eID prelomene?


#628

Nejde ani tak o usercase, ako o to, či systémy štátu podania podpísané a zaslané na podateľňu včera, dnes, predvčera, budú považovať za platne a úplne podané, lebo ak overujú podpisy aj neskôr počas úkonu, môžu byť neplatné, ak to neoverujú k tej systémovej pečati. So všetkým, čo z toho môže plynúť. Pokiaľ to overujú so svojou pečaťou, no problém.

Čo sa týka namietania, v elektronickom svete je dokument platný, len ak vieš potvrdiť platnosť všetkých predošlých podpisov. Tu nejde o to, či ja spochybním niečo, ale o to, že ak by to štát neprepodpisoval, tak v budúcnosti nebude vedieť vydať platný odpis. Jedine, že by štátne podpisovacie aplikácie ignorovali postupnosť a povedali si - bolo to štátom spravované, podpíšeme len aktuálnym podpisom a reťazenie podpisov do minulosti sa neberie v úvahu. Možno sa mi v hlave bije len technické riešenie a právne to je inak, ale to je to, čo nevieme.


#629

Podateľňa postupuje pri overovaní všetkých ZEPov rovnako, je jedno či je to podpis podania, prílohy, alebo obrázku so slniečkom. Ak si dobre pamätám, je to zhruba takto:

  • zistí sa čas z časovej pečiatky - ak podanie nemá časovú pečiatku, pripojí sa k nemu nová
  • k tomuto času sa overuje platnosť podpisu (t.j. proces overenia prebehne pri prijatí podania, ale vzťahuje sa k času podpísania opečiatkovania, ktorý je určite neskorší ako čas podpísania)
  • odošle sa potvrdenka s potvrdením prijatia a ne/úplným overením ZEP
  • či je overenie úplné závisí od toho, či má podateľňa dostupné spoľahlivé info o stave certifikátu zverejnené neskôr ako čas ku ktorému sa overuje podpis - či už čas publikovania CRL, alebo čas OCSP odpovede (detto rekurzívne pre všetky certifikáty CA z celej certifikačnej cesty až po koreň)
  • ak overenie nie je úplné, čaká na dostupnosť info podľa predošlého bodu (to prebehne do 24 hod.) a následne sa vydá potvrdenka o úplnom overení ZEP
  • k dokumentu sa pridajú údaje preukazujúce úplné overenie - t.j. všetky certifikáty, certifikačné politiky, CRL, z celej certifikačnej cesty

Práve potvrdenka o úplnom overení ZEP je pre podávajúceho dôležitá. Čo si s podaním robí úrad ďalej je čisto jeho interná vec, potrebná pre jeho interné procesy (samozrejme sú výnimky).

Aha, opäť klasická otázka. Naposledy sme to tuším riešili tu:

Stručne (môj názor): Dôležité je overenie platnosti podpisu pri prijatí podania, k času podpísania. Následne postačí udržiavať informáciu o tomto overení a integritu dokumentu. Ak toto nie je dodržané, ani “prepečiatkovávanie našich detí” to nezachráni.
K tomuto by som dal do pozornosti §18.4 Vyhlášky MV SR č.410/2015 a bod 24.4 prílohy č.1 Výnosu MV SR č.525/2011.

Áno, za udržiavanie rozhodnutí, ktoré mi boli doručené, v stave použiteľnom na právne úkony (ak to potrebujem), si zodpovedám ja sám. Áno, odpis mi samozrejme musí byť vydaný vždy platný.

OVM postupujú pri správe registratúry podľa platných predpisov, viď. tie čo som uviedol vyššie. Dlhodobé úložisko môžu použiť - a poznám úrady/evidencie kde sa používa (otázka je, či v súlade s eIDAS). Platný odpis vydať musia vedieť.
Či by mali všetky rozhodnutia byť spravované zo strany OVM v dlhodobom úložisku? Hm, dobrá otázka. Práve sa to draftuje v štúdii pre “mechanizmus zdieľania rozhodnutí” aka. “register rozhodnutí”, ale tam je skoro jasné ako to dopadne.

Históriu úkonov údržby dokumentu v úložisku nepotrebujem. Podstatná je doložka a nový podpis, ktoré k dokumentu pripojí pri jeho vydaní von z úložiska jeho správca a fakt, že ide o “kvalifikovanú službu uchovávania kvalifikovaných elektronických podpisov”, viď. Čl.34 nariadenia eIDAS.
Logickou obmenou: ak by správca úložiska vedel pripojiť celú “históriu podpisovania”, nepotreboval by som aby spĺňal ľubovoľné kritériá, v podstate si môže robiť čo chce - validita podpisu je od jeho činnosti nezávislá. Keďže na prevádzkovanie kvalifikovanej služby uchovávania atď… sú kladené ozaj prísne kritériá, zjavne úmysel zákonodarcu bol týmito organizačnými opatreniami preklenúť nedostatok udržiavania validity čisto technickými opatreniami.


#630

Revokacia certifikatov nepresla na zimny cas - na podpisovanej ziadosti o zrusenie certifikatov mam cas o kodinu menej, ako som tam bol. V mojom pripade pred ich pracovnou dobou. :star_struck:


#631

Len tak informačne, ako revokácia prebehla sa dozvieme zajtra o 9:00 ráno:

Capture


#632

Inak len pre info, dnes prišla mailom výzva z Estónska, aby si e-residenti na diaľku aktualizovali použité certifikáty na karte. Posielajú k tomu pekne newsletter, step-by-step návod na aktualizáciu, je to jednoduché, rýchle a pohodlné. Som zvedavý, ako to bude vyzerať v slovenskom podaní.


