Pouzivanie ZEPf kontajnera v roku 2017


#1

Z postu, ktory dnes @jsuchal zverejnil na svojom FB profile usudzujem, ze zivnostensky register mu poslal elektronicky podpisane rozhodnutie, ktore nevedel jednoducho otvorit na Linuxe, pretoze podpisany dokument je ulozeny v ZEPf kontajneri (je to subor s priponou .zep). Osobne zastavam nazor, ze OVM by dnes uz ZEPf kontajner nemali pouzivat, pretoze existuje medzinarodne uznavana a standardizovana alternativa v podobe ASiC kontajneru a tiez preto, ze im za to podla mna hrozi pokuta zo strany NBU.

Co si treba uvedomit skor nez budete citat dalej:

To, ze ten subor ma priponu .zep ani to, ze ZIP archiv s podpisanym dokumentom sa technicky nazyva ZEPf kontajner vobec, ale NAOZAJ VOBEC neznamena, ze by podpis vytvoreny zivnostenskym registrom nutne musel byt nejaky ÔÇťstaryÔÇŁ ZEP a teda by to nebol nejaky ÔÇťnovyÔÇŁ KEP. Podpisovu strukturu ani jej format tu vobec neriesme. Riesme len format ZIP archivu, v ktorom je ulozeny podpisany dokument (.rtf subor) a podpis (.p7s).

Co je to ZEPf kontajner:

ZEPf kontajner (.zep subor) je ZIP archiv, ktory sa pouziva na spojenie suboru s podpisanym dokumentom (.rtf .pdf .txt alebo cokolvek ine) a suboru s elektronickym podpisom (.p7s subor). Tento format je definovany v informativnej prilohe standardu Form├íty zaru─Źen├Żch elektronick├Żch podpisov, ktory vydalo NBU SR. Jedna sa teda o cisto slovensky format, v ktorom je skrytych viacero technickych prekvapeni, no napriek tomu bol v slovenskej statnej sprave hojne pouzivany.

Cvicenie pre technicky zvedavych: Pripravil som priklad .zep suboru, v ktorom som zamerne invalidoval podpis vymazanim rodneho cisla z certifikatu. Zmente si koncovku suboru na .zip a skuste v archive najst podpisany dokument hello.txt. Good luck! Hint: Jano popisal postup na svojom FB profile.

Co je to ASiC kontajner:

ASiC kontajner (moze mat koncovky .asice .sce .asics .scs alebo .zip) je ZIP archiv, ktory sa tiez pouziva na spojenie suboru s podpisanym dokumentom a suboru s elektronickym podpisom - teda na to iste, na co sa pouziva slovensky ZEPf kontajner. Definuje ho specifikacia ETSI TS 102 918 vydana europskym institutom ETSI a je pouzivany vo viacerych krajinach EU. Z technickeho pohladu tiez nie je uplne idealny (tiez ma par prekvapeni), ale dovolim si tvrdit, ze oproti ZEPf kontajneru je lepsi.

Cvicenie pre technicky zvedavych: Pripravil som priklad .asice suboru, v ktorom som zamerne invalidoval podpis vymazanim rodneho cisla z certifikatu. Zmente si koncovku suboru na .zip a skuste v archive najst podpisany dokument hello.txt. Ovela lahsie, ze?

Preco by OVM nemali pouzivat ZEPf kontajner:

Pou┼ż├şvanie elektronick├ęho podpisu od 1.7.2016 upravuje na eur├│pskej ├║rovni Nariadenie Eur├│pskeho parlamentu a Rady ─Ź. 910/2014 z 23. j├║la 2014 (─Ćalej len eIDAS), z ktor├ęho vych├ídza slovensk├Ż Z├íkon ─Ź. 272/2016 Z.z. o d├┤veryhodn├Żch slu┼żb├ích (─Ćalej len z├íkon).

Z├íkon v ┬ž 14 ods. 4 obsahuje nasledujuci text:

├Ürad ulo┼ż├ş pokutu do 3 000 eur org├ínu verejnej moci, ktor├Ż sa dopust├ş spr├ívneho deliktu t├Żm, ┼że vytvor├ş kvalifikovan├Ż elektronick├Ż podpis alebo kvalifikovan├║ elektronick├║ pe─Źa┼ą vo form├íte, ktor├Ż nie je v s├║lade s pr├şlohou vykon├ívacieho aktu Komisie vydan├ęho pod─ża ─Źl. 27 ods. 5 a ─Źl. 37 ods. 5 nariadenia (E├Ü) ─Ź. 910/2014.

