Podpísanie PDF dokumentu elektronickým podpisom (občiansky preukaz / eID)


#1

Dobrý deň,

rád by som sa informoval, ako urobiť z môjho pohľadu základnú vec. Podpísať PDF dokument elektronickým podpisom s využitím občianskeho preukazu / eID tak, aby výstupom bol PDF dokument s “odtlačkom” elektronického podpisu, resp. s informáciou, že PDF dokument bol podpísaný elektronickým podpisom + čas podpisu.

Na slovensko.sk sa nachádzajú rôzne veci, ale žiaľ takáto z môjho pohľadu základná informácia sa tam žiaľ nenechádza. Veď sa jedná o základný use case - vystavím napríklad faktúru v PDF, potrebujem ju elektronicky podpísať a poslať zákazníkovi.

Našiel som cez Google, že Ditec ponúka službu PDF signer za poplatok cca 20€­ za rok. Výstupom však je súbor vo formáte XZEP? Ale však formát XZEP nepozná asi 99% ľudí a ani nevie, že ako to má otvoriť. Vyžaduje sa aplikácie D.viewer?

Prosím Vás, existuje niekde po lopate postup ako to urobiť? Neviem, či ja som úplne negramotný, čo sa týka digitálneho podpisu, ale príde mi to ako úplná pakáreň, že človek sa nikde na webe slovensko.sk, ani nikde inde nevie dopátrať k takejto podľa mňa základnej veci.

Ľuboš


#2

A ešte jedna otázka. Chcem poslať e-mail z MS Outlook z môjho konta a digitálne ten e-mail podpísať s využitím eID a elektronického podpisu. Ako to urobiť? Či digitálny podpis sa dá dať len na súbor v prílohe a nie na samotný e-mail?


#3

Otvor si bezplatny acrobat reader DC a v ňom môžeš podpisovať vizualizovaným elektronickým podpisom PAdES. Je to položka autorizovať certifikátom.

Podrobný návod: https://helpx.adobe.com/sk/acrobat/using/certificate-based-signatures.html#create_the_appearance_of_a_certificate_based_signature

Musíš mať ale nainštalovaného eID klienta.

Iné riešenie je podpisovať neviditeľným elektronickym podpisom cez zep.disig.sk


#4

Alebo aj viditelnym cez Podpisuj.sk.


#5

Na podpisovanie emailovych sprav v MS Outlook s pouzitim certifikatov z eID mozes kludne zabudnut. Ziadny z certifikatov na eID totiz neobsahuje Tvoju e-mailovu adresu, co je nevyhnutne k tomu, aby si vedel podpisa samotny e-mail. Ostava Ti len ta druha moznost, vlozit do e-maliovej spravy ako prilohu podpisany dokument.


#6

Mohli by ste dať https aj na podpisuj.sk nie len na portal.podpisuj.sk.
Je tento podpisovač certifikovaný napr. NBÚ ? Spĺňa požiadavky, napr. vizualizuje eFormulár pred podpisom aby som videl čo podpisujem ?


