A to jste jeste asi necetl, co k tomu rika sef datovych schranek - viz v clanku odkazovany chat na Podnikateli -
[Comment From Martin Doucha]
Pane Stieglere, zřejmě si neuvědomujete riziko spojené s nedůveryhodnou certifikační autoritou. Správný postup při práci s certifikátem od neznámé CA je: 1) zjistit, která CA certifikát vydala a ověřit, že sama CA je pro uživatele důvěryhodná. 2) Přijmout podpis CA jako důvěryhodný, tím se stanou všechny certifikáty této CA důvěryhodné. Když svým uživatelům radíte odkliknout certifikát od neznámé CA, nahráváte tak podvodným stránkám, které si vystaví falešný certifikát pod falešnou CA.
15:28 Petr Stiegler: Rizika si uvědomuji a znovu opakuji, že certifikát, vydaný kvalifikovanou certifikační autoritou má z pohledu českého právního řádu mnohem větší váhu, než certifikát, vydaný zahraniční společností, byť jej třeba IE považuje za důvěryhodný.
V tom případě je ale špatně napsaný text v nápovědě DS - místo "Upozornění je nutno ignorovat" by zde správně mělo stát "při varovném zobrazení si pečlivě zkontrolujte následující údaje v podrobnostech certifikátu, oproti hodnotám uvedeným zde (nebo nejlépe uvedeným zde..)
Nějak si nedovedu představit jakoukoliv instituci (od imigračního či celní úřadu, banku, až k poslednímu stánku na vietnamské tržnici), který by si do svých nařízení dal pokyn - pokud se objeví varovné hlášení o neshodě údajů, klidně ho ignorujte a pokračujte dál, namísto "pečlivě prověřte všechny údaje a dohledejte chybu"...
Takže, systém vydržel pracovat necelé 2 dny, pak musel být odstaven. Z důvodů implementace změn, které vyplývají z novely zákona 300/2008 Sb. naštěstí v době, kdy přes DS nokdo nekomunikuje.
Nějak si nedovedu vysvětlit, jak bude systém odstavován v době, kdy přes něj poběží veškerá komunikace úřadů, soudů a firem, kdy budou muset podatelny v systému ověřovat, má - li každý fyzický příjemce jejich pošty DS čili nic, kdy půjde o lhůty odvolání v soudních procesech...Přičemž, se obávám, že až s rozjezdem ostrého provozu (od 1.11.) se teprve ve větší míře ukážou slabiny systému, jak technologické tak i právní, takže novel i odstávek začne přibývat...
Mě by zajímalo, zda někdo z Ministerstva vnitra projevil zájem o tu doménu mojedatoveschranky.cz, kterou pan Peterka po tiskové konferenci preventivně registroval.
viz závěr článku s přihlašováním jen do administrativního rozhraní ISDS: pokud jste si nechal schránku zřídit dobrovolně, k aktivaci dojde automaticky do 15 dnů. Pokud Vám byla zřízena ze zákona, platí 1.11.2009. Samozřejmě pokud aktivaci neprovedete dříve a sám.
v článku vycházím z předpokladu, že přechodná ustanovení mají charakter "lex specialis" a tudíž platí přednostně před ostatními ustanoveními, která mají charakter "lex generalis" (viz například tento výklad). Tudíž paragraf 31 by měl "přebíjet" paragraf 8.
Je mezi čtenáři nějaký právník, který by to mohl potvrdit či vyvrátit?
Ano, máte pravdu. Toto je problém, protože cena je vždy víc jak kvalita.
Když víte že firmy A,B,C v komerční svéře nabízejí určitý typ služby za podobné ceny, ale jedna firma vyhraje zakázku s cenou o 30% nižší, tak se to asi musí někde projevit.
A kde jinde než na kvalitě ... ale zadavetel je pochválen, protože přece nakoupil tak levně.
Ale neznamená to apriory, že výsledná cena je vždy cena nejnižší ...
Není neobvyklé, že se do zakázky příhlásí pár firem a některé jsou vyřazeny, protože nesplňují požadavky, některé samy odstoupí a s podivem v tendru zůstane jedna jediná firma ...
Když víte že firmy A,B,C v komerční svéře nabízejí určitý typ služby za podobné ceny, ale jedna firma vyhraje zakázku s cenou o 30% nižší, tak se to asi musí někde projevit.