Laicky to chapem tak, ze ak OVM podpisuje v inom formate nez povoluje eIDAS, tak sa dopusta spravneho deliktu, ktory by mal riesit NBU. Podme sa teda pozriet na odkazovane casti eIDAS a overit si, ci schvaluju ZEPf kontajner.

eIDAS v ─Źl. 27 ods. 5 odkazovanom z ┬ž 14 ods. 4 nasho zakona obsahuje nasledujuci text:

Komisia do 18. septembra 2015 prostredn├şctvom vykon├ívac├şch aktov vymedz├ş referen─Źn├ę form├íty zdokonalen├Żch elektronick├Żch podpisov alebo referen─Źn├ę met├│dy pre pr├şpady, ke─Ć sa pou┼ż├şvaj├║ alternat├şvne form├íty, pri─Źom zoh─żadn├ş existuj├║cu prax, normy a pr├ívne akty ├Ünie. Uveden├ę vykon├ívacie akty sa prijm├║ v s├║lade s postupom presk├║mania uveden├Żm v ─Źl├ínku 48 ods. 2

V ─Źl. 37 ods. 5 tiez odkazovanom z ┬ž 14 ods. 4 nasho zakona obsahuje nasledujuci text:

Komisia do 18. septembra 2015 vymedz├ş prostredn├şctvom vykon├ívac├şch aktov referen─Źn├ę form├íty zdokonalen├Żch elektronick├Żch pe─Źat├ş alebo referen─Źn├ę met├│dy pre pr├şpady, ke─Ć sa pou┼ż├şvaj├║ alternat├şvne form├íty, pri─Źom zoh─żadn├ş existuj├║cu prax, normy a pr├ívne akty ├Ünie. Uveden├ę vykon├ívacie akty sa prijm├║ v s├║lade s postupom presk├║mania uveden├Żm v ─Źl├ínku 48 ods. 2

eIDAS teda formaty priamo nedefinuje, ale odvolava sa nejaky vykonavaci akt, ktorym je podla mna Vykonávacie rozhodnutie Komisie (EÚ) 2015/1506 z 8. septembra 2015. To obsahuje odkazy na technicke normy:

ZEPf kontajner som tam nikde uvedeny nenasiel.

Co s tym:

  1. Bolo by super, ak by sa niekomu chcelo mnou popisany pohlad na vec verifikovat a ak je nespravny, tak ho opravit. Mozno som si nieco nevsimol, mozno neviem o nejakej uprave, prechodnom obdobi alebo niecom podobnom.

  2. Nie som v tychto veciach zbehly a nie som ani pravnik, takze neviem aky je spravny postup, ale napadlo mi, ze by Jano ako prijemca v uvode spominaneho dokumentu podpisaneho OVM mohol podat podnet na NBU (dokument samozrejme prilozit ako dokaz), aby zacalo vytvorenie podpisu zivnostenskym registrom riesit v zmysle ┬ž 14 ods. 4 zakona 272/2016 Z.z. o doveryhodnych sluzbach ako spravny delikt. Podla mna by z toho mohlo vzist oficialne stanovisko upravujuce dalsie pouzivanei ZEPf kontajnera.

Co vy na to?


#2

Pokia─ż ide o ZEPf, vid├şm to jednoducho:
pod─ża v├Żnosu MF SR o ┼ítandardoch pre ISVS ┬ž57c sa m├┤┼że pri vytv├íran├ş podpisu pou┼żi┼ą iba jeden z tam ur─Źen├Żch form├ítov (s v├Żnimkou ÔÇťak sa na tom v┼íetky strany pr├şslu┼ínej komunik├ície dohodn├║, s vedom├şm mo┼żn├Żch ┼ík├┤d a nezrovnalost├ş v ─Ćal┼íom konan├ş vypl├Żvaj├║cich z tak├ęho postupuÔÇŁ).
Pod─ża ┬ž57b.a m├í by┼ą pou┼żit├Ż ASiC kontajner. ZEPf ┼ítrukt├║rou nezodpoved├í ASiC kontajneru, teda povolen├Ż nie je.
Vo vn├║tri tento kontajner m├┤┼że obsahova┼ą op├Ą┼ą iba objekty pod─ża v├Żnosu.
Form├ít dokumentu RTF povolen├Ż nie je.

