Lekár a politik tvrdí o Slovensko.digital, že namajú odborné zázenie

#19

Bol to sofistikovaný hackerský útok Troškovou, unikla aj pozornosti bezpečnostných a silových zložiek :wink:

0 Likes

#20

V prvom rade asi napisem, ze “sme na jednej lodi”: obornikov ignoruju vysoke uradnicke instancie" bez ohladu na to, ci su z NBU, CSIRT alebo S.D. To je nieco, co nas ma spojit, nie rozdelit.

Dalej, laik by zrejme povedal, ze “kolega uradnik” by mal u ineho “kolegu uradnika” vybavit() viac nez povedzme “nejaka NGO”. Laik s par skusenostami (ako ja), uz zial vie, ze to casto nie je pravda. (Co je cudne a smutne, ale holt …). ( = tym som nemyslel pokutne ksefty ale to, ze ak ma raz niekto na nieco kompetenciu, tak ju ma robit a nenechat ine urady danu kompetenciu rozbijat)

Na takmer zaver teda spomeniem “8. poschodie”: Niekde inde ho tu spomenuli ako “strojcu cudnych rozhodnuti na UPVII” (kedze nemam dokazy, tak napisem “politickych rozhodnuti”). Ktore ak chceme zvratit (ci uz ako uradnici, alebo ako neziskovka), tak v zasade z titulu veci skor ci neskor tuto nasu snahu niekto onalepkuje ako “politikarcenie”.

Zaver: V sobotu som na Open Camp videl veli peknu prednasku o tom, kolko vela Open Source je nasadeneho v CSIRT-e na NBU a ze to bolo robene za statne (=malo penazi), nie EU-fondy (=vela penazi). Ergo zaujimave porovnavacie cvicenie, ze preco niekde ide robit veci aj open, aj lacno a pritom dobre (nas CSRIT je vraj v EU 9. najlepsi) … a niekde nie.

0 Likes

#21

No k tomuto sa pridam aj ja.
Toto ma sluzba https://www.slovensko.sk/sk/e-sluzby/sluzba-overenia-zep ktoru advokati pouzivaju na overovanie platnosti KEP napisane na stranke:
“Elektronická služba umožní informatívne overiť platnosť kvalifikovaného elektronického podpisu (KEP)* vytvoreného na ústrednom portáli aplikáciou D.Signer/XAdES. Aplikácia D.Signer/XAdES umožňuje na portáli www.slovensko.sk podpísať kvalifikovaným elektronickým podpisom nasledujúce formáty dokumentov:…”

Z toho vyplyva ze ine podpisy napriklad bezne ADES eIDAS podpisy by sa tu nemali overovat. Ako potom sa da urobit konverzia takto eidasovsky podpisaneho dokumentu?
Druha vec je ze ako vobec moze napisat konvertujuci do protokolu o overeni podpisu ze bol platny??? Ked jeho platnost nebola overena sposobom ktory stanovuje eIDAS ale iba informativne???
Preco tam povinne neuvedie ze podpis bol overeny ako platny iba informativne??? ale tvrdi tam nieco co vobec nemusi byt pravda ak by overenie robila akreditovana sluzba

0 Likes

#22

Okrem toho D.Signer nie je uvedeny na NBU zozname ani certifdikovanych ani necertifikovanych aplikacii … Nas Podpisuj.sk dali na lavicu hanby medzi necertifikovane, pricom jednycm dychom dodavaju ze certifikaciu netreba. Ale smrad zostava … “Certifikacia” protom je rozhodnutie podla zakona z roku 1968 a nic nehovori o tom ci to dostatocne dobre podpisuje, alebo overuje …a uz vobec nie ci je to vsetko co urad potrebuje … ALE VSETCI URADNICI A VYSOKY MANAZERI to takto vnimaju … Naposledy sme to zazili tento tyzden… “my musime mat certifikovane aplikacie” … uplne na porazenie. Ked si predstavis ze certifikacia trva 90 dni, a my za 90 dni vydame 4-5 novych verzii tak to by jednak nestiha sledovat vyvoaj, a dvak, by sme v kuse certifikovali … Este ze je uz zruseny ten nezmysel. Len kto nauci uradnikov citat zakony a vynos o standardoch ?

