Názory k článku Kvalifikované elektronické pečeti: bude čím je vytvářet?
-
Zbytecne to prozivate. V tomhle state je takovy rozklad, ze se radsi vse "komplikovane" jednoduse a tise ignoruje. At jde o komunikaci pres datove schranky, kdy se mnohde komunikuje papirove, nebo nahravani soudnich jednani, ktera se proste nenahravaji, protoze asi nekteri soudci jeste netusi, ze existuji prenosne diktafony... Nejake peceti me nechavaji zcela v klidu.
-
Bohous (neregistrovaný)
Děkuji panu Peterkovi za výborný (jako vždy) článek.
Zajímalo by mě ještě, v čem je potíž, aby HSM moduly dostaly certifikaci pro použití zákazníkem? Je ten problém principiální, technický nebo administrativní? Zdá se mi, že pečetění jako služba není pro všechny dokumenty a výpisy, které úřady budou vydávat, dlouhodobě udržitelné. -
dfgdfg (neregistrovaný)
95% neni malo.. je otazka jestli prave dig. podpis takovou jistotu ma (viz predchozi prispevek) - pokud mam v samotnem principu neceho "diru", pak vystavet kolem toho potemkinovu vesnici je sice hezke a tvridt, ze je vse jasne a ciste ale tu "diru" tim nezacelim
PIN ochrana, zniceni klice? zadna garance niceho, navic pin se da odkoukat
infineon a estonske "obcanky".... realita -
Jarda (neregistrovaný)
Moc děkuji za tento článek. Nějakou dobu do problematiky el. podpisů a pečetí pronikám, ale ta problematika je hodně složitá a odborná a zde je to velice erudovaně vysvětleno včetně příkladů. Zvažovali jsem pořízení HSM modulu pro kvalifikované el. pečeti, ale narazili jsem přesně na to samé, jak píše autor článku, že dosud není žádný HSM modul certifikován pro účely použití na straně pečetící osoby.
-
Jiří PeterkaPodporovateldůvody bych viděl spíše v oblasti bezpečnosti a správy: poskytovatel musí být kvalifikovaný, a tudíž musí splňovat řadu požadavků z nařízení (včetně kvalifikace svých pracovníků), je pod dohledem (dozorového orgánu), odpovídá za případnou škodu atd. Takže je u něj vyšší míra jistoty, že HSM modul bude provozovat a spravovat řádně, za dodržení všeho potřebného. HSM modul, provozovaný a spravovaný přímo zákazníkem, to vše musí kompenzovat svou vyšší "robustností" ....
-
sdfdsf (neregistrovaný)
samozrejme ze muzete vytvorit cely retezec certifikacnich autorit, agentur a ja nevim ceho ale popirat pripadnou realitu tim nejde - ano, ty nejkriklavejsi problemy snad odhali, mozna i ty mene kriklave ale ty nezname ne, protoze jsou prave zatim nezname
>Tvrdit to samozřejmě můžete, ale pravda to není.
skoda, ze to nemuzete dokazat, a pokud si necim nemohu byt jist, pak to radsi nedelat ( v tomto kontextu rozhodne)
-
Jiří PeterkaPodporovatel
Počítám s tím :-) Ale nebude to úplně hned, příprava článku (vč. vystavení nové občanky) mi nějakou dobu zaberou ...
-
Jiří PeterkaPodporovatel
Exekutor je fyzická osoba, kterou stát pověřil exekutorským úřadem, viz § 1 odst. 1 zákona č. 120/2001 Sb. exekuční řád. Tedy (fyzická) osoba vykonávající veřejnoprávní působnost, z pohledu zákona č. 297/2016 Sb., o službách vytvářejících důvěru. Proto podepisuje, nikoli pečetí ....
