Eid občiansky preukaz s e-podpisom netreba vracať polícii

Iba malá technická poznámka, eid s certifikátom de lege ferenda nebude treba vracať polícii po skončení platnosti. Či?

Po skončení platnosti eID (10 rokov) - áno
Po skončení platnosti ZEP certifikátu (5 rokov) - nie

Vidíš rozpor s platnými formálnymi pravidlami?

Nemyslím si, že je kóšer ak vraciaš token, spolu s kvalifikovaným certifikátom.

1 Like

Certifikát je verejný údaj, v tom problém nie je.
Máš asi obavu, že keď vrátiš eID, pomocou ktorého sa ešte stále dá vytvoriť ZEP, aby ho niekto nefalšoval za Teba? Pravdepodobnosť je rovnaká ako keď Ti niekto eID ukradne = malá, lebo po niekoľkých zlých zadaniach PIN sa to zablokuje.

Plus je tam jednoduché organizačné opatrenie - v rámci vrátenia karty revokovať ZEP. Toto samozrejme má zmysel od MV vyžadovať. Možno to aj robia, skús sa ich spýtať.

Pokiaľ ide autentifikáciu pomocou eID, tú MV môže falšovať kedykoľvek, nepotrebuje na to eID, stačí vhodne upraviť odpovede autentifikačného servera.

Budeš k spätnému znaleckemu dokazovaniu potrebovať certifikát s tokenom ?

Nie som si úplne istý, či certifikát ktorým podpisuješ a je viazaný na tvoju osobu, zaväzuje výlučne teba môže byt mimo tvojej vlastnej dispozície.

Nepodpisuješ certifikátom, ale privátnym kľúčom. Certifikát je “iba” prepojenie privátneho kľúča s ďalšími informáciami (napr. identita podpisovateľa) a potvrdenie tohto prepojenia (certifikačnou) autoritou.

Chúlostivá vec je ten privátny kľúč. Preto sa generuje v čipe, je tam uložený a nikdy ho neopustí, čip ani nemá funkciu na jeho export. Samozrejme nedá sa vylúčiť možnosť prelomenia bezpečnosti čipu - či už hackovaním jeho kódu, ale napr. aj fyzicky frézovaním, mikroskopom a pripojením sa na obvody (proti tomuto sú tam však obvykle ochrany, napr. že keď to čip zdetekuje, tak sa zmaže).

Pri dokazovaní si viem potrebu konkrétneho tokenu (tu eID) predstaviť iba v prípade ak by sa malo preukázať takéto prelomenie. Na to - demonštráciu - však stačí akýkoľvek token rovnakého typu. Plus teda sú možné obskúrne scenáre, napr. že na tokene sú odtlačky prstov zlodeja, alebo sa skúma špecifická stopa vydratia kontaktov na preukázanie či mohol v určitej konkrétnej čítačke byť zastrčený.

Ináč rovnako to predsa funguje pre ZEP roky - nikdo si neodkladá “staré” nosiče privátnych kľúčov.

1 Like

Bezpečnosť sa začne riešiť až v momente, keď bude spochybnený elektronický podpis nejakého vysokého štátneho úradníka. Podobne ako v ČR, keď sa niekto nabúral do schránky premiéra.

Iste, ale tu pri dokazovaní konkrétna karta nie je dôležitá.

Vcera rano som odovzdal eID OP so ZEP kvoli ziadosti o novy. Pred mojimi ocami nebol OP vlozeny do citacky a neboli zablokovane certifikaty. Nikde nemam istotu, ze certifikaty nebudu zneuzite. Nemam explicitne potvrdenie o odovzdani OP, len ziadost o novy OP z ktorej asi vyplyva odovzdanie OP. Teraz som kontroloval CRL (certificate revocation list) zo stranky https://eidas.disig.sk/sk/crlinfo/ - Akreditovaná CA Disig - SVK eID ACA - http://eidrep1.disig.sk/svkeidaca/crl/svkeidaca.crl a ani jeden z troch certifikatov nie je na zozname. V zmluve k ZEP je aj heslo na zrusenie, tak to idem vyuzit.

Vypisanie CRL cez konzolu openssl crl -in svkeidaca.crl -inform DER -noout -text keby niekoho zaujimalo. Vypise to seriove cislo a datum a cas revokacie.

4 Likes

Teraz je podľa CRL revokovaných 1657 certifikátov eID ACA.
Toto je ich distribúcia podľa mesiaca revokácie:

Vydaných eID so ZEP je ak si dobre pamätám niekde do 100K.
Naozaj to takto na jednoduché pozretie nevyzerá že po vrátení sa robí automatická revokácia.