A kde jinde než na kvalitě ... ale zadavetel je pochválen, protože přece nakoupil tak levně ...
Byla z rizena ze zakona a ten rika v § 10 odstavec 2:
(2) Datová schránka je zpřístupněna prvním přihlášením osoby uvedené v § 8 odst.
1 až 4 nebo administrátora, nejpozději však patnáctým dnem po dni doručení
přístupových údajů těmto osobám.
A § 31 se cituje v clanku.
To co rikate vy v clanku je logickym vyustenim vznikle situace s prechodnym obdobim ale urad se MUSI RIDIT ZAKONEM a tam je to jinak. Zakon nepripousti prihlaseni bez soucasne aktivace schranky.
Zakon v § 8 neresi nejakeho aministratora, ktery se prihlasi k datove schrance ale protoze nepoveri nikoho k jejimy vyzvednuti schranka nebude aktivni. Tak chapu soucasny technicky stav. Aktivacni dopis se dorucuje na osobu § 8 odst 1-4 ne na administratora a tato osoba se prihlasi k datove schance (zakon administratora pridelujiciho opravneni neresi) a podle ustanoveni zakona je to jasne ze je to v rozporu se soucasnym stavem a vynucenou praxi.
Uprimne doufam ze na to maji vymyslenou nejakou pravnickou klicku i kdyz praxe s hledanim der v zakone je zavrzenihodna.
Hlavni problem je ten, ze subjekty ktere uz naji dorucenou obalku se zlutym pruhem, jsou urady ktere se museji ridit v prvni rade zakonem a az v druhe rade tim co rika uzivatelska podpora a zakon hovori jasne. Praxe ovsem bude jina, nekdo by zaslouzil ....
Jedina prijatelna varianta je soucasne technicke provedeni DS zrusit, stejne tak upravit pravni stranku veci (napriklad onech 10 dnu je malo). Nove reseni by nemelo byt zavisle na zbytecnych nativnich pluginech jako to od 602, minimalne ne pro cteni zprav. Jakykoli pripadny plugin by mel byt nabizen vyhradne v managed platformach .NET a Java. Ceska posta at si zaplati distribuci sveho bezvyznamneho certifikatu do prohlizecu. Odstavky systemu (at jiz planovane nebo ne, to neni pro uzivatele rozdil) by meli byt evidovany a jejich kompletni seznam nekde uchovavan pro pripadne soudni spory.
Ten předpoklad je správný, v případě rozporů § 31 (přechodná ustanovení) s jinými ustanoveními zákona se přednostně použije § 31. Psal jsem to i v článku:
"Výše uvedená lhůta 15 dnů v kroku 2 byla novelou v přechodných ustanoveních (§ 31 odst. 1) nahrazena pevným datem 1. listopadu 2009, jež má jako lex specialis přednost."
Redefinice pojmu "zpřístupnění" předpisem nižší právní síly (než zákon) není možná, v provozním řádu již vůbec ne.
Trochu se v tom hrabu a nejen že to není jen FO, ono to dokonce odporuje specifikaci FO (např. fo:table-cell může obsahovat pouze blokové elementy, oni do buněk cpou rovnou textové uzle).
Co takhle distribuovat certifikáty ČP na lisovaném DVD které by bylo k dispozici na pobočkách pošty? Odpadli by problémy s autentizaci cerifikátu ČP přes internet pro osoby s "běžnými" IT znalosmi a navíc by tam mohli být všechny potřebné dokumenty (včetně instruktážních videi) a programy pro provoz schránek. Když to jde s ledajakými filmami na DVD po 50Kč, tak proč ne tohle.
PS:
Pes má vodítko, občané a firmy datové schránky.
Pozor po návratu z procházky bez vodítka. Můžete býti biti.
(IT klec pro všechny, alov všichni do ní.)
Hm, distribude certifikátů přes poštu na CD?
To je už pak postaven e-goverment opravdu na hlavu.
Navíc, co když bude certifikát zneplatněn (někdo ho proflákne) a nahrazen jiným. To mi to CD moc důvěryhodnosti také nepřinese.
