ZEP - zmeny formátov

V súvislosti s nariadením EK EIDAS pripravuje NBÚ zmenu formátov pre ZEP.
Tu je návrh nového štandardu:
FormatyCertQC41.pdf (749.3 KB)
Do 1.2. môžem k nemu zaslať pripomienky.

Významná zmena je napr. v identifikačných údajoch osoby, viď. kap. 5.2, 5.3. Po novom je uvádzanie všetkých identifikátorov osoby (položky serialNumber) od 1.7.2016 nepovinné.

T.j. rodné číslo (položka PNO) by sa potom v eID už nikdy nemalo uvádzať, vzhľadom na z.122/2013 §13 ods.2, keďže je možné tam dať číslo občianskeho preukazu (položka IDC) - a aj to iba ak to držiteľ eID dobrovoľne chce.

Zároveň trvalé bydlisko by taktiež malo byť voliteľné, viď. kap. 5.3. Ale to by malo byť aj teraz.

3 Likes

pozitívna zmena, osoba je dostatočne identifikovaná menom a priezviskom, v prípade pochybností aj číslom certifikátu

k pripomienkam: časová pečiatka by mala byť súčasťou ZEPu, pri obstaraní ZEPu by mala byť vždy súčasťou ceny certifikátu.

pre ilustráciu je to rozdiel ako stavba bez okien a dverí (ZEP bez časovej pečiatky) - súčasný stav a stavba s oknami a dverami (ZEP s časovou pečiatkou)

1 Like

Nerozumiem ako je to myslené.

Časová pečiatka sa dá pripojiť k hocakému dokumentu (vôbec nemusí byť podpísaný), jej zmysel je potvrdiť existenciu tohto dokumentu v určitom čase. Vytvára ju akreditovaná certifikačná autorita.

Zmyslom ZEP je autorizácia právneho úkonu. Vytvára ho fyzická osoba.

No práveže je to problém. Meno/priezvisko absolútne nie je unikátne, resp. ani sa nedá zistiť, či je unikátne - nestačí overiť ani unikátnosť medzi občanmi SK, kvalifikovaný certifikát môže byť vydaný cudzincovi. Číslo certifikátu nepomôže, lebo sa nedá spárovať so žiadnymi ďalšími údajmi - aj keď ACA má údaje o totožnosti držiteľa certifikátu, nesmie ich nikomu poskytovať. Zmyslom identifikátorov v certifikáte bolo umožniť automatizované strojové rozpoznanie kto podpisuje. Sám som zvedavý ako to po novom štát vyrieši. Jedna možnosť je vyžadovať vopred “spárovanie” certifikátu s identitou osoby - čo je teda riadny krok späť…

Pre úplné overenie ZEPu potrebujeme k nemu aj časovú pečiatku. To znamená, že časová pečiatka je na účely úplného overenia príslušenstvom kvalifikovaného certifikátu - ako nevyhnutný atribút podpisu. Takže pri predaji kvalifikovaného certifikátu, by mali ACA predávať kvalifikovaný certifikát + časovú pečiatku ako one bundle. Malo by to takto byť aj legislatívne podchytené. To či ACA zvolí FUP na počet časových pečiatok, je vec ich obchodnej stratégie, ale v zásade takto by to malo fungovať. Motorové vozidlo tiež nekupujeme na tehlách ale s namontovanými kolesami.

Príslušenstvom sa rozumie vec inak samostatná, ale v prípade funkčného spojenia sledujúci osud hlavnej veci.

Uvedené nebráni tomu, aby časová pečiatka slúžila aj ako samostatná hlavná “vec” napr. pri podaní na OVM. Vtedy je samostatnou, pokiaľ samozrejme nebude príslušenstvom - atribútom zaručenej elektronickej pečate.

