Disig a ich "riešenie" mobileID

Disig spustil nedávno ich riešenie mobileID https://zep.disig.sk/Portal/sk/Info/News#mobilesigning

K ich “riešeniu” jedným slovom len tolko :arrow_right:︎ tragédia

  1. Optimalizacia na iPhone X = 0 bodov, stale je to vo formate iPhone 6 z r. 2014

  2. Ten mobilny certifikat nieje mozne stiahnut do pocitaca, ani do mobilu, vsetko ide iba cez ich primitivnu aplikaciu, takze sen o tom, ze si ten komercny cert. hodim ako encrypt do mailu na mobile a pocitaca nehrozi :confused:

Pevne verim, ze to startne riesenie bude pokrocilejsie.

Toto je celá pointa prečo sa to robí takto komplikovane. Keby sa to dalo len tak prehadzovat tak v prvom rade žiadny certifikát ani netreba.

Čert je schovaný tu.

Pri komunikácii so štátnymi organizáciami na Slovensku treba byť obozretný. Tie totiž v súčasnosti akceptujú len kvalifikované podpisy vytvorené pomocou kvalifikovaných zariadení (napr. čipová karta), akými bežné mobilné zariadenia nie sú. Naše riešenie mobilného podpisovania je však plne použiteľné v komerčnej sfére.

Toto je len zaobalene povedané, že so štátom toho zatiaľ veľa nevybavite.

2 Likes

@jariq inak vies povedat viac ako toto funguje vo vnutri? V mobilnej appke je podpisovy privatny kluc? Podpisuje sa to tam? Ci je to remote signing a v mobile je len nejaky aktivacny kluc?

Vysvetlim neskor. Cez vikend nestiham :man_shrugging:

1 Like

Brace yourself. Wall of text is incoming :wink:

Nudný (ale nutný) teoretický úvod

Používanie elektronického podpisu upravuje na európskej úrovni Nariadenie Európskeho parlamentu a Rady č. 910/2014 z 23. júla 2014 bežne nazývané eIDAS, ktoré definuje tri typy elektronického podpisu:

Elektronický podpis

  • Predstavuje najnižšiu a najmenej dôveryhodnú úroveň elektronického podpisu
  • Príklad: prihlásenie do portálu a zaškrtnutie checkboxu …

Zdokonalený elektronický podpis

  • Predstavuje prostrednú úroveň, ktorá je dôveryhodnejšia, no nemá automaticky právny účinok rovnocenný s vlastnoručným podpisom
  • Príklad: podpis so self-signed certifikátom, biometrický podpis …

Kvalifikovaný elektronický podpis (ďalej len KEP)

  • Predstavuje najvyššiu a najviac dôveryhodnú úroveň elektronického podpisu, ktorá má právny účinok rovnocenný s vlastnoručným podpisom.
  • Príklad: Môže to byť len elektronický podpis založený na kvalifikovanom certifikáte verejného kľúča vyhotovovaný pomocou QSCD zariadenia (napr. čipovej karty). Na mobiloch sa zvyčajne implementuje v kombinácii so systémom pre vyhotovovanie elektronických podpisov na diaľku (angl. remote signing).

Podpisovanie v mobile od Disigu

Technologické fakty:

  • Využíva rovnakú technológiu ako KEP t.j. kvalifikovaný certifikát vydaný kvalifikovaným poskytovateľom dôveryhodných služieb
    • Vydavateľ certifikátov je pod dohľadom eIDAS-om zavedeného orgánu dohľadu a podlieha pravidelným auditom
    • Podpisový certifikát je vďaka eIDAS infraštruktúre (TSL) overiteľný v celej EÚ
  • Využíva rovnaké formáty podpisu ako KEP t.j. CAdES, XAdES, PAdES
    • Je to etablovaná technológia definovaná štandardami inštitútu ETSI a schválená pre eIDAS vykonávacím rozhodnutím EK
    • S podpisom vie okamžite pracovať väčšina dostupných aplikácií vrátane tých slovenských ale aj zahraničných ako napr. Adobe Acrobat Reader
  • Podpisové kľúče sú uložené v mobilnom zariadení používateľa
    • Kľúče sú generované aj uložené v zariadení používateľa a ich použitie je chránené samostatným heslom
    • Mobil nie je QSCD zariadenie => vytvorený podpis nie je kvalifikovaný => je to zdokonalený podpis

