Dnes končí MPK na vyhlášku o AC. Zdá sa že vyhláška zaujala viaceré orgány, je podaných viac ako 50 pripomienok. Najvážnejšie sú od Úradu jadrového dozoru , MV a NBÚ.
Za S.D som podal tieto (ako som písal vyššie):
§1, ods.3, písm.f), g) a h):
Navrhujeme písm. f), g) a h) odstrániť.
Odôvodnenie:
Nie je dostatočne špecifikované, čo je “informácia o rozsahu oprávnení”. Súčasne považujeme túto informáciu za zbytočné uvádzať v žiadosti o zápis autentifikačného certifikátu do registra, keďže táto informácia sa neviaže na autentifikačný certifikát, počas jeho používania sa môže meniť a nie je rozhodujúca pre zápis certifikátu do registra.
§2, ods.2:
Navrhujeme ods.2 odstrániť, alebo nahradiť nasledovným znením: Dátum konca platnosti certifikátu podľa ods.1 písm.c) môže byť najviac 20 rokov odo dňa podania žiadosti.
Odôvodnenie:
Nie je potrebné konkretizovať kto “vydáva certifikát”. Zároveň platnosť certifikátu v zmysle jeho možnosti použitia podľa zákona č.305/2013 sa riadi tým, či certifikát je zapísaný v registri a nie tým “ako bol vydaný”. Zo zákona nikde nevyplýva, že po uplynutí doby uvedenej v položke certifikátu “valid-to” by autentifikačný certifikát mal byť automaticky z registra odstránený, alebo že ho v tomto prípade má/môže Nases z registra odstrániť. Naopak, v odôvodnenom prípade (napr. podozrenie na prelomenie bezpečnostných algoritmov v certifikáte použitých) bude certifikát z registra odstránený bez ohľadu na túto jeho položku. Z tohto dôvodu považujeme za irelevantné sústrediť sa na túto položku certifikátu, a teda aj ods.2 odstrániť.
Ak z nejakých dôvodov považuje Nases za nevyhnutné špecifikovať maximálnu dĺžku “životnosti” certifikátu, a existuje legislatívne zdôvodnenie na takéto obmedzenie a jeho vykonanie zo strany Nases, považujeme limit 2 roky za zásadne nedostatočný a v praxi by prinášal iba problémy. Navrhujeme stanovenie tejto doby na 20 rokov, alebo viac.
§3:
Navrhujeme §3 odstrániť.
Odôvodnenie:
Zákon č.305/2013, konkrétne §59 ods.2 písm.f), nedáva zmocnenie upraviť vydávanie zoznamu platných autentifikačných certifikátov vyhláškou. Zároveň nie je jasné, aký účel sleduje navrhnuté znenie §3. V súlade s aktuálnym rozpracovaním témy OpenAPI (viď. schválené dokumenty Strategických priorít NKIVS) skôr považujeme za potrebné sústrediť úsilie na správnu implementáciu tohto konceptu, v rámci ktorej nie je pre OVM potrebné pri prístupe k API žiadnym spôsobom pracovať s autentifikačným certifikátom, ale majú interpretovať STS token vydaný IAM ÚPVS.
§4:
Navrhujeme stanoviť dátum účinnosti vyhlášky na 1.2.2018, alebo neskôr.
Odôvodnenie:
Vzhľadom na dátum konca platnosti MPK bude vyhlášku možné vydať až počas decembra 2017. S jej vydaním súvisia zmeny v už realizovaných integráciách používajúcich autentifikačný certifikát, a je potrebné nechať dostatočný čas na ich vykonanie. Súčasne v tomto období sú vianočné a koncoročné sviatky.
Príloha, ods.1 písm.a):
Navrhujeme nahradiť nasledovným znením: "dĺžka kľúča je minimálne 4096 bitov"
Odôvodnenie:
Dostatočná dĺžka kľúča je vhodná aj v súvislosti s potrebným dlhodobým používaním certifikátu, viď. aj pripomienka k §2 ods.2.