Podpisovanie cez mobilne riesenie DCOM

Rozlisujem dve roviny diskusie.

Ta prva je v samostatnom vlakne o autorizacii klikom aj so sumarom, kde je ten strasiak resp. preco nepovazujem sucasne dve metody elektronickej autorizacie (kep a klik) za rovnocenne a klik nie celkom vhodny pre rovnaky pravny ucinok vlastnorucneho podpisu.

Druha (tato) je v suvislosti s konkretnym prvym riesenim (alebo skor pokusom) realizacie vagneho kliku. A toto je teraz ten dolezity moment: ak sa v dovodovej sprave uviedlo, ze to nema mat nic spolocne s elektronickym podpisovanim a pritom sa tento koncept v tomto pripade s najvyssou pravdepodobnostou pouzil a nejedna sa o funkciu vylucne pristupoveho miesta, tak je to porusenie zakona resp. nesplnenia poziadaviek a ciela zavedeneho institutu na zaklade dovodovej spravy k novele zakona (to by malo byt pismo sväte) a v skutocnosti sa prepasovala ina uroven podpisovania (AdES kamuflovany ako klik), ktory nie je vobec rozpoznanym a uznavanym sposob autorizacie. Preto by nemal byt pouzivany v eGov vobec, riesenie by malo by byt pozastavene a uvedene vhodnou upravou do suladu - je to popretie principov autorizacie klikom. Zaroven v tomto rieseni je suvis s eidas v rovine, ze inetrakcia je za ucelom autentifikacie a zaroven autorizacie s vyuzitim podpisovania resp. sa lubovolne vzajomne zamienaju a pouzivaju ten isty mechanizmus/prvok. Teda ten zakladny rozdiel pri zavadzani nariadenia oproti zrusenej smernici - podpisovanie vylucne pre podpisovanie ako prejav suhlasu f.o. - nie pre autentifikaciu je poruseny. A cele toto len podciarkuje potrebu jednotneho sposobu vyhodnocovania schemy a pripadne naplnenia definicie kliku a to este jeho pred zavedenim. Nie po spusteni diskutovat, co to vlastne robi a ako to funguje.
Inymi slovami, bud sa platne zakony principialne dodrziavaju a vyzadovanie suladu s nimi (poziadavkami z nich plynucimi) je konzistentne, alebo tu mozeme cakat autorizaciu klikom na N sposobov, raz s pecatou, ine s podpisom, ine uplne bez atd a vsetky sa budu tvarit, ze ved je to klik… A to rovno mozeme autorizovat ako sa komu zachce - zakon je len bezcenna bizuteria. To by dme nemali chciet, pretoze miesto zlepsenia digitalnej interakcie ju degradujeme.

Ano, okrem vasho pohladu a sumaru su tam aj dost jasne argumenty preco sa to porovnavat takto nemoze (oboje sluzi na ine ucely) a nie je medzi nimi ekvivalencia, cize aj naroky na bezpecnost mozu byt uplne ine. Namatkovo: KEP sluzi nielen na uradnu komunikaciu v ramci SR.

Toto chce naozaj velku davku kreativity si to vysvetlit tak, ze tam ziadny podpis byt nesmie. Ja to citam tak, ze v dovodovej sprave sa celkom jasne uviedlo, ze to je bez nutnosti pouzit podpis a z kontextu je uplne zrejme, ze sa jedna o bezny el. podpis v obcianskom preukaze (t.j. KEP na cipovej karte ako ho pozname). Ide o autorizaciu kliknutim, cize ak je realizovane trebars aj cez nejaky podivny prorietarny “AdES”, je to nezaujimave.

Mozno by sme mali vyslovne hovorit iba o podaniach kde sa nevyzaduje autorizacia KEPom.

Preco tu stale do toho motame ten KEP? Ide o autorizaciu klikom, cize hovorime o podaniach, ktore sa mozu autorizovat klikom.

Cize napriklad podavam Vseobecne podanie na nejaky urad a nebudem ho podpisovat KEPom.

Vyborny priklad, tak schvalne: Co by sa stalo keby sme hned zajtra (alebo radsej pozajtra, ved je vela hodin) povedali, ze vsetky podania cez vseobecnu agendu na UPVS netreba podpisovat a bude to ekvivalent vlastnorucneho podpisu prihlaseneho pouzivatela? Pre istotu, explicitne dodavam, ze toto ani omylom neznamena, ze toto kliknutie povysujeme na KEP podla eIDAS.