Já myslím, že komplikace s důvěryhodností kořenových certifikátů je tu už léta, protože kvalifikované certifikáty pro elektronický podpis (v ČR při úřadování jediné správné) rovněž nemají předinstalované kořenové certifikáty kvalifikovaných certifikačních autorit na Windowsech. Navíc, který sw umí zkontrolovat e-podpis nejen tak, že si přečte platnost od do.
Ale to se pořád točíme v kruhu, jestli bude pishingem podvrhnutá stránka DS, tak tam bude i vlastní nápověda a aktivní odkaz na postsignumxx(neviditelné znaky), a moc si nepomůžem. Pochopitelně že certifikát měl být distribuován s přístupovými údaji k DS. Kolikpak by asi stálo takové malé CDčko s certifikátem, důkladnou nápovědou, pluginy 602XML Filler pro všecnny platformy a prohlížeče, Acrobat Readerem, volnými prohlížeči pro všechny povolené formáty příloh, doporučeným SW pro skenování a převod do PDF,doporučenými SW nástroji pro zálohování DS, doporučenými nebo jen časově omezenými verzemi e-podatelen, prezentace s příklady praktického použití ....Určitě by se vešlo i do obálky s přístupovými údaji...Neujmul by se toho někdo??? Vždyť přece za půl roku budou moci používat DS i firmy pro uasílání faktur..
No, neřekl bych, že novela zákona je lex specialis vůči témuž zákonu - je to jeden zákon a těžko jedna jeho část může být speciálním záonem vůči své vlastní jiné části .... pokud to tam není přímo napsáno (např. ve stylu - platí tato definice, pokud v tomto zákoně není výslovně uvedeno jinak).
Řekl bych, že buď nastane výkladový problém - jedná se o ustanovení téže právní síly v jednom zákoně anebo spíše se uplatní zásada, že platí pozdější - lex posteriori derogat priori.
Já bych ale řekl, že "zřízení" a " zpřístupnění" jsou dvě různé skutečnosti.
To je problém aby na příslušné médiu byl soubor ctimne.txt s popisem co tam je a jak dlouho to platí.... ?
Co by mělo býti důvěryhodnější než předání média zástupcem organizace které certifikát patří ? (Že by obava z podvržené pobočký pošty ?)
Jak časté jsou případy, že se proflákne kořenový certifikát?
Pokud by se to stalo, tak je to průšvih, jelikož by ztratili na důvěryhodnosti statisíce uživatelských certifikátů na něm založených.
Domnívám se že z důvodů žalob a nákladů by se to nejspíše zatloukalo, zatloukalo, zatloukalo, ....
Cílovou skupinou by byly "běžně IT vzdělaní" uzivatelé certifikátů(schránek).
Pokud už bude váš privátní klíč viset na internetu (samozřejmě na nějaké pochybné nedůvěryhodné stránce) tak těžko můžete zatloukat a zatloukat.
Leda, že stát zavede "opravdu důvěryhodný web" založený na věech nejdůvěryhodnějších certifikátech světa. To pak, co tam bude, bude nic než jen a jen pravda. I to, který certifikát jen ten vyvolený a správný
Jenom jsem konstatoval, že certifikační autorita bude mít moc dobře chráněný svůj privátní klíč a riziko nese uživatel, kterému může býti podvržen falešný cerifikát certifikační autority (samozřejme pouze s veřejnou častí klíče), který se jen tak tváří, což u osobního předání nehrozí.
Proč to není v JAVA?
Protože frikulíni takto rozhodli, zaslepenci co mají před očima jen MS a jeho $. ;)
Svazarm 602 + Česká pošta + další české "ručičky" rovná se dneska hodně drahý mega průser, který zaplatí hlavně všichni ti pitomci co se stávají nevolníky státu kvůli vražedným podmínkám a termínům...
Ono by stacilo zpristupnit to rozhrani pro web service vsem. Nicmene co jsem slysel od lidi co implementuji ty klienty tak je to stejna tragedie, minimalne to opet nedodrzuje specifikace.
Utopily se v tom stamilióny, ale když s tím začalo pracovat míň lidí, než s mými webovými stránkami, tak to padlo a už to nechodí. Troufám si tvrdit, že bych to stejně "kvalitně" naprogramoval za čtvrt roku sám za zanedbatelný zlomek peněz, co to doopravdy stálo. A ještě bych si chrochtal blahem.