-
sdf (neregistrovaný)
>Dnes se běžně používají USB tokeny nebo čipové karty, ze kterých privátní klíč chybou softwaru nebo hardwaru opravdu získat nejde.
tvrdi kdo? vyrobce? ten klic tam uvnitr je.. na tom se shodneme
navic jste uhodil i hrebik na hlavicku s tou napodobeninou.... nikdo nemuze prokazat na 100% ze to je nebo neni muj podpis - ale u takoveho podpisu je relativne hodne dalsich attributu, pero, pritomnost, apod.. ale u digitalniho podpisu vinou sw nebo hw, jak jak prokazu ze to neni muj digitalni podpis? kdyz prohlasim, ze to neni muj digitalni podpis, jak stat prokaze (bez ohledu na pravni predpisy), jak by stat skutecne prokazal, ze to je muj podpis...? bude stat uplatnovat cosi jako "in dubio pro reo" u digitalniho podpisu a tim ho fakticky postavi na uroven sekvence nahodnych bytu?
dovolim si tvrdit, ze kolem digitalniho podpisu je jakasi aura prukaznosti, ktera tam ale technicky ani principielne neni
-
sdfsdfd (neregistrovaný)
no konecne se dostavame nekam
>Pokud někoho necháte, aby odkoukal PIN, pak vám sebral kartu a vy jste si ničeho nevšiml, pak je otázka, jestli byste vůbec měl mít právo něco podepisovat.
takze to nemuzeme masove nasadit... a je to...konecne to nekdo rekl nahlas :D
a to tento scenar je navic skutecne velmi primocary.... cokoli dalsiho uz ani ten chudak obycejny clovicek nema sanci odhalit/zamezit vubec
-
Martin Jelínek (neregistrovaný)
Doplním aktualitu - minulý týden získala firma Gemalto pro svou HSM jednotku "SafeNet Luna Network HSM 6" certifikaci jako QSigCD a QSealCD, může být tedy používána pro vytváření kvalifikovaných podpisů i pečetí.
Na unijním seznamu je již v aktuální verzi z 19/6/2018 tato HSM jednotka uvedena. -
Predseda (neregistrovaný)
Opravdu pěkně ucelený článek.
Laicky takto:
Nemocnice vypíše VŘ na HSM pro lokální pečetění případně pro cluster, pokud to jeho podmínky vyžadují. Dnes jsou minimálně 2 výrobci certifikovaných HSM a minimálně 2 TSP tedy poskytovatelé služeb vytvářejících důvěru, kteří skrze registrační autority vytvoří v HSM žádost o certifikát pro kvalifikovanou pečeť.
Druhou možností je TSP 1.CA, který bude poskytovat pečetění na dálku. Neznám propustnost, neznám ceny, ale předpokládám, že si tuto službu nechá patřičně ohodnotit. -
zákon (neregistrovaný)
Fyzická osoba může mít víc kvalifikovaných certifikátů – např. jeden soukromý, jeden jako ředitel nějaké firmy, další třeba jako úředník
bez ohľadu na to koľko bude mať FO kvalifikovaných podpisov vždy budú mať tieto podpisy účinky vlastnoručného podpisu. nie je preto rozhodné aké nedobrovoľné atribúty kvalifikovaný certifikát obsahuje (napr. funkcia - soudce, ministr, uředník), to čo robí kvalifikovaný podpis kvalifikovaným sú primnárne jeho povinné atribúty a tie stačia na zachovanie účinkov vlastnoručného podpisu. Preto všetky elektronické podpisy FO sú vždý súkromnými jedinćne spojenými s FO. Každá FO preto vstupuje osobne do vzťahu s AC v rámci PKI infraštuktúry.
pri kvalifikovanej pećati toto nie je. tu vstupuje do PKI infraštruktúry konkrétny OVM. preto autorizácia úradných rozhondutí by mala prebiehať primárne cestou kvalifikovaných pečatí.
Aby bolo možné vydať pečať napr. exekútorovi alebo notárovi - resp. jeho úradu, zákon by mal jasne stanoviť, že výkon verejnej moci im zverenej na účely elektronickej autorizácie sa je táto autorizáciou PO a použije primerane autorizácia kvalifikovanou pečaťou.
-
Curila (neregistrovaný)
Já tady právě moc logiku nevidím. Čipové karty pro vytváření kvalifikovaných elektronických podpisů uživatelům svěřit lze, čipovou kartu pro vytváření kvalifikovaných el. pečetí (pokud je uvedena jako QSealCreationDevice) také a HSM modul jim svěřit nelze, protože by se o něj starali hůře, něž o čipovku?
-
Předseda (neregistrovaný)
Nemyslím si, že za to může IT, tohle je věc legislativců.
Byly tady nevyužitý Common Criteria certifikace, který každý ignoroval. Každý řešil certifikované produkty dle NIST FIPS 140-2. EU si toho byla vědoma a tak přidala evropským CC na důležitosti.