Je na velku skodu veci, ze dovodove spravy sa po prijati zakonov uz nestuduju. Nie je to iba v tomto pripade. Potom sa stane presne toto ze niekto si precita znenie zakona (niekedy ani to nie) a vysvetli si to po svojom a nezaujima ho ze tym zakonom niekto chcel nejaky stav dosiahnut. To co predkladatel zakona tym zakonom sledoval “uz neni podstatne”.
Preto by mal aspon nejaky odbornik toho kto tu cast zakona spracovaval byt pritomny pri takychto rozhodnutiach.

No a toto je predpoklad toho ze raz sa moze cosi velmi neprijemne prihodit.

Myslim, ze priamo tu na fore mame autora celej myslienky autorizacie kliknutim a teda akekolvek pochybnosti o cieli, ktory sa tym sledoval mozeme velmi jednoducho vyvratit.

tak toto si neviem predstavit, zeby sa pri sudnom spore citala dovodova sprava kzákonu. Cituju sa len zakony a vyhlasky.Je predsa na zakonodarcoch aby veci formulovali a schválili tak, ako bol pôvodný zámer. Ak sa zámer nedá dodržať, autor to sťahuje z parlamentu … viď posledný pokus o zmenu stavebného zákona.

Toto povedat nemozeme to by sme strasne prehnali.
Ale mozeme jednoducho povedat ze nepotrebujeme autorizovat podanie pomocou KEP a je to vybavene a bez akychkolvek diskusii.
A to je u vacsiny podani postacujuce.
Ak staci klik tak staci a Hotovo - neprirovnavajme to k vlastnorucnemu podpisu a neni co riesit.

Prosim rozvin toto tvoje tvrdenie na dlhsiu uvahu, preco si to myslis. Idealne nejaky priklad, ze co by sa stalo keby to tak bolo, co by hrozilo.

Presne to hovorim. Autorizuje sa klikom, uz neviem ako to mam povedat. KEP s tymto nema nic.

Vsak to je na skodu veci. Lebo znenie zakona je jedna vec ja si ho vysvetlujem po svojom a povedzme sudca si ho tiez nejak vysvetluje po svojom. Ale dobre by sa bolo kedze clovek nema tu schopnost mat v hlave vsetko kuknut obcas do dovodovej spravy co predkladatel zakona tym znenim paragrafu chcel vlastne docielit - dost by mu to napovedalo najma v oblasti ktoru nema uplne v malicku.

Nepodari sa mi to. Lebo mam na to iny pohlad. Ja nechcem aby sa cokolvek povazovalo za MOJ vlastnorucny podpis - uz mi vadi to ze eIDAS, ktory je zakonom nad nasimi slovenskymi zakonmi stanovil ze moj vlastnorucny podpis je KEP. Doteraz sa bez mojej vole vlastnorucne podpisat nedalo. Teraz ked mas moj eID a poznas moj pin tak aj bez mojej vole vyrobis moj vlastnorucny podpis. Mam aj ine vyhrady k aplikacii tohto podpisu v praxi (dovera v podpisovaciu aplikaciu), pisal som o nich v inom vlakne.
Cize ja ako clovek nechcem aby vznikali dalsie taketo funkcionality ktore sa budu povazovat za MOJ vlastnorucny podpis.
Inak to vysvetlit neviem.
Ak na 90 percent podani staci poslat klikom som tomu rad, ale klik nie je a nebol moj vlastnorucny podpis. Bol to prejav suhlasu, potvrdenia alebo akokolvek inak to nazvyme len nie vlastnorucny podpis.

Ak niekto chce moj vlastnorucny podpis mal by mat na to dovod napr. v danom zakone bude uvedene ze ziadost sa podpise vlastnorucnym podpisom. Alebo ma OVM iny dovod napriklad nutnost preukazat jednoznacne kto podpisal a co presne podpisal. Vtedy mi to nevadi lebo viem ze je to potrebne a inak to nejde dokazat jednoduchsim sposobom.

Je to priepastny rozdiel ak sa spomina elektronicke podpisovanie resp. elektronicky podpis a kvalifikovany elektronicky podpis. To akoze sa ideme lacno vyhovarat, ze p. Illek tym udsjne myslel KEP len to akosi neuviedol do dovodovej spravy? To je snad zly zart. Z uvedeho explicitneho textu dovodovej spravy (vyseie vo vlakne) je mne uplne zrejme, na rodiel od toho co vy vnumate “uplne zrejme” z kontextu, ze sa hovoribo elektronickom podpise. A k tej casti v zmydle “ved keby to aj bol AdES” tak je nad slnko jasne, ze AdES nie je funkciou pristupoveho miesta.