#633

@Lubor vďaka, konečne nejaké kvalifikované odpovede, čo dávajú aspoň nejaký zmysel :+1: :+1:


#634

a technicky sa dozvieme coskoro ci a ktore podatelne zvladnu takto velke CRL. Inak hrozi ze overovanie sa pretiahne na dlho a slovensko.sk moze mat zase problemy.


#635

nevies to postnut len tak pre zaujimavost?


#636


#637

Velmi pekne, ako malo staci aby sa obcan/podnikatel necitil ako obcan tretej kategorie.


#638

Toto mi bohužiaľ u nás chýba. Estónci od začiatku jasne komunikovali, pripravili riešenie, oznámili to všetkým prostredníctvom mailu ako aj iných informačných kanálov, e-občan presne vie, čo má robiť. U nás ani jednotlivé štátne orgány nevedia, čo sa vlastne deje, prečo sa to robí a ako to majú robiť …


#639

Estónske video ako si softvérovo aktualizovať certifikáty:

Estónke inštrukcie k výmene certifikátov:
https://www.politsei.ee/en/teenused/isikut-toendavad-dokumendid/sertifikaatide-uuendamine/


#640

Inak v Estonsku idu tiez na 3072 bit RSA alebo na ECC ?


#641

:joy: ja mozem vo stvrtok postnut slovenske video ale bude asi dlhsie cca 20 min cesta na OR PZ, 20 min. cakanie, 4,5 minuty vymena, 20 minut cesta prec


#642

my mozeme urobit kompilaciu zo Sakovej tlacoviek…kazdy si tam nieco najde :smiley:


#643

Jak to vzdialene fixnutie vlastne bude technicky fungovat ? Bude nejaka apka ktora prikaze vygenerovat mojmu eid novy klucovy par. Dobre. Ale jak sa ten novy public key ocertifikuje?


#644

Pri otazke novinara, kolko to bude stat, Sakova zabudla spocitat cas vsetkych tych uradnikov, co mohli riesit nieco ine, alebo cas ludi, ktori musia na to cakat, alebo kvoli tomu v inych radach cakat. Minimalne 30 000 hodin x 4€ = 120 tis. €!


#645

Ok ak by to takto bolo zakotvene aj v legislative bolo by to ok.
Ibaze mne sa zda ze to smeruje niekam, neviem kam.
Vsimni si ze ta kvalifikovana sluzba uchovavania KEPov sa tyka iba podpisu. Ak si spomenies ked sa pripravoval eIDAS, tak tam bolo konstatovane, ze kedze uschova dokumentov je v EU uz dostatocne poriesena, nie je potreba riesit uchovavanie dokumentu. A teda ze tato kvalifikovana sluzba je len pre uchovavanie podpisov bez dokumentov. Teda nejde o sluzbu ktora existovala u nas do eIDASu, ktora sa voala uschova elektronicky podpisanych dokumentov a spocivala v tom ze sa uchovaval aj dokument aj podpis.
Tu sa uchovava iba podpis a ten sa udrzuje postupom popisanym v scheme dohladu nbu. Dokument mas u seba - cize toto je nejaka divna vec. Kedze aj zdvovodnenie tejto novej sluzby je ze by mala sluzit aj pre preklenutie problemu s prelomenim algoritmov, nechapem ako by to bola schopna v pripade ak budu existovat dva dokumenty s rovnakym hashom a inym obsahom (ako napr. tie dva pdf dokumenty s sha1 na lupe.cz).
Asi by to chcelo ten nas MDURZ nejako skombinovat s touto kvalifikovanou sluzbou uchoavavania KEPov a potom v legislative zakotvit pripad ze ak su dva rozne dokumenty s rovnakym podpisom, plati ten co bol v takomto ulozisku.
PS. Inak ta sluzba pracuje na pricipe prepeciatkovavania KEPu, cize je jedno ci mi daju potvrdenie ze to uchovavali, alebo rovno mi daju platny LT podpis ktory musia mat tak ci tak po celu dobu existencie podpisu v ich uschove - vid schema dohladu.
Ok ak by udrziavali inak ako prepodpisovanim jednotlivych dokumentov, potom to ich potvrdenie by bolo na mieste.


#646

Ľudí nikto nepresvedčí, že úložisko v “správe” Kaliňáka, Fica, Dzurindu, Mečiara, Federiča, Yegora ergo ďalšieho premiéra, vedúceho úradu a teda úradu vlády je bezpečným úložiskom. Nebudú ukladať citlivé elektronické dokumenty do služby, ktorá je v správe úradu vlády.

pridávam zoznam sprísnených úkonov v niektorých štátoch EÚ, ktoré sa nedajú vykonať elektronickým podpisom


#647
  • áno, že sa povinne “uchovávajú” iba podpisy je čudné, avšak dokumenty tam môžu byť tiež (v schéme dohľadu sa píše ešte o kúsok viac: “dokument nemusí byť pre službu dostupný”)
  • problém s prelomením hashu skrátka znamená, že ak mám iba jeden hash, dokument nie je v úložisku, a súčasne dôjde k prelomeniu hash algoritmu - tak mám smolu, podpis nie je dôveryhodne uchovaný
  • schéma dohľadu na riešenie prelomenia hashu píše: “[pre službu sa môže poskytnúť] prípadne viacero hash hodnôt vytvorených rôznymi hash funkciami, napríklad neskôr, pri dlhodobejšom uchovávaní” - ináč toto samo o sebe vylučuje prvoplánovú prepečiatkovávaciu správu
  • služba dlhodobého uchovávania môže “prepečiatkovávať” každý dokument/podpis, alebo to robiť pomocou “integritného podpisu” definovaného NBÚ, alebo sa môžu použiť “ekvivalentné postupy” - napr. LTANS