Meno, priezvisko a číslo certifikátu sú dostatočnými identifikátormi. (dokonca by stačilo iba číslo certifikátu) NBÚ môže vytvoriť pomocnú tabuľku, v ktorej naparuje tieto údaje pre účely eGovu. Ak sa mýlim, opravte ma…

Už dávno som niekde zachytil, že http://zep.disig.sk je povinne prevádzkovaný Disig, a.s. kvôli tomu, aby mohol ktokoľvek podpísať dokument cez ZEP. Web k nemu automaticky pridáva časovú pečiatku. Pri podpisovaní cez QSign je ale povinnosť si časové pečiatky dokúpiť. Osobne netuším, prečo štát sám nevytvoril jednu centrálnu aplikáciu (kľudne feature integrovaná do eID klienta), kde sa dokumenty dajú jednoduchým spôsobom podpisovať. Mám estónsku e-Residency kartu a jedna z troch štátnych aplikácií slúži na podpisovanie a overovanie podpísaných dokumentov. Jednoduché, rýchle, bezbolestné, zadarmo (resp. v cene vybavenia karty).

Napáruje k čomu, k identifikátoru (RČ) držiteľa?
Ak by NBÚ tieto údaje mal a takúto tabuľku vytvoril, nebolo by treba vydávať žiadne certifikáty. V tabuľke by skrátka bol id držiteľa a verejný kľúč, prípadne ďalšie atribúty. Avšak NBÚ tieto údaje nemá (resp. má ich iba ak vydáva QC pre OVM). Keďže ide o osobné údaje, takáto vec by musela byť presne upravená zákonom, čo teraz nie je.

Pojem “úplné overenie” pokiaľ viem nie je legislatívne definovaný. Naopak, oba postupy “overenie platnosti ZEP” (jeden podľa §4.2 z.215/2002, druhý §11.1 vyhl.135/2009 - sú rôzne, riadna haluz) nepotrebujú ČP. Operuje sa tam termínom “čas vytvorenia ZEP”, pre ktorého určenie ČP nepomôže. Keďže tento čas nie je spravidla pri overovaní platnosti známy, nahradí sa niektorým časovým okamihom, kedy -podľa znalostí overovateľa- už ZEP spoľahlivo existoval, napr. časom prijatia na overovanie (tento je povinný pre el.podateľne). K tomuto času sú overené platnosti QC, CP atď. Keďže v SK je zakázané pozastavenie platnosti QC, ak sú platné v tomto čase, určite boli platné aj v čase vytvorenia podpisu, keďže ten bol skôr.

Napr. ZEP môžem vytvárať softvérom akým chcem (teoreticky si ho môžem zeditovať aj v notepade), zatiaľčo služba ČP má vždy určité konkrétne API, čo by ma limitovalo na softvér ktorý ho podporuje. Iná vec je, že napr. ak posielam do el. podateľne, tá mi vždy vráti potvrdenku (ktorá obsahuje aj ČP), takže nemusím ČP vytvárať sám - ergo je to pre mňa lacnejšie.

co tak cez id klucov. verejny kluc moze byt sucastou registra fo a po.

pokial mame CP, urcite nedochadza k nahradeniu casu ZEPu s casovou peciatkou, akolko v case podpisovania dokument existuje v podobe ako je podpisana.

idealom by bolo, aby sa CP pripojila k originalnemu dokumentu, cim by doslo k prerazitkovaniu dokumentu. bavime sa ale o tom, ze CP moze byt atributom podpisu a potom je funkcne spojena s podpisom a sleduje osud podpisu.

disig treba pochvalit za dve veci:

portal zep.disig.sk a za odvahu vydavat certifikaty na dlhsie obdobie ako 3 roky.

To je dobrý nápad, napr. ako súčasť IAM ÚPVS kde majú všetci schránky. (A netreba preto meniť zákon.)
Veď aj teraz sa v niektorých systémoch dá “spárovať” ZEP s držiteľom, tak nech sa to spraví centrálne. Takéto ručné párovanie aj tak je nevyhnutné, napr. pre cudzincov.

