Red Flags: Slovensko v mobile

Red Flags Projekty
102

Prosim o prakticke vysvetlenie ako budeme fungovat my, co nam v eID koncia certifikaty k 31.12.2022, ak toto bude pouzivane iba na casti webov.

103

To je trošku iná ale súvisiaca téma čo sa práve rieši.

104

Skúsme sa posunúť do roviny faktov a nie na úroveň dezinformačného webu.

  1. Pruser, ktory sa riesi je, ze 31.12.2022 konci akasi certifikacia na eid a teda sa nebude dat uz robit KEP s OP. Vydat nove OP sa urcite nestiha.

Certifikácia eID karty založenej na CardOS V5.0 QES EAC V1.0 version V1.0 už skončila 26. júna 2021. Tam skončila jej 5-ročná certifikácia. To je v súčasnosti väčšina vydaných a stále platných eID a už nie je možné naň vydávať nové certifikáty pre kvalifikovaný e-podpis. Toto je len pokračovanie ságy z minulého roka. Ten kto si nestihol prevydať certifikát do 25.06.2021 si na ňu už ani nový certifikát nevydá. viď. napr.
napr. tlačová správa MV alebo EU TrustList

  1. Pruser, ktory sa riesi je, ze 31.12.2022 konci akasi certifikacia na eid a teda sa nebude dat uz robit KEP s OP. Vydat nove OP sa urcite nestiha.

31.12.2022 budú revokované resp. skončí platnosť aj pre momentálne platné certifikáty vydané na týchto eID kartách. Zas trošku k faktom aj s citáciou z MV:
Certifikáty pre elektronické podpisy na súčasných dokladoch vydané do 25. júna bude totiž možné používať až do konca roku 2022. viď. predchádzajúca tlačová správa.
Nie preto, že by sa karta “pokazila”, alebo sa stala menej bezpečná, ale na základe stanoviska NBU ako orgánu dohľadu nie je možné vytvárať na týchto kartách naďalej po tomto termíne kvalifikovaný elektronický podpis, pretože v podpise je uvedené, že podpis vznikol na QSCD zariadení, čo je jednou z podmienok na to, aby mohol byť vytvorený kvalifikovaný elektronický podpis. A táto karta, keďže už nemá platnú certifikáciu, tak ju nie je možné považovať naďalej za QSCD zariadenie a teda by dochádzalo k vytváraniu podpisov s príznakom, že podpis vznikol na QSCD, čo je sporné. Toto je interpretácia NBU a zároveň to nie je to presná formulácia (aktuálne nemám stanovisko k dispozícii), preto nedávam do úvodzoviek ako citáciu. Ja osobne si myslím, že by sa o tejto skutočnosti dalo polemizovať, pretože kľúče a certifikát vznikli na karte v čase, kedy ešte bola certifikovaná, ale to je tak všetko, čo sa s tým dá urobiť. Môžeme o tom polemizovať. Pokiaľ sa to niekomu nepáči, môže sa pokúsiť obrátiť na NBU ako orgán dohľadu a vyžiadať si stanovisko, prečo je to tak. Poskytovatelia kvalifikovaných služieb musia rešpektovať stanovisko NBU ako orgánu dohľadu.

  1. “Pruser”

Prúser to naozaj je alebo bude, pretože dôjde k ukončeniu platnosti cca. 450-500 tisíc certifikátov na súčasných eID, čo bude v podstate znamenať, že sa dostaneme z pohľadu elektronizácie verejnej správy prakticky do doby kamennej. Na druhej strane treba povedať, že momentálne sa vydávajú eID už nejakú dobu na nové eID karty s CardOS V5.4 a tieto eID karty bude možné aj naďalej používať. Tých je ale aktuálne vydaných relatívne málo (nemám aktuálne k dispozícii presné čísla - je to niekoľko tisíc, možno desiatok tisíc), v podstate sa jednalo o bežné výmeny dokladov po skončení ich platnosti, prípadne to mohli byť občania, ktorí nestihli pôvodný termín 25.06.2021 a teda sa dostali do stavu, že nemali platný certifikát na eID a ich jediná možnosť bola výmena dokladov.

