No k tomuto sa pridam aj ja.
Toto ma sluzba Služba informatív... ktoru advokati pouzivaju na overovanie platnosti KEP napisane na stranke:
“Elektronická služba umožní informatívne overiť platnosť kvalifikovaného elektronického podpisu (KEP)* vytvoreného na ústrednom portáli aplikáciou D.Signer/XAdES. Aplikácia D.Signer/XAdES umožňuje na portáli www.slovensko.sk podpísať kvalifikovaným elektronickým podpisom nasledujúce formáty dokumentov:…”
Z toho vyplyva ze ine podpisy napriklad bezne ADES eIDAS podpisy by sa tu nemali overovat. Ako potom sa da urobit konverzia takto eidasovsky podpisaneho dokumentu?
Druha vec je ze ako vobec moze napisat konvertujuci do protokolu o overeni podpisu ze bol platny??? Ked jeho platnost nebola overena sposobom ktory stanovuje eIDAS ale iba informativne???
Preco tam povinne neuvedie ze podpis bol overeny ako platny iba informativne??? ale tvrdi tam nieco co vobec nemusi byt pravda ak by overenie robila akreditovana sluzba
Okrem toho D.Signer nie je uvedeny na NBU zozname ani certifdikovanych ani necertifikovanych aplikacii … Nas Podpisuj.sk dali na lavicu hanby medzi necertifikovane, pricom jednycm dychom dodavaju ze certifikaciu netreba. Ale smrad zostava … “Certifikacia” protom je rozhodnutie podla zakona z roku 1968 a nic nehovori o tom ci to dostatocne dobre podpisuje, alebo overuje …a uz vobec nie ci je to vsetko co urad potrebuje … ALE VSETCI URADNICI A VYSOKY MANAZERI to takto vnimaju … Naposledy sme to zazili tento tyzden… “my musime mat certifikovane aplikacie” … uplne na porazenie. Ked si predstavis ze certifikacia trva 90 dni, a my za 90 dni vydame 4-5 novych verzii tak to by jednak nestiha sledovat vyvoaj, a dvak, by sme v kuse certifikovali … Este ze je uz zruseny ten nezmysel. Len kto nauci uradnikov citat zakony a vynos o standardoch ?
My napriklad v Podpisuj.sk pri zarucenej konverzii predpodkladame konvertovanie EUD. EUD musi yt podla zakona Autorizovany len s QES. Ked tam nevieme overit QES, do dolozky vpiseme ze dokument nie je autorizovany … tvrde … ale chranime advokatske kancelarie a OVM pred moznymi zalobami.
Zaručená konverzia ale musí byt realizovaná cez dôveryhodnú aplikáciu podľa eidas lebo budeme opäť na začiatku. Spoliehajúca sa strana sa nemôže riadiť výstupom nedôveryhodnej informatívnej služby.
Tým, z ditec a jeho služby nie sú na zozname dôveryhodných služieb eú je vážnym problémom ktorým sa už dávno mali kompetentní zaoberať.
Nerozumiem prečo kompetentní nenasadili služby prevádzkovateľov ktorí sú na zozname.
takyto pojem neexistuje. eIDAS nepozna ani pojem zarucena konverzia. To je slovenaky vnutrostatny pojem a proces. Sucastou ZaKo z elektronickej do listinnej je ale OVERENIE AUTORIZACIE origiunalneho dokumentu. To je ale iba krok v procese konverzie. A to je miesto o ktorom som hovoril. Cize ked niekto pride s XZEP rozsudkom a chce zarucenu konverzu do listinnej podoby, tak Podpisuj.sk mu napise do Osvedcovacej dolozky, ze nie je autorizacia. Lebo podla par. 23, odsek 1, 305/2013 sa vyzaduje autorizacia QES, ktora sa v XZEPe neda overit. Nakonci sa zaznamy o konverzii PODPISUJu casovou peciatkou. Ale PODPISovanie nie je vymenovane medzi doveryhodnymi sluzbami (iba overenie podpisu/pecate) a na podpisovu aplikaciu sa na zaklade clanku 56 uvodneho recitalu eIDAS nevyzaduje ziadna certifikacia.
Ano, velmi spravne, eidas nepocita so zarucenou konverziou. Pri overeni elektronickeho podpisu vsak vyzaduje doveryhodnu sluzbu na ktoru sa spolihajuca strana moze spolahnut.