Tuto vykladovu flexibilitu povazujem za velmi zly signal a skodi doveryhodnosti s.d. a eGovernmentu ako takemu. Rozhodne by mala byt tato vlastnost vzata v buducnosti do uvahy. A tym vlastne klik stratil akukolvek hodnotu ak sme demaskovsli ze je to vlastne cokolvek. Dufam, ze si toto precita co najviac OVM, aby bolo zrejme aka je uroven pravnej istoty tohto defektu.

Myslim ze preto by sa malo ujasnit co je vlastne autorizacia klikom, ake ma mat presne parametre, lebo potom budeme svedkami prave takychto rieseni kde autor bude tvrdit ze je to autorizacia klikom raz s podpisom koli integrite, raz bez. Ak sa ma pouzivat na UPVS potom vsetci rovnako, nie aby si kazdy dodavatel vysvetlil tento pojem po svojom.

1. Neviem ci tu dovodovu spravu vobec Lubor pisal. Skor si myslim, ze nie.
2. Debata o tom ci kvalifikovany alebo nie je uplne mimo. Ale skusim este raz a pomaly, lebo mam pocit, ze tu je (opat) nejaky zasadny problem s chapanim logickych operatorov a vlastne aj slov ako takych. V dovodovej sprave sa hovori toto:

K bodom 36 až 38 (§ 23)
Zmeny v ustanoveniach o autorizácii sú dvojakého charakteru. Hlavnou zmenou je možnosť autorizovať podanie („podpisovať“) aj s použitím funkcionality prístupového miesta, bez nutnosti využiť elektronický podpis. Ide o spôsob, ktorý sa dnes používa napríklad na potvrdzovanie prijatia správ v elektronickej schránke a rozširuje sa aj v osobitných konaniach ako alternatíva k „bežnému podpisovaniu“.

Co myslite, ze bolo v tom case beznym podpisovanim? Ako sa podpisovali ukony na pristupovych miestach? Nejake napady? Ved jasne, ze KEP. Co ine sa vtedy pouzivalo ako bezne podpisovanie?

Vzhľadom na to, že identita osoby je v danom prípade preukázaná prostredníctvom autentifikátora (dnes najmä občianskeho preukazu) a nie je sporná, je predpoklad, že takýto spôsob autorizácie sprístupní využívanie elektronických služieb aj pre osoby, ktoré z rôznych dôvodov nedisponujú elektronickým podpisom. Navyše, touto zmenou sa dosiahne aj to, že postačí aj občiansky preukaz s elektronickým čipom a osoba bude môcť cez ústredný portál verejnej správy využívať elektronické služby v plnom rozsahu, bez potreby obstarávania ďalších technických, či programových prostriedkov.

Cize cielom bolo uplne zrejme to, ze treba odstranit nutnost pouzivat nejaky dalsi divny podpisovac a celu tu bizuteriu okolo. Vtedy bol podpisovac myslim dokonca este distribuovany ako samostatna aplikacia. Dodnes je ten kus softu vsak uplne rovnaka hanba z pohladu pouzitelnosti. Druhy dovod bolo to, ze KEPov bolo vydanych zufalo malo, vzdialene sa spravit nedali.

Dalej v sprave je aj toto (v posudeni vplyvov)

Návrh prezentuje zjednodušenie využívania elektronických služieb poskytovaných orgánmi verejnej moci, vrátane vykonania autorizácie elektronického podania fyzickou osobou autentifikáciou, pre ktorú je nevyhnutný „autentifikátor,“ resp. najmä občiansky preukaz, bez potreby obstarávania ďalších technických či programových prostriedkov, ktoré sú neoddeliteľne späté so zaručeným, resp. kvalifikovaným elektronickým podpisom či kvalifikovanou elektronickou pečaťou v zmysle bodu 30. návrhu.

Cely navrh sa toci o tom, ze pouzivanie podpisovacov bolo v tej dobe tazkopadne a ocividne pre mnoho ukonov aj zbytocne (vid priklady v dovodovej sprave). Debata o tom ci to bol kvalifikovany alebo iny el. podpis je jasna, ale z pohladu navrhu zakona hlavne absolutne nepodstatna. Problem (resp. zbytocny kus) bol podpisovac a dalsie technicke a programove prostriedky s nim spate.

