eID prelomene?


#709

Dal som tomu pár týždňov, ale keďže do konca najbližšieho februára momentálne ostáva 10 mesiacov, vzdal som to a navštívil políciu. Lístočkový terminál na časenky nefungoval, ale ľudí bolo našťastie málo - dvaja predo mnou. Celkový čas “od dverí k dverám” 16 minút, s cestou 22 minút - Dolný Kubín.

Možnosť výmeny na diaľku som vnímal ako výhodnú hlavne preto, že by som mohol (po otestovaní procesu na sebe) poriešiť aj ďalšie 3-4 OP ostatných rodinných príslušníkov. Na polícii ináč stále visí oznam, že ak nepotrebujete výmenu certifikátov súrne, máte počkať na výmenu na diaľku - ale radšej nepíšu žiadny termín.


#710

zaujimave ze to vyhralo byvale HPE bez sutaze ale priamym zadanim
a moralna kvalita po mergnuti s CSC je tiez na pochybach


#711

Príslušné oznámenie vo vestníku: https://www.uvo.gov.sk/vestnik/oznamenie/detail/380708

Celková hodnota obstarávania 2 649 448,00 EUR bez DPH mi pripadá na riešenie “mimoriadnej udalosti”, že “súčasný spôsob generovania kľúčových párov pre tvorbu kvalifikovaného elektronického podpisu je nevyhnutné v termíne do 30.6.2018 zmeniť” úplne mimo realitu.

Toto je vážny kandidát na ocenenie “najdrahší riadok zdrojového kódu”.

Ak by som mal veriť tomu čo sa vo vestníku píše, tak celé riešenie musí byť vytvorené medzi aprílom (kedy MV “ukončilo analýzu a návrh technického riešenia” a júnom, to sú maximálne 3 mesiace, 91 dní. Pri veľkorysej cene 1200 EUR/MD, čo zhruba v doterajších zmluvách MV pre HP platilo, je to spolu 2280 MD, by celý čas paralelne na tomu muselo makať 25 ľudí.


#712

Podla mna je toto zla uvaha. Iba teoretizujem, ale skor to je tak, ze MV povedalo uz po prevaleni kauzy DXC aby nieco vymysleli. Oni asi aj vymysleli, ale MV nestihlo domysliet, ze ako to zaplatia. Preto mozno hovorili ze to bude skor, lebo technicky to pripravene mozno aj je.
A kedze obstaravanie je casto najzlozitejsia cast riesenia, tak meska :slight_smile:
A ako poznam MV, urcite v tom obstaravani maju aj dalsie veci, takze posudzovat cenu tymto sposobom nie je sice na prvy pohlad logicke, ale zrejme nie uplne presne.


#713

Lenže ak chcú obstarávať aj ďalšie veci, tak na to mali spraviť normálnu súťaž. Alebo majú fakt dobré odôvodnenie prečo to vôbec rozdeliť neide.
Napr. samotná implementácia možnosti obnovy certifikátov na diaľku rozhodne nie je v žiadnej časovej tiesni.


#714

hmmm ze toto pokracuje - to pokladam za neuspech doterajsich snazeni … Tieto matematicke vypocty sa nedaju pouzit na napadnutie takeho obstarka ? ved to budu robit traja specialisti za 320 Eur nie 25 ludi po 1200 Eur … to je hadam vsetkym jasne …


#715

je tam redakcna oprava a celkova hodnota obstaravania sa meni, co je celkom zaujimave, ze preco o viac ako 50%:

II.1.7) Celková hodnota obstarávania (bez DPH)
Namiesto:
2 649 448,00
Má byť:
1 134 449,00

dokumenty k zakazke ziadne https://www.uvo.gov.sk/vyhladavanie-zakaziek/detail/dokumenty/414281

tu je aj odpoved, ze preco sa tak zlacnelo https://www.zive.sk/clanok/132080/aktualizacia-e-obcianskych-cez-web-bude-ovela-lacnejsia-stat-sa-sekol-o-2-miliony/

Cena bola vraj pred rokovaním
Ministerstvo podľa stanoviska pre Dsl.sk tvrdí, že s chybnou čiastkou rátalo pred rokovaním s dodávateľom a potom došlo k zefektívneniu.