#7

V uvodnom recitali regulacie eIDAS článok (56) sa hovorí, že certifikovať sa majú len zariadenia a systémové súčasti, nie aplikácie vytvárajúce podpis. Slovenská legislatíva toto “vzala v potaz” až v poslednej aktualizácii výnosu 55/2014 v marci 2018 a túto povinnosť už pre OVM zrušila. Takže súčasný legislatívny stav je taký, že pre žiaden OVM, ani súkromníka sa certifikácia aplikácie na podpisovanie už nevyžaduje. Môžem len dodať že konečne. Tie certifikácie sa na dobrovoľnej báze naďalej robia, ale podľa mňa to má iba mätúci účinok. Alebo to bol cieľ ? Ľudia majú stále v hlavách povinnosť používať “certifikované” aplikácie. Na jeseň sme sa bližšie cez infožiadosti na NBU pozreli na to ako to stou certifikaciou vyzera.
OVM síce už nemá povinnosť používať certifikované aplikácie ale má povinnosť si SAMA skontrolovať v tzv Deklaráciách, či nimi používané aplikácie a podateľne vedia VALIDOVAŤ všetky eIDAS formáty a podpisovať minimálne jeden. Je to kapitola 2.1 v Deklarácii. Tu sa o tom hovorí. Keď si ale pozriete evidnciu aplikácií na NBU, a na jednotlivé Deklarácie výrobcov, zistíte medzi certifikovanými aplikáciami aj také, ktoré vedia iba XAdES podpis a validovať nevedia nič. Keď sme sa na to NBU v infožiafosti pýtali, že čo teda ten certifikát znamená, tak len potvrdzuje ze ten XAdES podpísať vieš správne. Daný Certifikát, v skutocnosti nie je cerifikatom, ale nejakým Uradnym Rozhodnutim podla zakona o spravnom konani z roku 1967 (mame vyjadrenie NBU z Infoziadosti). Takže ten “certifikat” nehovorí, že je to tá pravá aplikácia, ktorú môžeš používať a budeš v suchu… Furt ako orgán VM máš povinnosť si skontrolovať deklaráciu vyrobcu, a keď niečo chýba, máš si dokúpiť a dointegrovať ďalšie podateľne/podpisovátka. Našu (podpisuj.sk) deklaráciu tam nájdete tiež a uvidíte že deklarujeme, že my vieme podpísať 2 zo 4 eIDAS formátov a validovať všetky. Knižnice ktoré Podpisuj.sk používa sú centrálne vyvíjané v Bruseli ako referenčný eIDAS projekt Európskej Únie (a také niečo ešte zvlášť certifikovať v SVK mi príde nezmyselné). Inak Vykonávací predpis 1506 k eIDAS definuje ozajstné certifikácie pre eIDAS, ktoré sa robia na 2 roky a platia V CELEJ EUROPE, nie iba na Slovensku, avšak tieto certifikácie NBU požaduje iba pre kvalifikované doveryhodne služby. Podpisovanie nie je v zozname doveryhodnych služieb, preto nemoze byt ani kvalifikovanou sluzbou a Overovanie podpisu na kvalifikovanej urovni pokial viem u nas nik nerobi, aj ked v europskom trusted liste je zapisany Disig. Tam sa teda necertifikuje produkt, ale poskytovatel. Sorry @janprochaska :slight_smile: musel som … Dufam ze som na nic nezabudol …


#8

Oki. Ja som sa snažil zachytiť môj prvý dojem prístupu na stránku podpisuj.sk ako človek, čo o podpisovaní toho veľa nevie. Chem si byť istý, že aplikácia ktorú používam je dôveryhodná. Na vašom mieste by som upravil prezentáciu dôveryhodnosti vašej aplikácie, napr. http, https (som na verejnej wifine a otvorím si vašu stránku, útočník podvrhne miesto odkazu na vaše jnlp odkaz niekam inam, bežný user si to nevšimne). Už som si prečítal FAQ, kde som našiel túto textáciu, čo je super, bolo by fajn, keby ste to mali hneď na úvodnej stránke nejaké že je to OK proste “virus free placebo obrázok” :smiley: .

S tou vizualizáciou to máte ako vyriešené ? či to sa blbosť pýtam ?

** Ospravedlňujem sa za odbočenie od hlavnej diskusie, k podpisovaniu asi je to trošku OT, aj keď sa dozvedáme isté skutočnosti o tom ako fungujú podpisovače, čo môže byť fajn vedieť :slight_smile:


#9

hej, tu mame “rest”, aj ked to nie je kriticke, dufam, ze to v kratkom case prestavime na https.

samotna aplikacia je podpisana, zatial mam skusenost, ze ludia citaju, od koho si co instaluju, ale ano, vzdy je tu aj skupina pouzivatelov, ktora je bud nepozorna, alebo nema povedomie o bezpecnosti, tam je to zlozite(jsie).

tak, ze ak ide o casto pouzivany formular, kde napr. UPVS publikovalo vizualizacne schemy (standardne e-formulare toto maju), tak aplikacia ponukne moznost zobrazenia (vizualizacie) do HTML a/alebo PDF.


