textů třeba na ministerstvu financí...

Přesně tak a i kdyby měla PIN klávesnici zůstává tu ještě možnost modifikace OS a podepisovacího SW tak, aby ač si budete myslet, že podepisujete dokument A, budete ve skutečnosti podepisovat dokument B.

Druhá strana prostě dopis zahodí (smaže), aniž Vám přijde jakákoliv informace, že dopis byl vůbec doručen.
- Přece nemůžete takhle nelogicky přeskakovat odstavce!

Autor v článku krásně vyargumentoval několik důvodů, proč elektronický podpis je "na nic" pro komunikaci se státní správou. Jako další autoři však zapomněl na 1 klíčovou věc - el. podpis (a na něj navazující kroky) nemusí sloužit, resp. být lidmi vyžadován, primárně pro komunikaci se státní správou.

Uvedu 1 příklad:
Sázení na Internetu je pro občany ČR zakázáno. Mezi několika důvody i pro anonymitu na Internetu.

Vezměme si však situaci, kdy pan Hušák zadá poslancům do Parlamentu, ať mu schválí nový loterijní zákon, který povolí sázení na Internetu - el. podpis odbourá anonymitu a poslanci to bez reptání schválí. V tom okamžiku se Sazka stane největším katalyzátorem pro vydávání el. podpisů.

Můžeme najít celou řadu podobných případů, kdy zákon je nutný, přitom primárně neslouží pro státní správu.

Ano, jenomže někdo má PGP, někdo vlastní CA a X.509 nebo co je to za číslo, ještě jiný HW el. klíč... Navíc ZEP je opora pro opatrnější lidi, kteří by se sami nic takového neodvážili navrhnout.

Že jo! Měli by být rádi, že se jim vůbec přiznáme k tomu, kolik jsme vidělali. :-) Musím říct, že mně nikdy nenapadlo, že by DP mohl podepsat čtyřletý klučina.

Používáme PGP a tím to hasne. Co si dáte do smlouvy, to platí.

Něco jsem chtěl od živnostenského úřadu a napsal jsem jim mail. Na první neodpověděli, ale po urgenci nakonec odepsali. Žádný certifikát jsem nepoužíval. Jednalo se o Karlovy Vary.

Pokud si všimnete, tak na většině živnostensko-právních a daňově-správních formulářů je kolonka pro váš e-mail. Než složité a drahé certifikáty, myslím, že by pro jistý druh komunikace stačilo, že bude akceptována jen pošta z této adresy. Ano, vím, je jednoduché to obejít, ale KDO BY TO DĚLAL?

To mi reknete, co jste myslel tim "primo idealnim nastrojem jak si usnadnit zivot drobneho zivnostnika".

Podle mých informací by to bylo zcela zbytečné, jelikož úřady většinou nejsou ochotny s občany komunikovat ani na bázi elektronické pošty, už vůbec neuznávají elektronický podpis a odeslat daňové přiznání v elektronické podobě prý naprosto nelze.

(Toto platí v celé Praze, vyjma úřadu Prahy 5, ten je ochoten elektronicky komunikovat a el. podpis částečně uznává)

Ad neexistující aplikace
- řešení, na které pravděpodobně dojde: Na www se vzplní formulář, klikne se na "zformátovat", výsledkem je stránka s formulářem zpracovatelným elektronicky, ale citelnym. Popis rozhrani urad oficielne zverejni. (Případně se ještě obvěří chyby vyplnění). To se zkopíruje do mailu, podepíše a odešle.

Není to ideální, ale je to schůdné, u CZ-NICu www rozhraní tohoto typu funguje léta.

Z hlediska bezpecnosti je to lepsi nez nejaka cerna skrinka binarni aplikace, ve ktere se neco naklika, vlozi cetifikat a ona neco odesle.

Ad neexistujici pouziti
Nemusi to pouzivat jen statni sprava, "kvalifikovany certifikat akreditovaneho poskytovatele" je prirozenym kandidatem na standardni zpusob digitalniho podpisu. Dodatek, ze posta podepsana timhle zpusobem, se povazuje za podpesanou, se muzew zacit vyskytovat ve spouste smluv, co me tak napada, od distributoru elektriny az opet po ten NIC, napr.

