Mandátne certifikáty považujem za zlé riešenie od začiatku. Dnes sú už úplným anachronizmom - napr. nikde na svete mimo SR ich nedokážu správne interpretovať a overiť.
V ich používaní je guláš - stačí si pozrieť zoznam oprávnení / mandátov.
Všetko čo sa ich pomocou robí, sa dá dosiahnuť aj inak. Potrebné je používať štandardné prvky - v súčasnosti KEP, pečať.
Odborne to vyzerá takto (zápis z rozporového konania):
“Z diskusie vyplynulo, že panuje všeobecná zhoda možnosti zrušenia mandátnych certifikátov v budúcnosti. Navrhovateľ pripomienky [my, Slovnensko.Digital], Ministerstvo financií Slovenskej republiky, Úrad vlády Slovenskej republiky a Ministerstvo vnútra Slovenskej republiky vypracujú analýzu o možnosti ukončenia používania mandátnych certifikátov do budúcnosti.”
Dokonca ani biznis z toho veľký neplynie - ako mi aj nedávno potvrdil riaditeľ jednej CA.
Lenže bohužiaľ v zákone o eGov je mandátny certifikát zatiaľ ako prioritná metóda pre autorizáciu za OVM a preukázanie oprávnenia konať za inú osobu. K tomu má ÚPVII metodický pokyn kde všetkým odporúčajú to takto používať - @anton.janos vieš nám ho sem dať?
Potiaľto súhlasím s tým čo @ius píšeš. Ale:
Vieš presne doložiť, že eIDAS vylučuje mandátne certifikáty? Imho je to skrátka určitá forma kvalifikovaného certifikátu pre elektronický podpis, ktorá má vnútroštátne špeciálne postavenie - čo nariadenie umožňuje.
Toto je samozrejme nezmysel (pôvodca pečate je organizácia, nie FO), aj ekonomický (bolo by to drahé). Ten istý efekt sa dá ľahšie dosiahnuť tak, že každý (oprávnený) zamestnanec odošle dokument na autorizovanie pečaťou organizácie.
Problém ktorý sa snažia OVM najviac riešiť pomocou mandátneho certifikátu, je ak fyzická osoba z titulu svojho postavenia rozhoduje vo svojom mene (napr. sudca, kontrolór atď.). Tu vždy bude primárny elektronický podpis tejto osoby, nie pečať.
Iba sekundárne je vhodné mať overené, že potrebné postavenie je tejto osobe pripísané oprávnene, a to konkrétne k času vytvorenia podpisu. To sa dá spraviť viacerými spôsobmi, najjednoduchšie však vo väčšine prípadov je po podpísaní KEPom osoby celý dokument aj s podpisom následne autorizovať pečaťou organizácie.
Nie. Viď. eIDAS rec.24,54 a iné.
Ako vážne si myslíš že všade musí byť umožnená autorizácia iba s pseudonymom?
Áno, ale toto nikdy nebude ani zdokonalený EP, nieže kvalifikovaný EP.
Oficiálna odpoveď je, že ak RČ/TB v certifikáte nechceš, máš si ísť KEP vybaviť inde a nie cez eID. Vzhľadom na to, že MVSR je v pozícii iba registračnej autority, ak CA Disig umožňuje vydať KEP bez týchto identifikátorov (hovorili mi že umožňujú), tak nariadenie porušené zrejme nie je.
Žiadny “súkromný” podpis neexistuje. Je iba podpis fyzickej osoby - KEP. Rozdiel oproti papierovému svetu spočíva v tom, že ku materializácii podpisu - klikihák na papieri, alebo RSA signature v el. podpise - sú v el. podpise pripojené viaceré atribúty. Čiže môžeš mať mnoho rôznych KEPov, rozdielnych napr. podľa toho, ktorá CA certifikát vydala a aké sú v ňom atribúty. Všetky sú však rovnako použiteľné, je na rozhodnutí ich držiteľa, ktorý si v určitej situácii vyberie.
RČ/TB v podpise sme pri schvaľovaní zákona o dôveryhodných službách eskalovali až do parlamentu. Pellegrini osobne o tom hovoril, MV dalo stanovisko. Čiže všetky pomazané hlavy sú minimálne informované.