Toto riešenie teda používa rovnaké technológie ako KEP s jedinou výnimkou - nepoužíva QSCD zariadenie. Kvôli tomu je podpis vytvorený na mobile zdokonalený a nie kvalifikovaný. Pre niekoho to môže byť zásadná nevýhoda, pre iného zase zdroj viacerých výhod:

  • Implementácia a integrácia je jednoduchšia a rýchlejšia než pri remote signingu.
  • Riešenie nutne nepotrebuje registráciu používateľov ani centrálnu evidenciu ich zariadení.
  • Pri vytváraní podpisu sa nemusí komunikovať s centrálnym poskytovateľom, a teda je použiteľné aj v izolovaných prostrediach.
  • Zvláda to väčšina mobilov a dokonca nie je nutné obmedzovať ani root-nuté Androidy. Rovnaký certifikát na “softvérové kľúče” totiž môže používateľ získať na našej registračnej autorite a importovať si ho do viacerých zariadení (do PC, do mobilu, do tabletu …).

Ak má používateľ eID kartu, tak môže v súčasnosti certifikát do mobilu získať zdarma online. Je možné, že proces získania certifikátu budeme ešte modifikovať, aby bol jednoduchší a prístupnejší. Tiež je možné, že v mobilnej appke sprístupníme podporu pre ďalšie úložiská kľúčov/certifikátov, ktoré umožnia vytváranie aj ďalších typov podpisov. Mali sme tam už napríklad NFC karty, s ktorými sme vytvárali kvalifikovaný podpis (vtedy sa ešte volal zaručený), no tie sa v danom čase moc neujali.

Dotaz na takéto riešenie k nám prišiel z komerčnej sféry, no myslím si, že môže nájsť uplatnenie aj v štátnej správe. Ak sa nemýlim, tak napríklad finančná správa v pohode roky akceptuje “elektronickú značku” ako alternatívu ku KEP-u a na slovensko.sk som tuším tiež narazil na nejaký “podpis BOK-om” (skoro mi pri tom vypadli oči na stôl :eyes:, ale to je na inú debatu). Aj v štátnej správe teda zjavne existuje nejaká možnosť vybrať si, čomu sa bude veriť a čomu nie.

3 Likes

Ja osobne aplikáciu používam na iPhone XS a nenarazil som na žiadny zásadný problém, ale je možné, že mi niečo ušlo. Môžeš prosím detailnejšie popísať čo na iPhone X nefungovalo resp. kde presne chýba optimalizácia?

Toto je komplikovanejšia technologická téma, ale pokúsim sa ju aspoň zhruba rozobrať a vopred upozorňujem, že pri tom budem veci schválne zjednodušovať:

Aby bol akýkoľvek podpis (či už dokumentu alebo e-mailu) overený ako platný, musí byť vytvorený certifikátom, ktorý vydala dôveryhodná CA.

Aplikácie na podpisovanie a overovanie dokumentov v EÚ zvyčajne používajú ako zdroj informácií o dôveryhodných CA zoznam poskytovaný EK tzv. TSL. Ten nedefinuje žiadne konkrétne CA, ale iba odkazuje na zoznamy jednotlivých členských štátov a až v tých je potom zoznam konkrétnych CA, ktoré sú v danom štáte považované za dôveryhodné na vydávanie certifikátov na nejaký účel (napr. na podpisovanie, na pečatenie atď.) Aby sa CA dostala do TSL musí spĺňať nejaké požiadavky eIDAS-u a ďalších štandardov, z ktorých pre ňu potom vyplývajú nejaké obmedzenia.

Naproti tomu väčšina mailových klientov zvyčajne používa ako zdroj informácií o dôveryhodných CA zoznam poskytovaný operačným systémom. Microsoft spravuje pre Windows vlastný zoznam, Apple spravuje pre macOS a iOS vlastný zoznam, Linuxové distribúcie zvyčajne preberajú zoznam od Mozilly, Google spravuje pre Android tiež vlastný zoznam. Aby sa CA dostala na tieto zoznamy, musí spĺňať nejaké kritériá, ktoré nemusia byť nutne rovnaké ako tie, ktoré platia pre eIDAS-ové TSL. No a keď už v tých zoznamoch CA je, tak pre ňu z toho zase vyplývajú nejaké obmedzenia, ktoré opäť nemusia byť nutne kompatibilné s tými, ktoré platia pre eIDAS-ové TSL.