HSM, čip karty/tokenu se nemění, jenom applet/způsob používání. Předepsaná pravidla, která nemají s bezpečností nic společného.
Česká republika adaptovala na rozdíl od okolních států eIDAS 910/2014 v plné míře do zákona č. 297/2016 Sb. o službách vytvářejících důvěru pro elektronické transakce. Pouze vyloučila datové schránky.
Otázka navazující, kdo na tom nejvíce vydělá? Je to ICA, která jako jediná poskytuje pečetě na dálku (eSign as a service) nebo Monet+, od kterého MV ČR nakupuje za naše peníze čipové OP a software, které pak bude nabízet "zdarma". Jaká bude využitelnost takového plošného nasazení?
Docela by mě zajímal názor pana Peterky na tuto problematiku, vezmu-li v potaz, že zde existují alternativní zdroje ať už na kvalifikovaný elektronický podpis nebo lokální pečeť. -
zakon (neregistrovaný)
Rozhodnutí (správní, soudní) nikdy nedělá úřad/soud. no to by ste sa divil ale rozsudok je rozhodnutím súdu a nie rozhodnutím konkrétneho sudcu. preto je vhodné aby na rozhodnutiach súdu bola práve kvalifikovaná pečať konkrétneho súdu, ktorý rozhodnutie vydal, ako súkromný podpis sudcu, ktorý rozsudok napísal.
-
Jan Tejchman (neregistrovaný)
Rád bych doplnil aktuální stav popisovaný v článku. Konkrétně 2. variantu použití HSM modulů:
"Tato druhá varianta přitom nemusí nutně znamenat, že jde o pečetění tzv. na dálku – protože HSM modul, spravovaný kvalifikovaným poskytovatelem, může být fyzicky umístěn i u uživatele/zákazníka. Samozřejmě za dodržení příslušných požadavků na bezpečnost a ochranu prostředí, ve kterém je zařízení umístěno a provozováno"
Varianta je v současnosti dostupná a poskytovaná prostřednictvím PostSigna jako TSP ve spolupráci s implementačním partnerem.
-
zákon (neregistrovaný)
Paragraf 8 adapatačního zákona je mimoriadne nešťastným ustanovením. prečo by mala byť integrita verejného rozhodnutia kavrovaná/krytá súkromným kvalifikovaným podpsim FO. Zrejme čistejšie je, ak je integrita rozhodnutia kavrovaná práve verejnoprávnou kvalifikovanou elektonickou pečaťou OVM,t .j. pečaťou pôvodcu rozhondutia, ktorým je práve OVM (súd, ministerstvo) a nie FO (sudca, minister).
naviac pri elektronickej pečati nevstupuje úradník osobne do PKI infraštuktúry, ako pri elektronickom podpise. nepodpisuje s CA žiadnu zmluvu, nedostáva spravidla žiadny token(), len kliká a cez modul je generovaná pečať. kvalifikovaný elektronický podpis je vždy súkromným podpisom konkrétnej FO, neexistuje nič ako verejnoprávny elektronický podpis FO, ktorý vždy sa viaže jedinečne ku konkrétnej fyzickej osobe.
elektornická pečať je preto na všetkých typoch rozdhonutí OVM vhodnejšia ako elektonický podpis
-
zákon (neregistrovaný)
Pôvodcom súdneho rozhodnutia je vždy príslušný súd, preto kvalifikovaná pečať.
elektronický kvalifikovaný podpis je vždy súkromým, osobným, jedinečne spojeným s FO. Preto FO musí slobodne vstúpiť do PKI infrašturktúry.
Naopak zamestnanci súdu ak používajú kvalifikovanú pečať nemusia vstupovať osobne do PKI infraštruktúry, nemusia podpisovať každý osobitne zmluvu s CA, nemusia si každoročne obnovovať certifikáty, svojím súkromn'my elektroickým kvalifikovaným podpsiom nekryjú integritu verejného úradného rozhodnutia, ktorého pôvodcom je OVM.
kvalifikovaný podpis je vždy súkromný (osobný) bez ohľadu na "funkciu" - nepovinný atribút kvalifikovaného certikátu.
nie je ptreto vhodné, aby úradné dokumenty boli kryté súkromnými kvalifikovanými podpismi.