Ja by som uplne zastavil vnutrostatnu zarucenu konverziu pokial nebude casom vymedzena v eidase. Je to v zasade dost nebezpecny paskvil.
Niektori si ju zamienaju s legalizaciou hoci ide viacmenej o vidimaciu. Je to neodladeny mackopes.
S tym, ze nemaju byt stare a nestandardne formaty konvertovane sa da iba suhlasit. Resp. Stary format ma byt overený iba v zmysle prechodnych ustanoveni k eidasu.
Mozno by to chcelo zohladnit aj skutocnost ze kedy bol tento podpis vyhotoveny. Teda ak bol vyhotoveny v dobe ked este nasa legislativa tento format podpisu povazovala za zaruceny podpis, tak podla toho musi byt aj overeny. Zavedenim eIDASu nebolo povedane ze doteraz vytvorene zarucene podpisy sa dnom ucinnosti eIDAS povazuju za neplatne, alebo iba za zdokonalene. T.j. ak bol podpis v tomto starom formate vyhotoveny v dobe kedy bol este vytvoreny ako zaruceny, mal by tak byt aj overeny pri konverzii. Lebo tieto dokumenty ak este neskoncila platnost ich podpisoveho certifikatu, alebo boli predlzene napr. pomocou qalifikovanej casovej peciatky platia aj v sucasnej dobe.
článok 51.1 a 2 nariadenia sa týka QSCD a kvalifikovaných certifikátov vydaných a schválených podľa starej smernice.
Staré Qscd možno použiť do jeho faktického zničenia.
Kvalifikovaný certifikát do uplynutia jeho platnosti.
Prakticky príklad, ak v roku 2014 bol niekomu vydaný kvalifikovaný certifikát na eID platný až do roku 2019 podľa starej právnej úpravy, môže ním vyhotovovat podpisy aj podľa novej právnej úpravy účinnej od 1.7.2016 a to až do roku 2019 alebo pokiaľ nebol revokovaný.
Toto ale neplatí pri kvalifikovaných pečatiach, tieto musia ísť podľa eidas od začiatku, takže pečate xzep, zepx sú neoveriteľné, nekonvertovatelné prosto v práxi nepoužiteľné.
A na toto máme starý dobrý dviewer ktorý Vám aj z neoveriteľných pečatí a podpisov urobí overiteľné, konvertovateľné a dôveryhodné .
Nariadenie komisie 2015/1506, ktorým sa ustanovili formáty podpisov je účinne od 29.9.2015.
30.06.2016 bol posledný deň, kedy sa dal vyhotoviť podpis v starom formáte.
Od 01.07.2016 si už mal vyhotovovať podpisy v novom formáte eidas hoci aj so starým qscd (napr eID z roku 2014) a kvalifikovaným certifikatom . Rozumieme rozdielu?
inac nemam ho rad … ale na druhej strane - cia je to chyba. Výrobcu ? Nemam ho rad … .ale jeho asi nie. Nikdy nikde netvrdil, ze to je overovac, ani ho nedal certifikovat, ani zapisat do NBU zoznamu. Su to chyby uradov, pripadne niekde vyssie koordinacie. Lebo NBU si poviinost splnil a vydal usmernenie ako sa OVM maju spravat a aky softver si maju zabezpecit: Povinnosti orgánov verejnej moci v súvislosti s legislatívnou zmenou zaručeného elektronického podpisu na kvalifikovaný elektronický podpis -NBU Nik to vsak nekontroluje, nik to nenapada … az s toho vznikne zvykove pravo … NBU neriadi softverove projekty. Ale zase ked das podanie na nejaky urad, ze ti nevedia overit podpis, alebo zle overili, … alebo nebodaj vydali XZEP, tak musia konat. Len zjavne nikto ani to podanie neda …
D.Viewer neoveruje platnost podpisu. Iba ukaze niektore jeho parametre ale overovanie nevykonava a ani nikdy nevykonaval. Ak sa nan niekto niekedy spoliehal tak urobil velku chybu!