#10

za prvy aj dalsi dojem dakujem :slight_smile: . Su to cenne informacie.


#11

Ďakujem za tip a navod, nevedel som, ze podpisanie pdf acrobat readrom je podporovane a take jednoduche.
kto akceptuje takto podpisane pdf?


#12

Celá EÚ akceptuje dokumenty elektronicky podpisané Acrobatom


#13

Acrobat vie podla eIDAS podpisat jeden PDF subor. Nevie ho vsak spravne overit. Aj ked tam dava znak kvalifikovanje sluzby, tento statut nema, a aj testy ukazali ze overuje zle.
Podla eIDAS vsade kde nemate predpisany format, musia akceptovat eIDAS formaty a PAdES nim je .


#14

Ked sa nastavi, aj overuje spravne.

Podstatne je, ze vklada vizualizovany podpis, podpisjue v sulade s eIDAS a dokument overia napriec europou (operabilita takehoto edokumentu napriec EU je zaricena)

Pri tych .ascie .zepx a .xzep formatoch ktore nikto na svete nepouziva okrem SR je operabilita nulova


#15

len pre poriadok: ASiC-E je medzinarodny standard.

A k validaciam, skutcne sa nie je mozne spoliehat na overenie v acrobate. To overenie je zlozita ve, kde sa musia kontrolovat pritomnosti zapisov v Trusted Liste EU, k datumom, a spusty dalsich atributov podpisu. Sami sme si to otestovali ze Acrobat oznacil za kvalifikovany podpis aj taky co nim nebol. A to su uz pravne ukony ako autorizacia … kde si advokat berie na seba zodpovednost za pravdivost overenia …


#16

Asice je sice medzinarodny standard ale nie je tak rozsireny ako PDF PAdES, ktory ke priemyselnym standardom pre elektronicke dokumenty urcene pre ludi napr. Rozhodnutia uradov a pod.

Podpisane Pdf poslem kdekolvek na svete a kdekolvek na svete overia platnost podpisu.

Poslem asice amju s tym problem, lebo nikde nemaju prislusnu aplikaciu na overenie resp jej instalacia je komplikovana.

Mimochodom sudy este stale veselo podpisjuju rozhodnutia nepodporovanym zepxom

Odhaduje sa, ze je podpisanych okolo 10 mil dokumentov v tomto formate. O zabavu bude este postarane


#17

Mozno mi pomozes skor ako NBU s dedukciou.
Ak mi niekto donesie rozsudok z novembra 2018 vo formate XZEP na zarucenu konverziu, my do dolozky nedovolime vpisat autorizaciu. Ze preco:

  1. elektornicky rozsudok ma byt Elektronickym uradnym Dokumentom (EUD).

  2. Podla 305/2013, Par. 23, odsek 1, maju byt EUD autorizovane VYHRADNE kvalifikovanym e. podpisom, alebo kvalifokovanou pečaťou

  3. podľa vyjadrenia NBU aj na stranke slovensko.sk, aj v analýzach na svojom webe, aj v prezentáciách je XZEP NESULADNY s eIDAS.

  4. Pojem Kvalifikovaného el. podpisu a pečate sa definuje práve v eIDAS.

  5. Preto format podpisu, ktorý je nesuladny s eIDAS nemoze obsahovat kvalifikovany el. podpis, alebo pecat (nehovoriac ze nesplna ani vynos o standardoch)

  6. Ak EUD neobsahuje Kval. el. podpis, nemoze byt ani autorizovany

A preto my povazujeme takyto dokument za neautorizovany a ani do Osvedcovacej dolozky nedovolíme zapísať údaje z pouzitého certifikátu sudcu, ci sudnej kancelarie … Mozno to nerobime spravne… neviem, ale sme technici, nie pravnici a takto nam vysiel vyklad suvislosti v zakonoch a inych dokumentoch.