Ad cena
Kdyz se to misto s doporucenym dopisem srovna s dopisem s overenym podpisem, vypada to docela jinak. Overeni 40Kc/stranku, dopis rekneme za 10, kdyz pocitame v prumeru o trochu vic nez 1 stranku, mame teba 70Kc/dopisu, cili uz 10 opravdu urednich dopisu, a navic se usetri opruzujici jezdeni k notari. Urcite jsou pripady, kdy dig. podpis muze nahradit soucasny uredne overeny podpis, a posila se dost dopisu.

Ad nemoznost sifrovani
Proc? Alespon jednosmerne - sifruje se klicem prijemce, urad muze zverejnit verejny klic pro sifrovane podavani a tuto moznost nabidnout jako alternativu k plaintext mailu.

Ad podpisovaci aplikace
Applety jsou. Podle x509ky jedou uz nejmin 4 "internetove banky", oni dokonce jedou podle zakona, akorat nejsou "akreditovanimi poskytovateli" a tusim ani certifikaty nejsou "kvalifikovane". "k.c.a.p." nepouzivaji imo spis proto, ze 1) vetsinou pouzivaji system hned nekolika certifikatu a sifrovacich, takze infrastrukturu by useli budovat stejne 2) pro vydani "k.c.a.p." jsou prisnejsi podminky, museli by za to platit, pravdepodobne honit klienty jeste nekam 3) pouziti vlastnich certifikatu a zaroven akceptovani kcapu by urcite slo, ale jenom by jim to ztizilo implementaci.
Nicmene kdyz se certifikaty podle x509 odvazili nasadit v praxi, a desetitisice lidi to pouzivaji, problemy se znalostmi uzivatelu a aplikacemi asi nesjou neprekonatelne.

Ad alternativy

Proboha, jen ne hesla, jen ne hesla... Uz ted bych si mel pamatovat vic nez 30 hesel, asi 15 pinu a 4 passphrase. Krome toho je pro cloveka vhodne, aby si pamatoval treba nekolik telefonnich cisel, rodne cislo, ruzne datumy narozeni atp. A rychle to houstne, vetsina internet bankingu treba znamena tri hesla/passphrase. Pravda, hesla vyzaduji i certifikaty, ale tam se to alespon v principu da resit treba hardwarovymi klicenkami, s jednim pinem pro hafo certifikatu. Hesla a piny uz ruzne statni urady vymysleji uz ted, ale aby se to stalo standardnim zpusobem zabezpeceni, pro kazdy urad jedno heslo, neeee.

Ad zavery

Souhlasim, ze pro spoustu ucelu neni dig.podpis a certifikaty potreba. Vetsina uradu mailem normalne komunikuje a ty stiznosti na hluk prijima, coz se predpokladam nijak nezmeni tim, ze budou prijimat i dopisy podepsane.

Myslim, ze noseni klicenky s certifikaty stejne nastane. Ja treba ty desitky rozlicnych, kryptograficky silnych, hesel s pomoci Casio DB100 s mensimi problemy zvladam - ale myslim, ze v tomhle ohledu vubec nejsem normalni. Pokud to budete pozadovat po kazdem, skoncite s tim, ze bude mit vetsina lidi stejne heslo na freemailu jako na bankovnim uctu jako na financnim urade. Po uspesnem utoku na freemail si pak zlodeji overi majetkove pomery sto tisic uzivatelu a tem bohatsim vyberou ucty. Myslim take, ze standardem, na kterem to cele pojede, bude x509ka. Smysl standardu je v tom, ze stejne klicenky, stejne programy a stejne uzivatelske navyky budou fungovat u bankovnictvi jako u kontaktu se statni zpravou jako u dalsich aplikaci, ktere vubec neznam.

Co bych dodal na konec, ze si myslim, ze pokud se zaroven radikalne nezlepsi zabezpeceni klientskych pocitacu, nezmizi vselijake Vyhlidky, vyrobci vselijakych oknek nebudou zodpovedni za skody zpusobene ruznymi ficurami, , uzivatele neprestanou klikat na obrazky.vbs, atp., prijdou _velke_ problemy.

Lupa ale vzdy byla pouze o komentarich a nazorech, nikdy jsme nepredstirali objektivitu. To je ostatne jen iluze. :-)

Myslite si, ze je to v tomto pripade relevantni? Nehlede na to, ze to v uvodu clanku neni uvedeno, ze se jedna pouze o pohled profesionala, a ze cilem clanku je popis nazoru, nikoli seriozni novinarina.