Ak niekde ho pouzivaju aj na overovanie podpisu (zrejme ked je vidiet udaje o platnosti certifikatu povazuje to niekto za dostatocne pre “overenie”) - je to potom skor pripad pre CSIRT.SK (spoliehanie sa na pofiderne zdroje overovania dokumentov vstupujucich do institucie) a nasledne prijatie opatreni v celej statnej a verejnej sprave
S nastupom eIDAS nase NBU uz nie je tym istym organom na aky sme boli dovtedy zvyknuti. Preto je treba byt iniciativny a upozornit na konkretne porusenia formou podnetu.
Podanie nikto nepoda, nema dovod. Az ked sa stane, ze niekto podpise nieco ukradnutym eID a revokovanym certifikatom a dojde k sporu, ci je to podpis majitela… teda skor dojde k prevodu majetku majitela na niekoho ineho, ako k sporu. Cize spor bude nasledovat az po katastrofe s “overovanim” D.viewerom. … Az potom niekto vyda obeznik na vsetky urady, co maju pouzivat.
Je mozne, aby NIEKTO(ja sa nevyznam kto) vydat smernicu, alebo prijat zakon, ze SW, ktory nevie overit podpis, ale vie iba ukazat parametre podpisu, musel informovat uzivatela o tom, ze nevie overit parametre podpisu? D.viewer sa moze forsnut uzivatelom updatnut sa na takuto verziu? Je ina moznost upozornit uradnikov, ako obeznikom? Je moznost im ho na dialku nahradit overenia schopnym produktom(?)
Prosím konkretizujte čo máte na mysli “ideologickými a politickými časťami (diskusie)”. Neviem na čo narážate, ale rád svoju komunikáciu zlepším.
Prosím pripomeňte mi viaceré ponuky pre S.D na vyjadrenie sa. Samozrejme mimo situácií, kedy pripomienky môže dať každý - to je pracovná skupina, MPK, pripomienkovanie štúdií.
Ja si z našej komunikácie pamätám napr. ako pripomienky S.D k zákonu o ITVS (k § o bezpečnosti) boli ignorované bez diskusie, pripomienky k posledným zmenám vo výnose o štandardoch boli nieže ignorované, ale zmeny neboli ani prerokované a hlasovanie v PS bolo sfalšované (sic).V pracovnej skupine už tretí rok pripravovanému dokumentu SP KyB neviem že by niekto rozsiahlejšie pripomienkoval okrem S.D. Naše pripomienky a návrhy k AA, KEP, ZK (to tiež rátam za bezpečácke témy) ani nepočítam. Rovnako sa v pracovnej skupine (keď sa aj stretne) opakovane pýtam na ďalšie veci, ktoré by mali byť diskutované a riešené.
Btw. pracovné skupiny k bezpečnosti - ktoré majú byť primárne miesto na odbornú diskusiu - dlhodobo nefungujú.
Špeciálna kapitola je OPII projekt pre CSIRT. Pripomienky sme dali, boli odbité formálnymi ničneriešiacimi odpoveďami. Od ÚPVII som nevidel ani náznak záujmu na projekte čokoľvek meniť. Z viacerých strán nám ľudia hovorili, že sami v tom projekte vidia nedostatky, ale nebudú sa vyjadrovať, lebo “nechcú mať problémy”, až po priame zastrašovanie zo strany niektorých funkcionárov - ale že teda nás podporujú a robíme dobrú prácu. Odborná diskusia ako remeň.
A čo na poslednú chvíľu do zákona o ITVS prepašovaná bezpečácka výnimka do § o EUPL? Alebo do Koncepcie nákupu IKT na poslednú chvíľu prepašované výnimky pre kritickú infraštruktúru? Kedy/kde sa niekto pýtal na odborný názor?
Po tomto všetkom roniť krokodílie slzy, ako je S.D nekonštruktívne … trocha teatrálne, nie?
Nuz v celej statnej sprave by mal byt d.viewer minulostou aby nemylil uradnikov pri overovani platnosti. Uradnici by mali mat k dispozicii len doveryhodnu sluzbu podla eidas. Ak sa technicky neda zaviest, az do zavedenia doveryhodnej sluzby by mali fungovat v starom papierovom rezime. Aspon sa ukaze, ktore legacy systemy potrebuju urychlenu zmenu a prekodvanie na nove app.