-> MV SR nastavilo latku velmi vysoko…OVM by mali teraz dosahovat minimalne usporu v % vyjadreni aku dosiahlo MV SR…teda viac ako 50%!!! Deju sa naozaj velke veci!!! Profiluje sa novy lider v informatizacii…snad im to vydrzi aj pri dalsich planovanych projektoch.

Davam dole klobuk aj pred DXC, ze tak dokazali zoptimalizovat v ramci rokovania riesenie!!! Odborne by ma zaujimalo, ze v com sa to podarilo. Mohlo by to sluzit ako priklad dobrej praxe.**


Čo ďalej s komunitou? Dajte nám vedieť
#716

to je ex-post oznamenie, ak tomu dobre rozumiem


#717

https://www.uvo.gov.sk/vestnik/oznamenie/detail/381288

Vysvetlenie Vysvetlite jasne a úplne, prečo je zadanie zákazky bez predbežného uverejnenia oznámenia o vyhlásení verejného obstarávania v Úradnom vestníku Európskej únie v súlade so zákonom, a uveďte príslušné fakty, a ak je to vhodné, závery právnych predpisov v súlade so smernicou: 20.6.2017, v spolupráci s MVSR a v dostatočnom predstihu, požiadala spoločnosť (pôvodný žiadateľ o certifikáciu) NBÚSR o recertifikáciu čipu, ktorý sa používa aj v elektronických občianskych preukazoch SR. 19.7.2017 bola spoločnosť Disig v tejto veci vyrozumená, že predĺženie certifikátu nie je potrebné. 24.10.2017 prišlo k druhej odpovedi, v ktorej NBÚSR oznamuje, že nie je možné predĺžiť platnosť certifikátu čipu. O tejto skutočnosti bolo MVSR informované listom dňa 6.11.2017. MVSR okamžite vyvolalo rokovanie za účelom hľadania riešenia vo vzniknutej mimoriadnej udalosti. 15.12.2017 NBÚSR vydal rozhodnutie č.08754/2017/SKB/OCA-004, ktorým navrhol riešenie tejto mimoriadnej udalosti. Z návrhu riešenia vyplýva, že súčasný spôsob generovania kľúčových párov pre tvorbu kvalifikovaného elektronického podpisu je nevyhnutné v termíne do 30.6.2018 zmeniť. MVSR ihneď po zverejnení rozhodnutia začalo s analýzou a návrhom technického riešenia. Táto aktivita bola ukončená na prelome 03-04/2018.


#718

Už je zverejnená zmluva - http://www.crz.gov.sk/index.php?ID=3437506&l=sk
Veľké zmeny.

Napr. vznikne nová lokálne inštalovaná aplikácia “EAC MW Klient”, ktorej súčasťou bude aj sw na podpisovanie - WebSigner od Disigu (scenáre použitia nie sú zo špecifikácie celkom jasné, možno iba na “technické” veci).

“Protokol o prevzatí certifikátov” sa má uložiť do elektronickej schránky občana - zjavne bez ohľadu na to či ju má aktivovanú na doručovanie (ale je možné, že sa už ráta s centrálnym doručovaním, t.j. vytlačí sa a papier pošle poštou). Keďže to prevzatie sa deje online na lokálnom PC používateľa, ktorý je spoľahlivo prítomný, je dosť bizarné že ten protokol sa mu nedá zobraziť/uložiť priamo, najmä keď ho ešte používateľ podpíše.

Propagátor certifikátov bude mazať certifikát z Win úložiska po vytiahnutí karty. (Zrejme priama reakcia na to čo sme tu rozoberali asi o 500 príspevkov vyššie, že certifikáty zostávajú na každom PC kde je propagátor zapnutý.)