Ctenarum je celkem jedno, cim se autor zabyva profesionalne. Ctenare zajima obsah z nehoz si zpravidla utvori vlastni nazor.

Musim Vam trochu oponovat. Autor neni novinar, ale bezpecnostni konzultant, tj. praven, s jehoz nazorem si prejete byt seznamen. :-)

Nerad bych znevazoval praci novinare, ale uverejneny clanek je typicky priklad demagogie a zavadeni ctenaru do slepe ulicky.

To, ze si novinar mysli, ze eletronicky podpis neni k nicemu, jeste neznamena, ze tomu tak opravdu je.

Priznavam, ze pouziti pro nas obycejne lidi zatim neni evidentni, ale pro male zivnostniky je primo idealnim nastrojem jak si usnadnit zivot drobneho zivnostnika.

Myslim si, ze prace novinare je seznamovat ctenare s tou ci onou problematikou, popr. popisem soucasneho stavu a vyjadrenim stanoviska zucastnenych stran.

V posledni dobe si novinari na Internetu zvykly stale neco kritizovat. To podle mne neni novinarina, ale vyjadrovani vlastnich nazoru, coz radu lidi velmi ovlivni a vede to k upadku ctenosti clanku na Internetu.

Co jste tím chtěl říct? Že autor článku studoval na univerzite?

Ehm, to ze HTTPS neni to same co SSL, to bych jeste bral, ale jaky je zasadni rozdil mezi SSL a TLS? Vzdyt jde o dve jmena pro presne tu samou vec, snad az na cislo verze (TLSv1 je vlastne SSLv4).

> Elektronický podpis vyvolaný stistknutím příslušného tlačítka v Outlooku mojí vlastní rukou není vlastnoruční podpis?

Není.

I.CA vám na přání vydá kvalifikovaný certifikát na čipové kartě... Je to také dražší, a musíte si zkoupit čtečku čipovek.

Mimochodem, mám velké obavy, že ani certifikát na čipovce není zcela bezpečný. On je totiž chráněný pinem, a čtečky dodávané I.CA nemají vlastní klávesnici na PIN. PIN je tedy nutné zadávat do aplikace ve Windows, což znamená, že potenciálně nějaký trojský kůň může PIN odchytit a použít pro další podepisování....

To není tak jednoduché. Vláda schválila nařízení, které říká, že úřad je poviven el. podání přijímat, pokud tak stanoví zvláštní předpis. To znamená, že je nutné novelizovat předpisy, kterými se řídí jednotlivé orgány státní správy, jeden po druhém.

Nevíte někdo, kterých úřadů se to již dnes týká?

Ale vždyť na podání daňového přiznání finanční úřad naklade žádné nároky. DP může být podáno kýmkoli a (tužkou)podepsáno kýmkoli, takže věřím, že až FÚ bude přijímat DP elektronicky, bude takové elektronicky podepsané podání považovat za luxusně pravé a ověřené....

Banky vydávají klasické komerční certifikáty, a ty jedou podle pravidel, které si banka "dohodla" s klientem.

Samozřejmě by bylo lepší používat kvalifikovaný certifikát a to jak pro komunikaci emailem s úřady tak k přístupu do banky. Technicky to není problém, banky to ale nechtějí a asi ani chtít nebudou -- pro ně by to znamenalo vyšší náklady a vyšší odpovědnost, kterou v současné době přesouvají částečně na klienta.
Srovnejte si cettifikační politiku I.CA a podmínky produktu Netbanka....

Ví někdo, kdy se bude použít e-podpis skutečně. Tedy od kterého datumu budou muset umět státní správy komunikovat elektronicky.
Ani nepiště, že to už jde teď.

Ne, je to tak, jak jsem psal. S požadavkem na "vlastnoručnost" jsem se ve smlouvách moc nesetkal...pokud je něco podepsáno správnou osobou, tak ta "vlastnoručnost" této osoby je v tom implicitně obsažena.
Ale máte pravdu, pro elektronický podpis to nemusí platit. I když, kde je definice slova "vlastnoruční"? Elektronický podpis vyvolaný stistknutím příslušného tlačítka v Outlooku mojí vlastní rukou není vlastnoruční podpis?

