Názory k článku Když zamrzne peklo: jak dopadne spojení digitalizace státní správy a grafického tendru
-
L.tin (neregistrovaný) 93.99.152.---
Největší problém ale je s certifikátem právě na té instituci, kde se mají "otevírat" obálky (dešifrovat soukromou částí). Bohužel jsem na jedné instituci byl nucen tento klíč rozdat na 4 PC + NTB (samozřejmě s heslem, jinak by nabídky nemohli dešifrovat). Tomu říkám pak úroveň zabezpečení (žádný trezor, nutnost aby všichni pracovníci mohli v případě zastupitelnosti dešifrovat). Marně jsem vysvětloval, že v případě takového množství, je kompromitace soukromé části jen otázkou času ...
-
Thom (neregistrovaný) ---.otidea.cz
MMR si asi přečetlo zdejší kritiku a za peníze daňových poplatníků vypsalo veřejnou zakázku na servis aplikace NEN https://www.transparentne.cz/Public/Zakazka.aspx?ZAK_ID=222287
Jenom 104.000.000,- Kč. Zajímavé na tom je, že zakázka je vypsána před termínem Vánoc s termínem podáním nabídek 15.1.2019 -
"Autor se tak zřejmě dobrovolně vyloučil z tendru, neb příjemce jeho soukr. klíč nemá ani při nejlepší vůli by tedy zašifrovanou zprávu nebyl schopen dešifrovat..."
No vida. A ja se naivne domnival, ze sifroval privatni casti klice, aby se verejnou casti dalo rozsifrovat ...
Jak jest dobre, ze tu mame experty, keri nam problematiku objasni. -
Při tom podání vstupují do hry dvě dvojice klíčů – stejně jako třeba při posílání podepsaného šifrovaného e-mailu. Jedna dvojice slouží k elektronickému podpisu, vlastníkem privátního klíče je podepisující a stvrzuje se tím, že dotyčný s dokumentem souhlasí – v případě podání nabídky do výběrového řízení tedy stvrzuje tuto nabídku a to, že za uvedených podmínek je ochoten danou věc realizovat. Elektronický podpis nahrazuje vlastnoruční podpis na nabídce předávané v listinné podobě. Pak je tam druhá klíčová dvojice, ta slouží k šifrování. Vlastníkem privátního klíče je ten, kdo výběrové řízení vypsal. Šifrování zajišťuje to, aby se k nabídce nemohl nikdo dostat před uzavřením výběrového řízení a připravit tak konkurenční nabídku, která bude mít např. stejné parametry, ale o malinko nižší cenu. Šifrování nahrazuje to, co se v listinné podobě řeší zalepenými obálkami s nápisem „neotvírat“ a razítkem a podpisy přes zalepenou část.
-
Trr (neregistrovaný) 94.142.237.---
Pravdu díte, šifrovat měl veřejným klíčem příjemce.
Nicméně, citace:
--
Registrovat se do tohoto nástroje je možné pouze s elektronickým podpisem, o který si můžete zažádat např. u České pošty, která spravuje tool PostSignum. Pro grafiky běžná věc, ale jelikož jsem výjimka, ne zrovna user-friendly proces na pobočce jsem absolvoval (a abych jej využil, zuřivě digitálně podepisuji každý mail, protože to každý řeší).
--
Tipoval bych, že má tedy klíč určený k podpisu zpráv, nikoliv k autentizaci.
--
„Data jsou zašifrována vaším elektronickým podpisem a ne klíčem dodaným NM.“
Ten je, pravda, často zmiňován v zadávací dokumentaci. Tak často, až je tam jen jednou. A aby bylo jasné, k čemu je, chybí jakýkoliv popis, jak, kdy a proč jej použít a jakou spojitost má s NEN. Na můj dotaz, kde jsem tuto informaci měl získat, mi již nebylo odpovězeno.
--
Autor se tak zřejmě dobrovolně vyloučil z tendru, neb příjemce jeho soukr. klíč nemá ani při nejlepší vůli by tedy zašifrovanou zprávu nebyl schopen dešifrovat... -
Zákon vůbec neřeší, kdo konkrétně je vydavatelem certifikátu, ale k čemu je certifikát určen – zda je to podpisový certifikát, nebo autentizační/šifrovací. I. CA (i další certifikační autority) poskytuje oba dva druhy certifikátů, jak podpisové tak i šifrovací/autentizační (a ještě další). To rozlišení je důležité, protože při autentizaci podepisujete výzvu serveru, kterou nevidíte – pokud byste takhle použil podpisový certifikát, můžete podepsat dokument podstrčený útočníkem.