0 Likes

#23

My napriklad v Podpisuj.sk pri zarucenej konverzii predpodkladame konvertovanie EUD. EUD musi yt podla zakona Autorizovany len s QES. Ked tam nevieme overit QES, do dolozky vpiseme ze dokument nie je autorizovany … tvrde … ale chranime advokatske kancelarie a OVM pred moznymi zalobami.

0 Likes

#24

Zaručená konverzia ale musí byt realizovaná cez dôveryhodnú aplikáciu podľa eidas lebo budeme opäť na začiatku. Spoliehajúca sa strana sa nemôže riadiť výstupom nedôveryhodnej informatívnej služby.

Tým, z ditec a jeho služby nie sú na zozname dôveryhodných služieb eú je vážnym problémom ktorým sa už dávno mali kompetentní zaoberať.

Nerozumiem prečo kompetentní nenasadili služby prevádzkovateľov ktorí sú na zozname.

0 Likes

#25

takyto pojem neexistuje. eIDAS nepozna ani pojem zarucena konverzia. To je slovenaky vnutrostatny pojem a proces. Sucastou ZaKo z elektronickej do listinnej je ale OVERENIE AUTORIZACIE origiunalneho dokumentu. To je ale iba krok v procese konverzie. A to je miesto o ktorom som hovoril. Cize ked niekto pride s XZEP rozsudkom a chce zarucenu konverzu do listinnej podoby, tak Podpisuj.sk mu napise do Osvedcovacej dolozky, ze nie je autorizacia. Lebo podla par. 23, odsek 1, 305/2013 sa vyzaduje autorizacia QES, ktora sa v XZEPe neda overit. Nakonci sa zaznamy o konverzii PODPISUJu casovou peciatkou. Ale PODPISovanie nie je vymenovane medzi doveryhodnymi sluzbami (iba overenie podpisu/pecate) a na podpisovu aplikaciu sa na zaklade clanku 56 uvodneho recitalu eIDAS nevyzaduje ziadna certifikacia.

0 Likes

#26

Ano, velmi spravne, eidas nepocita so zarucenou konverziou. Pri overeni elektronickeho podpisu vsak vyzaduje doveryhodnu sluzbu na ktoru sa spolihajuca strana moze spolahnut.

Ja by som uplne zastavil vnutrostatnu zarucenu konverziu pokial nebude casom vymedzena v eidase. Je to v zasade dost nebezpecny paskvil.

Niektori si ju zamienaju s legalizaciou hoci ide viacmenej o vidimaciu. Je to neodladeny mackopes.

S tym, ze nemaju byt stare a nestandardne formaty konvertovane sa da iba suhlasit. Resp. Stary format ma byt overený iba v zmysle prechodnych ustanoveni k eidasu.

0 Likes

#27

Mozno by to chcelo zohladnit aj skutocnost ze kedy bol tento podpis vyhotoveny. Teda ak bol vyhotoveny v dobe ked este nasa legislativa tento format podpisu povazovala za zaruceny podpis, tak podla toho musi byt aj overeny. Zavedenim eIDASu nebolo povedane ze doteraz vytvorene zarucene podpisy sa dnom ucinnosti eIDAS povazuju za neplatne, alebo iba za zdokonalene. T.j. ak bol podpis v tomto starom formate vyhotoveny v dobe kedy bol este vytvoreny ako zaruceny, mal by tak byt aj overeny pri konverzii. Lebo tieto dokumenty ak este neskoncila platnost ich podpisoveho certifikatu, alebo boli predlzene napr. pomocou qalifikovanej casovej peciatky platia aj v sucasnej dobe.

0 Likes

#28

článok 51.1 a 2 nariadenia sa týka QSCD a kvalifikovaných certifikátov vydaných a schválených podľa starej smernice.

Staré Qscd možno použiť do jeho faktického zničenia.

Kvalifikovaný certifikát do uplynutia jeho platnosti.