Takže se ve smlouvách možná setkáme s ještě lepšími formulacemi co je a co není podpis. Např, že musí být učiněn propisovací tužkou. Proč ne? Nikdo přece elektronický podpis nechce, takže...

jak uz nekdo rekl zakon o el. podpisu neslouzi pouze pro vydavani certifikatu pro komunikaci s urady, ale umoznuje napr. bankam aby pro el. komunikaci s klienty mohli vyuzivat certifikatu jakozto pravne platneho podpisu. dneska to jsou tusim eBanka a Netbanka.

Zatím moc nevydělají, doposud vydali jen 74 kvalifikovaných certifikátů, z toho je velká část zaměstnanců I.CA, PVT, CSOB a dalsích "spřažených" firem, který jej nejspíš dostali zdarma:

http://q.ica.cz/qcrt.cgi?action=getcertlist&sn_f=&sn_t=&nb_f=01.01.2000&nb_t=01.01.2003&na_f=&na_t=&cn=&email=&o=&ou=&l=&st=

Pokud je ve smlouve uvedeno, ze vypoved musi byt pisemna s vlastnorucnim podpisem, tak maji pravdu. Elektronicky podpis neni vlastnorucni. Smlouva je smlouva.

Prijde mi, ze technicka uroven clanku na Lupe je cim dal tim horsi.

"Je pravda, že SSL (jinak též TLS nebo HTTPS) (...)." = je pravda, že SSL (a vyjma toho také TLS nebo HTTPS) atd.

Je tam proste jen pouzita "dvojsmyslnna" formulace. (Coz samozrejme pada na moji hlavu - omlouvam se.)

Nevim kdo vyhraje. Mozna to budete vy, ale soudy, jak znamo dopadaji ruzne a dokud nebudou zname nejake precedenty, da se tezko usuzovat. Zkuste se svou otazku radeji jit k nejakemu pravnikovi :-).

"Napadlo vás někdy, že pro základní elektronickou komunikaci se státní správou by vlastně stačil email bez elektronického podpisu a pro vyplnění daňového přiznání přes Internet obyčejné heslo?"

:-) Pro vetsinu lidi je jakekoliv zabezpeceni stejne na nic. V tomhle pripade - pokud si budou heslo volit sami, zvoli si v 90 procentech pripadu sve krestni jmeno. Pokud jim ho prideli urad a bude mit tvar nikoliv "janicka" ale "90XcvTF5yzu6", pak 1, nebudou ho pouzivat, nebo 2, napisou si ho v praci na papirek a ten nalepi na monitor pocitace. Leo

Dám příklad. Mám s nějakým subjektem klasicky uzavřenou smlouvu na poskytování služby. Rozhodnu se podat výpověď. Výpověď napíšu elektronicky, podepíši jí elektronicky a pošlu e-mailem. Druhá strana ji přijme a odpoví mi, že elektronicky podepsanou výpověď neuznává (ve smlouvě je typicky uvedeno, že musí být písemná a podepsaná příslušnou osobou). Argument druhé strany mě nezajímá a považuji výpověď za platnou. Přestanu službu čerpat a platit a druhá strana mě zažaluje, pro neplacení. Kdo u soudu vyhraje?

Mimochodem smlouva o účtu je ze zákona povinně písemná, jinak je neplatná, takže to zrovna není vhodný příklad.

Navíc k tomu, aby podpis opravdu mohl spolehlivě sloužit, jde o samotnou bezpečnost podpisu, kde tentokrát mám na mysli zamezení proti zkopírování. Podpis by zřejmě měl být na čipové kartě opatřené zamezení proti kopírování. Jak bude posuzován případ, kde bude zneužit zcizený podpis prostřednictvím útoku hackera? Když se dívám na logy pokusů o průnik do našeho systému z internetu, tak mám docela husí kůži...

Jinými slovy, domnívám se, že tam, kde je požadován můj podpis, jej mohu realizovat elektronicky a nepotřebuji k tomu souhlas druhé strany
----

Principielne mate asi pravdu. Druha strana ale nemusi s timto zpusobem uzavreni smlouvy souhlasit. A ke smlouve jsou zapotrebi nejmin dve strany. Takze urcita mira souhlasu nad prostredky, kterymi se smlouva uzavira asi potreba je.