Jasně nemusí to být přímo JAVA, ale tohle je asi to nejhorší co nás mohlo potkat. :(
Přitom stačilo definovat datové rozhraní, popis dat a nějaký ten diagram kam a co. Mohlo se pak zapojit libovolné množství programátorů a napsat nejlepší řešení pro každou platformu...
Jenže to se dneska nenosí, analytik je ohrožené zvíře. :/
Podívejte se jak je třeba řešené SETI/BOINC společná data projektu a počítání na čemkoliv, třeba i na mikrovlnce... Jen příklad. :)
To je samý RAD, Framework, script, ajax a bůhví co, ale pořádná analýza problému nikde. Hlavně rychle a za velký prachy, ono to nějak dopadne, nebo taky ne (to spíš).
Už jenom to přihlašování. Bezpečnost pláče a bezpečák si hledá nejbližší větev...
ta odstávka datových schránek proběhla dřív, než se začaly používat!! Právě proto, že to ještě nikdo nepoužíval, dělali ajťáci změny na poslední chvíli a nejspíš je nenapadlo, že z toho bude poprask.
Ty podané žádosti vůbec neznamenají, že se datové schránky používají. Člověk si podá žádost, za pár dnů dostane poštou obálku s heslem a pak teprve může schránku aktivovat. Ale dokud své schránky nebudou mít aktivované úřady, stejně mu to nebude k ničemu. Takže reálně se to začne používat až někdy ke konci prázdnin, kdy bude aktivovaných dost schránek, aby mělo smysl se tím zabývat.
Novela sama je změnový zákon, tj. mění obsah stávajícího zákona. Přechodová ustanovení novely (tj. něco jiného než novela sama) jsou lex specialis vůči zbytku textu zákona. Jeho ustanovení platí v tomto režimu omezenou dobu, která je v přechodových ustanoveních sama vyznačena. Smyslem přechodových ustanovení bývá poskytnout určitou dobu na úplné přizpůsobení se textu nového zákona (po novele).
Mno, zase si tolik nefandete, sam byste ani netacil obehat vsechny schuze, porady a dalsi administracni zalezitosti, nemuvim o administarci samotneho systemu, reseni vypadku (treba pri testovani atd. ...) a podobne zalezitosti ... to spolyka lidkych zdroju, ze byste se divil, kor probihaji-li jednani se statni spravou ... na druhe strane ovsem zustava fakt, ze za ty prachy by melo bejt vsechno v cajku. Kdy uz si vyvojari konecne uvedomi, ze testovani je 50% vyvoje softwaru - ne testovani za provozu, ale pred spustenim do provozu ... coz si myslim zrovna v pripade datovych stranek predstavuje pomerne jednoduchy scenar ...
Tak jsem poslal vyplněný formulář s elektronickým podpisem 7/5/09, dostal potvrzení a kde nic, tu nic. Dne 7/7/09 jsem to přeposlal znovu a opět jsem ihned dostal potvrzení o doručení. Nicméně datová schránka stále nebyla zřízena. Co se děje?
Evidentně to mají dobře připravené. Ostatně - čekal někdo něco jiného?
Po menších peripetiích jsem získal přístup do své datové schránky. Bohužel jen jako - při pokusu omrknout jí bez aktivace jsem si chtěl zažádat o demo, jenže hned jsem skončil, protože v Mandrivě nemám jakýsi windowsovský program od Software602 a tak nemůžu dělat nic, jen si nastavit adresu, kam má chodit avizo.
Výsledkem celého systému tedy je, že mi budou chodit aviza a narozdíl od papírové pošty se už nikdy nedozvím, co mi to došlo, protože schránka se 1.11. zaktivuje automaticky a nelze ji už zrušit.
Systém datových schránek jsem považoval za skvělou věc, kterou jsme trošku předběhli svoje okolí - ale jak ve pro ČR typické, zase to celé zkrachovalo kvůli korupci, protože jiné vysvětlení pro omezení systému jen na MicroSoft jinak vysvětlit nelze.
Celý nadšený jsem si stáhl 602XML Filler pro Mac OS X včetně žádosti. Spustil jsem Filler a zjistil jsem, že nejde o nativní Mac OS X aplikaci, ale aplikaci pro X11. Suma sumárum, nejsem schopen podepsat žádost, protože aplikace nevidí žádný z mých certifikátů v systému.