-
Predseda (neregistrovaný)
Tak za ty prachy, co Monet+ utrží od STC za občanky a taky za ty jasně daný výběrová řízení jako je teď aktuálně na MPSV, si můžou reklamama dláždit. (Kvuli 30 pečetím z desetitisíc ů prostředků chtějí všechny usb tokeny pro qSeal. Navic to nejsou tokeny, ale shity čtečka se sim bez jakekoliv certifikace kvality a odolnosti.)
-
To je jenom jedna z jejich nevýhod. Další je třeba to, že laik nedokáže posoudit pravost vlastnoručního podpisu nebo razítka a nemá k tomu nástroje (vždycky když prodavačka zkoumá podpis na platební kartě, říkám si, jaké má asi znalosti o zkoumání podpisů). Nebo že je snadné je přenést z jednoho dokumentu na jiný. Nebo že je nelze spolehlivě ověřit, aniž byste měl k dispozici buď přímo podepisující osobu, nebo dostatek jejích zaručeně pravých podpisů.
-
asdas (neregistrovaný)
presne stejne argumenty mohu vztahnout i na el. podpis
na overeni podpisu potrebujete hodne znalosti .. pokud je nemate, muzete to nechat na sw, a verit, ze kdyz vam ukaze zelenou fajfku, ze je tomu skutecne tak (fake news -> fake signature :D)
dokonce bych zasel tak daleko, ze bych rekl, ze je asi mozne vetsinu populace naucit zkoumat pravost rucniho podpisu na papir na rozdil od toho elektronickeho
bez ohledu na overeni, rucni podpis delam ja, elektronicky podpis uz ja nedelam (ten dela sw) a kdyz bude nekdo vedet muj pin (nahodou se trefi) napr. k usb karte s certifikatem, udela MUJ podpis ale muj rucni podpis muze jen napodobit
-
Dnes se běžně používají USB tokeny nebo čipové karty, ze kterých privátní klíč chybou softwaru nebo hardwaru opravdu získat nejde. U těch levnějších by se k privátnímu klíči s dostatečnými prostředky asi experti dostali, třeba nějaké tajné služby. Vyrobit věrohodnou napodobeninu vašeho vlastnoručního podpisu bude mnohem levnější.
-
Jenže na ověření vlastnoručního podpisu to právě na softwaru nechat nemůžete, protože žádný takový software neexistuje, a ani existovat nemůže – protože není nijak definováno, co znamená shoda vlastnoručního podpisu. Maximálně si můžete povolat znalce, který vám řekne, že si myslí, že na 95 % to podepsala ta samá osoba.
Záleží na tom, jaké používáte zařízení – klidně můžete mít privátní klíč na zařízení, které bude vyžadovat desetimístný PIN a po třetím neplatném pokusu se privátní klíč zničí.
Že je to váš vlastnoruční podpis tvrdíte vy. Když to bude někdo zkoumat, bude zkoumat, zda je to dostatečně věrohodná napodobenina nějakého jiného podpisu, který bude prokazatelně váš. A mimochodem, váš vlastnoruční podpis ve skutečnosti skoro nikdo nezkoumá vůbec nijak, a pokud už ho bude laik zkoumat, uvěří i naskenovanému podpisu vytištěnému na inkoustové tiskárně. Zrovna nedávno mi někdo na elektronicky zaslaný sken odpověděl, že to nemůže být sken a potřebuje originál, tak jsem ten sken vytisknul a poslal poštou. Myslíte, že to dotyčný poznal? Kdepak, byl spokojen, že má svůj „originál“.
-
Kvalifikovaný elektronický podpis není vždy podpisem soukromé fyzické osoby, může být i podpisem fyzické osoby v nějaké roli (žeditel firmy, úředník apod.). Podpis (i elektronický) je projevem vůle, proto něco může podepsat jedině fyzická osoba. Rozhodnutí (správní, soudní) nikdy nedělá úřad/soud, ale vždy fyzická osoba jménem úřadu/soudu. Je to tak nastavené záměrně, protože se počítá s tím, že se rozhoduje o věcech, které mohou být různě spletité – proto je to rozhodnutí vždy nakonec na člověku, který vezme v úvahu i věci, které by se při nějakém strojovém rozhodování jen podle pravidel v úvahu nebraly.