Prakticky príklad, ak v roku 2014 bol niekomu vydaný kvalifikovaný certifikát na eID platný až do roku 2019 podľa starej právnej úpravy, môže ním vyhotovovat podpisy aj podľa novej právnej úpravy účinnej od 1.7.2016 a to až do roku 2019 alebo pokiaľ nebol revokovaný.

Toto ale neplatí pri kvalifikovaných pečatiach, tieto musia ísť podľa eidas od začiatku, takže pečate xzep, zepx sú neoveriteľné, nekonvertovatelné prosto v práxi nepoužiteľné.

A na toto máme starý dobrý dviewer ktorý Vám aj z neoveriteľných pečatí a podpisov urobí overiteľné, konvertovateľné a dôveryhodné .

Nariadenie komisie 2015/1506, ktorým sa ustanovili formáty podpisov je účinne od 29.9.2015.

30.06.2016 bol posledný deň, kedy sa dal vyhotoviť podpis v starom formáte.

Od 01.07.2016 si už mal vyhotovovať podpisy v novom formáte eidas hoci aj so starým qscd (napr eID z roku 2014) a kvalifikovaným certifikatom . Rozumieme rozdielu?

Toto všetko má vplyv na overiteľnosť a konverziu

0 Likes

#29

D.viewer ale nikdy nebol overovačom. Iba prehliadačom. Nikdy ho na nič také nikto necertifikoval a na webe Nbu ho vymenovaný nenájdete.

0 Likes

#30

Lenže on je nasadený skrz celej statnej správy a z neho úradníci vychádzajú pri overovaní platnosti podpisu

Márne sa tu my dovolávame dôveryhodných služieb

0 Likes

#31

inac nemam ho rad … ale na druhej strane - cia je to chyba. Výrobcu ? Nemam ho rad … .ale jeho asi nie. Nikdy nikde netvrdil, ze to je overovac, ani ho nedal certifikovat, ani zapisat do NBU zoznamu. Su to chyby uradov, pripadne niekde vyssie koordinacie. Lebo NBU si poviinost splnil a vydal usmernenie ako sa OVM maju spravat a aky softver si maju zabezpecit: https://www.nbu.gov.sk/povinnosti-organov-verejnej-moci-v-suvislosti-s-legislativnou-zmenou-zaruceneho-elektronickeho-podpisu-na-kvalifikovany-elektronicky-podpis/index.html Nik to vsak nekontroluje, nik to nenapada … az s toho vznikne zvykove pravo … NBU neriadi softverove projekty. Ale zase ked das podanie na nejaky urad, ze ti nevedia overit podpis, alebo zle overili, … alebo nebodaj vydali XZEP, tak musia konat. Len zjavne nikto ani to podanie neda …

0 Likes

#32

D.Viewer neoveruje platnost podpisu. Iba ukaze niektore jeho parametre ale overovanie nevykonava a ani nikdy nevykonaval. Ak sa nan niekto niekedy spoliehal tak urobil velku chybu!
Ak niekde ho pouzivaju aj na overovanie podpisu (zrejme ked je vidiet udaje o platnosti certifikatu povazuje to niekto za dostatocne pre “overenie”) - je to potom skor pripad pre CSIRT.SK (spoliehanie sa na pofiderne zdroje overovania dokumentov vstupujucich do institucie) a nasledne prijatie opatreni v celej statnej a verejnej sprave

1 Like

#33

S nastupom eIDAS nase NBU uz nie je tym istym organom na aky sme boli dovtedy zvyknuti. Preto je treba byt iniciativny a upozornit na konkretne porusenia formou podnetu.

0 Likes

#34

Podanie nikto nepoda, nema dovod. Az ked sa stane, ze niekto podpise nieco ukradnutym eID a revokovanym certifikatom a dojde k sporu, ci je to podpis majitela… teda skor dojde k prevodu majetku majitela na niekoho ineho, ako k sporu. Cize spor bude nasledovat az po katastrofe s “overovanim” D.viewerom. … Az potom niekto vyda obeznik na vsetky urady, co maju pouzivat.

Je mozne, aby NIEKTO(ja sa nevyznam kto) vydat smernicu, alebo prijat zakon, ze SW, ktory nevie overit podpis, ale vie iba ukazat parametre podpisu, musel informovat uzivatela o tom, ze nevie overit parametre podpisu? D.viewer sa moze forsnut uzivatelom updatnut sa na takuto verziu? Je ina moznost upozornit uradnikov, ako obeznikom? Je moznost im ho na dialku nahradit overenia schopnym produktom(?)

