GovBox: Overovanie podpisov podpísaných dokumentov

govbox

#1

V diskusii ku Govboxu padol návrh na automatické overovanie platnosti podpisov. Je to zaujímavé rozšírenie funkcionality. @Monika vedela by si rozvinúť ako si to predstavuješ v ideálnom svete?


#2

Nuž, takto :slight_smile:. Ideálny svet pre bežného smrteľníka, ktorý nemá v rukách eid a nemá poňatia, čo je certifikát a podpis atď, je dostať :

  1. originál úradnej správy (zep, xzep, zepx, atď…) ktorý bude slúžiť na právne účely, archiváciu originálu atď - v zásade s týmto príjemca urobí len copy paste do svojho adresára

  2. Originál nepodpísaný dokument - aby sa vôbec dostal k obsahu, vedel si to prečítať, uložiť, vytlačiť, robiť s tým, čo potrebuje

  3. “nejakú doložku” o overení podpisu v dokumente - jednoduché pdf-ko, v ktorom bude výstup z overovania podpisov

Keďže ale nežijeme v ideálnom svete a poznám pozadenie podpisovania a overovania trošku aj po tej technologickej stránke, tak neviem neviem :slight_smile:

Niekde v diskusii bolo povedané/napísané, že čo sa bude dať, to prevediete do čitateľnej podoby - tu by som mala len jednu poznámku, že by bolo vhodné poslať aj originál, aj “rozbalený” dokument - práve kvôli nejakým právnym záležitostiam. Neviem si predsaviť, ako systém beží, predpokladám, že vám tam beží aj nejaká služba, ktorá v prípade potreby vie dokázať, čo naozaj ste poslali - či to bol originál úradnej správy, alebo niečo “rozbalené”.


#3

Gov box by doručil správu, vytiahol by obsah správy, k správe by pripojil výsledok overenia podpisu ku prevzatiu.

Súčasťou govboxu by mohla byť aj služba dlhodobého uchovávania úradných dokumentov s možnosťou prehľadnej kategorizácie dokuemtnov s možnosťou prístupu cez apku v mobile alebo tablete.


#4

Takymto sposobom to asi nema velky zmysel archivovat dlhsie ako je platnost certifikatu, ktorym to je podpisane. (?) Po 1-3 rokoch to este moze mat nejaku doveryhodnost, po 20 uz asi velmi nie.


#5

Jednalo by sa o “technicku” (predbeznu) platnost podpisov (t.j. ci je dokument neposkodeny) alebo “pravnu” (t.j. ci je plne overitelny vratane certifikatov)? V druhom pripade treba asi ratat s jednodnovym oneskorenim tych overeni…


#6

Mne to je jasne. Myslite si ale, že podnikateľské subjekty budu riešiť dlhodobú archiváciu elektronických dokumentov takým spôsobom, ze podpis bude overiteľný ako platný aj po povedzme 10 rokoch? Nie. Začiatok tejto diskusie bol pri GovBoxe, kedy som sa zamýšľala nad jeho prínosmi pre tých, ktorí nemajú eID a chcú dostavať správy tak, aby si dokázali prečítať vsetko vrátane príloh.


#7

Ano, momentalne sa deje presne toto. Original xml sa posiela vzdy (kvoli archivacii a ono toto je vlastne to co je podstatne), taktiez sa posielaju original prilohy (xzepy, zepy alebo cokolvek) a navyse k tomu sa poslu subory/vizualizacie, ktore bud vieme vybrat z tychto (pre koncoveho pouzivatela obskurnych) formatov alebo vyrobit.

Ja len pripomeniem, ze D.Viewer tiez nie je ziadna velka zachrana, akonahle dostane clovek nejaky podpisany subor a v nom je XML format spravy (napriklad dorucenka), tak D.Viewer (pokial viem) ziadnu vizualizaciu do niecoho normalnejsieho nerobi. A otvori to pekne krasne ako XML a konecny pouzivatel sa moze zblaznit.


#8

A čo sa má vlastne stať ak nejaký náš overovač povie že el. podpis na nejakom úradnom rozhodnutí je neplatný (resp. neoveriteľný)?


#9

Zobraziť užívateľovi správu, že dokument bol vyhodnotený ako neplatný, nepodpísaný alebo integrite narušený. Hlavne aby OVM mohol zjednať nápravu a opätovne poslať originál elektronickeho rozhodnutia. Treba si uvedomiť, že užívatelia dostávajú verejne listiny v elektronickej podobe takze musia byt overiteľné a integrite nenarušené.


#10

Nerozumiem, to ked nieco podpisem teraz platnym podpisom a jeho platnost vyprsi po 3 rokoch, ten mnou podpisany dokument sa stane nevalidnym? Neoveruje sa podpis na dokumente voci stavu v dobe podpisu? (podobne ako je to u notarom overencyh veci, ze overenie podpisu je platne a notar vie dokazat ze ten podpis overil v tej dobe).


eID prelomene?
#11

Povedzme že validny je, len klesá jeho dôveryhodnosť v čase. Rastie totiž výpočtový výkon počítačov, preto musia rásť aj šifrovacie kľúče ktorými je dokument pravidelne zapúzdrovaný (pečaťený) aby nebola narušená jeho integrita a stále sme mohli hovoriť o dôveryhodným dokumente napr. O verejnej listine, rozhodnutí a pod.