-
Vycházíte z jakýchsi svých představ, které ovšem nejsou v souladu s evropskou legislativou. Já vycházím z české a evropské legislativy, tedy že rozhodnutí vydávají soudci nebo úředníci (správní rozhodnutí) a kvalifikovaný certifikát je vydáván fyzické osobě, ale nemusí být soukromý. Fyzická osoba může mít víc kvalifikovaných certifikátů – např. jeden soukromý, jeden jako ředitel nějaké firmy, další třeba jako úředník. Kvalifikovanou pečeť na rozhodnutí použít nelze, protože kvalifikovaná pečeť je svázána výhradně s právnickou osobou, zatímco rozhodnutí vydávají vždy fyzické osoby.
-
Stále popisujete jakýsi váš fiktivní svět. Já píšu o ČR, kde se rozlišují kvalifikované certifikáty fyzických osob na osobní, soukromé certifikáty, certifikáty podnikajících fyzických osob a zaměstnanecké certifikáty. Na zaměstnaneckém certifikátu je uvedena organizace a role vlastníka certifikátu v té organizaci. Žadatel o certifikát tyto údaje musí certifikační autoritě doložit.
Na úředním dokumentu v listinné podobě musí být vedle vlastnoručního podpisu také kulaté razítko příslušné instituce. U elektronického dokumentu je razítko nahrazeno textem „otisk úředního razítka“ a dokument je podepsán zaměstnaneckým certifikátem. Kdyby vám přišel „úřední“ dokument podepsaný soukromým certifikátem úředníka, bude to stejné, jako kdyby vám přišel listinný dokument bez razítka.
Úřední rozhodnutí nemohou být označována elektronickými pečetěmi, protože úřední rozhodnutí vždy vydává jedině člověk, a musí tam být tedy jeho podpis. Kvalifikované pečeti mohou být na dokumentech, které nemění právní vztahy, pouze něco osvědčují a může je tudíž vydávat stroj – například výpis z rejstříku trestů.
Tím, kdo vstupuje infrastruktury infrastruktury veřejných klíčů (jak to píšete), si nekomplikujte život.
-
Jenže „nerozumím principu“ je něco úplně jiného, než „v samotném principu je díra“. Pokud vám nestačí PIN, použijte prostředek se silnější autentizací. Pokud někoho necháte, aby odkoukal PIN, pak vám sebral kartu a vy jste si ničeho nevšiml, pak je otázka, jestli byste vůbec měl mít právo něco podepisovat.
-
Realitu popíráte vy. Samozřejmě nemůžete vyloučit, že vyhrajete ve sportce desetkrát za sebou hlavní cenu, ale pravděpodobnost takového jevu je extrémně malá. A stejně je to s elektronickými podpisy. Navíc si uvědomte, s čím to srovnáváte – vlastnoruční podpis se obvykle kontroluje tak, že se člověk podívá, jestli je na správném místě nějaký modrý klikihák. Není tak těžké udělat něco důvěryhodnějšího.
-
Nikoli, rozsudek je rozhodnutím konkrétních soudců, kteří rozhodují jménem soudu. „Rozsudek musí být písemně vyhotoven, musí obsahovat označení soudu, jména všech soudců, kteří ve věci rozhodli, …“ Na rozsudku v elektronické podobě samozřejmě nebude soukromý podpis soudce, ale osobní podpis soudce v jeho roli soudce. U vlastnoručních podpisů se to rozlišit nedá, tam je to opravdu vždy „soukromý“ podpis soudce.
-
Vědní obor se má zabývat čím? Pravděpodobností? Ano, tomu se věda věnuje, což ale neznamená, že máte hned začít sázet sportku, protože hned vyhrajete 10 hlavních pořadí za sebou.
Elektronický podpis bude ověřovat tak, že se spolehne na software, ve kterém už je ten správný algoritmus implementovaný a otestovaný. Vůbec nejde o to, že to „dělá ten počítač“. Podstatné je, že se opakuje stále stejný ověřený postup. Tohle funguje ve spoustě oborů – ve stavebnictví se spočítá, jak má vypadat most, aby měl nějakou nosnost, v lékařství vás bude chirurg operovat postupem, který používají ostatní chirurgové při podobných operacích atd. Asi byste se nenechal operovat pokladní ze supermarketu, protože je to přece jedno, jestli to dělá ona nebo chirurg, který se to několik let učil.
ČLÁNKY DO MAILU