U┼ż dos┼ą dlho teda je bez pochyby jasn├ę, ┼że ZEPf podpisy s├║ vytv├íran├ę v rozpore s platn├Żmi pravidlami. MF SR o tom vedelo, malo mo┼żnos┼ą kontrolova┼ą a sankcionova┼ą, ni─Ź. ├ÜPVII o tom vie a m├í mo┼żnos┼ą sankcionova┼ą, ni─Ź. Tento nov├Ż pokus s NB├Ü ur─Źite stoj├ş za to, @jsuchal go! :wink:

(Zatia─ż ka┼żd├Ż podpis vytvoren├Ż OVM ─Źo pozn├ím nezodpovedal platn├Żm ┼ítandardom.)

Mimochodom, Hello world!


#3

Vn├║tro┼ít├ítna ├║prava mus├ş by┼ą u┼ż dnes s├║ladn├í s nariaden├şm a vykon├ívac├şmi predp├şsmi komisie. Ak OVM vytv├íra podpis alebo pe─Źa┼ą, mus├ş by┼ą vytvoren├Ż pod─ża nariadenia eIDAS. Ak sa vyd├íva certifik├ít, tento mus├ş by┼ą vydan├Ż v s├║lade s eIDAS.

Najz├íbavnej┼íie je, ┼że origin├íly s├║dnych rozhodnut├ş vznikaj├║ mimo nariadnia eIDAS.


#4

Na┼íe ┼ítandardy, vi─Ć. to ─Źo p├ş┼íem, s├║ e┼íte ÔÇťpr├şsnej┼íieÔÇŁ, resp. konkr├ętnej┼íie ako eIDAS.


#5

tak co ÔÇŽ bude reportaz ? alebo zaloba ? ÔÇŽ alebo sa s tym zmierime ? ÔÇŽ :slight_smile:


#6

Ja to v pohode podam. Len teda to potrebujem naformulovat a hlavne by som domyslel, ze co bude vlastne vysledkom. Ak bude vysledok to, ze to sposobi X change requestov na Y systemov, tak mam velke nutkanie toto neurobit.


#7

Ono, vo verejnej sprave je zauzivane ÔÇťneuznavanieÔÇŁ, resp. uplna ignoracia medzinarodnych standardov. Napr. nedavno, pri dotaze na format uchovavanych lekarskych zaznamov mi bolo oznamene, ze sa nebudu pouzivat univerzalne a medzinarodne uznavane, ale nieco proprietarne :confused:


#8

Treba si uvedomit, ze aj OVM, ktore dokazu generovat ine vystupy, musia brat ohlad na prakticke pouzitie sluzieb a kompatibilitu. V podstate su postavene pred volbu:

  • nebudem v sulade a dokonca sa vystavim hrozbe pokuty, ale sluzba bude pouzitelna (t.j. vystavim ,starsiÔÇÖÔÇÖ format ale prijimatelia ho budu vediet spracovat)
  • budem v sulade, ale kedze niektori prijimatelia na to nie su pripraveni, tak tu sluzbu pre nich prakticky odstavim. Naco som elektronizoval sluzbu, ak prepnutim formatu na svojej strane znemoznim alebo vyrazne obmedzim jej pouzitie. Prepnem to, a teraz budem mesiace cakat, kym si druha strana spravi domacu ulohu a vratim sa do stavu pred elektronizaciou? Kto spravi take rozhodnutie so vsetkymi dopadmi, ktore to ma?

Problem je ten (a je si toho vedomy aj UPVII a ma sa to riesit), ze tuto aktivitu mal niekto skoordinovat, a nie len publikovat poziadavku a termin.


#9

Len┼że deje sa in├í haba─Ć├║ra, f├ędrujeme technick├ę rie┼íenia, ktor├ę nie s├║ suladn├ę s nariaden├şm a jeho vykonavac├şmi predpismi.