Nie je to cokolvek. Musi to splnat to, co je explicitne vymenovane v zakone. Ak niekto potrebuje usmernenie ako to urobit na svojom pristupovom mieste, tak nech sa urobi technicky standard, ale snad necakame, ze takato specifikacia bude v zakone ci dovodovej sprave.

Riesenie DCOM vnimam primarne ako autentifikator (nie podpisovac), otazne je, ci je urovne pokrocila (najma ta prvotna biometria). Autorizacia je podla vsetkeho urobena cez autorizaciu kliknutim.

Preco? To co je v zakone je malo?

UPVS je pristupove miesto, nikto netvrdi, ze sa nevyhnutne musi pouzivat len to. Zakon hovori o vsetkych pristupovych miestach. Kazde si to moze spravit ako len chce, ak splni zakon je to predsa uplne v poriadku. Ak vie nahodou zakon naplnit nejakymi inymi opatreniami ako ine pristupove miesto, kde s tym mame problem?

Tu si davas odpoved:

Ano ma to byt oficialne zverejnena dokumentacia a rozhranie na ktore sa integrujeme a cez ktore to budeme vykonavat.

Vonku nech si kazdy robi co chce ale do vnutra upvs sa moze dostat len pomocou riadne dokumentovaneho rozhrania tam by nemalo zalezat na tom ci sa on rozhodne tam nieco pridat alebo ubrat. Tam by malo platit bud komunikuje v sulade s dokumentaciou alebo komunikacia zhavaruje.

Asi prestavam rozumiet. Chceme Open API na takuto autorizaciu kliknutim? Ja som urcite za, dokonca to bola jedna z nasich poziadaviek.

Co je to vonku? Pevne verim, ze toto riesenie je normalne zdokumentovane ako kazdy iny IS. Je tak @kyselat?

1. nikto nehovoril, aby bol koncept z technického hľadiska opísaný v zákone alebo v dôvodovej správe, avšak v tomto momente je iba dôvodová správa zrejme jediným vodítkom. Koľko bolo príležitostí za tie tri/dva (?) roky definovať, čo to vlastne je (napríklad vo vyhláške)? A vôbec dávať do zákona vágny inštitút?
2. Ak sa používa v tomto riešení akýkoľvek elektronický podpis (koncept postavený na výlučnej kontrole kryptografického kľúča jeho pôvodcom/podpisovateľom) - ide o funkciu informačného systému prístupového miesta a jej použitie? Nejaké nápady? Jasné, že nie. Som zvedavý, ako prípadná dokumentácia (ak vôbec obsahuje akúkoľvek funkcionalitu prístupového miesta pre tento účel) toto bude opisovať. Ak teda nie je naplnená litera zákona o inštitúte autorizácie klikom, je nekonformná a malo by sa bezodkladne opustiť od jej používania.

Každopádne všetky tieto otázky mali byť vyriešené pred - nie po - zavedení akéhokoľvek riešenia v kontexte e-Governmentu. A v rámci teraz už známej voľnosti vôbec nemala byť ustanovená pre úroveň právneho účinku vlastnoručného podpisu.

Ok otvorene api ale zdokumentovane a bezpecne.
Nie ze z jednej strany vytvaram nepriepustnu stenu (integrovany subjekt musi pouzit specialnu vpn apod. a z druhej strany sa staci odotografovat podla pokynov)

mozna otazky z cesty, kedze to z videi co som videl sa neda poznat:
Pomocou akych funkcii je naintegrovane to mobilne zariadenie? Su niekde popisane?
Ak sa po prihlaseni do tohoto mobilu dostanem priamo do svojej schranky (co by som pri zverejnenom sposobe aktivacie povazoval sa dost nestastne) potom sa pytam ktore rozhranie mozem pouzit aj ja aby som sa takto dostal napriklad s tabletom s mojou aplikaciou do svojej schranky?
Ak sa mobilna aplikacia nedostane az do mojej schranky a iba sluzi na posielanie podani, potom zase sa pytam ci existuje a je popisane rozhranie ktore plnohodnotne zabezpeci plnohodnotne odosielanie podani fyzickych osob tretou stranou. (tj. nielen odoslanie ale aj vlozenie toho co som odoslal z mobilu do zlozky Odoslane)