  1. Vydat nove OP sa urcite nestiha.

Toto je trošku nadinterpretácia, ja osobne neviem posúdiť ani na to nemám relevantné podklady, ale vo všeobecnosti by sa dalo súhlasiť. Asi sa to nestihne. Rovnako nie celkom verím, že by tento nápor pracoviská dokladov zvládli. Určite nie pri nápore na konci roka resp. na začiatku nového, ak nastane “doba kamenná”.

  1. Plan MIRRI sa zda byt spravit “hack”, ze sa bude povazovat podpis z necertifikovaneho zariadenia za advanced signature a to sa bude povazovat za nas slovensky “kep”.

Rozhodne nebudem obhajovať MIRRI, ale toto je čistá dezinformácia. Takže skúsme trošku zodpovedne a vážne a hlavne vecne. Aký HACK preboha, čo to tu splietate? .

v zmysle EIDAS
EUR-Lex - 32014R0910 - EN - EUR-Lex

Článok 3 vymedzenie pojmov, body 10 - 12.

  • „elektronický podpis“ sú údaje v elektronickej forme, ktoré sú pripojené alebo logicky pridružené k iným údajom v elektronickej forme a ktoré podpisovateľ používa na podpisovanie;
  • „zdokonalený elektronický podpis“ je elektronický podpis, ktorý spĺňa požiadavky stanovené v článku 26;
  • „kvalifikovaný elektronický podpis“ je zdokonalený elektronický podpis vyhotovený s použitím kvalifikovaného zariadenia na vyhotovenie elektronického podpisu a založený na kvalifikovanom certifikáte pre elektronické podpisy;

Článok 26
Zdokonalený elektronický podpis musí spĺňať tieto požiadavky:
a) je jedinečne spojený s podpisovateľom;
b) umožňuje určenie totožnosti podpisovateľa;
c) je vyhotovený pomocou údajov na vyhotovenie elektronického podpisu, ktoré môže podpisovateľ s vysokou mierou dôveryhodnosti používať pod svojou výlučnou kontrolou, a
d) je prepojený s údajmi, ktoré sa ním podpisujú, takým spôsobom, že každú dodatočnú zmenu údajov možno zistiť.

Čiže to nie je žiaden HACK, ale niečo čo EIDAS pozná a na rozdiel od toho nezmyslu akým je klik sa to aj bežne používa.
(Klik nespĺňa podľa môjho názoru v zmysle EIDAS ani len podmienky pre obyčajný elektronický podpis - uvediem nižšie).

Ide v podstate o to, že pokiaľ by sa na eID, ktoré už nemá certifikáciu nachádzal kvalifikovaný certifikát (vydať kvalifikovaný certifikát je možné aj na zariadenie, ktoré nie je QSCD), bolo by možné z takéhoto zariadenia vytvoriť zdokonalený elektronický podpis založený na kvalifikovanom certifikáte. Nebude možné vytvoriť kvalifikovaný elektronický podpis, pretože nebude splnená požiadavka na kvalifikované zariadenie. No a to je aj prípad eID, ktoré stratilo certifikáciu.

  1. …a to sa bude povazovat za nas slovensky “kep”.

Toto je len Váš konštrukt, alebo to máte podporené aj nejakým relevantným dôkazom, že to má MIRRI v pláne “urobiť z toho slovenský KEP”?

Pretože podľa mňa to, čo píšete, je čistá sprostosť a zavádzate ľudí v priamom prenose.

Pokiaľ viem, tak sa naďalej budú vydávať nové eID tak ako sa vydávajú už teraz s CardOS 5.4 a zrejme čoskoro aj eID s CardOS 6.0 s NFC čipom (tam sa termín možno posunie kvôli čipovej kríze), ktoré certifikáciu majú, je stále platná a ešte pár rokov bude a na týchto bude možné naďalej vytvárať kvalifikované elektronické podpisy, teda KEP.