V nekterych pripadech je ustne uzavrena dohoda take pravne platna, a taky z toho nikdo neodvozuje zavery, ze banka mi MUSI otevrit ucet na zaklade ustni domluvy. Take tu je asi rozdil v dukazni vaze, ktera je pri ruznych zpusobech uzavirani dohody/smlouvy ruzna.

Stejne je to u dostupnych metod. Kdyz druha strana nema email, tak se mi s ni asi smlouvu nepodari uzavrit.

"Elektronická komunikace v rámci soukromě- a komerčně-právních vztahů je podmíněna oboustranným souhlasem a dostupnými metodami tak jako tak ...."

Zde autor naznačuje, že snad je nutné uzavřít smlouvu o tom, že souhlasíme se vzájemným používáním elektronické komunikace a jedině tak budou strany elektronický podpis uznávat. S tímto tvrzením nesouhlasím.

Občanský zákoník říká:

(3) Písemný právní úkon je platný, je-li podepsán jednající osobou; činí-li právní úkon více osob, nemusí být jejich podpisy na téže listině, ledaže právní předpis stanoví jinak. Podpis může být nahrazen mechanickými prostředky v případech, kdy je to obvyklé. Je-li právní úkon učiněn elektronickými prostředky, může být podepsán elektronicky podle zvláštních předpisů.

Z čehož rozumím, že právní úkon podepsaný elektronicky je platný naprosto stejně jako právní úkon podepsaný klasicky. Jinými slovy, domnívám se, že tam, kde je požadován můj podpis, jej mohu realizovat elektronicky a nepotřebuji k tomu souhlas druhé strany.

V případě, že se mýlím, prosím o zdůvodněnou argumentaci.

Podle mého názoru se v článcích jako je tento dost často zapomíná na jednu zásadní věc: Zákon o elektronickém podpisu tady není jenom pro komunikaci s úřady.

Pravda, i bez bylo něj možno lépe či hůře obchodní elektronickou komunikaci provozovat. Ovšem pouze mezi nestátními subjekty (které jak známo mohou činit vše, co zákon nezakazuje, zatímco úřady smějí dělat jenom to, co jim zákon výslovně ukládá). Navíc ZEP dává pevný právní rámec a tolik potřebnou právní jistotu pro obecné použití el. podpisu.

Souhlasím s tím, že ZEP je komplikovaný (nazval bych ho asi tím nejlepším ze špatných řešení), ale ony všechny obecně užívané technologie EP jsou pro většinu uživatelů (tím myslím ty, co nejsou schopni ani ke zprávě přiložit attachment) velmi komplikované.

Jsme teprve na začátku cesty, ale věřím že se situace zlepší i poté, co začnou EP a certifikáty používat i komerční firmy.

Ach ty univerzity, co z nich vyleze, za moc nestoji :-(

nebo že by bylo Petrů Ptáčků více?

Ne, Petr Ptáček není Daniel Dočekal. Nebo jste skutečně tak paranoidní a podezvřívavý, že za vším vidíte DD?

WTF?

• SSL = secure sockets layer (API pro zabezpecenou komunikaci nad sockety).
• TLS = Transport Layer Security (popis toho, jak na obecny transportni protokol (jako treba TCP) nasadit sifrovani).
• HTTPS = Protokol HTTP, zabaleny od zacatku do konce do SSL/TLS spojeni.

Krome HTTP muze byt do SSL/TLS obalky zabaleno i velke mnozstvi jinych protokolu - casto se napriklad vyuziva pro POP3 (nazyva se pop3s) nebo IMAP (imaps).

Prijde mi, ze technicka uroven clanku na Lupe je cim dal tim horsi.

-Yenya

Zkusil už někdo v praxi poslat nějaký "důležitější" dokument (nejlépe daňové přiznání :) podepsaný el. podpisem na nějaký úřad? Jak dopadl?

Petr Ptáček je Daniel Dočekal?

Ano, to je přesné! V téhle podobě je to prostě na nic. Jediný, kdo na tom vydělá, je CA (1.CA ?), když vyláká od dostatečného monožství nadšenců a důvěřivců peníze za zbytečný certifikát za přehnané ceny. Pro běžnou osobu je to drahé a obtížně použitelné, pro firmy prakticky nepotřebné. A stejně předpokládám, že úřady budou po elektronickém podání chtít dodat ještě papír, nejlépe také notářsky ověřený! :)))