No veď to, že či je úrovne pokročilá:
Úrovne zabezpečenia schém elektronickej identifikácie
b) úroveň zabezpečenia „pokročilá“ sa vzťahuje na prostriedok elektronickej identifikácie v kontexte schémy elektronickej
identifikácie, ktorý poskytuje pokročilý stupeň dôveryhodnosti, pokiaľ ide o údajnú alebo uvádzanú totožnosť osoby,
a je charakterizovaný odkazom na technické špecifikácie, normy a postupy vrátane technických kontrol, ktoré s ním
súvisia a ktorých účelom je podstatne znížiť riziko zneužitia alebo pozmenenia totožnosti;

Podľa toho CSIRT stanoviska to tak, žiaľ, nevyzerá, že áno.

No, priznám sa, že túto diskusiu mám už problém aj čítať. Takže iba zopár poznámok:

• Ja nie som žiadny “autor” časti zákona o autorizácii použitím funkcie IS. Jednak sa používa odjakživa, dávno pred jej systematizovaním v z.305/2013, dvak novelu písalo ÚPVII, S.D iba dávalo pripomienky, ktoré sú aj tu dohladateľné na platforme (a teda že by ÚPVII nejako veľmi “išlo po ruke” S.D je fakt srandovná predstava). Áno, som presvedčený že KEP je v SR de-facto zlyhaná technológia, na absolútnu väčšinu podaní stačí niečo podstatne menej zložité/ bezpečné, aby to bolo systematicky ošetrené som sa dlhšie snažil, a tak ako je to v zákone teraz to považujem za dobré riešenie. Poďme to implementovať (všade kde sa dá) a uvidíme reálne problémy ktoré bude treba riešiť, za posledných 15 rokov ich KEP mal neúrekom.

• Pri autorizácii použitím funkcie IS od začiatku neišlo o ďalší typ elektronického podpisu a všetkým to bolo a je úplne jasné. Naopak, v zákone sú (správne) uvedené vlastnosti, ktoré to má spĺňať, zvolená technológia implementácie nie je predpísaná. Nezachytil som doteraz žiadnu “výkladovú flexibilitu” a ani tu som nenašiel žiadne faktické argumenty spochybňujúce význam znenia zákona.

• Opakovaním vymyslených konštrukcií chce autor dosiahnuť asi iba zmätok u menej informovaných, alebo čo? Viď. napr. “nepovažujem KEP a klik za rovnocenné” - ani ja, ale nič z toho nevyplýva.

• Pojem “elektronický podpis” má viaceré významy, ako už to pri exponovaných pojmoch býva (povedzme “informačný systém” je definovaný tuším v 3 zákonoch, dosť odlišne - a je to v poriadku). Treba dobre rozlišovať medzi EP v zmysle zákona - ten má význam striktne vymedzený legislatívou a EP ako algoritmus/technický koncept. A ešte sa pojem “elektronický podpis” niekedy používa aj ako všeobecné pomenovanie pre autorizáciu osobou v el. svete. V angličtine porovnaj electronic signature - digital signature, akurát u nás sa “digitálny podpis” neujal, aj keď pamätníci tvorby zákona č.215/2002 by vedeli k tomu dať zopár historiek. V zásade legislatíva nemá dôvod nijako spomínať konkrétne algoritmy, čiže použitie digital signature hocikde a hocako nie je limitované (v rôznych časoch a častiach sveta aj také býva, viď. napr. história PGP).

• Takže “kauza dôvodová správa” sa nekoná. “Bez nutnosti využiť elektronický podpis” rozumej “bez nutnosti využiť KEP”. (Terminologické nuansy pisateľovi dôvodovej správy zrejme neboli známe.) a ďalšie detto. “postačí aj občiansky preukaz s elektronickým čipom” - v čase písania dôvodovej správy nebol známy žiadny iný systematický spôsob autentifikácie podľa zákona 305/2013, paranoidný čitateľ nech sa v tej vete sústredí na “dosiahne aj to” - slovo “aj” znamená že dosiahne sa to čo je popísané ďalej, ale aj iné veci ostatné časti tej vety detto.

• Ad “musíme ujasniť ako presne sa robí autorizácia použitím funkcie IS, nie aby si to robil každý dodávateľ po svojom” - nuž nemusíme ujasniť. Je úplne v poriadku ak si to každý spraví po svojom, pokiaľ dodrží už existujúce požiadavky (vrátane zákonných + štandardy). Doteraz to tak bolo vždy a vo všetkom, nevadilo to nikomu. Ale jasné že vidím v tejto téme zopár vecí ktoré má význam štandardizovať, písal som v diskusii k mID.

• Dosť bolo historického okienka, tu preberáme konkrétnu implementáciu DEÚSu. Či spĺňa legislatívne a bezpečnostné požiadavky neviem o nič viac ako sú dokumenty a info. čo tu na platformu dávam. Ale zatiaľ ide o riešenie “iba” pre DEÚS, čiže pripojené obce. Takých “lokálnych” autentifikačných schém (a k nim priviazaným funkciám ako napr. autorizácia) sú tu desiatky aj vo verejnej správe, pričom doteraz som žiadne srdcervúce náreky a veľkolepé plány na certifikácie a pod. nezaznamenal. Pozri napr. všetky prihlasovania meno/heslo. Pozri napr. posielanie podaní do Sociálnej poisťovne v pohode aj mailom. Takže ako s tou konzistentnosťou?

• Ani ja nie som nadšenec riešenia “biometria a fotka z OP” na úvodnú identifikáciu, ale môj názor nie je podstatný (a nikto sa S.D na to ani nepýtal). Ak splnia požiadavky na level “pokročilá” / SK3, ktoré riešia aj zavedenie identity, tak nevidím dôvod im brániť to používať. Preukázanie splnenia týchto požiadaviek si rád pozriem, žiadal som o to, zatiaľ som nevidel (píšem to tu už asi 4. krát). CSIRT tieto požiadavky nijako nehodnotil (škoda).

• Otázka “koľko PINov má byť” je relevantná iba v rozsahu splnenia bezpečnostných požiadaviek viď. predošlý odstavec. Otázka “autentifikácie podpisom” je relevantná k pojmu EP podľa legislatívy, ktorý DEÚS nepoužíva. (Tiež si myslím, že autentifikácia podpisom by sa nemala používať, žiadal si už FSSR aby to u seba vypli?)

• Autorizácia použitím funkcie IS, a teda aj celé riešenie DEÚS, je úplne “v súlade s eIDAS” (v téme autorizácie), keďže v ňom sa špeciálne uvádza, že nijako nezasahuje do vnútroštátnych riešení.

• Ad “Na ktoré podania to môže byť použité?” - ako som písal asi v diskusii o mID, riaditeľ DEÚS prezentoval, že to analyzovali a došli k záveru že autorizácia kliknutím môže byť použitá na všetky podania, ktoré majú v DCOM implementované. Ak má niekto protipríklad kde by to nemalo stačiť, dajte.

• Ad “funkcia prístupového miesta” - to akosi nevylučuje, že nejaký kód u klienta bude bežať. Povedzme kód web stránky, tam asi problém nikto nevidí, že? Pre puntičkárov dôkaz sporom: keďže na používanie eID taktiež treba lokálnu aplikáciu, tak výklad, že by jej použitie pre autorizáciu použitím funkcie IS nebolo prípustné, by znamenal nemožnosť použitia tejto autorizácie pomocou eID, čo je v priamom protiklade k zámeru zákonodárcu, vyjadrenému jasne aj v dôvodovej správe. Ergo spor, ČBTD.

• Ad “čo keby sme podania cez všeobecnú agendu ÚPVS nepodpisovali KEPom?” - nuž, ja som takto už poslal kopu podaní, fungovalo to. Je fakt že som neprovokoval a boli to také pohodové veci (rozumej: šanca že by hrozil nejaký spor bola evidentne minimálna).

• Ad “nechcem aby sa niečo považovalo za môj vlastnoručný podpis” - keď zistíš ako sa vlastnoručný podpis super-ľahko falšuje, budeš veľmi sklamaný?

Plamennej diskusii tu sa teším, ale keby sa dalo o kúsok triezvejšie prosím.

Je pravda ze uz dnes nikto nikoho nenuti podpisovat vseobecne podanie. Ja som tiez podal viacero podani a nepodpisoval som ich. Nebolo nikdy treba a urady mi ich aj riadne vybavili. Ak nie je niekde vyslovene napisane ze sa vyzaduje podpis a formular ti dovoli odoslat bez podpisu neni nutne ho podpisovat.
Nerad by som bol aby tato debata sklzla do roviny ze niekto nesuhlasi s autorizaciou klikom a trva na podpisovani vsetkeho.

Dokonca ta autorizacia vseobecneho podania bez podpisu v schranke je este jednoduchsia ako tam vyssie bol ten navrh ze by sa autorizacia klikom robila podobne ako ked sa potvrdzuje dorucenka tj. ze treba zadat BOK.

Nie “nieco” ale aby sme akemukolvek dalsiemu sposobu autorizacie v nasej legislative priradili ucinok vlastnorucneho podpisu. Staci ze ho ma uz stanoveny KEP.
Tu vacsinu podani ktora KEP nevyzaduje - autorizujme nadalej klikom alebo inak.Je ich drviva vacsina a KEP ponenchajme iba tam kde zakony vyslovne pozaduju vlastnorucny alebo osvedceny podpis, alebo je na to iny dolezity dovod.
(nechcem ta provokovat len sa snazim povedat ze vlastnorucny podpis a jeho osvedcena forma su podla mna najvyssimi sposobmi autorizacie - vyssia uz nie je -snad len podpis vlastnou krvou a preto sa snazim povedat aby sa muselo nim podpisovat iba to co je nutne, ale zaroven aj to aby okrem KEP co nam zaviedla EU uz nebol ziadny dalsi sposob autorizacie postaveny na uroven vlastnorucneho). A kedze to stale omielam z lava z prava mozno to trochu vyzera menej triezvo - ospravedlnujem sa. (opakujem sa iba z dovodu ze je to reakcia na iny prispevok)
Tu je iba ten problem ze ja hovorim ze až vlastnorucny podpis a tvoj nazor je ze len vlastnorucny podpis. Mame ho priradeny k opacnym polom tym padom sa na vec pozerame kazdy inak.

ps.
O tom ako sa “lahko” falsuje vlastnorucny podpis som sa mal cest presvedcit v praxi (pred sudom) pred par rokmi v konani ktore sa ma trochu dotykalo (vtedy nas z brindy vytiahla pismoznalkyna)…
A mozno aj to je jeden z dovodov preco vlastnorucnemu podpisu prikladam “zbytocne” vysoky vyznam.

Súhlas. Je to riešenie združenia, a takých “lokálnych” autentifikačných schém (a k nim priviazaným funkciám ako napr. autorizácia) sú tu desiatky, napr. aj meno/heslo. Nie je to autentifikačná schéma SR ako členského štátu EÚ, resp. schéma elektronickej identifikácie v zmysle nariadenia eIDAS.

Hmm, to je fakt smutné, rozhodne to nezvyšuje dôveru v takéto riešenie. Skúsim odľahčiť, ak by mi v reštaurácii nevedeli alebo nechceli povedať, či podávané jedlo obsahuje alergény, ktoré mi môžu uškodiť (sú to pre mňa požiadavky bezpečnosti), tak by som asi nemal dôveru v podávané jedlo ani v reštauráciu…

Zo stanoviska CSIRT:
V aktuálnom návrhu mID tak, ako je prezentovaný, chýba vypracovaný bezpečnostný projekt
a podrobná technická dokumentácia. V návrhu sa využívajú kryptografické konštrukcie, ktoré neprešli komplexnou analýzou.
pričom:
b) úroveň zabezpečenia „pokročilá“ sa vzťahuje na prostriedok elektronickej identifikácie v kontexte schémy elektronickej identifikácie, ktorý poskytuje pokročilý stupeň dôveryhodnosti, pokiaľ ide o údajnú alebo uvádzanú totožnosť osoby, a je charakterizovaný odkazom na technické špecifikácie, normy a postupy vrátane technických kontrol, ktoré s ním súvisia a ktorých účelom je podstatne znížiť riziko zneužitia alebo pozmenenia totožnosti;

Možno to hodnotenie požiadaviek nebolo priame, ale z toho stanoviska mi vyplýva, že tie požiadavky splnené nie sú. Ale možno sa mýlim…

Veľmi zaujímavé (asi nešťastne naformulované) tvrdenie. V matematickej logike sa to, myslím, nazýva tautológia. Ak si totiž namiesto “DEÚS” do neho dosadíme názov akéhokoľvek IS, akejkoľvek mobilnej alebo desktopovej aplikácie (napr. notepad.exe) výrok bude pravdivý.
Ak však mal tento výrok navodiť dojem, že riešenie DEÚS je úplne “v súlade s eIDAS” alebo, že to je vnútroštátne riešenie, tak ani jedno ani druhé (aspoň zatiaľ) nie je pravda.