Ad neexistující aplikace
- řešení, na které pravděpodobně dojde: Na www se vzplní formulář, klikne se na "zformátovat", výsledkem je stránka s formulářem zpracovatelným elektronicky, ale citelnym. Popis rozhrani urad oficielne zverejni. (Případně se ještě obvěří chyby vyplnění). To se zkopíruje do mailu, podepíše a odešle.
Není to ideální, ale je to schůdné, u CZ-NICu www rozhraní tohoto typu funguje léta.
Z hlediska bezpecnosti je to lepsi nez nejaka cerna skrinka binarni aplikace, ve ktere se neco naklika, vlozi cetifikat a ona neco odesle.
Ad neexistujici pouziti
Nemusi to pouzivat jen statni sprava, "kvalifikovany certifikat akreditovaneho poskytovatele" je prirozenym kandidatem na standardni zpusob digitalniho podpisu. Dodatek, ze posta podepsana timhle zpusobem, se povazuje za podpesanou, se muzew zacit vyskytovat ve spouste smluv, co me tak napada, od distributoru elektriny az opet po ten NIC, napr.
Ad cena
Kdyz se to misto s doporucenym dopisem srovna s dopisem s overenym podpisem, vypada to docela jinak. Overeni 40Kc/stranku, dopis rekneme za 10, kdyz pocitame v prumeru o trochu vic nez 1 stranku, mame teba 70Kc/dopisu, cili uz 10 opravdu urednich dopisu, a navic se usetri opruzujici jezdeni k notari. Urcite jsou pripady, kdy dig. podpis muze nahradit soucasny uredne overeny podpis, a posila se dost dopisu.
Ad nemoznost sifrovani
Proc? Alespon jednosmerne - sifruje se klicem prijemce, urad muze zverejnit verejny klic pro sifrovane podavani a tuto moznost nabidnout jako alternativu k plaintext mailu.
Ad podpisovaci aplikace
Applety jsou. Podle x509ky jedou uz nejmin 4 "internetove banky", oni dokonce jedou podle zakona, akorat nejsou "akreditovanimi poskytovateli" a tusim ani certifikaty nejsou "kvalifikovane". "k.c.a.p." nepouzivaji imo spis proto, ze 1) vetsinou pouzivaji system hned nekolika certifikatu a sifrovacich, takze infrastrukturu by useli budovat stejne 2) pro vydani "k.c.a.p." jsou prisnejsi podminky, museli by za to platit, pravdepodobne honit klienty jeste nekam 3) pouziti vlastnich certifikatu a zaroven akceptovani kcapu by urcite slo, ale jenom by jim to ztizilo implementaci.
Nicmene kdyz se certifikaty podle x509 odvazili nasadit v praxi, a desetitisice lidi to pouzivaji, problemy se znalostmi uzivatelu a aplikacemi asi nesjou neprekonatelne.
Ad alternativy
Proboha, jen ne hesla, jen ne hesla... Uz ted bych si mel pamatovat vic nez 30 hesel, asi 15 pinu a 4 passphrase. Krome toho je pro cloveka vhodne, aby si pamatoval treba nekolik telefonnich cisel, rodne cislo, ruzne datumy narozeni atp. A rychle to houstne, vetsina internet bankingu treba znamena tri hesla/passphrase. Pravda, hesla vyzaduji i certifikaty, ale tam se to alespon v principu da resit treba hardwarovymi klicenkami, s jednim pinem pro hafo certifikatu. Hesla a piny uz ruzne statni urady vymysleji uz ted, ale aby se to stalo standardnim zpusobem zabezpeceni, pro kazdy urad jedno heslo, neeee.
Ad zavery
Souhlasim, ze pro spoustu ucelu neni dig.podpis a certifikaty potreba. Vetsina uradu mailem normalne komunikuje a ty stiznosti na hluk prijima, coz se predpokladam nijak nezmeni tim, ze budou prijimat i dopisy podepsane.
Myslim, ze noseni klicenky s certifikaty stejne nastane. Ja treba ty desitky rozlicnych, kryptograficky silnych, hesel s pomoci Casio DB100 s mensimi problemy zvladam - ale myslim, ze v tomhle ohledu vubec nejsem normalni. Pokud to budete pozadovat po kazdem, skoncite s tim, ze bude mit vetsina lidi stejne heslo na freemailu jako na bankovnim uctu jako na financnim urade. Po uspesnem utoku na freemail si pak zlodeji overi majetkove pomery sto tisic uzivatelu a tem bohatsim vyberou ucty. Myslim take, ze standardem, na kterem to cele pojede, bude x509ka. Smysl standardu je v tom, ze stejne klicenky, stejne programy a stejne uzivatelske navyky budou fungovat u bankovnictvi jako u kontaktu se statni zpravou jako u dalsich aplikaci, ktere vubec neznam.
