K tomu podpisovaniu. Ako sa bude riesit prepeciatkovavanie? Bude sa to tlacit do dlhodobeho uloziska? Je to pripravene na gigabajtove subory?
Blockchain tuto podla mna vela neriesi, kedze tam bude rovnaky problem s prepeciatkovavanim. Ked dnes podpisem trebars aj sha256 nejakeho datasetu a ulozim to blockchainu tak o par rokov to bude zlomene ako sha1 a nikto mi neuveri, ze ten dataset nie je podvrh. A sme tam kde sme boli.
Toto by sme nemali unahlit a nedomysliet.
Podpisovať všetko je hlúposť mrhanie zdrojmi.
Nikto nepotrebuje overovať autenticitu datasetu “dovody odmietnutia hovoru LTV 112 za rok 2016” a ďalšej väčšiny DS.
(Pôvodne som chcel dať linku na obľúbený Výkaz o uskladnení jabĺk a hrušiek, ale ÚKSÚP má rozbité linky. @Silvi ? )
Tak ako je to uvedené v schválenej stratégii pre OpenData, vytvorme možnosť podpisovať dataset - pokiaľ si pamätám, toto aj bolo v rámci eDemokracie implementované. Ktoré datasety má zmysel podpisovať sa dá zistiť veľmi jednoducho, na základe požiadaviek od používateľov.
Bohužiaľ nie. Znova opakujem, je kategória používateľov, ktorí hľadajú guľatú pečiatku, alebo niečo jej podobné. Kto a čím garantuje, že nejaký API endpoint publikuje správne údaje? Možno stačí podpísaný dokument, kde je to deklarované. Alebo nejaká právna analýza, ktorá povie že ho netreba.
Ono pri API sú aj ďalšie otázky, napr. aké sú parametre dostupnosti, kapacity atď., skrátka SLA? Ako je zaistené, že zajtra, o mesiac, o rok to API stále funguje?
Podpis datasetu (s časovou pečiatkou) garantuje iba kedy došlo k publikovaniu údajov. Aká je platnosť, účinnosť údajov, na aké časové obdobie sa vzťahujú atď., to musí byť vyjadrené inde - v metadátach, v údajoch samotných, alebo v sprievodnom dokumente.
Áno, toto na data.gov.sk je spravené, teda je to štandardná funkčnosť CKAN. Dá sa použiť CKAN API na získanie histórie revízií datasetu (a zmeny zisťovať pravidelným dotazovaním), alebo nechať si posielať notifikácie o revíziách - na to treba byť prihlásený (eID 
) a pri datasete kliknúť na veľavravné tlačítko “Odoberať”.
Takato informacia mi je podla mna uplne nanic.
EDIT: Teda nanic to nie je, pokial to je podpis zarucujuci aj integritu samotnych dat. Moja vytka k prepodpisovaniu stale ostava.
Problem je ze kto bude rozhodovat o tom ze to musi byt podpisane? Povedzme ze som novinar a v clanku odkazujem na ten dataset. Ked ho mam u seba ale nie podpisany tak vlastne to nema asi ziadnu vypovednu hodnotu.
Takze ten podpis by tym padom nedaval data.gov.sk ale ten kto to vypublikovava a casova peciatka by ale bola z datumu vypublikovania tak?
Ako sa prepodpisovanie riesi teraz tj. mimo otvorenych udajov? Nie je na to definovany ziaden mechanizmus resp. v nejake priorite alebo PS o bezpecnosti sa to neriesilo?
Bolo naimplementovane ze sa vedel uploadnut podpisany dataset alebo ze samotny portal to mohol podpisat? Aky bol ucel ak to podpisal data.gov.sk ak to nema az taku pridanu hodnotu bez overenia integrity samotnych dat?
Hlavna otazka preto znie, podpisuje niekto v EU alebo USA datasety? Ak ano ako to robia? Podpisuje vobec niekto tie data?
Modul dlhodobeho uchovavania na UPVS.
Neviem ci to vidim celkom spravne. Ja sa na to pozeram tak, ze open datasety su “kopiami” nejakych konkretnych ciselnikov spravovanych statom. Preto nutnost ich dlhodobej uschovy nebude potrebne riesit. Mozno by stacilo mat k dispozicii na stiahnutie zapecatene datasety za jeden rok do zadu, ak by si niekto opomenul stiahnut nejaku konkretnu verziu. Ak by certifikat v casovej peciatke platil vzdy niekolko rokov od doby vydania datasetu nebolo by potrebne nic prepodpisovavat a v dobe kedy su udaje potrebne sa da vsetko overit.