#18

Lenze overovace na strane nases, ktory ma de facto monopol, taketo uradne dokumenty overia ako platne a teda pouzitelne na pravne ucely hoci su nesuladne s eidasom

A tak urady veselo dalej autorizuju vo formatoch ktore su v rozpore s eidasom

Pokial bude existovat jeden overovac, ktory overi xzep a zepx ako platny, tak urady budu generovat dalej. A nases si nedovoli neoverovat zepx a xzep lebo by sa prevalilo ze tych uradnych dokumentov nespravne podpisanych je prilis vela.

Zacarovany kruh tvorcov xzep a zepx a asice formatu

Je to tiez jeden z prikladov ako sa da svojvolne manipulovat na centralnej urovni s platnostou uradnych dokumentov, co je tiez same o sebe bezpecnostne riziko.

Uradny Dokument nesuladny s eidas by nemal byt vyhodnoteny ako platny. Vnutrostatnou upravou sa nedalo natiahnut prechodne obdobie nariadenia eidas. Pravomoc definivat kvalifikovany podpis/certifikaty atd je v rukach EU, od ucinnosti eidas. Prechodne obeobie sa vztahovalo len na vydane certifikaty do ucinnosti eidas. Napriklad kvalifikovane pecate museli byt suladne s nariadenim od prveho dna ucinnosti, tam nebol ziadny prechodak. Su to miliony dokumentov, ktore nie su suladne s eidasom a veselo sa autorizuje dalej.


#19

Skor si myslim, ze je to problem statu, ze si to nevie ustriehnut. To by chcelo nemale usilie, poriadne to skoordinovat. A stat zlyhava aj pri ovela jednoduchsich ulohach… :cry:


#20

Myslim ze v ioblasti konverzie stat nemal vycuvat. Tento softver by na rozdiel od podpisovacov mal byt certifikovany a postup presne stanoveny. Lebo takto sa da prislusna vyhlaska aplikovat rozne a jej vyklad si robia vytrobcovia softveru rozne.
Toto je konkretny problem co by mal byt tiez presne vymedzeny a overeny nejakou akreditovanou osobou.
Napr. uvedenim eIDAS nedoslo automaticky k zruseniu platnosti dovtedy pouzitych zarucenych podpisov. Vo vacsine zakonov je zmena iba taka ze od platnosti eIDAS sa nevyzaduje ZEP ale KEP. Novely zakonov nezneplatnili povodne podpisy len konstatuju ze od eIDAS sa vyzaduje KEP. Takze z pohladu tychto zakonov je rozhodnutie podpisane ZEPom ktoremu neskoncila platnost certifikatu alebo bola platnost podpisu riadne predlzena rovnako platny ako KEP na novych rozhodnutiach.
Neviem mozno to tak je ale ak by sa takyto dokument podpisany ZEPom povazoval za neautorizovany, uz nikdy by sa nedala urobit konverzia ani na papier ani do nejakeho novseieho elektronickeho formatu. A pritom uzivatel by si ho riadne udrziaval v platnosti ved nijaku inu “vadu” nema len to ze bol vyhotoveny v case platnosti nasej legislativy.
Z tohoto a podobnych dovodov sa mi zda ze stat mal trochu viac regulovat aplikacie na zarucenu konverziu. Lebo takto si vyrobcovia musia zhanat informacie roznym sposobom napr. cez kladenie otazok uradom, ale to nikdy nezaruci uplne postihnutie vsetkych poziadaviek ani obmedzeni ktore su u softveru tohoto typu potrebne. Dnes skonvertovany dokument bude platit aj za 100 rokov a to by nemalo byt nechane len na tom ak akym informaciam sa svojou “detektivnou pracou” vyrobca dopracoval. Vyhlaska je pre pravnikov ale vyvoj softveru pozaduje aj ine presne informacie.