Neuvadzanie podpisovej polity

NASES rozposlal oznamenie tykajuce sa neuvádza nia podpisovej politiky v kvalifikovanom elektronickom podpise. Kedze tieto zmeny v podpisovej politike sa tykaju aj obcanov a pravnickych osob uvediem mozny problem ktory moze nastat:
V oznameni sa uvadza:
Dovoľujeme si dôrazne odporučiť, že pre zabezpečenie správneho overovania autorizácií je potrebné v informačných systémoch pre vytváranie autorizácií zabezpečiť:
c) Pripojenie kvalifikovaných časových pečiatok ku kvalifikovaným elektronickým podpisom a pečatiam bez časovej pečiatky obsahujúcim podpisovú politiku, a to čo najskôr, pred exspiráciou podpisového certifikátu a takisto pred exspiráciou podpisovej politiky.

Kedze na strane štatu aj ked obcan posle podanie alebo prilohu podpisane kvalifikovaným elektronickym podpisom bez kvalifikovanej casovej peciatky, CEP ju tam aj tomaticky doplní. Takze prípadný problém sa moze vyskytovat skor u obcanov alebo pravnickych osob - vyskyt podpisanych dokumentov bez casovej peciatky.

Ide o to ze ak maju kvalifikovanym elektronickym podpisom bez kvalifikovanej casovej peciatky (neboli povinni ju tam davat) podpisane dokumenty, tak dnom skoncenia platnosti v nich uvedenej podpisovej politiky nebudu tieto podpisy uz overitelne. Budu pri overovani oznacene bud ako “Neplatne”, alebo “Neoveritelne”.
Mozno by bolo vhodne na tento problem upozornit aj verejnost, ktora nemala povinnost posielat svoje podania opatrene kvalifikovanou casovou peciatkou alebo uchovava dokumenty podpisane KEPom (a podpisy obsahuju politiku) bez casovej peciatky a spolieha sa iba na platnost podpisoveho certifikatu, aby si dokumenty ak sa na ne potrebuju spoliehat aj v buducnosti opatrili kvalifikovanou casovou peciatkou do 2.10.2021.

3 Likes

Kazdopadne, nova podpisova politika uz neobsahuje cautionPeriod=1 day, takze podpisy by konecne mali by overovane okamzite.

A snad to bude impulzom na odstranenie nespravne formatovanych sekcii Policy zo vsetkych systemov a podpisy budu overitelne aj v zahranici.

a to teda ako ? Clanok na slovesko.sk je a hromadny mail odisiel … :slight_smile:
jedine uz len chyba reportaz v markize …

To sa vyriesilo tym ze uz sa nebude politika vobec uvadzat.
Pred tym este prislo oznamenie o neuvadzani politiky

1. Nová verzia aplikácie D.Signer/XAdES nebude predvolene uvádzať podpisovú politiku

Dňa 14. septembra 2021 bude zverejnená aktualizácia klientskej aplikácie D.Signer/XAdES, po ktorej nainštalovaní sa v súlade s odporúčaním Národného bezpečnostného úradu nebude do vytváraných podpisov a pečatí vo formáte ASiC-XAdES uvádzať podpisová politika. Podpisová politika bude uvedená len v prípade, ak zo strany správcu špecializovaného portálu alebo inej nadradenej aplikácie príde k úprave konfiguračného súboru „signaturepolicies.xml“ v aplikácii D.Signer/XAdES.

cize do 14.IX. a ak si niekto neaktualizuje tak aj nadalej sa vytvara cez D.Signer KEP, ktorý ale po 2.X. uz bude neplatny …
tiez dobre :slight_smile:
toto je asi slovensky folklor … vsetko sa riesi az za 5 minut 12, alebo aj 10 minut po 12-tej …

5 Likes

Este sem napisem poznamku kedy moze nastat urcity omyl:
Takéto znenie oznámenia:
Odporúčame vám osloviť v tejto veci vášho dodávateľa, aby vám toto nastavenie zrealizoval. Dôvodom tejto úpravy je, že v praxi sa vyskytuje množstvo kvalifikovaných elektronických podpisov a pečatí s uvedenou podpisovou politikou bez pripojenej časovej pečiatky, pričom overovacie komponenty pre CAdES a XAdES budú takéto podpisy po 2. októbri 2021 overovať ako „neoveriteľné“, prípadne „neplatné“.

hovorí o tom, že ak kvalifikovaný podpis obsahuje kvalifikovanu casovu peciatku, tak je v poriadku a zmena sa ho netyka.

Existuju/mozu existovat vsak aj kvalifikované elektronické podpisy, ktore maju kvalifikovanu casovu peciatku a kde toto nemusí byt pravda. Obsahujú sice kvalifikovanu elektronicku peciatku ale tato nehovori nic o case kedy bol podpis vytvoreny a teda ani o case ku ktoremu sa ma overovat platnost politiky.

Su to podpisy podla §23 ods 1 pism b.
kvalifikovaným elektronickým podpisom,17) ktorého kvalifikovaný certifikát obsahuje minimálny súbor osobných identifikačných údajov reprezentujúcich jedinečným spôsobom fyzickú osobu podľa osobitného predpisu,20aa) a ktorý zahrnul do autorizácie aj kvalifikovanú elektronickú časovú pečiatku,19) ktorá určuje dátum a čas, po ktorom nastala autorizácia, ak je podľa osobitného predpisu náležitosťou podania vlastnoručný podpis, ktorý musí byť úradne osvedčený.

