Pozicia, v ktorej vystupuje ministerka, sa vola “opravneny podpisovatel”.
Poziadavka, ktoru je (popri inych) potrebne naplnit a ktoru nazyvas “faktickou mocou”, “vlastnictvom” a pod, znie:
“aby (…) oprávnený podpisovateľ mohol údaje na vyhotovenie elektronického podpisu použité na vyhotovenie elektronického podpisu spoľahlivo chrániť pred použitím inými osobami.” Toto je naplnene revokaciou certifikatu.
Ak by aj utocnik disponoval povodnym klucom, bez platneho certifikatu je mu na nic. Rovnako si moze v opensll vygenerovat 1.000 inych klucov, ku ktorym neexistuje platny mandatny certifikat vydany akreditovanou certifikacnou autoritou.
Z vyssie uvedeneho nevyplyva ziadny zakonny narok na to, aby bol urad povinny dat niekomu data zo zriadenia, z ktoreho sa ziskat nedaju (odhliadnuc od toho, ze boli generovane vyhradne v suvislosti s vykonom funkcie a platila to organizacia). A uz vobec nie majetkove prava na dane zariadenie.
(Slovne spojenie “z ktoreho sa ziskat nedaju” treba chapat na urovni bezpecnosti daneho zariadenia. Nebavime sa o dobre zasponzorovanom univerzitnom time s elektronovymi mikroskopmi a pod).
To áno, ale takto napersonalizované karty sa používajú hlavne keď sa jedná o hybridné karty. Posledné roky som sa nestretla s tým, že by OVM obstarávali čipové karty s potlačou. Keď teda mali slúžiť ako “nosič” iba pre kvalifikované certifkáty.
Nie je podstatná pozícia osoby, ktorá podpisuje a ktorej je vydaný certifikát. Podstatné je, že jej súkromný kľúč je s ňou bezprostredne spojený.
Jediným schodným riešením je bezodplatne previesť vlastníctvo k OSCD na osoby, ktorým bol certifikát vydaný.
Inak povedané, čipovú kartu si po skončení funkcie zoberie Predseda vlády so sebou na QSCD, ktorý mu bol poskytnutý OVM aj so všetkými súkromnými kľúčmi, ktoré mu počas funkcie boli na kartu vygenerované.
Podobne v prípade skončenia platnosti eID by mali policajti odstrihnúť z plastovej karty iba takú časť, ktorá by umožňovala kartu použiť v čítačke (t.j. Znehodnotiť personalizovanú časť karty napr odstrihnutim 2/3 a čip vydať FO alebo zlikvidovať zoškrabanim personalizovanu časť karty.
Ius… na zaklade coho vyplyva nejakemu OVM povinost previest na niekoho QSCD? Doteraz si necitoval jediny paragraf, opieras to o svoje interpretacie pojmov, pricom je jasne stanovene ake su kriteria na QSCD a vydavanie madatnych certifikatov. A ked ti niekto odcituje, co je skutocne o QSCD alebo kvalifikovanych certifikatoch napisane v eIDAS alebo v inej legislativnej norme, pokracujes vo svojom bez toho, aby si sa k tomu poriadne vyjadril. To diskusiu neposuva.
Ako chces definovat “jedine schodne riesenie”, ak nie su vyjasnene pojmy (vid pojem opravneny podpisovatel) a nie je popisana hrozba (bolo vysvetlene, preco sa kluc neda zneuzit).
Miesto toho vymyslas koleso v style vydavania cipu s uz nepouzitelnym klucom.
ponechanie QSCD zariadenia má svoju logiku, totiž žijeme na Slovensku a napr. Pri vrátení eID nedochádza k revokovaniu certifikátu a rovnako pri vrátení QSCD zariadenia s mandatnym certifikátom máš oznámiť OVM svoj PIN a PUK kód. Čo je dosť scestné.
Rovnako je scestná téza, podľa ktorej nie je majiteľom súkromného kľúča osoba ktorej bol vydaný certifikát a na ktorú certifikát znie.
