O čo ide prosím? V čom konkrétne nie je ich formát aktuálny - t.j. ktoré atribúty? Aké problémy to spôsobuje a prečo?
Podpisy ktoré sú nimi vytvárané sú snáď stále platné a overiteľné.
V atribute QC Statements bola syntakticka chyba, ktoru odstranili niekedy v priebehu roka 2019.
So starymi certifikatmi nefunguje napr. ich propagacia v MacOS - vid.
Podpis .pdf adobe acrobat na Mac
1 Like
dal som si vydat certifikaty a skratilo mi platnost z 2024 do 2022. asi to nebolo najrozumnejsie odporucanie teda.
Ak tomu správne rozumiem, tak by si s tým starým certifikátom (hoc tam mal 2024) aj tak nevedel po 2022 podpisovať.
To mas jedno. Podla mna ak si mal certifikart s platnostou do 2024, tak na konci roka 2022 by ti ho zrusili kedze karta je na tento ucel certifikovana iba dovtedy. Takze to mas jedno ci si si vydal teraz certifikat ktory sam prestane platit v rovnaky den ako nam ostatnym ktorym tymto dnom zrusi platnost certifikacna autorita.
1 Like
Dobre rozumiem tomu. ze ked niekto dostane novy OP 20.6.2021, tak ma 5 dni aby si vygeneroval certifikat a 1,5 roka platne certifikaty? Preco uz davno nevydavaju OP s novymi cipmi?
2 Likes
zvykaj si ze v OVM-kach sa vsetk orobí o 5 minút dvanásť … .a to je ešte ten lepší prípad, často aj 12:05 …
- vygenerovať sa dá priamo pri vydávaní eID (či sa niečo zmenilo?)
- 1,5 roka platné certifikáty sú prečo problém?
V kontexte doterajšej praxe by som skôr MV pochválil, že začnú nové eID vydávať “už” 1,5 roka vopred. (Pritom vieme, že toto nebolo plánované, ale vzniklo zrejme náhodou.)
1 Like
Otazka skor znie inak?
Preco stale nechceme pouzivat zdokonaleny podpis zalozeny na kvalifikovanom certifikate?
Zakon ho pozna. Cesi ho poznaju a bezne pouzivaju. Stacilo by upravit vyhlasku a odrazu by sme mohli podpisovat v mobile, minimalne ciastocne by prestal existovat aj problem s eID, pretoze by sa do karty, ktora uz nema certifikaciu stale dal vydat kvalifikovany certifikat, len by stratil priznak QSCD. Nebol by to KEP, ale to velakrat ho ani netreba.
Nemuseli by sa tu riesit podpisovanie klikom, ktory bude trpiet problemom s implementaciou u poskytovatelov, integraciou s OVM a zdokonaleny podpis zalozeny na kvalifikovanom certifikate vydany z eID ma predsa len trosku vyssiu uroven. 
Dovolim si tvrdit, ze na mnozstvo ukonov, na ktore v minulosti v papierovom svete stacil podpis “ala kuria noha alebo krizik” a nikto extra nic neoveroval, je dnes v komunikacii so statom nutne vyzadovany KEP. Zbytocne. Jadro problemu je tu. Netreba vymyslat koleso. Uz bolo vymyslene.
Hned ako v MIRRI pridu na to, ze kompetencne to podlieha im a prestanu sa vyhovarat na MV, je mozne problem vyriesit. Vsetko ostatne je zbytocna diskusia.
Mimochodom moze nastat aj dalsi problem ked zacneme zbytocne a bezcielne nutit obcana vymienat si eID, prehanat ho a nechat si to este aj zaplatit. Problem s cipmi, ten uz tu realne je a tak skoro neskonci, citacky sa uz teraz skoro nedaju zohnat.
4 Likes
Problem je prave to ze kvalifikovany certifikat a k nemu prinaleziaci privatny kluc ti mozu vygenerovat iba do zariadenia ktore je certifikovane. Cize uz by to nemohol byt kvalifikovany certifikat. Ak by tam zostal aj po tom termine 12.2022 a akoze by sa z neho stal po tomto termine nekvalifikovany, to by zase bolo v rozpore s parametrami v scheme dohladu, lebo by sa to tvarilo ako kvalifikovany certifikat a bolo by to nieco ine.