Jinak asi jste zapomněl, k čemu šifrování slouží – aby se k danému dokumentu (nebo datům) nedostal nikdo jiný, než ten, komu je dokument určen, vlastník privátního klíče. Když dokument zašifrujete jiným veřejným klíčem, příjemce data samozřejmě nedokáže rozšifrovat, protože nemá odpovídající privátní klíč. Konkrétně když to podepíšete svým podpisovým certifikátem, máte privátní klíč jen vy – nikdo jiný než vy to tedy rozšifrovat nedokáže.
-
Mard (neregistrovaný) ---.net.upcbroadband.cz
Ano, ja take mam neblahou zkusenost :-( Dcera (administrativni sila se znalosti nekolika jazyku a VS ekonomickym vzdelanim) si vyzadala mou konzultaci, jako cloveka s vice nez 30-ti roky zkusenosti s IT a dostal jsem zadani vlozit do NEN jejich nabidku do tendru. Musim rici ze i studenti stredni skoly umeji udelat lepsi system nez je NEN. Strasliva funkcnost (spise nefunkcnost) musi byt zamer, jinak si to nedovedu vysvetlit. Po asi 5 hodinach pokusu se podari vlozit, podepsat a podat nabidku (a jeden chybny predchazejici pokus uspesne vymazat). Tendr skoncil tak, ze bylo celkem 10 nabidek, z toho jen 2 podany se spravnym podpisem (nabidka s mou pomoci jedna ze dvou) ale konkurencni nabidka neobsahovala vsechny prilohy (jejich nahravani byl zapeklity orisek) a tak s mou pomoci podana nabidka vyhrala. Zda se ze pro NEN plati zeneni potreba mit dobre ceny, hlavni je vubec dokázat nabídku podat!
-
To by nebyl dobrý nápad. S tím privátním klíčem by se muselo manipulovat – musel by se zkopírovat do toho jednoúčelového zařízení. Takže by musel být povolen jeho export. Už jenom tím by se bezpečnost velmi snížila.
Stačí při šifrování dat přiložit k nešifrovaným informacím ten certifikát, který byl použit pro šifrování, nebo alespoň jeho název. Předpokládám, že používají standardní CMS, tam jsou pro to definované standardní atributy. Bez toho by příjemce musel zkoušet, který privátní klíč má pro dešifrování vlastně použít. Je to stejný princip, jako u podepisování – tam se také přikládá celý certifikát, aby příjemce nemusel hádat, kdo to asi tak podepsal a zkoušet všechny veřejné klíče, které zná.
Pak to můžete ověřit bez dešifrování, že byl použit ten správný klíč. Pokud by to někdo zašifroval svým vlastním softwarem a přiložil by tam jiný certifikát, než kterým to doopravdy zašifroval, je to jeho chyba.
-
Ne NEN (neregistrovaný) ---.net.upcbroadband.cz
Ano, za NEN by měl jít někdo sedět. Horší systém si lze jen těžko představit...
Občas přes něj také podáváme nabídky a nejednou jsme se setkali s tím, že zadavatel sice zakázku vypíše přes NEN, ale veškeré podklady žádá zaslat papírově poštou :) Evidentně se jim s tím také nechce dělat, nebo to neumí.
Například na Slovensku to mají řešeno mnohem lépe - https://www.eks.sk/
Vše jede klasicky v html, žádná Java, Flash ani Silverlight. Uživatelské prostředí je celkem jednoduché a přehledné. Na začátku je trochu pruda registrace do systému, je potřeba doložit více než 10 různých dokumentů, ale na pár let pak máte pokoj a už je znovu dokládat do jednotlivých výběrovek nemusíte.
Zadavatelé jsou tam navíc anonymní, takže teoreticky by nemělo jít výběrovky nestandardně ovlivňovat. Po podání nabídek vždy následuje i elektronická aukce, takže svou nabídku můžete ještě vylepšit a zadavatel má zajištěno vysoutěžení nejnižší ceny.
-
-JVB- (neregistrovaný) 193.107.255.---
Dobrý den,
s odpornou stokou NEN jsem Bohu žel také musel pracovat. Vše, co popisujete, musí absolvovat každá z obětí Veřejných zakázek realizovaných skrze tento nepoužitelný hnus. Dal jste si s tím hodně práce a je škoda, že v tomto případě tu patrně je podlimitní zakázka a tak nemůžete podat stížnost na ÚOHS. Pokud se díky tomuto článku dáte dohromady z ostatními účastníky, s kterými si Národní muzeum díky "certifikátu" protřelo řiť, tak doporučuji podat společnou žalobu.
Držím palce
-JVB- -
dino (neregistrovaný) 217.30.65.---
Bez znalostí privátního klíče to asi nepůjde, ale proč by jej systém neměl znát? Někdo tady psal, že by měl být v trezoru a z něj vyndán až po uzavření nabídek, nicméně kdyby byl na samostatném jednoúčelovém železe s nepopiratelným auditem přístupů (nebo lépe řečeno zabezpečen na stejné úrovni jako ten trezor) a navenek byla vystavena akorát služba, které pošlete nabídku a vrátí prostou odpověď je/není řádně podepsána, ničemu by to imho nevadilo a za ty prachy by to mělo být realizovatelné.
-
Josef (neregistrovaný) 213.108.162.---
Co takhle podat trestní oznámení na neznámého pachatele? Já být vámi, tak se nerozpakuji. Klidně anonymně. Takovýto postup je totiž minimálně nedbalost při správě veřejných prostředků a to ve velkém rozsahu. A chápu, že policie bude mít problém pochopit, co říkáte, ale třeba budete mít štěstí a narazíte na policistu, co vám rozumět bude.
-
GA (neregistrovaný) ---.mason-net.cz
Proces správný, provedení naprosto katastrofální, a ne, hodnotu 8mil. měsíčně to opravdu nemá - ale drahé to bude, protože takhle to spatlat, to musí spotřebovávat spoustu času :D
Ale hlavně, ten podpis nabídky klíčem zadavatele je provedené naprosto tragicky, měly by k tomu být certifikáty (ty asi tedy jsou) a systém by měl vědět, zda byl použit vhodný klíč (proč to proboha nekontroluje, proč? to je na přesdržku, opravdu...)
-
Dnes se obvykle k šifrování používaní asymetrické šifry, které pracují se dvěma klíči – veřejným a soukromým. To, co je zašifrováno veřejným klíčem, jde rozšiřovat pouze jemu odpovídajícím soukromým klíčem. To má tu obrovskou výhodu, že můžete veřejný klíč klidně takhle vystavit na internet a šifrovat jím může každý, ale dešifrovat příslušné zprávy pak může jenom ten, kdo vlastní privátní klíč.
-
Tom Garcy (neregistrovaný) ---.net.upcbroadband.cz
Dobrý den, to dává smysl, proč je ale tedy klíč, kterým měly být nabídky zašifrovány, veřejně ke stáhnutí zde? Nebo tomu možná jen špatně rozumím. https://nen.nipez.cz/SeznamPlatnychProfiluZadavatelu/MultiprofilZakladniUdajeOZadavateliM-18804467/SeznamZahajenychZadavacichPostupu-18804467/ZakladniInformaceOZadavacimPostupuM-444225050-18804466/ZadavaciDokumentace-444225050-18804466/
-
dino (neregistrovaný) 217.30.65.---
Když se podíváte na https://nen.nipez.cz/UzivatelskeInformace/ProvozniInformace, zjistíte, že mají minimálně dvě prostředí, produkční a referenční. A každý rok v posledním kvartálu nasazují nové funkčnosti, takže nějaký vývoj probíhá. Pokud k tomu připočteme infrastrukturu s dostatečnou spolehlivostí a bezpečností vzhledem k důležitosti systému, lidi o ni se starající, helpdesk... Pak ano, teoreticky vzato by provoz takového systému tolik stát mohl.
Ale jaká je realita? Mají-li FE v Silverlightu a navíc obsahuje hromadu "slepých uliček", v jakém stavu je asi BE? Ve výsledku to na mě působí, že mají s dodavatelem smlouvu na áčkové Audi, ale jezdí Fabií, konečně i ta je doveze z bodu A do bodu B.
-
tom (neregistrovaný) ---.ipv6.broadband.iol.cz
..." (dle mého pravidla udělat vždy něco navíc)" - proboha jen to ne! To jsme taky jednou dělali výběrové řízení a jedna ze stovek položek byl návrh designu brožury... já hlupák udělal návrhy dva ať si vyberou.... Celé stotránkové výběrko zcela zbytečná práce páč přisla odpověď samozřejmě až po vyhodnocení, že nesplňujeme zadání páč jsme k bodu návrh designu brožury poslaly návrhy dva....