Majiteľom pečate je OVM alebo PO, majiteľom kvalifikovaného certifikátu na epodpis a súkromného kľúča je fyzická osoba ktorej bol certifikát vydaný. Ak by to tak nebolo, nemohol by si uplatňovať domnienku nepopieratelnosti.
Súkromný kľúč na elektronicky podpis predsedu vlády je jeho vlastníctvo má teda plnú dispozíciu s kľúčom a keďže nie je možné súkromný kľúč predsedu vlády z karty dostať von, musí karta sledovať vlastnictvo súkromného kľúča to znamená, že OVM by malo previesť vlastníctvo QSCD zariadenia na predsedu vlády. Jednoducho nie je možné, aby predseda vlády po odchode s funkcie odovzdal svoj súkromný kľúč k elektronickému podpisu úradu vlády. Zrejme tomu nateraz nerozumieš ale časom to isto pochopíš
Čo sa súkromných kľúčov týka bavíme sa o kvalifikovaných certifikátoch nie o certifikátoch ktoré nie sú kvalifikovane.
Oprávneným podpisovatelom je osoba na ktorú znie certifikát (ktorej je vydaný) a ktorá pozná PIN. Všetci ostatní sú neoprávnení. Napr. Ak zlodej identity odpozerá tvoj PIN zmocní sa QSCD zariadenia a podpise dokument, tento zlodej nebude oprávneným podpisovatelom.
Slovensko sem nemiesaj. Pletu sa tu cisto kryptograficke pojmy ako “private” (sukromne) s vlastnickym pravom. Vydanie mandatneho certifikatu je jednoducho sluzba, ktoru ma evidovanu vo svojom uctovnictve OVM, rovnako ako ma evidovany nakup hmotneho majetku (QSCD), pricom narabanie s nimi je dalej upravene legislativou. Pokial teda vychadzame zo scenara, ze si to neplati dana FO. Nepopieratelnost nevyplyva z “vlastnickeho prava” drzitela ale z procesu ako su certifikaty vydavane a ako s klucmi naraba.
Ak vratis obciansky preukaz na ktorom je platny certifikat (moze platnost certifikatu presiahnut platnost dokladu?), mal by byt pochopitelne revokovany. Ak certifikat exspiroval, nie je co revokovat.
Co sa stane ak predseda vlady odovzda technicky prostriedok, kde su nejake data ktore sa viazali na vykon jeho funkcie a nie je mozne ich zneuzit? Preco by to “jednoducho nemalo byt mozne”? (Zlodej pochopitelne nie je opravnenym podpisovatelom, ide o utok, ktory s odovzdavanim kariet po revokacii certifikatov nema nic spolocne).
Mňa by zaujimalo, ako si sa dopracoval k stanovisku, že vlastníkom súkromného kľúča kvalifikovaného podpisového certifikátu premiéra je iná osoba ako on sám.
Skús mi rozpísať kto je vlastníkom súkromného kľúča ktorým sa vyhotovuje elektronicky podpis podpredsedu vlády Pellegriniho, ministerky spravodlivosti, predsedu ústavného súdu, šéfa NBÚ a pod.
Len pripomeniem že kvalifikovaný podpis je ten typ podpisu jedine ktorým sa dajú realizovať aj sprísnenené úkony, t.j. Napr. Nevyžaduje sa dodatočne osvedčenie notára
Jednoducho. OVM poverilo nejaku osobu a zakupilo technicke prostriedky. Z tychto ukonov danej osobe ziadne majetkove prava nevyplyvaju. Dokonca ani pre pana podpredsedu vlady a pani ministerku.
Neviem, k comu smeruje pripomienka, kedze nebol popisany utok, ktory by sa na zaklade toho dal po revokacii certifikatu realizovat.
Neviem, co sa mysli pod “pravami ktore im plynu vo vztahu k sukromnemu klucu”. Vie preukazat, ze ma mandat na nejake ukony a vie poziadat o revokaciu certifikatu.
Má teda právo/povinnosť revokovať certifikát a teda súkromný kľúč
Má právo podpisovať a vyhotovovať elektronický podpis súkromným kľúčom
Má právo kedykoľvek zmazať súkromný kľúč
Aké ďalšie práva má osoba ktorej bol vydaný súkromný kľúč?
Má právo ponechať si revokovaný certifikát?
Má právo previesť certifikát na inú fyzickú alebo právnickú osobu?
Má právo namietať, že elektronický podpis vytvorený súkromným kľúčom mu nepatrí?
Nech si dotycna osoba revokovany certifikat kludne ponecha. Vykopirovat sa da z kazdeho podpisu, co vytvorila.
Ak nieco nevlastni, tak to moze tazko na niekoho previest. Zvlast ak tym niecim preukazuje opravnenie, ktore danej osobe udelil niekto dalsi a je to vystavene na jej meno.
Pravo namietat mas vzdy. Otazka je, ci sud tie namietky uzna.
Nehnevaj sa, ale je úplne scestná predstava, že k súkromnému klúču vykonáva majetkové práva iná osoba ako osoba, ktorej bol vydaný a na ktorej meno znie certifikát.
Zamestnávateľ môže rozdávať tak akurát súkromný kľúč a certifikát k pečati, nie k podpisu
podpis je jedinečné viazaný k FO a nie k PO
Naopak Pečať je viazaná k PO
Právnickej osobe podľa eIDASu ani len nie je možné vydať kvalifikovaný podpisový certifikát. Neexistuje žiadny právny základ k tomu aby akákoľvek právnická osoba vykonávala majetkové práva ku kvalifikovanému podpisovému certifikátu FO.
Aj tak budú mandátne podpisové certifikáty zrušené, mali byť zrušené čo najskôr aby nevznikala škoda na strane štátu.
Asi uz nema zmysel vysvetlovat, ci slovo “jedinecne viazany” zaklada nejaky majetkovy vztah, resp. ze mandatny certifikat je v tomto pripade vydany na zaklade poverenia od OVM. Posunme sa dalej.
Co moze OVM urobit, aby mohlo znovupouzit QSCD ak poverena FO strati opravnenie konat? OVM by malo zvazit, ci chce poverenym osobam vobec davat PUK-y. Nech si PUK-y zapecati a zamkne do trezora a schvali postup, za akych okolnosti a kto k nim ma pristup. Ked niekto strati opravnenie, certifikat sa revokuje, PIN sa prenastavi a QSCD sa premaze. Vyda sa novy certifikat a nova osoba nech si novy PIN nastavi sama.
Podotykam, ze na zneuzitie PUK by musel mat utocnik v rukach fyzicky QSCD a je povinnost poverenej osoby, nech si ho chrani a nikomu ho nedava.
Add.: Ako niekto uviedol, niektore zariadenia sa daju ,resetnut" aj bez PIN a PUK ale pochybujem ci to vedia aj externe registracne autority a chodit s tym priamo do ACA nie je moc pohodlne.
Mandátne certifikáty epodpisu zaniknú práve preto, lebo PO nemôže akýmkoľvek spôsobom disponovať so súkromným kľúčom FO. Konštrukcia, pri ktorej je súkromný kľúč FO uložený na karte iného subjektu je šialená, hoci tento je zamestnávateľom FO. Je to fakt azda iba Slovenské špecifikum.
1/ ten kluc nepatri FO, len je jej zvereny
2/ na to aby bol privatny kluc FO nepouzitelny staci revokovat certifikat (na co PO ma nastroj)
Toto je technicky ciste riesenie. Nie som pravnik, ani nepoznam predpisy k tomu, ale z toho co pises je jasne, ze bud to nechape tvorca predpisu alebo ty.
Ak sa do toho zacnu montovat pravnici, chcem vidiet, ako zabezpecia doveryhodnost podpisu vytvoreneho FO v zastupeni PO…
Ono by to platilo ak by ti zamestnávateľ mohol zveriť tvoje meno a priezvisko a zároveň tvoj podpis.
Keďže ti zamestnávateľ nemôže zveriť tvoje meno a tvoj podpis, vykonávaš všetky osobnostné a osobnomajetkové práva k menu a podpisu ty ako FO. Kvalifikovaný certifikát na podpis nemôže existovať bez povinného atribútu mena.