1 Like

Nuž zákonodarca opäť mešká s riešeniami

Ponechať užívateľom token, automaticky revokovat certifikáty to je hádam jedine riešenie.

eID sa centrálne skartujú, rovnako ako všetky centrálne vydávané doklady. Je to uzavretý životný cyklus, a to je dobre.

V r.2015 bolo takto skartovaných 142868 ob.preukazov (plastových kartičiek bez čipu, aj s čipom - nie staré knižky).

Odľahlo mi, hneď sa cítim istejšie, že štát garantuje že nebudú EID zneužité.

K znaleckemu posudku, teda nebudeš potrebovať token s privátnym kľúčom. T.j. K tomu aby sme vedeli vyvrátiť alebo potvrdiť či bol podpis vyhotovený konkrétnym privátnym kľúčom na konkrétnejšie čipovej karte. V podstate toto sa ani skúmať nedá. Preto mame fikciu.

dokazovanie sa teda bude vykonávať iba v rovine platnosti a neplatnosti podpisu a fikcie pravosti podpisu pokial nebol revokovaný. Resp znalecké dokazovanie sa nebude vykonávať, lebo fikcia má rovno odkáže na držiteľa privátneho kľúča. A štát alibisticky odkáže, podobe ako to robia banky, že z pohladu interných systémov, transakciu vykonal vlastník eID karty. (Hoci túto bude fakticky držať niekto iný)

Povýšiť elektronicky podpis na úroveň osvedčeného podpisu je počin storočia. Černákovci, piťovci sýkorovci musia krochkať blahom.

Dokazovať sa v pohode môže, jediný rozdiel je že ak je KEP overiteľný, default sa predpokladá že bol vytvorený správne a dokazovať nesprávnosť musí ten kto sa jej domáha. Napr. tak, že preukáže vrátenie karty v určitý čas, ktorý bude skorší ako čas vytvorenia ČP na podpise. Ináč aj preto je tam požiadavka na ČP. :wink:

Ale teda súhlasím že pri vrátení by sa mal cert. revokovať. MV na to nepotrebuje žiadne ďalšie údaje/povolenia od držiteľa, keďže vystupujú voči eID ACA v pozícii registračnej autority, techchnicky by to tiež nemalo byť zložité. Ak by sa v atribútoch certifikátu uvádzalo sériové číslo eID v ktorom je kľúč zapísaný (a nie RČ ako dnes), tak je to triviálne.

Lubor, riešime situácie keď občan spochybňuje svoj vlastný kvalifikovaný elektronický podpis.

Pretože tento človek je podpisom viazaný. Nestačí si zakrývať oči že k zneužitiu technického prostriedku nedôjde. Zákonodarca de facto povedal, že faksimile (odtlačok, vizuálna kópia podpisu) má takú istú právnu silu ako úradne overený podpis.

Zákonodarca teda musí prísť s riešením, čo s kompromitovanymi transakciami. Banky to riešia čo najväčším počtom nezávislých kanálov, ktorými sa transakcie potvrdzujú+ zapojením biometrie.

Áno. To sa nezriedka stáva aj pri vlastnoručnom podpise.

Prosím rozveď, nerozumiem kde sa hovorí o vizuálnej kópii podpisu.

Akože čo? Z pohľadu zákona ide o rovnaký postup ako doteraz, či už z procesného hľadiska - konanie ktorým sa môže zneplatniť predchádzajúci právny úkon, aj riešenia vzťahov po jeho zneplatnení.

Lubor, kvalifikovaný podpis prirovnávam k niečomu v materiálnom svete.

Predstavme si, že štát rozdá občanom prostriedky na vyhotovovanie faksimile (podpis urobený pomocou mechanickej pečiatky) a vyhotovenie faximile odtačku podpisu by bolo možné po mechanickom zadaní kódu. Štát by takýto podpis vyhotovený pomocou takéhoto prostriedku povýšil na overený úradný podpis a to len na základe toho, že iba majitel pozná mechanicky kód a na základe domnienky, že dokumenty podpísané faksimile zaväzujú jeho majiteľa.

Pri faksimile máš oddelenú biometrickou zložku od podpisovateľa. Takže pomocou prostriedku môže podpisovať ktokoľvek

Vieš si to predstaviť?

Rieš neplatnosť takéhoto úkonu.

@ps-legislativa

no som zvedavy ako toto spravi podnikavy bača, alebo hoci len referentka v štekloch a minisukni, ktorej a ctrl+alt+del musi prisť urobiť IT admin … :sweat_smile: