Podpisovanie cez mobilne riesenie DCOM

Teraz si to trafil presne :slight_smile: Čakám, kedy niekto z diskutujúcich napíše, že táto téma je iba zásterkou miliónových transakcií obstarávaných netransparentným spôsobom inde. Fakt mi chýba odpoveď na otázku, prečo desiatky ľudí hľadajú s hodinárskou precíznosťou chyby na tom DCOM riešení mID. Je vraj k dispozícii, štát má platiť iba prevádzku a v Košiciach sa iná partia údajne venuje identickej téme s neistým výsledkom … Pýtam sa, či keď jedného dňa dajú to riešenie ľuďom, koľko bude stáť prevádzka ? :slight_smile: Lacnejšie by to bolo asi iba v Hederabade :slight_smile:

1 Like

Mam povolenie tu zverejnit ponuku, ktora sla na MIRRI.

Prevádzkovanie riešenia mID alternatívy V3.docx (157.4 KB)

Ak sa chceme bavit o alternativach, tak by som teraz ocakaval, ze MIRRI/NASES vytiahnu zo sufliku ich tabulky pre riesenia GT alebo riesenie co udajne chysta Slovensko IT. Porovnaju sa funkcionality, naklady a casovy harmonogram a vysvetli sa rozhodnutie (nech je uz akekolvek).

6 Likes

Čo sa týka tohto:
2.6. Údržba a podpora pre nástroje na mobilné AA služby. Služby údržby a podpory pre nástroje na mobilné AA služby poskytuje výhradne spoločnosť mTrust. Jedná sa o expertnú úroveň podpory L3 pre softvérové riešenie umožňujúce autentifikáciu osôb a autorizáciu dokumentov v prostredí aplikácie v inteligentnom mobilnom telefóne. Tieto funkcionality sú v rámci riešenie zabezpečované prostredníctvom platformy ANZU ktorú spoločnosť mTrust v rámci tejto služby udržiava.

Podľa tohto môže AA služby (autentifikácia a autorizácia) poskytovať výhradne mTrust s.r.o. s použitím ich platformy alebo knižnice ANZU. V prezentácii riešenia sa spomína (v čase cca. od 7:30), že sa jedná o jadro autentifikácie a autorizácie v samotnom riešení.
Podľa doteraz zverejnených informácií sa ale o tej ANZU platforme/knižnici nevie takmer nič. Aké kryptografické mechanizmy používa, aké uznávané štandardy a normy pre kryptografiu implementuje?
Prešla ANZU nejakým odborným auditom alebo certifikáciou? Podľa popisu sa jedná o bezpečnostné jadro, ktoré je ale de facto black box.

Firma mTrust s.r.o. je pritom podľa dostupných informácií (https://www.finstat.sk/44821425) od svojho vzniku v roku 2010 permanentne v mínuse, do roku 2019 s kumulatívnou stratou asi 8 mil. EUR. Aj keď o sebe uvádza, že jej klientom sú 3 veľké banky, má 500 000 používateľov a 7 mil. autentifikácií a autorizácií mesačne:

Na mieste starého alebo nového prevádzkovateľa by som takýto vendor lock-in s firmou s pochybným hospodárením vnímal ako významné obchodné a prevádzkové riziko.

Aj keď vendor lock-in je formulovaný aj pri iných použitých nástrojoch:

2.4. Údržba a podpora prevádzky riešenia mID. Ide o časť kódu, ktorá bola vytvorená špecificky pre projekt mID a je vo vlastníctve štátu (mimo komponentov od spoločností mTrust, Innovatrics a Archimetes).

2.5. Údržba a podpora pre biometrické nástroje. Údržba a podpora nástrojov na biometrické overenie identity používateľa je zabezpečovaná výlučne prostredníctvom spoločnosti Innovatrics.

2.7. Údržba a podpora pre nástroje na zdokonalený podpis v súlade s eIDAS. Služby podpory pre nástroje na zdokonalený podpis v súlade s eIDAS poskytuje výhradne spoločnosť Archimetes.

Ci to ma bezpecnostny audit neviem, avsak chcem len doplnit, ze podla mojich informacii, ked stat prevezme toto dielo, tak ziskava hlavne tu cast “glue kod”, cize je na nom ci ten mTrust alebo zdokonaleny podpis nejako vymeni. Zdrojaky som nevidel, cize netusim nakolko by toto bol problem a ci to vobec niekto vie robit tieto specializovane casti lacnejsie.

Vendor-lock to samozrejme je, avsak by som povedal, ze sa da celkom lahko urcit nakolko to je riziko akceptovatelne. Mozno @robert.kuchar povie naco tam vobec nejaky zdokonaleny podpis podla eIDAS je. Ak to dnes sluzi vyhradne na autorizaciu kliknutim, tak tato cast mi pride na prvy pohlad uplne zbytocna.

:slight_smile: ja mozem (niezeby mi niekto zakazoval, ale vidim do toho tiez len do urcitej miery) povedat len tolko ze sme dostali taku objednavku. Okrem vseobecne proklamovanej autorizacie klikom totiz vysledny ASiCE obsahuje skutocne aj detached XAdES podpis formulára, ktorý je dokonca uložený do samostatného poľa v tej Doložke.
My sme neni takí zbehlí v tých zmluvách a prehľade o tom kedy kto čo zamýšľal a zazmluvňaval v NASESe v minulých rokoch. Opýtali sa nás či by sme to vedeli, a objednali si to. Čiže pôvodne tam bol iba tento podpis a môj predpoklad (a tak nam to bolo aj vytsvetlene) je, že je to preto lebo také má dodávateľ vo svojej zmluve. Až neskôr (asi marec) sa zadanie zmenilo a pridával sa “podpis klikom”. Takže momentálne tam sú 2 autorizácie. O tej druhej sa moc nehovorí, čo nás trochu mrzí, nakoľko s tou sme sa chceli pochváliť… Problém je, že na na to, aby si mal podpis Zdokonalený podľa eIDAS (aspoň vo verzii: Zdokonalený na základe nekvalifikovaného certifikátu) je potrebné aby správca SVK trusted listu (TL) do jeho nekvalifikovanej časti pridal vydávateľa certifikátu. Žiaľ tu sa zistilo, že tudy cesta nevede. Kým v iných EU krajinách dohľadové orgány udržujú celý TL (čiže aj jeho kvalifikovanú aj jeho nekvalifikovanú časť), tak slovenský NBU udržuje iba kvalifikovanú časť TL. Na priame otázky či je možné pridať vydávateľa do nekvalifikovanej časti TL sme nedostali žiadne odpovede, takže sme pochopili, že nie. Momentálne je ten druhy podpis, ktorý má skutočne certifkát osoby, ktorá prešla onboardingom zatiaľ nevyužívaný a nepropagovaný, lebo je na úrovni EP a nedosahuje z popísaných dôvodov úroveň Zdokonalená.
Myšlienkou bolo (asi a najskôr) využiť eIDAS a EU legislatívu, ktorá definuje úroveň Zdokonalená ako základnú úroveň a povoľuje členským štátom na kritickejšie úkony vyžadovať aj úroveň Kvalifikovaný. Keďže udržiavanie zdrojov na úrovni Kvalifikovaná je na bežné veci neúmerne drahé.
(napríklad český zákon o službách vytvárejích dúveru dovoľuje podania od občanov na úrady robiť zdokonaleným podpisom - oni tomu dali ešte aj ďalší český názov - uznávaný podpis, a elektronické úradné dokumenty musia byť autorizované kvalifikovaným podpisom/pečaťou.) Samozrejme uvedenie do praxe by vyzadovalo zmenu zákona, lebo náš zákon najvýšiu povolenú formu autorizácie z pohľadu eIDAS považuje zase za najnižšiu … a tým pádom jedinú možnú. Na všetky usec cases .

Samozrejme pri hypotetickom poskytnutí kvalifikovaného zdroja podpisových certifikátov (z NASES), miesto súčasného, po úspešnom onboardingu, je možné bez zmeny mid-signera dosiahnúť úroveň Zdokonalený (založený na kvalifikovanom certifikíte). Potom by výsledný ASiCE obsahoval 2 autorizácie: Autorizaciu klikom (pečať DEUSu, ktoreho infra vykonala stotožnenie) a Zdokonalený detached XAdES (podpisový certifikát osoby, ktorá stlačila na mobile “Podpísať”) vložený do formulára Doložky.
To je tam preto (zaznamenal som od @Lubor navrh, zrusit z Dolozky to pole, kde sa uklada ten XAdES) aby dokazal ASiCE fungovat (mal možnosť byť uznaný) aj mimo prostredia schránok a v zahraničí, je overiteľný štandardným eIDAS overovačom.

2 Likes

Aj podľa mňa aktuálna otázka. Pretože mi nie je známe ustanovenie v zákone o eGov, ktoré by umožňovalo použitie zdokonalených podpisov, alebo mi niečo uniklo? Ak sa používa na autorizáciu ako sme to mohli vidieť v aplikácii mID, tak potom je v právnom rámci SR v kontexte eGov nekomformná (v preklade nepoužiteľná). Ale podľa slov p. Kuchára je to “klik”, nie AdES aj keď nie je známy detail, ako ho realizuje (“na to určená funkcia IS prístupového miesta”, ako hovorí zákon).
Okrem toho tá biometria vo fáze enrollment/onboarding a celkovo bezpečnostné posúdenie (všeobecne nie je rámec ani orgán s vymedzenou kompetenciu pre posudzovanie zhody s úrovňami podľa eIDAS - jednostranné vyhlásenia dodávateľov nie sú berná minca).
Možno by stálo za zváženie položiť si otázku, prečo pri tejto úrovni záruk (“Pokročilá”) neumožnili iherenetné faktory autenetifikátorov prítomných na mobilnom zariadení (odtlačky prstov, rozpoznávanie tváre) - na modernú aplikáciu a najmä pre túto úroveň zabezpečenia by som toto očakával - najmä ak sa tu hrá aj na UX/UI, pričom sa mnohí nechávajú počuť (hlavne z komerčného prostredia), že je to “pohodlné” a dokonca aj “bezpečné”.

Myslim, ze tu uz bolo asi 10x napisane a @robert.kuchar to znova napisal vyssie, ze ide o autorizaciu klikom, cize ustanovenie v eGov zakone je zrejme a zdokonaleny podpis to nie je.

P. Kuchár publikoval príspevok, kým som ja písal ten môj. Preto som ho editoval…:slight_smile:

Toto je konecne spravny smer diskusie. Nech sa vyjadria dodavatelia, dnes uz je toto bezne dostupne, asi 2 roky dozadu (ked sa toto tvorit zacalo), to tak nebolo. Ja by som dnes uz naozaj ocakaval, ze sa budu vyuzivat najma nativne moznosti zariadeni. A potom uz mozno naozaj mozeme celu appku zahodit a pouzit rovno webauthn + vyriesit dostatocne prvotne stotoznenie, bez fyzickej navstevy uradu/IOMO alebo eID karticky (toto je ta tazka cast). Takto to robia inak ceske datovky + mojeID.cz

Tie argumenty, že prečo štát stavia na zelenej lúke mobilného eid klienta sú podľa mňa úplne čajové. Plus teda časť o sústave komponentov na tvorbu nativnych aplikacii pre ovm je úplne presne to čoho som sa obavával. Vyrábame si tu nový form designer, tentokrát pre mobily. Dôvod? “Lebo stratégia”. Tu stratégiu som zatiaľ nevidel ani v nkivs a už sa na tom zjavne robí.