Navyše voči tomu by bolo možné v zmysle EIDAS na starých eID vytvárať iba zdokonalený elektronický podpis založený na kvalifikovanom certifikáte, ktorý je úplne bežný, pozná ho EIDAS aj slovenská legislatíva a napr. v Českej republike (tam sa nazýva “zaručený elektronický podpis”) plne postačuje na komunikáciu s úradmi. Tento fakt nerozporujú ani súdne rozhodnutia z ČR, ktoré práve podobné nezmysly akým je klik zmietli zo stola. Ak bude záujem, dodám podklad - stanoviská súdov v ČR, ale zacitujem aspoň z jedného:

Rozsudek Obvodního soudu pro Prahu 6 sp. zn. 18 C 198/2021, ze dne 13. 9. 2021:
„Nad to shora specifikované Nařízení eIDAS, které zavazuje všechny členské státy Evropské unie, tedy včetně Německa, jehož právo mělo být dle (údajně) akceptovaných všeobecných smluvních podmínek v této věci použito, a má přednost před vnitrostátní právní úpravou, vymezuje v čl. 25 předpoklady**„ kvalifikovaného elektronického podpisu“, které musí být naplněny, aby byla jednoznačně a nezaměnitelně určena (identifikována) podepisující se osoba. Jen takový elektronický podpis tedy může bez pochybností určit jednající osobu, která se na smlouvu podepsala.** Podle čl. 26 Nařízení eIDAS, upravující další elektronický podpis –„ zaručený elektronický podpis“, vyžaduje, aby byl jednoznačně spojen s podepisující osobou a umožnil její identifikaci. I tento podpis tak umožňuje se značnou úrovní důvěry identifikovat (ztotožnit) podepsanou osobu. Všechny ostatní elektronické podpisy je soud sice povinen přijmout jako důkaz (ve smyslu čl. 25 bod 1. Nařízení eIDAS), avšak bez dalších tvrzení a důkazů, které v dané věci nabídnuty nebyly, nelze mít za prokázané, že elektronický podpis je podpisem (údajně) jednající osoby. Jiné elektronické podpisy již identitu podepsané osoby nikterak nezaručují.

7. Klik - prečo podľa mňa nespĺňa ani len parametre pre obyčajný elektronický podpis:

Článok 3 vymedzenie pojmov, body 10 - 12.

  • „elektronický podpis“ sú údaje v elektronickej forme, ktoré sú pripojené alebo logicky pridružené k iným údajom v elektronickej forme a ktoré podpisovateľ používa na podpisovanie;

a) Pri podpise klikom nie sú k dispozícii žiadne údaje, ktoré podpisovateľ použiva na podpisovanie. Môžu byť k dispozícii údaje, ktoré používateľ používa alebo použil na prihlásenie. Ale nie na podpisovanie.
b) nie je možné sa tváriť, že niekto podpísal a teda autorizoval dokument v prípade, že po prihlásení dôjde k spojeniu dokumentu s jeho identitou. Toto namietal napr. aj v jednom rozhodnutí práve český súd.

Podle názoru soudu proto nelze za platný elektronický podpis považovat vypsání jména a příjmení v datové zprávě (emailu, např. formou tzv. emailové patičky), nebo uvedení přihlašovacího jména (tzv. ID nebo login) a zadání hesla ([příjmení]) spojené s následným„ odkliknutím“ určitého dokumentu na konkrétní internetové stránce, popřípadě odeslání SMS zprávy z mobilního telefonu určité osoby, telefonické potvrzení souhlasu nebo identity (prokazované nahrávkou hlasu), odeslání finančních prostředků z určitého účtu, zjištění IP adresy použité pro připojení k internetu a podobně. Nic z toho totiž z hlediska technologických vlastností samo o sobě objektivně neumožňuje jednoznačnou identifikaci podepsané osoby, vytvoření takových„ podpisů“ není pod výhradní kontrolou konkrétní (identifikované a autentizované) osoby.