S tymto si dovolim nesuhlasit. Kvalifikovany certifikat mam vygenerovany do svojho mobilu. A spokojne s nim podpisem lubovolny dokument. Dokonca som to aj prakticky niekolkokrat vykonal napr. v komunikacii s nemenovanou poistovnou. Podstatne je ze KC je oprávnený vydávať výlučne kvalifikovaný poskytovateľ dôveryhodných služieb, ale neznamena to nutne, ze musi byt vydany vylucne na QSCD zariadenie. Mobil nie je certifikovane QSCD zariadenie, takze mi z neho nikdy nevznikne pri autorizacii dokumentu KEP. Bude len zdokonaleny, pretoze nema priznak, ze privatny kluc je bezpecne ulozeny v QSCD zariadeni.
Toto upresnim, ano nevyjadril som sa jasne. Povodny certifikat bude zneplatneny, pretoze karta strati certifikaciu a nie je mozne ju nadalej povazovat za certifikovane QSCD zariadenie. Ale nic nebrani tomu, aby na eID bol vydany novy kvalifikovany certifikat napr. cez obyvacku (a teda obcan nemusi nikam chodit a nic riesit a hlavne nemusi menit doklad ak to nestihne a platit za to), ale vysledny podpis vytvoreny takymto certifikatom by bol uz len na urovni zdokonaleny. To by ale pre bezne ukony napr. podnikatela pri komunikacii so statom plnohodnotne postacovalo. Ak by bola vola. Ta ale zial asi nie je.
Ok mas pravdu. Vysvetlil som si tvoj pripsepovk tak, ze po 31.12.21 by zostal certifikat platny iba ze by sa nim nedal urobit kvalifikovany podpis.
Ten kvalifikovany certifikat sice skonci v decembri 2021, ale na eID je este jeden certifikat ktory nie je kvalifikovany a jeho platnosti by sa to tykat nemalo, cize zdokonaleny podpis by sa mal dat urobit aj po tomto termine.
Haha. Príbeh je to pekný, ale nepravdivý.
Nie. “Stačilo by” zmeniť zákon a elektronické podateľne aby vedeli AdES overovať a naučiť úradníkov rozlišovať KEP/AdES a kedy sa ktorý môže použiť.
Podpisovať by sme mohli, akurát by to bolo houby platné, lebo iná vtipná “črta” slovenského eGov je, že priamo v certifikáte musí byť jednoznačný identifikátor - teda pre fyzickú osobu rodné číslo - ináč “nevedia určiť kto to podpísal”. Tento problém je samozrejme tu už aj pri KEPe.
Sú s tým nejaké problémy? Kde kto? Ak niekto kvôli tomu už teraz “trpí”, odporúčam psychológa.
Naopak, za posledný polrok som si všimol, že vlastne tu nikto nemá problém ani s pokútnym prihlasovaním typu RČ+e-mail a s autorizáciou zaslaním e-mailu.
Problémy eID musia riešiť MV, aké výhovorky?
1 Like
A ktory zakon by bolo potrebne zmenit, ked priamo Nariadenie Europskeho parlamentu a Rady c. 910/2014 z 23. jula 2014 (eIDAS) zdokonaleny elektronicky podpis pozna rovnako ako ho pozna zakon zakon c. 272/2016 Z.z. o doveryhodných sluzbach. Je to na inu debatu. Vidime to inak.
A co by bolo treba naucit uradnikov pri rozlisovani KEP a zdokonaleneho podpisu. Citat? Je to len o tom, aky nastroj dostanu do ruky. Ak im sluzba jednoznacne odlisi KEP od AdESu, tak si dovolim tvrdit, ze uradnik ktory vybavuje konkretny druh agendy bude oboznameny s tym, aku uroven podpisu moze akceptovat pre ten ktory druh podania.