To je aka doba? 1,2 alebo 20 rokov?
Ak by certifikat casovej peciatky mal platnost vzdy povedzme 5 rokov, tak 5 rokov netreba predlzovat podpis.
Ale ak by certifikat casovej peciatky koncil 27.12.2017 ako tomu bolo nedavno na slovensko.sk potom sa treba zaoberat aj touto otazkou hned po stiahnuti.
mozno sa mylim, ale nie je to nahodou tak, ze ak spochybnis SHA256 tak si vlastne odstrelil aj cele podpisovanie (PKI)?
da sa vobec nieco bez hash?
Ááa, prosím neotvárajme tu opäť tieto klasické témy o ZEPe. Prepečiatkovanie pre datasety by som vôbec neriešil, štandardne certifikáty by mali mať platnosť zopár rokov, potom to vlastník údajov môže podpísať opäť.
Uz vidim ako taka vszp prepeciatkovava zoznam dlznikov, ktory zo zakona nemusi nikde ani drzat a vlastne ho ani nema. Netvrdim, ze toto treba, ved nakoniec kto chce, by si mohol ten dataset ulozit to prepeciatkovavacieho uloziska aj sam.
Neviem čo myslíš že ho vlastne ani nemá. “Podľa § 25 ods.1 písm. f) bod 2 zákona č. 580/2004 Z. z. je zdravotná poisťovňa povinná uverejňovať a aktualizovať vždy k 20. dňu v kalendárnom mesiaci na internete zoznam dlžníkov.”
V tomto prípade stačí mať podpísaný posledný, čiže aktuálny, zoznam dlžníkov. Skutočne nie je dôvod aby si poisťovňa držala na webe archív zoznamu dlžníkov (dokonca by to bolo protizákonné, lebo osobné údaje).
To stačí producentovi alebo konzumentovi, ktorému príde tesne po vypršaní podpisu žaloba od niekoho, kto bude tvrdiť že dlžníkom nebol?
Keď údaje prevezmeš (stiahneš si), je na Tebe starať sa o nich aby zostali v kvalite ktorú potrebuješ.
Ano presne tak. Ak niekto potrebuje si udrziavat aj po dlhsiu dobu po skonceni platnosti certifikatu, uz je to na nom. To si moze robit vo vlastnej rezii ako dloho potrebuje.
Ako teda vyzera uceleny navrh?
Za mňa ako som písal:
Koncept:
Technická realizácia:
Nepoznam specifikaciu tytho veci a preto sa potrebujem spytat, lebo teraz je to nasite asi len na eformy :
To znamena ze ine ako XML data nebudu podporovane? Nebavme sa len o formularoch ale vseobecne o otvorenych datach napr. ten spominany RPO. Alebo som to len zle pochopil?
Nemyslím si, že je potrebné použiť ASiC kontajner.
“Detached signature” je podľa stanoviska NBÚ štandardizovaný, NBÚ ho uvádza na svojom webe medzi povinnými eiDAS formátmi:
http://www.nbusr.sk/wp-content/uploads/doveryhodne-sluzby/docs/Povinne-formatyQESpre-subjekt-verejneho-sektora.pdf
Ak by sa podpisovali XML údaje, dnes je verejná správa SR povinná ich vkladať do XMLDataContainer (spolu s XSD a XSLT), čo by predpokladám spôsobovalo komplikácie pre spracovanie opendata.
Že niečo umožňuje eIDAS je jedna vec. Dôležitá však je reálna použiteľnosť.
Vedia detached signature podateľňe OVM vytvárať a overovať?
Ak áno, hneď to zaraďme do štandardov ISVS a môže sa to začať používať.
V podpisovom kontajneri stačí mať referencie na schému a transformáciu. Tie samozrejme aj tak treba mať vytvorené, aby bolo jasné čo je podpísané. Pri podpisovaní dát tieto veci vlastne formálne nahrádzajú minimálnu dokumentáciu dát a ich sémantiky.
Že sú XML dáta obalené zopár ďalšími tagmi (vložené v kontajneri) nie je pri parsovaní žiadny problém. Práve naopak, aspoň to bude vždy podobná štruktúra.