Sú to akoby dva samostatné svety, kde platia síce podobné, no nie úplne rovnaké pravidlá.

Disig preto má CA, ktoré sú dôveryhodné v eIDAS svete napr. CA Disig QCA3 a zároveň má iné CA, ktoré sú dôveryhodné v svete operačných systémov napr. CA Disig R2. Ak používateľ potrebuje certifikát na podpisovanie dokumentov pre orgány štátnej správy, tak zvyčajne dostane certifikát od CA Disig QCA3. Ak potrebuje certifikát na podpisovanie e-mailov, tak zvyčajne dostane certifikát od CA Disig R2 resp. od jej podriadenej autority CA Disig R2I3.

V rámci riešenia pre mobilné podpisovanie Disig v súčasnosti zdarma poskytuje kvalifikovaný certifikát overiteľný v “eIDAS svete” a použiteľný na podpisovanie dokumentov. Certifikáty na podpisovanie e-mailov v súčasnosti zdarma neposkytuje, ale dajú sa získať štandardným spôsobom.

A sme opäť pri klasickom probléme: zadanie bola autentifikácia, ponúkané riešenie je el. podpis. Nie prosím.

1 Like

Ono by bolo fajn, ak by boli k dispozícii obidve služby, ale v tejto podobe je to tragedia (co majiteľ vsetci s tym hamburger menu???) :confused:

1 Like

@jariq Postol som tie screenshoty tak ako si požiadal…

1 Like

Dik moc :+1: Toto “scvrknutie” by malo byt vyriesene v dalsej aktualizacii aplikacie. Zatial neviem presny datum kedy pristane u koncovych pouzivatelov.

s týmto si si istý ? Zdokonalený podpis (AdES) ma predsa 2 variacie.

  • AdES založený na kvalifikovanom certifikáte a
  • AdES založený na nekvalifikovanom certifikáte.

Zdokonalené podpisy sa tiež overujú v európskom trusted liste (Čiže vydavateľ tam musí byť uvedený)… akurát privatny kľúč nie je na QSCD …
Jediný problém na Slovesnku je že naša legislatva nijako neupravuje použitie týchto typov popdisov a orgán dohľadu neudržuje nekvalifikovanú časť slovenskúho dôveryhodného zoznamu, iba kvalifikovanú (nekvalifikovaná časť je prázdna, dá sa skontrolovať v EU trusted list browseri).
V Čechách napríklad ich zákon o službách vytvářejícich dúveru v jednom paragrafe definuje EUD ako dokumenty podpisane/pecarene KEPom, ale podania obcana mozu byt AdESy … u nás musí byť všetko KEP aj podania. Akurát tie nemusia mať QTS

Podpisovanie cez appku v mobile nie je ako nástrel vôbec zlé. Na krk Disigu šliape 602.cz s ich ponukou eIDAS platforma SecuSign

Moje doproučenie Disigu spustenie eIDAS cloudu s HSM, archívaciou a mobilným podpisovaním v jednom produkte za rozumny mesačný poplatok napr. 9 EUR. Sú predsa kvalifikovaný poskytovateľ eIDAS služieb. :slight_smile:

Samozrejme sa môžem mýliť, ale v tých príkladoch vychádzam z článku 26 eIDAS-u:

Článok 26

Požiadavky na zdokonalené elektronické podpisy

Zdokonalený elektronický podpis musí spĺňať tieto požiadavky:
a) je jedinečne spojený s podpisovateľom;
b) umožňuje určenie totožnosti podpisovateľa;
c) je vyhotovený pomocou údajov na vyhotovenie elektronického podpisu, ktoré môže podpisovateľ s vysokou mierou dôveryhodnosti používať pod svojou výlučnou kontrolou, a
d) je prepojený s údajmi, ktoré sa ním podpisujú, takým spôsobom, že každú dodatočnú zmenu údajov možno zistiť.