Jednoducho ak udržiavať pri živote jeden dokument povedzme 20 rokov, potrebuješ na zapizdrenie aspoň 20 ročných pečati v zásade po istom čase vždy s dlhším šifrovacím reťazcom.

S nástupom kvantových počítačov budú dnes používané reťazce krátke.


#12

No takto. Podpisuje sa hash dokumentu, cize ak je znamy sposob ako najst kolizu pre hash resp. dokonca vyfabrikovat si lubovolny dokument s tym istym hashom tak vsetky zaruky padaju. Pretoze v tom momente netusis, ktory dokument bol vlastne podpisany. Mas dva, kde je rozny obsah ale rovnaky hash = rovnaky podpis. Preto je potrebne urdrziavat integritu neustale. Napriklad si zoberme, ze by si podpisal nejaku hash dokumentu, ktora bola generovana cez hash SHA1. https://shattered.io/ Tu si mozes najst dve rozne pdfka, ktore maju jednu a tu istu hash (toto je bezne a z definicie hashovacej funkcie to tak je).


#13

To, ze jestvuju kolizie mi je jasne, ale preco by mali byt kolizie ine o 5 rokov ako o rok? A ako zabezpecit potom trvale udrzatelny dokument? neustalym podpisovanim toho isteho hashu sa to aj tak nebude dat, iba generovanim noveho hashu a potom nam treba mat niekde ten original dokument, z ktoreho spravime hash a ktoremu budeme doverovat, ze je to ten isty, ktory bol podpisany minule, co sa zase bez podpisu neda.

Napr. ked teraz dostanem roshodnutie odpisane napr. sudom a za 10 rokov budem musiet riesit nejaky spor kde toto rozhodnutie bude treba, ako mozem dokladovat rozhodnutie? Neuznaju mi to co mam ja archovovane, lebo za 10 rokov mohlo stratit platnost, resp. spochybnia jeho identitu? A ked poziadam sud o znovuvydanie rozhodnutia, ako zabezpecia, ze mi vydaju rovnake rozhodnutie ked aj oni museli mat to rozhodnutie podpisane v dobe vydania? Alebo to archivuju tak, ze v nejakom kratkom intervale generuju nove hashe a dopodpisovavaju ich, teda za 10 rokov dostanem dokument podpisany napr. 10 krat?

Edit: Ako pozeram ius na to odpovedal jasnejsie.


#14

Teória je to pekná, ale prakticky sa vykoná čo? Lebo teda OVM bude presvedčený, že vydal úradný dokument podpísaný správne a bude k tomu aj potvrdená doručenka obsahujúca KEP. Je to pokus o falšovanie listiny? Alebo sa dá poslať nejaká námietka?


#15

OVM by mal označiť podpisový prostriedok ktorý použil a aplikáciu na overenie elektronického podpisu. Napr. d.signer a aplikáciu d.

Ak označený prostriedok na overenie vyhodnotí podpis ako neplatný má subjekt právo na opätovne doručenie perfektného rozhodnutia. T.j s platným kvalifikovaným podpisom alebo pečaťou a s neporušenou integritou.

Teoreticky môžu subjekty teraz začať namietať, že integrita bola narušená napr. zasahom do binárnej časti súboru a odialovat tak právoplatnosť rozhodnutia. Nases však na vyžiadanie bude musieť potvrdzovať súdom alebo iným OVM, že pri doručení nebol dokumement pozmenený a nebola narušená jeho integrita.

V prípade takejto námietky stále nemôžeš vyznačiť na rozhodnutí právoplatnosť.


#16

To mame podpisy naviazane na aplikacie a nie na algoritmy?


#17

Interpretácia a relizácia je v rukách týchto firiem. Zrejme sa nepodarilo týmto firmám zosúladiť :slight_smile: naopak rozdielne interpretácie ETSI štandardov zrejme zostávajú.

Ardaco sa primárne zameriavalo na CAdES
Ditec na zameriaval na XAdES
Disig na PAdES

Pochybujem, že dnes budú vedieť spolupracovať na spoločnom riešení overovania podpisov.


#18

Nie. Ale vid bod 1 z:

t.j. standardy podla ktorych sa to robi su dost volne na to, aby mohli byt rozne interpretovane.


#19

Skúsim otázku ešte raz: Keď mi príde úradný dokument, o ktorom mi dôveryhodná autorita potvrdí, že nevie vyhodnotiť jeho autorizáciu ako platnú - čo môžem robiť?

Príklad: príde mi papierové rozhodnutie, s guľatou pečiatkou úradu, ale tá pečiatka je nesprávna alebo falošná. Čo potom?

Toto je právnická otázka, nie technická.


#20

Pekne to prezentoval pred chvíľou.