Posílal jsem email na podporu a zatím žádná odpověď (bude to týden). Tak jsem to vytiskl, zašel na úřad a tam co? No, CzechPoint nefunguje. Vedle na poště? To samé, nejde jim ani výpis z obchodního rejstříku.
Takže co mi zbývá? Nainstalovat Windows? Nechci. Poslední varianta je ověřený podpis a zaslání poštou v obálce. Super, další ztracený čas a peníze.
Já vůbec nechápu tady ten plug-in přístup. Všichni ví, že 602 platformy mimo Windows moc nepodporuje. Proč to není v Javě nebo něčem podobném? Stejně jako bankovnictví, které funguje ve Windows, Linux, Mac OS X, Solarisu, ...
haha a problémy nebou ani poslední. Jak zjištujeme co. vyzkoušel jsem datovkadomailu.cz a zpravy z DS mi chodí přímo do emailu a ještě jsem nastavil aby chodily mé učetní. nemůžu si stěžovat
vubec ty cesky certifikacni autority jsou k smichu
ica se do firefoxu pokousi dostat teprve od 19.3.2009 http://www.mozilla.org/projects/security/certs/pending/#ICA s tim ze se asi jeste moc nedari
a posta se ani neobtezuje, spoleha asi na to ignorovani varovnejch hlasek
Kromě toho, že na CzechPointu na poště Pardubice 1 nedokázali odpověděť ani na elementární otázky (a to se sešly celkem 4 dámy) se jim nepodařilo schránku ne založit, ale ani pořádně podat žádost.
Žádost jsem přinesl na papíře, stačilo ověřit podpis.
Přesto jí bylo "nutno" vložit do počítače, což trvalo asi 3/4 hodiny (celkem 10 políček údajů), posléze se sice vygenerovalo čj. žádosti, ale celý systém spadl a už se nepodařilo s ním nic dělat. Prý na 24 hodin. Jan vidím, tam vlastně až do dneška.
Zajímavé, byl jsem tedy v Pardubicích první a poslední a neúspěšný.
Nejsmutnější je, že ani na internetovém kontaktním místě mi na dotaz neodpovídají. Už šestý den. Asi že žijí v přesvědčení, že na ouřední dotaz se ouředně odpovídá do 30 dnů. Nevím, zda to platí furt. Za bolševika to platilo. A na ouřadech se bohužel zase tolik neměnilo.
Nevite nekdo jak je to s lhutou 15 dni na aktivaci? Jde o to ze prisla zluta obalka a dle dostupnych informaci se schranka aktivuje po 15ti dnech od prevzeti teto obalky i bez prihlaseni ke schrance.
Dle informaci z jejich podpory je schranka aktivovana ve zkusebnim rezimu neni povinne ji pouzivat do 1.11. Coz je v poradku, ale na dotaz ze schranka preci aktivni je, a tudiz se do ni dokumenty dorucit daji vcetne 10dni fikce doruceni a nelze ji tedy ignorovat jsem se dostal pouze k informaci, ze je ve zkusebnim rezimu a ze je povinost ji pouzivat az od 1.11. (tudiz nic relevantniho, podpora nahouby).
Fakt existuje nejaky rezim schranky, kdy schranka sice aktivni je ale nena se do ni nic dorucit? Nejak se me to nezda. V zakone ani provadecich predpisech jsem nic takoveho nenasel a vyzkouset to by znamenalo schranku aktivovat a to je presne to cemu se chceme za soucasnych zmatku vyhnout.
PS: nikdo nic nevi nikdo za nic nenese odpovednost, to bude ale velkolepy pr.....
Ano. Zrušit ten bastl a postavit na bázi PDF a XML a podobných plně přístupných a multiplatformních základech. Žádné separátní binární svinstvo.
Jenže to se bohužel nestane, že by měl někdo dostatečně postavený chuť to odpískat, spočítat ztráty a začít znovu a tentokráte pořádně (začít nejprve analýzou a diskusí s odborníky, aby se stanovilo co a jak a proč udělat)...
