Rád by som sa podelil o skúsenosť s overovaním podpisov na dokumentoch zaslaných cez ÚPVS.
Ak sa zašle podanie, ktoré je podpísané resp. jeho príloha je podpísaná, tak ÚPVS zašle adresátovi aj správu, ktorá obsahuje “Výsledok overenia podpisov v doručovanej správe” (najprv predbežný, neskôr úplný).
Ja osobne som zasielal jednému OVM podanie, v ktorého prílohe bolo pdf podpísane cez zep.disig.sk dvoma podpismi (CAdES).
OVM sa neskôr voči tomuto podaniu ohradil a spochybnil planosť podpisov, keďže výsledok overenia podpisov, ktorý im bol zaslaný z ÚPVS vyhlásil tieto podpisy za neplatné.
Samozrejme overenie podpisov cez portál zep.disig.sk, ktoré je dôveryhodnou službou prejde bez problémov.
Následne som dnes kontaktoval helpdesk ÚPVS a dostal som takúto odpoveď:
"Dobrý deň,
ďakujeme, že ste kontaktovali technickú podporu Helpdesk ÚPVS. V tomto prípade je možnosť overenia podpísaných príloh prostredníctvom programu niektorej dôveryhodnej autority. Odporúčame napr. Qsign 5, prípadne na stránke zep.disig.sk.
Na vylepšeniach elektronických schránok a elektronických služieb sa neustále a intenzívne pracuje.".
Čiže ÚPVS zasiela adresátom pochybné overenia podpisov a riešením má byť to, aby si adresáti overali správy prostredníctvom iných nástrojov.
Samozrejme jedna vec je zákon, ale druhá vec, že ľudia na úradoch tomu celému jednoducho nerozumejú a keď im raz ÚPVS resp. ako odisielateľ správy je označený Úrad vlády SR pošle informáciu, že podpisy na podaní nie sú platné, tak ho považujú za dostatočnú autoritu na to, aby tie podpisy spochybnili. A tento ich postoj mi príde aj celkom pochopiteľný.
Otázka je, ako si môže ÚPVS dovoliť posielať im nezmysli…
Tak ja to povazujem za fatalny problem. Prijemcovia sprav povazuju totiz predmetne overenie podpisov za doveryhodne a zavazne. btw na moj druhy dotaz na upvs helpdesk, ze ci to myslia vazne, mi napisali, ze na rieseni problemu sa intenzivne pracuje.
Inak skusil som aj podpisanie pdf dvoma podpismi priamo pri vytvarani vseobecneho podania na slovensko.sk cez dSigner.
Vysledkom bol XAdES, ktory sice “overenie ZEP” na UPVS vyhodnoti ako OK, ale ako som uz spominal, tak napriklad Disig pri overovani vyhodi chybu. Dotazoval som na to aj priamo Disig, poslal som im xzep, ktory po dvoch podpisoch vytvori UPVS a dostal som odpoved, ze sa jedna o nevalidne XML, ktore nesplna ani specifikaciu XML, ani samotny profil XAdES_ZEP v2.0…
Celkom by ma zaujímal ten problémový podpis prílohy. Bol to CAdES, ale aký profil? Ešte CAdES_ZEP? Alebo už to bolo v ASiC-u? A akým spôsobom a produktom bolo vytvorené celé podanie?
Btw, Nariadenie eIDAS, článok 3 obsahuje definície pojmov a tam sa píše, čo je to “dôveryhodná služba” a čo je to “kvalifikovaná dôveryhodná služba”. Treba si prečítať a človek zistí, že byť dôveryhodná služba ešte neposkytuje záruky. Podobne, ako vydávať nekvalifikovaný certifikát… Získal som totiž pocit, že pán Chajdiak verí dôveryhodnej službe (ale iba tej od Disigu ;)) viac ako Biblii.
Ale veď Slovensko nie je pupok sveta. Tých služieb je už len v rámci EÚ na desiatky. A áno, nie je to dokonalé, ale predsa lepšie ako jedna a zlá
v EÚ sa už roky organizujú tzv. Plugtesty, kde sa rádovo 100+ účastníkov (Ditec a Disig, dokonca NBÚ included) stretne a vytvára podpisy podľa nejakých scenárov a štandardov a všetci si to navzájom overujú a korigujú. Vždy sú tam nejaké neplatné podpisy a vždy sú tam problémy s overením korektných podpisov.
(Áno, pri reálnej prevádzke by také už nemalo nastávať. Ale určite občas bude…)
na Slovensku je definovaný orgán dohľadu (NBÚ), ktorý v súčasnosti certifikuje produkty na overenie/vytvorenie elektronických podpisov. Napr. D.Verifier-CAdES má pečiatku “certifikovaný”. Je certifikovaný aj ten na zep.disig.sk? V ich podmienkach som to totiž nenašiel…
bez zbytočných kritík a irónie by bolo treba najprv zistiť, kde je chyba. Preto sa pýtam na podrobnosti tej prílohy. Nebol by nejaký log z overenia?