-
Zrovna to zašifrování klíčem zadavatele je jedna z mála správných věcí a zabezpečuje to férovost mnohem lépe, než papírové obálky. K nabídce se nemůže dostat nikdo bez privátního klíče, a privátní klíč by měl být uchován někde v trezoru a z trezoru vyndán a použit až po uzavření nabídek. Samozřejmě se to dá vylepšit i tak, jak to má např. kořenová DNS zóna, že je ten klíč rozdělen na části, aby nestačilo, že jeden člověk zná heslo k trezoru. Oproti razítku a podpisu na zalepené obálce je to úplně jiná úroveň zabezpečení.
-
fd (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----
Ja bych vasi vetu u(o)pravil - statni sprava ma pouze takove systemy. Nehorazne (o mnoho radu) predrazene a zcela nepouzitelne. A jak to jiz ve statni sprave byva, nikdo za nic nemuze, protoze objednavky a smlouvy nejspise nikdo nepodepsal.
-
Petr M (neregistrovaný) ---.145.broadband16.iol.cz
Ale úřednický požadavky to přece plní:
1) Předvybraný vítěz nemá konkurenci, nikomu se s tím nechce bojovat a bude malá provize.
2) Předvybraná firma to za pár miliard překlopí jinam a bude velká provize.Víc přece nikdo soudný od digitalizace nečeká... Ne s touhle vládou a úřednictvem.
-
petr (neregistrovaný) ---.cust.vodafone.cz
Microsoft announced the end of life of Silverlight 5 in 2012. Internally, even proponents of the technology thought Extensible Application Markup Language as a concept was a bad idea from the start, and Microsoft deprecated Silverlight for HTML5 in Windows 8. [7] In 2013, Microsoft announced that they had ceased development of Silverlight except for patches and bug fixes. ... Microsoft has set the overall support end date for Silverlight 5 to be October 2021.[8] It is no longer supported by Google Chrome since September 2015,[9][10] and by Firefox since March 2017[11] (although it wasn't supported by Microsoft since December 2016[9]). There is no Silverlight plugin available for Microsoft Edge.[5][9]. Support for IE7-8 was removed between 2014-2016, depending on the OS[9]. Support for IE9-11 will last until late 2021, depending on the OS [9], (https://en.m.wikipedia.org/wiki/Microsoft_Silverlight )
Nerika se tomu jizda na mrtvem koni? :-(
-
pietro (neregistrovaný) ---.cust.vodafone.cz
Já s touto perlou státní správy pracuji takřka denně a musím konstatovat, že to je opravdu super nástroj .... pokud chcete mít každý den migrénu. Myslím, že každému musí stačit že to CELÉ běží na Silverlightu a bude mít jasno o kvalitě produktu. Ale nebojte, Silverlight bude důvod proč udělat upgrade na Flash verzi a nebude to stát ani moc peněz (asi jako OpenCard+Blanka). Plánované výběrko bude dostupné 100% na NENu, takže máme všichni stejné šance :-)
-
fd (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----
Nezbyva nez souhlasit, vsichni se poplacali po zadech, vyplatili odmeny za zvladnute vyberove rizeni, a predem urceny vitez zajiste vyhral. Provozovatel systemu pak zajiste nabidne na pristich 10let slevu, nebude jiz chtit 100M rocne, ale 80M mu postaci.
-
- Fullstack developer React + Kotlin
- Site Reliability Engineer
- SysOps - Systems Engineer
- +++ Test analytik (long term, celá ČR) +++
- Programátor embedded - elektronika - firmware
- Správce informačních technologií – odd. uživatelské podpory
-
- Obsahová strategie I: První kroky
- Psychologie přesvědčivosti: Umění ovlivňovat
- Knihovny na SharePointu 4: nastavení oprávnění a sdílení
- Start Speaking Czech Now! - More Essentials
- Jak (se) prodat textem
- Leadership III: Jak nastartovat vítěznou strategii
-
- Fullstack developer React + Kotlin
- Security Operations Analyst
- Site Reliability Engineer
- +++ Test analytik (long term, celá ČR) +++
- Programátor embedded - elektronika - firmware
- IDT Marketing Technology Specialist
-
- Microsoft Teams 3: sdílené soubory
- Seznamy na SharePointu 3: zobrazení pro přehlednou práci s daty
- Uspějte u přijímacího pohovoru a získejte práci snů!
- Start Speaking Czech Now! - More Essentials
- Přecházíme na Mac
- Leadership III: Jak nastartovat vítěznou strategii