Mohol by som isť aj ďalej, ale myslím, že toto by mohlo postačovať aj pri mojej slabšej právnej zdatnosti. Navyše citácia zo slovenského zákona je síce pekná, akurát že nariadenie EIDAS má prednosť pred vnútroštátnymi právnymi úpravami.
A ako vždy “diabol sa skrýva v detailoch” a práve tie detaily, ako by sa podpis klikom reálne realizoval v tej prezentácii akosi chýbajú, vrátane toho, koľko by to stálo a aké systémy by sa museli upraviť. To nie je len o jednom štátnom systéme. Navyše nestačí len skonštatovať, že “Spojenie autorizovaného dokumentu s identifikátorom osoby odosielateľa” s fajočkou má “veľa možností”, napr. autorizačná doložka. Právne dôsledky ani neriešim, podľa mňa už asi ani netreba.

1 Like
105

Mam na uvod jednu kontrolnu otazku. Sudite podla prezentacie, ktora je naschval skratena (lebo nie som fanusik slajdov kde je normostrana textu) alebo ste boli na vcerajsej pracovnej skupine a vypoculi ste si preco je zasadny rozdiel medzi pouzitim podpisov ako ich zamysla EIDAS a podanim cez statny system voci uradu samotnemu?

Debata o tom ci autorizacia klikom je alebo nie je dostatocna na nejake podania voci uradom, to je navrat pred rok 2017. Existuju mnozstva systemov, ktore takuto autorizaciu podani uz dlho robia, nezaznamenal som ziadne problemy.

Celu debatu o tom, ze autorizacia klikom nesplna nalezitosti nejakeho kvalifikovaneho/pokrocileho podpisu podla eidasu povazujem uplne za bludny smer diskusie. Nikto to ani netvrdi, nepoznam nikoho, kto by si to myslel. Autorizacia klikom sa nema pouzivat na autorizaciu dokumentov, ktore sa maju pouzivat mimo SR, mimo podani na urady alebo B2B scenaroch. EIDAS je komplikovany prave preto lebo ma uplne ine predpoklady.

Coho sa bojime? Ze si statny system kde sa vyrabaju podania vymysli nejake fiktivne podanie? Ved to rovno sa mozeme bat, ze nejaky uradnik za prepazkou si vymysli podanie v mojom mene.

Skvely vstup do konstruktivnej diskusie. :clap:

Ano toto viem, skratil som to lebo vysledok je podla mna rovnaky, vacsina ludi ma tie stare OP. Vacsina ludi to, ze im tam dokonca nefunguje ani prevydanie certifikatov zisti mozno tesne pred danovym priznanim (ak nebude masivna kampan).

Za hack to povazujem ja, lebo kedze ma vacsina sluzieb nastavenu uroven autorizacie na KEP, tak tento ich advanced signature by znamenal, ze bud sa to zacne nejakym sposobom povazovat plosne za nieco co slovenske urady budu dalej povazovat za KEp alebo bude plosne treba znizit uroven autorizacie pre sluzby (a to uz mozeme rovno spravit klik). Ale isto ste si len v rychlosti nevsimli, ze kep je tam v uvozovkach. Naschval. Lebo rozdielu medza AdSignature a KEP rozumiem.

Dalsie uvahy o velmi dolezitych certifikaciach a standardoch EIDASu a ako ich autorizacia klikom nesplna nebudem rozvadzat. Tato debata sa tu vracia ako bumerang a neviem posudit ci profesionali venujuci sa cely zivot podpisovaniu, ktore sluzi na uplne ine ucely (decentralizovane, liberalizovane prostredie, neuzavrete systemy) nevidia rozdiel v tom, ze ked sa niekde prihlasim do statneho systemu (uplne pod kontrolou statu) a svieti tam JAN SUCHAL a niekde kliknem, tak to je autorizacia z pohladu klienta uplne ekvivalentna tomu ako ked dnes pridem do statneho systemu (slovensko.sk) a kliknem ze to chcem podpisat a otvori sa mi statny podpisovac (dsigner) a nieco tam podpisem. V oboch pripadoch uplne doverujem sw, ktory mi stat poskytol, ako pouzivatel nemam sancu overit ci to robi to co to robi. Tento alibizmus ITckarov je skor na pivo. Mozeme sa bavit o nuansoch vektorov utokov cez nejaky browser a desktopovu aplikaciu, ale stale majme na pamati, ze toto su vsetko ukony kde je potrebny vl. podpis. Cize teraz hned zoberiem A4, napisem tam, ze chcem pristavit velkokapacitny kontajner na ulici, podpisem sa ako Dusan Musak a hodim to do podatelne v obalke. Co myslite, ze sa stane? Toto pomocou autorizacie klikom neurobite.