Napr. S├║dne alebo ├║radn├ę rozhodnutie v origin├ílne bude v ┼ítandarde, ktor├Ż nariadenie nepozn├í. Pritom mali sme od roku 2015 dostatok ─Źasu prisp├┤sobi┼ą syst├ęmy.

Tak┼że teraz vych┼Ľlime stovky tis├şc rozhodnut├ş, pri─Źom aj tak budeme musie┼ą prisp├┤sobi┼ą syst├ęm nariadeniu.

─Żu─Ćom na eID nahr├ívame certifik├íty, ktor├ę idu pod─ża starej pr├ívnej ├║pravy, napriek tomu, ┼że u┼ż neplat├ş.


Podpisovanie dokumentov - moznosti
Podpisovanie dokumentov - moznosti
#10

Aj tak sa syst├ęmy musia prisp├┤sobi┼ą nariadeniu. Pr├ívne ├║─Źinky ├║radn├Żch elektronick├Żch dokumentov, ktor├ę nie s├║ s├║ladn├ę s nariaden├şm s├║ nulitn├ę, lebo OVM s├║ povinne komunikova┼ą v ┼ítandardoch a technick├Żch norm├ích pod─ża nariadnia.


#11

Ja ti neviem, bol by velky problem keby poslali aj ZEP aj tu novu vec?


#12

Samozrejme, ze bolo dost casu prisposobit systemy. Ale ak si producent system prisposobil a konzumenti nie, co ma chudak producent robit?
a) Moze si povedat, ze on si svoje povinnosti splnil, kaslat na ostatnych a nechat system vybuchnut.
b) Z vlastneho rozpoctu uhradi upravy systemov a procesov tak, aby to jednemu generoval tak a druhemu onak a zabezpecil kontinuitu sluzby aj pre tych, ktori si nespravili domacu ulohu. De facto je tak trestany za to, ze on si domacu ulohu spravil, nehovoriac o nezmyselnosti takehoto vydavku.
c) Spolahne sa na prislub od UPVII, ze to niekto dodatocne skoordinuje (co sa malo stat hned nazaciatku) a dufat, ze nebude trestany za stav, ktory nesposobil.

Ja ti neviem, bol by velky problem keby poslali aj ZEP aj tu novu vec?

Kto im zaplati upravu systemov? Kto im zaplati analyze toho, na co vsetko to bude mat dopad, ako sa zachovaju systemy, ktore ratali s tym, ze je niekde jeden vystup a zrazu su dva, kto im zaplati cas straveny nad tym, ze budu dumat, ake to ma pravne dopady (mam napr. 1 vstup a dve rozhodnutia aj ked obsahovo take iste), kto im zaplati zmenove poziadavky, pretestovanie integracie? Ja nehovorim, ze to je projekt na pol roka, ale preco si maju platit upravy svojich systemov, zvlast ak ma ist o docasne riesenie a sposobil to niekto iny? Nech MF povie, ze na to dostanu zvlast peniaze a mozu to spravit.


#13

Pokia─ż si pam├Ąt├ím, tak v ┼ítandardoch boli dos┼ą podrobne nastaven├ę prechodn├ę obdobia.

  1. od kedy musia v┼íetci vedie┼ą akceptova┼ą nov├ę form├íty pri prijat├ş podpisu,
  • do kedy bolo mo┼żn├ę pou┼ż├şva┼ą star├ę form├íty pri vytv├íran├ş podpisu,
  • do kedy musia v┼íetci vedie┼ą akceptova┼ą star├ę form├íty pri prijat├ş podpisu.

Ak by v┼íetci dodr┼żali 1., nebol by probl├ęm s postupn├Żm prechodom na nov├ę form├íty. Len┼że nie, tu e┼íte treba nejako detailne koordinova┼ąÔÇŽ


#14

Samozrejme, ze take veci treba koordinovat. Ked si niekto mysli, ze netreba, tu si moze pozriet vysledok bez koordinacie.


#15

Mozem vediet na zaklade coho si napisal ÔÇť─Żu─Ćom na eID nahr├ívame certifik├íty, ktor├ę idu pod─ża starej pr├ívnej ├║pravy, napriek tomu, ┼że u┼ż neplat├ş.ÔÇŁ. Si si isty, ze je to tak?