2 Likes

mna furt fascinuje ako sa vzdy vyroji spusta rieseni … ako sa sere na strategie a kamarati poradcovia neomylne vedia a poradia, ze no tak . takto … myslim, ze kym toto bude sucast nasej kultury, tak ziadne strategicke dokumenty nepotrebujeme … prosto kazde 4 roky sa prisposobime novym poradcom. Niekedy sa podari aj 12 rokov … :slight_smile:

1 Like

Suhlas, tvorba strategickych dokumentov je na Slovensku zbytocne, vyhodene peniaze

1 Like

NEviem preco si niekto mysli, ze ked bude mobilne eid, ze ludia bud viac pouzivat sluzby statu. nie nebudu (problem nie je v prihlasovani), ale v hlavne v sluzbach, ktore ludia nepotrebuju alebo su komplikovane, proste nemaju zaujem ich pouzivat (stat moze ich akurat donutit zakonom). Verte ak by to boli sluzby pre neho zaujimave, tak ich pouzije ci z desktopu ci z mobilu, presne tak ako nechce chodit na statny urad, pre neho statny urad je len buzeracia

Môžeme sa staviť, že keď sa bude dať len normálne podať všeobecné podanie cez mobil a nie riešiť podpisovanie cez tú ditec hanbu, tak stupne používanie egovu zásadne. A ešte viac by stúplo keby takto podania mohli robiť aj tretie strany. Okamžite by sa tu vyrojili služby, čo by to používali na všetko možné.

1 Like

Argumenty MIRRI nema na nic, ci uz je to mobilne ID, transparentnost Slovensko IT, personalna strategia IT na uradoch, spackany audit ked o projektoch rozhodovali nominanti koalicnej rady, tvorba dalsich strategii pre strategie, ziadna komunikacna strategia preco rusim projekty, cim ich nahradim a preco a tak dalej. Nic pre mna nula bodov a obrovske sklamanie.

1 Like

Co su to tretie strany? Poprosim ake sluzby eGov budete Vy konkretne pouzivat naviacej ked bude mobilne eid? Ja jedine co chcem su tieto sluzby: platit dane a odvody a spatne vediet na co a ako sa pouzivaju, ked sa prestahujem raz to zadat a nech uz ma nikdy nikto s tym viac neobtazuje, zalozit si firmu jednym podanim a “ihned”, podobne stavebne konanie urobit rychlo a plne elektronicky a s tym suvisiace kolaudacne rozhodnutie, elektronicky jednoducho zmenit majitela auta ci nehnutelnosti, podat si ziadost o dochodok. To su vsetky sluzby ktore pozadujem od statu a ziadnu inu nepotrebujem a nechcem vyuzivat (netvrdim, ze sa nenajde zopar jedincov co este nieco nepotrebuju), zabudol som este dat meno dietatu, prihlasovat a odhlasovat sa do ZP. Ani to chcem dnes nie je alebo spatne funguje. A tu namiesto aby sa vybodoval zaklad tak riesime nezmysly (pamiatkovy system, mobilne eid - to co chcem aby fungovalo, tak nepotrebuje mobil, ale ok malo to byt multi kanalove a kto ako chcel pristupovat malo mu to byt umoznene, teda aj mobil, aj papier aj telefon, aj klasicky web). Kolko vseobecnych podani si myslite, ze potrebuje rocne bezny clovek voci statu? No 50% nikdy nic, 30% jedno do roka a 20% to bude vyuzivat a zatazovat urady, ktore miedto toho aby robili co maju, budu vybavovat rizne agendy. Ano naschval som zabudol na komunikaciu so sudmi, uvo, policiou atd.

Na Slovensku je to momentalne uplne “postavene na hlavu”. Akoze “pravica”, ktorej principom ma byt “menej statu” buduje jedno zbytocne ministerstvo, ktore buduje novu statnu firmu, dava pozehnanie na nove statne vyvojove centra, naberaju sa novi statni uradnici, buduju sa do bludu koncepcie, vyhlasky atd. To keby robili “komunisti” tak sa nedivim, ale ako clovek inklinujuci k pravici, poviem jemne som v nemom uzase. Najhosrsie, ze ten “balst” tu zostane nasledovnikom a je jedno kto to bude.

1 Like

Zabudol som na ePN, urcite potrebna a rozumna sluzba ktora je potrebna a dobry je aj eRecept

Ja? Ja robim vsetko elektronicky uz len z principu, ale stale tu je obrovske mnozstvo ludi co na urady chodi aj ked maju v penazenke eID s BOK. Nezda sa to naozaj nikomu zvlastne, kedze takmer uplne vsetko by sa malo dat vybavit elektronicky?