Z postu, ktory dnes @jsuchal zverejnil na svojom FB profile usudzujem, ze zivnostensky register mu poslal elektronicky podpisane rozhodnutie, ktore nevedel jednoducho otvorit na Linuxe, pretoze podpisany dokument je ulozeny v ZEPf kontajneri (je to subor s priponou .zep). Osobne zastavam nazor, ze OVM by dnes uz ZEPf kontajner nemali pouzivat, pretoze existuje medzinarodne uznavana a standardizovana alternativa v podobe ASiC kontajneru a tiez preto, ze im za to podla mna hrozi pokuta zo strany NBU.
Co si treba uvedomit skor nez budete citat dalej:
To, ze ten subor ma priponu .zep ani to, ze ZIP archiv s podpisanym dokumentom sa technicky nazyva ZEPf kontajner vobec, ale NAOZAJ VOBEC neznamena, ze by podpis vytvoreny zivnostenskym registrom nutne musel byt nejaky “stary” ZEP a teda by to nebol nejaky “novy” KEP. Podpisovu strukturu ani jej format tu vobec neriesme. Riesme len format ZIP archivu, v ktorom je ulozeny podpisany dokument (.rtf subor) a podpis (.p7s).
Co je to ZEPf kontajner:
ZEPf kontajner (.zep subor) je ZIP archiv, ktory sa pouziva na spojenie suboru s podpisanym dokumentom (.rtf .pdf .txt alebo cokolvek ine) a suboru s elektronickym podpisom (.p7s subor). Tento format je definovany v informativnej prilohe standardu Formáty zaručených elektronických podpisov, ktory vydalo NBU SR. Jedna sa teda o cisto slovensky format, v ktorom je skrytych viacero technickych prekvapeni, no napriek tomu bol v slovenskej statnej sprave hojne pouzivany.
Cvicenie pre technicky zvedavych: Pripravil som priklad .zep suboru, v ktorom som zamerne invalidoval podpis vymazanim rodneho cisla z certifikatu. Zmente si koncovku suboru na .zip a skuste v archive najst podpisany dokument hello.txt. Good luck! Hint: Jano popisal postup na svojom FB profile.
Co je to ASiC kontajner:
ASiC kontajner (moze mat koncovky .asice .sce .asics .scs alebo .zip) je ZIP archiv, ktory sa tiez pouziva na spojenie suboru s podpisanym dokumentom a suboru s elektronickym podpisom - teda na to iste, na co sa pouziva slovensky ZEPf kontajner. Definuje ho specifikacia ETSI TS 102 918 vydana europskym institutom ETSI a je pouzivany vo viacerych krajinach EU. Z technickeho pohladu tiez nie je uplne idealny (tiez ma par prekvapeni), ale dovolim si tvrdit, ze oproti ZEPf kontajneru je lepsi.
Cvicenie pre technicky zvedavych: Pripravil som priklad .asice suboru, v ktorom som zamerne invalidoval podpis vymazanim rodneho cisla z certifikatu. Zmente si koncovku suboru na .zip a skuste v archive najst podpisany dokument hello.txt. Ovela lahsie, ze?
Preco by OVM nemali pouzivat ZEPf kontajner:
Používanie elektronického podpisu od 1.7.2016 upravuje na európskej úrovni Nariadenie Európskeho parlamentu a Rady č. 910/2014 z 23. júla 2014 (ďalej len eIDAS), z ktorého vychádza slovenský Zákon č. 272/2016 Z.z. o dôveryhodných službách (ďalej len zákon).
Zákon v § 14 ods. 4 obsahuje nasledujuci text:
Úrad uloží pokutu do 3 000 eur orgánu verejnej moci, ktorý sa dopustí správneho deliktu tým, že vytvorí kvalifikovaný elektronický podpis alebo kvalifikovanú elektronickú pečať vo formáte, ktorý nie je v súlade s prílohou vykonávacieho aktu Komisie vydaného podľa čl. 27 ods. 5 a čl. 37 ods. 5 nariadenia (EÚ) č. 910/2014.
Laicky to chapem tak, ze ak OVM podpisuje v inom formate nez povoluje eIDAS, tak sa dopusta spravneho deliktu, ktory by mal riesit NBU. Podme sa teda pozriet na odkazovane casti eIDAS a overit si, ci schvaluju ZEPf kontajner.
eIDAS v čl. 27 ods. 5 odkazovanom z § 14 ods. 4 nasho zakona obsahuje nasledujuci text:
Komisia do 18. septembra 2015 prostredníctvom vykonávacích aktov vymedzí referenčné formáty zdokonalených elektronických podpisov alebo referenčné metódy pre prípady, keď sa používajú alternatívne formáty, pričom zohľadní existujúcu prax, normy a právne akty Únie. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2
V čl. 37 ods. 5 tiez odkazovanom z § 14 ods. 4 nasho zakona obsahuje nasledujuci text:
Komisia do 18. septembra 2015 vymedzí prostredníctvom vykonávacích aktov referenčné formáty zdokonalených elektronických pečatí alebo referenčné metódy pre prípady, keď sa používajú alternatívne formáty, pričom zohľadní existujúcu prax, normy a právne akty Únie. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2
eIDAS teda formaty priamo nedefinuje, ale odvolava sa nejaky vykonavaci akt, ktorym je podla mna Vykonávacie rozhodnutie Komisie (EÚ) 2015/1506 z 8. septembra 2015. To obsahuje odkazy na technicke normy:
- Základný profil XAdES podla ETSI TS 103171 v.2.1.1
- Základný profil CAdES podla ETSI TS 103173 v.2.2.1
- Základný profil PAdES podla [ETSI TS 103172 v.2.2.2]
(http://www.etsi.org/deliver/etsi_ts/103100_103199/103172/02.02.02_60/ts_103172v020202p.pdf) - Základný profil podpisového kontajnera vo formáte ASiC podla ETSI TS 103174 v.2.2.1
ZEPf kontajner som tam nikde uvedeny nenasiel.
Co s tym:
-
Bolo by super, ak by sa niekomu chcelo mnou popisany pohlad na vec verifikovat a ak je nespravny, tak ho opravit. Mozno som si nieco nevsimol, mozno neviem o nejakej uprave, prechodnom obdobi alebo niecom podobnom.
-
Nie som v tychto veciach zbehly a nie som ani pravnik, takze neviem aky je spravny postup, ale napadlo mi, ze by Jano ako prijemca v uvode spominaneho dokumentu podpisaneho OVM mohol podat podnet na NBU (dokument samozrejme prilozit ako dokaz), aby zacalo vytvorenie podpisu zivnostenskym registrom riesit v zmysle § 14 ods. 4 zakona 272/2016 Z.z. o doveryhodnych sluzbach ako spravny delikt. Podla mna by z toho mohlo vzist oficialne stanovisko upravujuce dalsie pouzivanei ZEPf kontajnera.
Co vy na to?