Ako sa píše v eIDAS-e, časom tu bude pár kvalifikovaných dôveryhodných služieb, čo budú viac pod kontrolou.
aj mna by zaujimalo, kde je chyba…logom z overenia samozrejme nedisponujem. UPVS posle iba spravu o vysledku overenia, z ktorej viem iba to, ze overenie je “neplatne”, s tym, ze bola “neuspesna validacia podpisanych datovych objektov” a kod vysledku overenia “110”.
Pre adresata spravy je samozrejme klucove, ze tam slovicko “neplatna”.
Ako som uz pisal obratil som sa na helpdesk UPVS, odkial ma informovali, ze treba na overenie pouzit inu sluzbu(napriklad disig) a ze oni na odstraneni problemu pracuju.
Aha. A je to PDF v súlade s Výnosom MFSR o ISVS? Tam sa píše niečo ako “Portable Document Format vo verzii A-1a (PDF/A-1a) a podľa technickej normy,” (je tam odkaz na tú normu).
Vynos hovori aj o inych formatoch, ak sa obe strany dohodnu. Overovac netusi, ci a ako sa dohodli a nemoze na zaklade toho nieco prehlasit za neplatne.
Co sa tyka XAdES_ZEP v2.0, ktory bol vytvoreny na slovensko.sk, toto nie je eIDAS format a nie je OK, ze tam bol vytvoreny v prednastavenej konfiguracii.
XAdES_ZEP v2.0 je podla mna z pohladu eIDAS-u v poriadku resp. zatial sa mi nepodarilo najst ziadny dovod, preco by nebol. Ak nejaky poznas, tak ho sem kludne napis.
Ja osobne vidim problem skor v tom, ze pri tomto formate je XAdES-om je podpisana XML struktura, ktora nepredstavuje XMLDataContainer definovany vo vynose o standardoch pre ISVS.
Táto chyba nesúvisí s dvoma podpismi. Je spôsobená odlišným výkladom normy PDF/A-1 rôznymi tvorcami softvéru a nezobrazovaním oddelených informácií o overení podpisu od informácií o overení formátu podpísaného dokumentu (PDF/A-1a) vo výsledku overenia autorizácie.
Výnos o štandardoch pre IS VS č. 55/2014 Z.z. hovorí v §57a, že verejná správa je povinná prijímať a čítať podpísané elektronické dokumenty vo formátoch PDF/A-1a, PNG, Plain text UTF-8 a XMLDataContainer, pričom môže prijímať aj iné formáty, ak sa na tom zasielateľ a prijímateľ dohodnú (a zvážia súvisiace dopady). Ak podpísané dokumenty neprejdú overením súladu s uvedenými formátmi, niektoré podateľne vyhodia chybu. Niektoré z nich používateľa neinformujú, že podpis je platný a problém je len s formátom.
PDF súbory sú pri podpísovaní cez zep.disig.sk skonvertované do formátu PDF/A-1a. Problém vzniká pri validácii formátu PDF/A-1a - pri ktorej validátor od firmy PDFTRON (použitý na ÚPVS) zistí nesúlad. Pri validácii cez iný validátor - VeraPDF - je však výsledkom súlad s PDF/A-1a.
Výsledok overenia autorizácie zobrazí v popísanom prípade chybu “neúspešná validácia podpísaných dátových objektov”.
Problém sa už riešil v pracovnej skupine PS4 Komisie pre štandardizáciu a boli prijaté závery, ktoré by to mali vyriešiť. Je však ešte potrebné, aby závery potvrdila Komisia pre štandardizáciu - viď: https://wiki.finance.gov.sk/pages/viewpage.action?pageId=21169431
Problém by sa mal podľa mňa vyriešiť:
začatím používania referenčného validátora VeraPDF (v zmysle záverov pracovnej skupiny),
oddelením informácií o overení podpisu od informácií o overení formátu vo výsledku overenia autorizácie.
Mňa tam najviac prekvapila veta “V týchto prípadoch je potrebné na overenie autorizácie použiť niektorý z dostupných certifikovaných produktov namiesto služby overenia autorizácie na ÚPVS.”
Čiže aktuálne vyjadrenie štátu je, že ak máte niečo podpísané KEP, 1. ak ÚPVS povie že je to nevalídne, to ešte nič neznamená, 2. skúšajte rôzne overovacie služby, až kým (snáď!) narazíte na pozitívne overenie. A nie je mi jasné ako to pomôže pri podaniach…