Takyto podpis sice obsahuje kvalifikovanu casovu peciatku s casom po ktorom nastala autorizacia, ale tato sa podla mna neda pouzit pre overenie ci samotna autorizacia prebehla v case kedy este politika platila. Potvrdzuje iba to ze autorizacia nastala az po tejto peciatke. Teda nema s potvrdenim momentu podpisu a teda aj tym ci politika v momente podpisu este platila nic spolocne .
Ako budu tieto podpisy overovane?
Dalsia kvalifikovana peciatka, ktora by potvrdila existenciu podpisu este v dobe platnosti starej politiky by nic nepokazila (ak podpis neobsahuje nic co by potvrdzovala platnost politiky v case autorizacie).

no ja som z toho dosť konsternovaný. Pokialľ viem, tak k 2.októbru sa žiadne ETSI normy, ani eIDAS, ani jeho vykonavacie predpisy, ani 272/2016, ani 78/2020 nemenia …
Tak potom:

  • buďto štát overoval KEPy s QTS nesprávne doteraz, alebo
  • ich bude overovať nesprávne od 2.októbra
    … či ?

Vsetky predpisy platia tak ako platili. Len ked pri podpisovani vlozis do podpisu politiku (a to statny podpisovac robil), zabezpecis sice prisne dodrzanie poziadaviek v nej uvedenych ale zaroven sposobis ze overovace ich budu

  • prisne vyzadovat
  • mozu vzniknut otazky typu “Mozem pouzit KEP vytvoreny pomocou eID aj napr. v komunikacii s bankou, alebo inou instituciou ako statom?”
  • zaroven uz nebude pre platnost podpisu rozhodujuci iba datum platnosti certifikatu ale aj datum platnosti politiky podla ktorej bol podpis vyhotoveny. Takze u tych podpisov kde platnost certifikatu je dlhsia ako platnost podpisovej politiky musia sa dokumenty prepeciatkovat skor ako skonci platnost politiky alebo certifikatu. V povedomi verejnosti je ze musim dokument prepeciatkovat pred skoncenim platnosti certifikatu, inak sa nebude dat overit. U podpisov s politikou je treba sledovat aj platnost politiky, ktora moze byt kratsia ako platnost certifikatu.

Trochu si dovolim vybocit a “spytam sa pre kamarata”: Kamarat ma s.r.o., koncia unho take aj onake el. dokumenty s takymi ci onakymi dig. podpismi. A teda chce ich niekde ulozit a nestarat sa, ale byt schopny v pripade potreby el. dokument vytiahnut a prekontrolovat, ci podpisy platia.

Tipujem, ze to je bezny use-case a tipujem, ze SW rieseniu by sa mohlo hovorit “dlhodobe ulozisko”. Da sa take kupit? Ma niekto take hotove ako Open Source? Ak nie, robi niekto nieco take? Napr. EK?

Velmi primitivna predstava je, ze by to bol SW, ktory z casu na cas prekontroluje dokumenty v konkretnom ulozisku a prepodpise ci prepeciatkuje vsetko, comu by existujuce podpisy a peciatky mali expirovat za povedzme X dni. A teda ze dodavatel takeho SW by aj vedel nalozit s takymto oznamenim od NASES a kamaratovi by len stacilo aktualizovat SW. Tot ja by som tomu aj rozumiet chcel, ale nie je to pointou mojho podnikania a teda necitim az taku nutkavu potrebu.

1 Like

:smiley: to by ma prekvapilo … preco by to niekto robil ? pracu vies dat zdarma … .ale prevadzka vzdy nieco stoji.
Stat to ma predsa “zadarmenko” v schránke ako MDURZ sluzbu … dokona je ta sluzba na trusted liste EU … cize ju nases poskytuje na kvalifikovanej úrovni.
https://esignature.ec.europa.eu/efda/tl-browser/#/screen/tl/SK/6
Qualified preservation service for qualified electronic signature
Qualified preservation service for qualified electronic seal

1 Like

Az na to, ze tato sluzba ti s tymto problemom nijako nepomoze. Realne je dnes MDURZ vlastne skaredy google drive. Nic to neprepodpisuje.

1 Like

v tom pripade prečo má kvalifikovaný štatút a zápis v trrusted liste EU ? Niekto by to mal potom zrušiť … či ?
Ja som bol v tom že funguje … aj ke´d ju nepoužívam, ale trusted listu verím…

plus:

plus:

To vsetko zhrna dovody, pre ktore by som rad videl zdrojaky. Pre lepsie pochopenie este preformulujem:

  1. ak mam problem doverovat NASES (resp. sme ludia, kazdy robi chyby, rad by som sa presvedcil aj na vlastne oci), chcem vidiet zdrojaky

  2. nie som subjekt VS, ale ako danovy popolatnik som danu implementaciu spolufinancoval, ergo by som si (v kontexte https://publiccode.eu/ ) rad urychlil nasadenie takej sluzby u seba tym, ze vyuzijem co najviac zo statnej implementacie

zdrojaky nic nepovedia o sposobe prevadzky. Kvalifikovaná je služba, nie softvér ktoreho pomocou je zabezpečená.

Suhlasim. Ale teda moja argumentacia ide viac smerom k mojmu bodu c. 2. A bod 1 ma v kontexte tohto vlakna a mojich use-cases az tak velmi nezaujima (aj ked ano, je najavys dolezite, aby MDURZ robil to, co ma, tak ako ma).