Plánovaná kapacita je max. 11520 zapísaní nových cert. do eID za hodinu. Neide iba o aktualizáciu “starých” cert., aj ten kto v eID nemá nahraté žiadne, si bude môcť vytvoriť takto nové. Generovanie/zapisovanie kľúčov a certifikátov je komunikované EAC kanálom karta-server. Kľúče budú 3072 bit RSA, čiže asi sa použije tá “neurýchlená” knižnica z čipu eID, ktorej sa ROCA netýka. S prechodom na eliptické kryvky “je nutné do budúcnosti počítať”.

Btw. zasa jedna zmluva o dielo, kde sa odchylne od štandardu z Autorského zákona upravilo že majetkové práva k softvéru nevykonáva objednávateľ…

A ako sa dalo predpokladať, absolútna väčšina objednávanej funkčnosti nie je na riešenie “mimoriadnej udalosti”, čiže odôvodnenie PRK je na vode.


#719

toto je ale vyslovene porusenie NKIVS … toto musi niekto pocítiť … ináč sa tu snažíme úplne zbytočne … a mocní nás majú za bláznov … .


#720

Ináč v tej zmluve sa uvádza, že “Kvalifikované certifikáty sa v súčasnosti vydávajú do eID kariet na základe riešenia SSCD certifikovaného NBÚ pod názvom „Čipová karta Atos verzia CardOS V5.0 – Sig ZEP/EP DSDA“.

Keď sa však pozriem na http://www.nbusr.sk/doveryhodne-sluzby/certifikacia-produktov/produkty-s-ukoncenou-platnostou-certifikatu/index.html , tak tam príslušný produkt má ukončenú platnosť od 10.1.2018.

Znamená to že všetky súčasné eID fičia na karte+SW bez platného certifikátu? Sú teraz vytvárané KEPy takto vôbec platné?

A ako je to teda s “mimoriadnou situáciou”, ktorú je “nevyhnutné riešiť do 30.6.2018” - odkiaľ sa vlastne vzal ten júnový termín?


#721

Dvaja “výrobcovia”-dva rozdielne produkty, Disigu skončila platnosť certifikácie, Plaut má do 2021 - tie sú použité na eID.

NBU: http://www.nbusr.sk/doveryhodne-sluzby/certifikacia-produktov/certifikovane-produkty/zariadenia-pre-podpis-a-pecat-qscd/index.html

V zmluve: "Toto riešenie je certifikované NBÚ pričom certifikát QSCD „Čipová karta Atos CardOS V5.0 QES EAC V1.0 verzia V1.0“ je platný do 26. 06. 2021. "


#722

Práveže to “Čipová karta Atos CardOS V5.0 QES EAC V1.0 verzia V1.0” sa (podľa údajov z MV) teraz nepoužíva a prechod na toto riešenie má byť pointa riešenia mimoriadnej situácie.


#723

Aha, už som pochopil. No tak potom je to teda fakt dobrá otázka, či takto vytvárané KEPy sú platné.


#724

Tak zrejme sa karty s novým OS už vydávajú, od 2.7. Ak by prebehlo bez problémov, asi by to bolo dosť neštandardné…

http://www.dsl.sk/article.php?article=21303


#725

Nemate niekto skusenost s podpisovanim s novym SW, ktory bol vydany? Mne napr. nejde podpisovat (mam stare certifikaty a novy SW, ktory som si nainstaloval vcera po precitani vyssie uvedeneho clanku).

Nejde vycitanie zoznamu slotov ani ine operacie, ktore zo starym ovladacom, uvadzanym este pod adresarom eID klient fungovali.

C:\Program Files (x86)\EAC MW klient>"c:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-tool.exe" --module pkcs11_x64.dll -L
sc_dlopen failed: LoadLibrary/GetProcAddress failed
error: Failed to load pkcs11 module
Aborting.

#726

Mame. Musis pouzit 32-bit verziu OpenSC a 32-bit verziu pkcs11 dll.


Nemožnosť podpísať podanie certifikátom z eID
#727

Na 64bit OS by to malo chodit so 64bit ovladacom, aspon tak mi to chodilo doteraz.


#728

Presne tak. Malo. Ale ten 64 bit ovladac je chybny, t.j. ziadna 64 bit aplikacia ho nebude vediet pouzit.