Mám na mysli prístup konkrétne od Vás, že všetko treba zverejniť, vrátane našich kapacít, reálne riešených bezpečnostných incidentov, že máme zverejniť aktuálny aj technický stav systémov. Jednoducho snaha získať informácie, ktoré ani ja nemám všetky a z dôvodu aplikácie v bezpečnosti zásady need to know ich ani nemám mať. Ja napríklad tiež neviem úplné podrobnosti o častiach projektu partnerov NBU a SIS. Poznám koncept, viem čo sa má vyriešiť a aké postupy budú zvolené pri ochrane verejnej správy (prepojenie na naše riešenie). Môžeme zverejniť to, čo neohrozí jednotlivé organizácie. Pokiaľ toto nepochopíte je to bohužial komplikované sa s Vami baviť. Rovnako ďalší ideologický argument z Vašej strany je pretláčanie rozdelovania projektov. Sami viete v akom stave je IT na mnohých štátnych organizáciach a vy chcete im pridať úlohu na ktorú nemajú ludí, zdroje a viete rovnako ako ja ako to dopadne. Ale pretláčate to napriek tomu, že viete, že je to nerealizovateľné.
Jednalo sa napríklad o zaslanie našej metodiky pred zverejnením na tento portál, kde sme Vás chceli požiadať o ďalší názor na bezpečnostné opatrenia a chceli sme o tom vyvolať aj diskusiu. Dostali sme od dvoch členov tohto fóra pripomienky čisto formálneho charakteru. Bol to podklad pre vyhlášku o bezpečnostných opatreniach vo verejnej správe, ktorá pôjde do verejného pripomienkovania ešte tento mesiac. Čím Vás zároveň chcem poprosiť o pripomienky k celému textu. Napriek tomu, že na tom pracovalo asi desať ľudí a dali sme to na pripomienky aj do externého prostredia, privítame Ďalšie názory.
Toto je vážne obvinenie, a neviem o tom, že by sa to vôbec stalo. Môžete mi pripomenúť čo máte na mysli ? Lebo takéto niečo sa nemôže diaŤ. Buď sa to stalo a v tom prípade je potrebné zjednať nápravu (to zfalšované hlasovanie) alebo budem očakávať od Vás ospravedlnenie. Všetky pripomienky boli zvážené z pohľadu toho, či zapadajú do kontextu zákona o ITVS, či sú vykonateľné a či zvýšia bezpečnosť. Všetky pripomienky sú zvažované a veľká časť pripomienok bola aj zapracovaná. Pokiaľ si pamätám zo všetkých pripomienok ktoré prišli bolo zapracované celkom alebo čiastočne viac ako 80 percent. Ak narážate na tie, čo sa týka inventáru aktív, tie neboli akceptované preto, lebo pri ich aceptovaní by UPVII nemal k dispozícií informácie o aktívach vo verejnej správe. Bez týchto informácií ale nevieme riadiť bepzečnosť.
Všetky pripomienky sú vítané, zvažované a keď ich je možné zapracovať tak zapracované sú. Bohužial ale nemôžeme zarpacovať všetko, najmä keď to nie je potom konzistentné s celkovým smerovaním bezpečnosti vo verejnej správe. A keď mam pravdu povedať, bohužial časť pripomienok je vždy len o tom kopnúť si. Nepamätám si teraz konkrétny príklad ale od Vás tam také pripomienky bývajú tiež. Tie sú tiež zvažované a keď je možné tak k nim dáme aspoň vyjadrenie. Btw. Nebol to clovek za Vas, ktory vravel ked sa tvoril autorsky tim z pracovnej skupiny, ze sa nechce zucastnit lebo on nevie pisat dokumenty ?
Súhlasím, toto som viackrát pripomínal aj ja. Bohužial nie sú dostatočné personálne zdroje aby sme riešili všetko. V rámci CSIRT.SK budeme organizovať pravidelné workshopy, kde bude pozvaná aj verejnosŤ za účelom riešenia technických problémov. Srdečne tam samozrejme budete vítaní.
Či chcete alebo nie, mnohé pripomienky aj Vaše boli zapracované. Celý projekt je v režime utajovaných skutočností (aj kvôli aktuálnemu stavu vo verejnej správe,keď chýbajú zdroje na často základné veci a to odhaľuje kopu zraniteľností) a teda mnohé veci nie je možné verejne povedať.