Nemám právne vzdelanie, takže mi neprináleží to vykladať, ale ako technik/laik tam nikde nevidím žiadnu zmienku o certifikáte ani trust liste. Chcem veriť tomu, že zdokonalený podpis môže vytvárať ľubovoľná technológia (možno aj v súčasnosti neexistujúca), ktorá naplní uvedené podmienky. Inak by mohla nastať situácia, že by eIDAS vlastne zabraňoval rozvoju nových technológií, ktoré nie sú založené na certifikátoch.

1 Like

a) je jedinečne spojený s podpisovateľom;
b) umožňuje určenie totožnosti podpisovateľa;
To jedinecne spojenie s podpisovatelom, ktoreho mozes potom aj podla toho urcit totoznost je prave certifikat vydany certifikacnou autoritou.
Cize napriklad samopodpisanym certifikatom sa zdokonaleny podpis neda urobit. Musi tam byt tretia autorita vydavajuca certifikat prave koli tomu ze je potrebne v pripade potreby urcit totoznost podpisujuceho. Pri vydavani certifikatu tato autorita overuje totoznost a az potom vydava certifikat. Certifikacna autorita v tomto pripade nemusi byt akreditovana.

toto neviem co znamena z pohladu eIDAS … viem co to znamenalo z pohladu zakona 215/2002, ktorý už neplatí …

Tam je myslím tento (slovenský) inštitút nahradený zaradením do trusted listu (TL).
A trusted list má aj svoju nekvalifikovanú časť, ktorú Slovensko má úplne prázdnu a vôbec ju nevyužíva.
Ale pokiaľ nie je vydávateľ zapísany v tom TL, tak referenčné overovače neukážu zdokonalený podpis. A ani zep.disig.sk to neukáže ako zdokonalený.

Lahsie sa to chape ked si to premietnem na stare podmienky.
Dnes sa tomu hovori kvalifikovana doveryhodna sluzba pre vydavanie kvalifikovanych certifikatov a ostatna doveryhodna sluzba pre obycajne certifikaty.
Takze lepsie a logickejsie je povodne oznacenie autorit vydavajucich certifikaty ako ACA a CA.
On totiz vznikol asi maly problemik.
Kym kvalifikovaneho vydavatela ma pod prisnym dozorom organ dohladu, tak “obycajneho” vydavatela ma sice pod dohladom ale menej prisnym a v podstate sa vydavatelom nekvalifikovanych certifikatov moze stat kazdy kto sa rano zobudi a povie si idem vydavat certifikaty. A po pol roku ked sa mu to neoplati tak to zabali. Lenze ak uz vydal nejake certifikaty tak ich odberatel resp. ten kto pouziva takto podpisane subory chce aby bolo naplnen aj to co eIDAS hovori ze “Umoznit urcit totoznost” a to aj po mnohych rokoch. Takze tu ja vidim trochu dieru, ze toto po eidase nemame tak dobre poriesene ako pred nim.
Zrejme na to by mal sluzit ten TL. Aby bola istota ze nejde o vymyslene certifikaty ale ze ich vydavatel je pod dohladom nbu. Dnes tu istotu mam len z toho ze si obycajny certifikat radsej kupim od overenej autority ktora vydava aj kvalifikovane aj nekvalifkovane certifikaty, lebo tam mam istotu ze aj nekvalifikovane sluzby su pod urcitou kontrolou.

Mňa disig nepotešil už dávno.

Chcel by som sa opytat ako je to myslene:

  1. ze musi byt vydany kvalifikovany certifikat ulozeny na mobilnom zariadeni.
  2. Vytvoreny podpis je zdokonaleny podpis
    Je nejaky dovod aby sa na tento ucel musel nutne pouzivat kvalifikovany certifikat? Na podpisovanie dokumentov v komercnej sfere plne staci zdokonaleny podpis, alebo pecat a na jeho vytvorenie postaci aj nekvalifikovany certifikat. Podmienkou je aby sa podla neho dala urcit totoznost podpisujuceho. A toto splnaju aj nekvalifikovane certifikaty ktore Disig tiez vydava, len su lacnejsie a mozno by aj ich platnost mohla byt dlhsia ako u kvalifikovanych.

image

@jariq nieco sa zmenilo a uz podporujete aj QES/KEP alebo to zle citam? Ako sa to podarilo?