0 Likes

#35

Ono nejde len “uradnikov”, ale aj notarov, sudcov a advokatov. A ked som sofer, tiez nedostavam obeznik o tom, ze je nova vyhlaska o cestnej premavke. Prosto neznalost neospravedlnuje. Smernica vydana bola https://www.nbu.gov.sk/povinnosti-organov-verejnej-moci-v-suvislosti-s-legislativnou-zmenou-zaruceneho-elektronickeho-podpisu-na-kvalifikovany-elektronicky-podpis/index.html . Jedine co mi chyba je jej bezzubost. Dokonca 272/2016, par.14, odsek 3a 4 jasne urcuju aj pokuty. Preco nik tie zakony a predpisy nedodrziava ? Preco ich nik nepokutuje ?

0 Likes

#36

Prosím konkretizujte čo máte na mysli “ideologickými a politickými časťami (diskusie)”. Neviem na čo narážate, ale rád svoju komunikáciu zlepším.

Prosím pripomeňte mi viaceré ponuky pre S.D na vyjadrenie sa. Samozrejme mimo situácií, kedy pripomienky môže dať každý - to je pracovná skupina, MPK, pripomienkovanie štúdií.

Ja si z našej komunikácie pamätám napr. ako pripomienky S.D k zákonu o ITVS (k § o bezpečnosti) boli ignorované bez diskusie, pripomienky k posledným zmenám vo výnose o štandardoch boli nieže ignorované, ale zmeny neboli ani prerokované a hlasovanie v PS bolo sfalšované (sic).V pracovnej skupine už tretí rok pripravovanému dokumentu SP KyB neviem že by niekto rozsiahlejšie pripomienkoval okrem S.D. Naše pripomienky a návrhy k AA, KEP, ZK (to tiež rátam za bezpečácke témy) ani nepočítam. Rovnako sa v pracovnej skupine (keď sa aj stretne) opakovane pýtam na ďalšie veci, ktoré by mali byť diskutované a riešené.

Btw. pracovné skupiny k bezpečnosti - ktoré majú byť primárne miesto na odbornú diskusiu - dlhodobo nefungujú.

Špeciálna kapitola je OPII projekt pre CSIRT. Pripomienky sme dali, boli odbité formálnymi ničneriešiacimi odpoveďami. Od ÚPVII som nevidel ani náznak záujmu na projekte čokoľvek meniť. Z viacerých strán nám ľudia hovorili, že sami v tom projekte vidia nedostatky, ale nebudú sa vyjadrovať, lebo “nechcú mať problémy”, až po priame zastrašovanie zo strany niektorých funkcionárov - ale že teda nás podporujú a robíme dobrú prácu. Odborná diskusia ako remeň.

A čo na poslednú chvíľu do zákona o ITVS prepašovaná bezpečácka výnimka do § o EUPL? Alebo do Koncepcie nákupu IKT na poslednú chvíľu prepašované výnimky pre kritickú infraštruktúru? Kedy/kde sa niekto pýtal na odborný názor?

Po tomto všetkom roniť krokodílie slzy, ako je S.D nekonštruktívne … trocha teatrálne, nie?

:joy:

0 Likes

#37

Nuz v celej statnej sprave by mal byt d.viewer minulostou aby nemylil uradnikov pri overovani platnosti. Uradnici by mali mat k dispozicii len doveryhodnu sluzbu podla eidas. Ak sa technicky neda zaviest, az do zavedenia doveryhodnej sluzby by mali fungovat v starom papierovom rezime. Aspon sa ukaze, ktore legacy systemy potrebuju urychlenu zmenu a prekodvanie na nove app.

0 Likes

#38

Nuz ako to opisujes, takto to trva mozno poldruha dekady …

Za tie roky sa to totalne zabetonovalo…
diskusia veskera zadna, pripomienkove konanie len cisto formalne atd.

A ked sa nieco doserka tak niet zodpovedneho

0 Likes