O žiadnom zastrašovaní nič neviem. Viem ale že sa proti projektu postavili viacerí ľudia, pravdepodobne hovoríme o tých istých a viem aj aké sú dôvody. Dôvody sú najmä tieto : po implementácií tohto projektu skončí klondike niektorých firiem vo verejnej správe v oblasti bezpečnosti, lebo všetky ich aktivity budú viditeľné (ambícia je mať kompletnú bezpečnostnú viditeľnosť v prvej fáze vybratých a v druhej fázy všetkých organizácií verejnej správy kde to má zmysel.) a už nebude možné napríklad fakturovať fiktívne práce v oblasti bezpečnosti (penetračné testy jednej webovky za desattisice, "spolupracu pri penetračnych testoch " za desattisice a v niektorych organizacia ani fiktivne cinnosti pri sprave zariadeni, lebo vsetky administratorske cinnosti budu logovane dokonca vo forme videa). Súčasne niektoré firmy by veľmi radi kompletne outsourcovali bezpečnosť vrátane úloh CSIRTov. Dostala sa mi do uší z dvoch rôznych zdrojov informácia, že jeden majiteľ bezpečnostnej firmy na SR vyhlásil, že nás zničí lebo len naša existencia ho stojí niekoľko miliónov ročne, čo nemôže fakturovať štátu. Dalsie firmy maju problem s tym, ze nemozu dodavat diela bez implementovanej bezpecnosti alebo bezpecnostne projekty skopirovane z jedneho templatu. Tymto firmam CSIRT vadi dlhodobo. Je pravda ze maju dobrych kamaratov vo viacerych statnych firmach. Myslim ze vsetci vieme o kom sa rozpravame. CSIRT uz prezil tri pokusy o jeho znefunkcnenie/zrusenie, snad prezije aj dalsie. Som rad ze tak vadime, lebo to znamena ze robime dobre svoju robotu.
Čo sa týka projektu, projek mal jednoznačne prerekvizity, ktoré musia byť naplnené skôr ako dôjde k prvej dodávke, lebo inak by sa jednalo iba o zbytočné a neefektívne vyhodenie penazí nas vsetkych.
Táto výnimka má zmysel v tom, že nie je možné zverejniť niečo, čo je v prevádzke a nie je zabezpečená kontrola toho kódu. Toto je tiež pekný príklad, keď kladiete ideologiu nad rozum. Jednoduch nemame ako stat dostatok zdrojov, aby sme vsetko skontrolovali pred produkciou. Je to pekna myslienka a v ideali ju podporujem. Avsak v sucasnosti by to sposobilo viac problemov ako uzitku. Veci musite obcas aj domysliet do konca. Pekne myslienka je super, ale je potrebne ju aj implementovat spravne a vcas.
[/quote]
V mnohych organizaciach som videl nezmysli a mal som podozrenia, ale bohuzial nic co by som vedel dokazat. U nas na urade zatial nic takeho som nevidel. V kazdom pripade to co som napisal plati. CSIRT dlhodobo vystupuje voci vela nezmyslom. Aj momentalne bojujeme o to, aby nebolo zbbytocne vyhodenych viac ako 20 M na nezmyselny projekt. Dokonca sme v nasom narodnom projekte v spolupraci s NASES nasli moznost uspory nakladov a tie sme vyuzili a mierne pozmenili architekturu za ucelom zvysenia efektivity vynalozeynch prostriedkov.
Mam jednu taku vyzvu : Ak sa chcete odborne bavit, mozete kedykolvek prist. Nielen za mnou, ale aj za ludmi co pracuju v CSIRTe. Mozete davat navrhy. To co je realizovatelne, mozne a zvysi to bezpecnost verejnej sprvy tam budete mat nasu stopercentnu podporu.
Ak chcete nieco zmenit tak podte pracovat pre nas. Vsetky informacie co mam ja, maju vsetci ludia z CSIRTu lebo pracujeme ako tim. Mozete prist pracovat pre nas, a mate moju stopercentu podporu vsetky svinstva a korupciu ktoru najdete dat organom cinnym v trestnom konani. Ponukame platy od 2000 Eur - 2750 Eur podla schopnosti a znalosti na analytické a správcovské pozície. Ak sa chcete prihlasit napiste mi na lukas.hlavicka (at) csirt.sk
A este jedna vec. Ak mate zaujem velmi rad sa zucastnim aj debaty s novinarmi kde budeme napriklad Vy a ja a mozete sa pytat na cokolvek. Co vy na to ? Alebo mozete prist aj sukromne. Nikdy sme nikoho neodmietli.