Co bych dodal na konec, ze si myslim, ze pokud se zaroven radikalne nezlepsi zabezpeceni klientskych pocitacu, nezmizi vselijake Vyhlidky, vyrobci vselijakych oknek nebudou zodpovedni za skody zpusobene ruznymi ficurami, , uzivatele neprestanou klikat na obrazky.vbs, atp., prijdou _velke_ problemy.
Ad nemoznost sifrovani
Proc? Alespon jednosmerne - sifruje se klicem prijemce, urad muze zverejnit verejny klic pro sifrovane podavani a tuto moznost nabidnout jako alternativu k plaintext mailu.
Nejsem si ted vubec jisty, tak me pri omylu moc nekamenujte: Zakon podle me vubec nepredpoklada existenci nejakeho klice URADU, ale pouze klice (a kvalifikovane certifikaty) jednotlivych uredniku. Adresa e_podatelny je spolecna pro cely urad, takze nebudete moct konkretizovat osobu adresata. Obsah mailu je prece sifrovany. Snad jen to napsat do Predmetu ("Priznani Pepy Nose, k rukam slecny Financni"), anebo pridat nesifrovanou cast - neco jako pruvodni dopis.
Vidim ale daleko zavaznejsi nedostatek (samozrejme ne ZoEP). Na vsechno mate predepsane lhuty, ze. Jak zajistite doruceni e-mailu s priznanim na urad vcas? Jak se dozvite, ze byl dorucen vcas? Jak pozdeji (i za 3 roky?) uradu dokazete, ze byl alespon odeslan??? Z hlavicky mailu prebirajici aktualni nastaveni ve Vasem PC asi tezko, ze vsech logu po ceste snad, ale dost obtizne. Muselo by to vse zavazne jit pres nejakou vseobecne uznavanou nezavislou "centralni sluzbu pridelovani casovych razitek", nejakou obdobu postovni prepazky, odkud si odnesete podaci listek s datem podani a o vic se nestarate - pokud nedorucej, jste mimo problem. Nevim, zda neco takoveho na Inetu vubec funguje, ale bez jednotneho casu a nezpochybnitelnych e_dorucenek to nevidim dobre... Coz ale nic nemeni na tom, ze by se soucasny rodici se system nemel vsemozne zkouset (viz muj drivejsi pomerne nadseny prispevek vyse). Akorat bych si dovolil odhadnout prakticke pouziti tak na prespristi vladu.
hmm 1. proc posilat mail ? vyplnit webovy dotaznik , kliknout submit a trada - zadne prodlevy ,proste bud je vyplneno a odevzdano ,nebo neni
2.pokud je treba poslat email ,taky to neni problem - kazdy mail v internetu ma svoji dobu zivotnosti ,po ktere je zahozen a odeslan mail s oznamenim o nedorucitelnosti - a jak zjistit ze mail byl dorucen - klasicka sluzba dnesnich mail klientu - po precteni odeslou zpravu s elektronickym podpisem.... - coz je vlastne dorucenka...
1. Zákon přikazuje zřízení e_podatelny, což je "sběrná" mailová adresa úřadu (podobně jako jeho kamenná adresa nebo číslo na spojovatelku). Nějaké aktivní www formuláře jsou prozatím jen ničím nepodloženým přáním. Nehledě na to, že nevidím důvod cokoliv s rizikem vnesení chyby přeťukávat z okna s účetním programem do www-formuláře v kanálu šifrovaného spojení, který pak slavnostně epodepíšu... (Vyplnění některých přiznání trvá i dvě hodinky.)
2. Ano, vtipná bude třeba reakce, kdy někdo na serveru úřadu změní datum na -1 rok... Potíž je v tom, že jsou případy, kdy nemůžu čekat ani půl dne na reakci, "jestli to prošlo". (Třeba je zrovna poslední hodina lhůty.) Potřebuji nějaký spolehlivý a před úřadem nezpochybnitelný doklad už v okamžiku, kdy nad cestou mého podání na stůl příslušného úředníka ztrácím kontrolu. To dnes dostanu jen na Poště nebo přímo na podací přepážce úřadu. Nehledě na to, že tento doklad je někdy nutné HNED PŘILOŽIT k následným podáním i jiným institucím. (Třeba ode dne skutečného podání přiznání příjmů se odvíjí lhůta pro podání přehledu a doplacení zdravotního pojištění.)
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).