Kvalifikovany certifikat napr. v mojom mobile je vydany z mojho eID, to bol to jediny moment, kedy som potreboval citacku - pocas procesu vydavania. Ano, obsahuje aj RC. Ano, je to specifikum SK eGov i napriek tomu, ze pri vydani napr. komercneho certu na KEP to nutne nemusi byt RC. Ale preventivne sa tam zvykne davat, lebo problem SK eGov. To ale nic nemeni na fakte, ze ak s tym musia ludia zit pri KEPe, vedeli by s tym zit aj pri zdokonalenom podpise a hlavne v pripade, ze sa jedna o komunikaciu so statom. Ak ho tam nechce niekto mat, stale ma moznost si nechat vydat cert bez RC aj ked nie v eID. Ale suhlasim aspon s tym, ze RC v certe je ciste zlo. Bohuzial tento problem nie je novy.
Dakujem za odporucanie psychologa. Skusim vyhladat i napriek tomu ze nemam pocit ze trpim paranojou. K tomu asi ta narazka smerovala. Na invektivy reagovat nemienim.
Navstevu psychologa ale budu potrebovat zrejme ludia, ktory nevahaju autorizovat nieco zaslanim emailu, alebo sa prihlasovat cez RC a je len otazka casu, kedy to niekto zneuzije, alebo naopak, ked niekto zacne podobnu svoju autorizaciu spochybnovat a tvrdit ze ju nevykonal. To je skor smutne a asi by sa to nemalo pouzivat ako argument, ze preto je vlastne KLIK fasa. Urcite je to lepsie ako tieto zvrhlosti s RC a autorizovanim emailom, ale to neznamena, ze je to v poriadku. Nemam nic proti, ak to niekto takto chce. Smelo do toho. No netvarme sa, ze pre klik tu mame nejake idealne podmienky a vsetko je vyriesene. a ze eGov je na to ze super nachystany. No nie je.
OK. Tu sa nezhodneme, ale dobre. eID je v kompetencii MV. Suhlas. Ale riesenie s eID by vedelo vyriesit aj MIRRI. Nech je ako chce, stale sa bavime, ze stat by to vyriesit vedel. Keby chcel.
Minimálne by malo stačiť použiť zdokonalený podpis pre podania smerom na úrady. Tak ako to majú v ČR. OVM môžu produkovať aj naďalej KEPy… A podateľne s tým nemajú problém na GUI… Akurát ozaj to poučenie uradnikov vidím dosť nevykonatelne. A potom sú tu use cases kde sú agendove štátne, verejné, ale aj súkromné systémy integrované cez DIZy a api vracia false pre všetko čo nie je overené ako KEP. Ale paradoxne zepx vráti True 
Suhlasim.
Na to podla mna netreba tak vela. Stacila by sluzba overovania, ktora by nebola taky humus ako na slovensko.sk. Nieco jednoduche aj pre uradnika, napr. odlisit farebne. Nech KEP ma zelenu fajku, AdES napr. modru a zvysok napr. sedu alebo cervenu. Zamerne teraz hodne zjednodusujem, viem ze problematika je zlozitejsia, len vysledok pre uradnika ma byt uchopitelny, nie vsetci su odbodnici na elektronicky podpis. Nech su uradnici odbornikmi aspon vo svojom remesle.Toto im treba zjednodusit. Tu mame investovat cas do IT pre ludi vratane uradnikov.
Tak ked moze zepx vratit true 
, tak by sa snad dala urobit uprava, aby system vedel vratit true aj v pripade zdokonaleneho podpisu - aspon pre niektore usecase. Ci? A mozno by to ani nemuselo stat miliony. 
Jediny problem s mobilom, ktory by konecne mohol priniest vacsiu penetraciu a vyuzitelnost eGovu aj pre beznych smrtelnikov je v tom, ze to nie je QSCD zariadenie. Ja ale nechcem mat Slovensko V Mobile bez moznosti autorizovat podpisom a na ine ukony mat dalej niekde doma schovanu citacku, lebo mi zial SVM v tomto nijako nepomoze. Bluznenie o desiatkach zivotnych situacii, ktore ma mozu stretnut pocas zivota a ktore nastrkame do SVM (no tie situacie ma bud nestretli vobec, alebo ma stretli raz za zivot) je cesta do pekla. Podpisanie mobilom chcem pouzivat pri komunikacii s bankou, poistovnou, zdravotkou, socialkou, pri registracii alebo prepise auta, s daniarmi, pri zapise do registra. Proste to, co ludia bezne robia a robia to casto. To je to, co ludia realne potrebuju. Tam je este aj to RC vlastne skoro v poriadku, aj tak si ho po mne vzdy niekto aspon v obmedzenej miere pyta. Aj ked to je to vlastne zlo.
Certifikaciu telefonov asi neda nikto na lokalnej urovni. Mozno EU. Ale to je na dlho. Technicky to nie je problem telefonov, telefony dnes uz dokazu vo svojej security enclave generovat a bezpecne uchovat kluce pouzitelne pre elektronicky podpis. V pripade jablckovych telefonov je to sice vylucne eliptika, ale to by nebol problem. Maju na to extra cipy a su bezpecne. Len ich zial nikto necertifikoval ako QSCD, aspon v EU nie. Telefony su navyse prilis rychloobratkovy tovar, cize by to znamenalo certifikovat casto a vela roznych zariadeni. Takze tade cesta asi nevedie. Ale obcas to chce podpis. Tak sa skusme pozriet na to z pohladu, co by sa urobit dalo a este stale by to dosahovalo dostatocnu mieru bezpecnosti a pohodlia zaroven.
Uprimne, ak mam dokument v mobile, alebo aj na PC, ale viem/vedel by som ho podpisat jednoducho pomocou mobilu, ktory mam pri sebe a pod kontrolou, budem stastny. Nepotrebujem citacku, vytahovat eID, instalovat SW a ovladace k citacke, riesit problemy a kontaktovat podporu. Ludia to chcu podpisat.
Tak ako sa podpisovali aj v ere pred eGovom. Jednoducho. Vtedy im na to stacilo pero a obcas ale naozaj len obcas navsteva notara. Dnes by mohol stacit mobil. Aspon tam, kde predtym uradnikovi stacilo aj pero a nepotreboval stempel od notara.
2 Likes
Zo studie SVM vyberam:
Nasadené služby:
informovaný súhlas
potvrdenie prítomnosti pacienta
splnomocnenie pre výber liekov
ePN - zadanie adresy a čísla účtu
Zase uplne pripeceni tam nie su a vyberaju si tie naozaj masove pripady.
Nie je to na debatu. Autorizácia elektronických podaní voči verejnej správe sa riadi §23 z.305/2013, zmeniť by konkrétne bolo treba ods.1.
Len veľmi stručná reakcia: áno, podpisy založené na PKI (to je KEP aj AdES) majú stále svoje muchy, dlhodobo známe. Napr. táto vec s RČ. Napr. zložité používanie podpisovacieho SW. Kde/kto to (verejná správa) rieši?
Ináč poznám viacerých ľudí, pre ktorých práve prítomnosť RČ v certifikáte, t.j. v každom podpise, je jeden z vážnych dôvodov, pre ktorý KEP nepoužívajú.
Pardón. Skrátka ma tieto nekonkrétne apokalyptické varovania rozčuľujú.
Robím si zbierku problémov, ktoré sú prekážkou pre auth. klikom. Prosím teda konkrétne.
No, už sa to jednoduché riešenie “iba povoľme AdES” komplikuje, však?
Pozor, SvM nie je o “podpisovaní v mobile” vôbec.
Preto hovoríme, že sa pre eGov služby má spraviť responzívny web, ktorý je použiteľný na PC, aj mobile.
Pre komunikáciu s bankou, poisťovňou nech sa páči ľubovoľné komerčné aplikácie. Prečo by sa aj tí, čo banke “podpisovať mobilom” nechcú, mali skladať na toto riešenie? (napr. ja komunikujem bežne s dvoma bankami a podpisovanie v mobile som zatiaľ ani raz nepotreboval)
Pre komunikáciu so sociálkou, pri reg. alebo prepise auta, s daniarmi, pri zápise do registra (všade tam, kde stačí v listinnom podaní vlastnoručný podpis) som rád, že aj vďaka SvM sa bude dať pre používateľa super-jednoducho robiť autorizácia klikom, pomocou mobilu.
Hlavný bezpečnostný problém mobilov nie je “slabý čip” na teoreticky pekné QSCD. Hlavný problém bezpečnosti mobilov je ich slabá ochrana používateľmi = častá kompromitácia. V takomto nastavení hovoriť že “KEP v mobile” vyrieši všetko je … bezškrupulózne prehodenie zodpovednosti za všetko na používateľov.
1 Like