Tak ono to je postavene na PDF a XML. Ty ZFO soubory 602 Filleru nejsou nic jineho nez zazipovane FO soubory pouzivajici XSL-FO schema. Problem je v tom zbytecnem nativnim 602 pluginu. Pro cteni by to slo vyresit zcela bez pluginu pouze pres web (doporucoval bych pro read-only rezim odlisny login kvuli bezpecnosti v ruznych inet kavarnach apod.). Pro plnohodnotnou praci se schrankou se to uz bez pluginu neobejde, ale pak je jedinym prijatelnym resenim managed platforma, jak jsem psal jiz vyse. Neni prece problem napsat to zpracovani ZFO souboru znova, vzdyt je to jen prace s XML a k tomu digitalni podpis. Ale to asi u 602 neumi. Stejne tak zrejme nechteji aby to umel nekdo jiny, kdyz to rozhrani pres webove sluzby neni dostupne pro vsechny (pouze pro partnery co implementuji spisovou sluzbu). S tim at se jdou vycpat.
Jako první by si měli pánové pos(r)anci, právnící a co já vím jaký ksindl, ujasnit fungování elektronického podpisu(šifrování) v horizontu tak 100 let, aby už opravdu byl plně funkční a nahrazující písemný podpis.
Pak snad datové schránky, jen lépe a po řádném otestování lidmi co tomu rozumí, ne jen managory na powerpoint slajdech v klimatizovaných showroomech s rautem... ;)
Cena nemusí vadit. Ovšem musí být dodrženy standardy kvality, standardy řízení projektu atd. (testování v tomto případě bude možná jednou z nejdražších částí projektu). Ostatně mnoho z těchto standardů vzniklo právě proto, že US gov měl obdobné problémy. No a samozřejmě nedodržení těchto standardů je pro dodavatele minimálně nepříjemné a nebo i fatatální.
Ale jak už jsem zde zaznamenal - vyžaduje to tu a tam i odborníky na straně státní správy...
otisk klice muze byt ve vyhlasce, stranka s klici muze byt chranena alespon duveryhodnym komercnim certifikatem aby se nedala podvrhnout. Jde to ale musi se chtit a musi zodpovedne osoby vedet o co jde. Soucasny stav je amaterizmus.
Nechápu proč se investují miliardy korun do nových zranitelných technologiích, jakobby nestačilo, funkční faxování. Fax ikdyž je to vynález 20.století bude mít pořád lepší prim než ty IT blbinky,které stejně budou časem patřit hackerům, a to potom bude sranda, až nás začnou ovládat internetoví hackeři a teroristi. Fax je tou nejspolehlivější službou, tak nač datové odkazovačky ????
Ti co vědí, jak probíhají implementace takových projektů ve státní správě, tak se vůbec nemůžou divit ....
Státní správa nemá odborníky, kteří by byli schopni takové projekty zaštitovat ... toto na jedné konferenci řekl předseda Komise pro informatiku a veřejnou správu pan Michal Rada.
Ti pak dodavateli odkejvaj cokoliv (dodavetel je opije rohlíkem na čemkoliv), protože tomu prostě nerozumí.
Myslím si, že toto je částečně i pozůstatek bývalého ministra vnitra. Říkám tomu "Íčko" show: velkohubá vyhlášení a tiskovky, aby se předvedl, ale kde nic tu nic ... někteří si určitě pamatují na nový dopravní registr.
Tím nechci říci, že u tak velkého projektu problémy nenastanou ... to vždycky, ale tyto problémy v "testovacím režimu" jsou až moc.
Co se stane, až to budou muset všichni od listopadu používat?
Nedivte se, je to, jako ostatně vždy, o tom samém. Všechno je perfektně vyřešeno, všichni jsou připraveni, všechno bude bez problémů... A potom se to podělá hned, jak se to spustí, protože všechno je sice hotovo, ale jen hubou!
Neni to nejlepsi postup ale technicky vzato je spravny.
Pokyn ignorovat takto dulezite varovani kdyz hrozi utok "man in the middle" muze jen totalni "I" (doplnte samostane)
Osobně si myslím, že v návodu by měl být následující odstavec: Před návštěvou www.mojedatoveschranky.cz jděte na www.postsignum.cz/blabla a importujte si zde uvedený certifikát do prohlížeče, eventuálně by měl být certifikát distribuován spolu s přístupovými údaji k datové schránce. I když lépe to samozřejmě vyřešila ICA, které se (pokud vím) podařilo dostat svůj kořenový certifikát mezi důvěryhodné v jedné z aktualizací Windows.