ČP sa môže vydať až po vykonaní podpisu (vytvára ju iný subjekt, nie podpisovateľ). Z času vydania ČP sa o čase vytvorenia ZEP dá povedať iba to, že podpísanie bolo určite skôr. Ako dlho skôr - to je sa nijako nedá odhadnúť, ani ohraničiť - je to úplne pod kontrolou podpisovateľa. Niekedy to môže byť menej ako 1 sekunda, inokedy roky.
V praxi preto ak robím podpis ktorý hneď následne pošlem podateľni, je úplne jedno, kto tam časový údaj pripojí - či ACA cez ČP, alebo podateľňa. Avšak ak by k tomu bolo treba vždy aj ACA, je to pre používateľa komplikácia.

ČP teda nie je atribútom podpisu, keď sa pripája k podpisu v čase vyhotovovania ZEPu?

Bez ohľadu na to v akých dátových štruktúrach je čo uložené, ČP samozrejme nemôže byť podpisovaným atribútom ZEPu ku ktorému sa vydáva. Naopak, ZEP (resp. samotný dig. podpis) je podpisovaný časovou pečiatkou.

“V čase vyhotovovania ZEPu” sa ČP nedá vytvoriť, táto formulácia je iba skratka, že bude snaha o vydanie ČP čo najskôr po vytvorení podpisu. Avšak pri overovaní podpisu nie je dostupná žiadna (spoľahlivá) informácia o koľko neskôr po podpísaní bola ČP vydaná.

Rovnako ACA pri vydávaní ČP nevie nijako zistiť, o koľko skôr k podpísaniu došlo. (Ona dokonca vôbec nevie že vydáva ČP pre podpísaný dokument. Ani to nepotrebuje, skrátka vydáva ČP pre nejakú binárnu informáciu - ktorou je hash podpisovaných dát - do ACA stačí prenášať iba tento hash.)

Príklad: podpíšem dokument a “hneď” si nechám vydať ČP. Pre ten istý podpísaný dokument si nechám vydať ČP o rok neskôr. Výsledné doc+ZEP+ČP budú úplne navlas rovnaké až na dátum-čas v ČP.

Technicky sa môže použiť na spoločné uloženie všetkých dôležitých údajov súvisiacich s podpísaným dokumentom aj XML štruktúra, kde je “vedľa seba” uložený podpis aj následná jeho ČP - sú na to aj štandardy. Alebo sa to môže zabaliť do spoločného zip archívu - formát ASiC.

Protože… slovenská legislativa… Protože požadavky na ověření ZEP překračují požadavky na “uznávaný el.podpis” jak jsou aplikované v evropě. Ne, čas.razítko není potřebné, stačí prokázat že podpis byl vytvořen v době platnostiu certifikátu.
Stačí tedy jeho ověření el.podatelnou ke dni/času ve kterém je podpis platný. A následně třeba konverze ex offo do listinné podoby. (Absurdní? No ale levnější než “přerazítkovávání” zvláště u malých úřadú/obcí.)

Kruci, a proč by MUSEL el.podpis plnit (povinně’ více funkcí než podpis normální? Co páruje normální (nečitelný’ podpis s osobou?
Proč je el.podpis do ověření považovaný za neplatný? Presumpce viny? Proč nemůže platit pravidlo z normálního svěrta že podpis se považuje za platný pokud není zjištěn opak? Ostatně to platí i pro podpisy “osvědčené” notářem, i jejich platnost je možné napadnout.A pokud napadnu platnost ZEP tak ACA soudu informace o certifikátu jistě vydá…
A u certifikátu uloženého na eID nemůže být nejmenší problém, těch různých bezvýznamových, sektorových a bůhvíjakých identifikátorů (právě znemožňujících jednoduché párování údajú o osobě) které se na Slovensku chystají už cca 10let je tolik, že je stejně do certifikátu pro ZEP nikdo nenarve.

Podľa Ardaca, je casova peciatka volitelnym parametrom podpisu, co dava zmysel, ak si vytvaram podpis ZEP s casovou peciatkou. mrknite sa na body 4.2.2 a 5.1.3

zrejme preto, ze elektronicky podpis sa ani len nahodou nepriblizuje vlastnostami a pouzitim normalnemu podpisu. elektronickym podpisom sa daju automatizovat procesy a skor je vhodny na rychle transakcie v elektronickom prostredi. popravde, skor by mal zakonodarca zaviest pojmy autorizovat dokument certifikatom, zaruceny elektronicky certifikat, ako pouzivat pojem zaruceny elektronicky podpis.