#16

A nielen to, je ofici├ílne deklarovan├ę, ┼że sa maj├║ k├│dy ku karte odovzd├íva┼ą. Z├íbavn├ę s tou na┼íou elektroniz├íciou.


Odovzdavanie cipovych kariet po skonceni pracovneho pomeru
#17
  1. od 15.10.2015
  2. do 14.10.2015 (in├ę sa m├┤┼żu pou┼ż├şva┼ą len ak sa zasielate─ż dohodne s prij├şmate─żom, s vedom├şm mo┼żn├Żch ┼ík├┤d a nezrovnalost├ş v ─Ćal┼íom konan├ş vypl├Żvaj├║cich z tak├ęho postupu)
    2.-3. ┼żia─ż, v pracovnej skupine a komisii pre ┼ítandardiz├íciu sa s├şce v roku 2014 ods├║hlasilo znenie s viacro─Źn├Żmi prechodn├Żmi obdobiami na prij├şmanie a do─Źasn├ę vytv├íranie star├Żch form├ítov, av┼íak toto sa nepremietlo do fin├ílnej legislat├şvy.

T├║to t├ęmu, rovnako ako ─Ćal┼íie s├║visiace s form├ítmi pou┼ż├şvan├Żmi pri podpisovan├ş, ur─Źite budeme rie┼íi┼ą aj v pracovn├Żch skupin├ích Komisie pre ┼ítandardiz├íciu pre informa─Źn├ę syst├ęmy verejnej spr├ívy, ktor├í sa presunula z MF SR do ├ÜPPVII a m├í nov├Ż ┼ítat├║t od 1.1.2017. Experti z danej oblasti m├┤┼żu by┼ą prizvan├ş na rokovanie, pr├şpadne m├┤┼żu by┼ą nominovan├ş niektor├Żm z ─Źlenov komisie.

Je mi jasn├ę, ┼że sa probl├ęm s nedodr┼żiavan├şm povinn├Żch form├ítov nevyrie┼íi s├ím od seba, ke─Ć┼że niektor├ę in┼ítit├║cie maj├║ obavu spusti┼ą vytv├íranie ASiC kv├┤li mo┼żnej neschopnosti in├Żch str├ín ASiC spracova┼ą a preto pou┼ż├şvaj├║ ZEPf pr├şpadne XZEP. Niektor├ę in┼ítit├║cie v ostrej prev├ídzke pou┼ż├şvaj├║ PAdES.

Poznámka:
Zachytil som v r├ímci r├┤znych diskusi├ş u┼ż aj tak├Ż n├ízor, ┼że pokia─ż je v s├║lade s eIDAS extern├Ż podpis CAdES alebo (detached) XAdES a s├║ spolu s podp├şsan├Żm dokumentom len vlo┼żen├ę v nejakej ÔÇť─żahko rozbalite─żnej ob├ílkeÔÇŁ (typu .eml, .zip a podobne), tak by sa v zmysle eIDAS mali povinne prij├şma┼ą.
Samozrejme vytv├íra┼ą by verejn├í spr├íva mala tie, ktor├ę predpisuje V├Żnos o ┼ítandardoch ─Ź. 55/2014 Z.z.


Komisia pre štandardy ISVS
#18

Origin├íly rozsudkov s├║dov s├║ dnes vo form├íte, ktor├Ż nie je s├║ladn├Ż s Nariaden├şm. Ak├Ż to m├í dosah na udr┼żiavanie t├Żchto rozsudkov nieko─żko desiatok rokov?

Dokonca nem├íme rozbehnut├║ zaru─Źen├║ konverziu.


#19

Je niekde verejne dostupn├Ż nejak├Ż rozsudok? R├íd by som urobil anal├Żzu s├║ladu s eIDAS pripadne aj s ISVS. Samozrejme by som ju tu potom postol.


#20

Sk├║s poda┼ą fikt├şvnu ┼żalobu na platobn├Ż rozkaz na s├║d v BB a v┼íetky dokumenty, ktor├ę ti s├║d po┼íle, bud├║ podp├şsan├ę elektronick├Żm podpisom, ktor├Żm sa podpisuj├║ rozsudky.