No to je asi to nepochopení. Dokument se neautorizuje certifikátem, ale právě podpisem. Certifikát nese informace pro jeho ověření příp.vytvoření.
Certifikát pro ZEP nesmí být použit pro identifikaci či autentifikaci (šifrování atd) ale právě jen pro autorizaci.
Ověření ZEP ve Slovenských podmínkách trvá v pesimistickém případě 24h (dokud NBU nevydá nový seznam odvolání). Do ověření ZEP je tento považován za neplatný (presumpce viny).

Takže identifikátor v certifikátu NESMÍ být použit pro spárování s osobou, pouze pro OVĚŘENÍ zda podepsal ten, kdo tvrdí že podepsal…

Certifikát pro ZEP a ZEP jsou určeny právě jen a pouze k autorizaci dokumentu (dat) - tedy jeho podepsání.
Slovenská legislativa to navíc komplikuje definicí dalších požadavků např. nesmí být podepsána data obrázku/zvuku/videa pokud byla použita ztrátová komprese (jpg, mp3, mp4 atd.). Jeden “odborník” z NBU dokonce navrhoval použít SW prostředky které by zajistili aby byl tiskový výstup vždy identický bez ohledu na použitou tiskárnu… Zřejmě chtěl SW cestou donutit jehličkovou (ještě lépe řádkovou) čb tiskátnu donutit tisknout obrázky ve fotografické kvalitě…

Elektronický podpis v IT světě má poněkud jiné významy a principy podobné těm o kterých mluvíš.
Pro rychlé transakce mezi systémy se certifikáty nepřenášejí - případně jen v případě potřeby. Přenáší se jen podpis samotný, protistrana příslušným certifikátem pro ověření většinou disponuje případně si ho stáhne od příslušné účelové CA.
Pro takové potřeby máš na eID standardně uloženy tzv. komerční certifikáty, které je možno pro autentifikaci/autorizaci/šifrování/podepsání pro ZEP nedovolených formátů použít. Bohužel pro komunikaci se státní správou (úřady) tento certifikát nebo podpis na jeho základě vytvořený nepoužitelný.

Pojmy dojmy… Časové razítko může být připojeno spolu s podpisem, podobně jako certifikát pro ověření tohoto podpisu. El. podpis vznikne zašifrováním kontrolního součtu pomocí soukromého klíče.
Netřeba se mi dívat na příručku pro laiky když znám aspoň základy technologií v PKI využívaných.
Doplň si tam “elektronický podpis spolu s časovou pečiatkou”. Dokument je NEJDŘÍVE podepsán a až po té, včetně podpisu orazítkován. Podpis vytvoří tvoje PC, časové razítko si následně od příslušné autority vyžádá (pošle mu kontrolní součet třeba i NEPODEPSANÉHO dokumentu a dostane zpět strukturu obsahující tento součet, údaj o čase a el.podpis časové autority).
Časové razítko nemůže být součástí certifikátu pro ZEP, časové razítko vydává nezávislá třetí strana - autorita časových razítek… Kdyby byla v ceně, museli by rozpočítat náklady na generování razítek - bez ohledu na to jestli by jsi použil časové razítko 1x za život nebo (např. úřad/advokát/podnikatel) 100x denně…

možno, ale predstav si, aké by bolo super, keby si si na stránke slovensko.sk mohol vybrať, akým spôsobom budeš svoje dokumenty bezplatne podpisovať - či už appkou od disigu, ardaca alebo od ditecu

čo sa týka disigu, ja by som do ich webaplikácie doplnil ešte funkciu vloženia vizuálneho podpisu tak, ako to robí acrobat, aby aj po vytlačení bolo zrejmé, že dokument bol podpísaný elektronicky


Veľké zmeny v ZEPe kvôli eIDAS sú už tu, viď.:

A ináč návrh zákona v MPK nie je celkom kompatibilný s návrhom štandardu o ktorom je tento topic, RČ je navrhnuté ako povinné v certifikáte.