106

Kedze autentifikacia je aspon na urovni pokrocila, co v pripade slovensko v mobile znamena prvotne sparovanie cez eid (uroven vysoka) alebo mozno v buducnosti stotoznenie na poste, tak mi pride, ze tato citacia riesi uplne nejaky iny pripad, lebo tu je osoba identifikovana a autentifikovana pomerne dosledne.

107

Cielom prezentacie nebolo vycislit dopady, mozem vas ubezpecit, ze presne toto je cielom diskusii s MIRRI prave teraz.

108

Skvely vstup do konstruktivnej diskusie. :clap:

Ja rovnako tlieskam urovni Vasho prispevku. Napisat, ze sa nebude dat robit KEP cez OP, MIRRI ze robi slovensky HACK a zo zdokonaleneho podpisu robi slovensky KEP - to je na urovni prvej strany bulvarnych novin. Sice sa neskor dozvieme, ze to bolo myslene uplne inak, ale publikum sme zaujali. A nasledne, ze plan je - ze klikom sa zbavime podpisovacov uplne, tak k tomu nie je co dodat. Snad len tolko, ze je to blud a navyse to aktualne nijako neriesi problem s eID k comu mal prispevok smerovat. S podanim napr. na danovy urad alebo vyuzitie inych sluzieb statu, kde sa vyzaduje podpis, ktory jednoznacne preukazuje, ze sa jedna o podpisovanu osobu a ze sa jedna o prejav jeho vole prostredkami, ktore ma pod svojou kontrolou to nijako nepomoze.

Za hack to povazujem ja, lebo kedze ma vacsina sluzieb nastavenu uroven autorizacie na KEP, tak tento ich advanced signature by znamenal, ze bud sa to zacne nejakym sposobom povazovat plosne za nieco co slovenske urady budu dalej povazovat za KEp alebo bude plosne treba znizit uroven autorizacie pre sluzby

To to je prave omyl. Nic nemusi byt plosne, prave naopak. Overovace uz dnes dokazu zistovat, ci sa jedna o kvalifikovany alebo len zdokonaleny el. podpis zalozeny na kvalifikovanom certifikate.
Jediny problem MobileID je, ze z neho v mobile nikdy nedostanem KEP, lebo vyrobcovia mobilu nedaju certifikovat mobil ako QSCD zariadenie, ked maju kazdy rok novy model a navyse ich maju 10. A napriek tomu, ze mobily dnes bezne obsahuju secure chip, kde je mozne bezpecne ulozit kluce, ktore su neexportovatelne a bezpecne ulozene, podpis z mobilu aj ked s kvalifikovanym certifikatom prave kvoli chybajucej certifikacii na QSCD zariadenie nikdy nebude kvalifikovany. To je totiz jedina vec, ktoru nedokazem s mobilom naplnit, aby som vyrobil KEP. Mobil nie je QSCD. Ale zdokonaleny podpis s kvalifikovanym certifikatom z toho v pohode dostanem. Bude interoperabilny a nevymyslam slovenske riesenie. Udaje z certifikatu a teda identitu garantuje CA, aj v zmysle EIDAS ma pravnu vahu aj SK legislativy ma jasnu pravnu vahu, aj ked nizsiu ako KEP a evidentne ho uznavaju aj sudy. Rovnako ako sa dnes vytahuju udaje z kvalifikovaneho certifikatu pri KEPe roznymi systemami automaticky, by sa mohli vytahovat aj pri zdokonalenom podpise, lebo certifikat v tom podpise bude uplne rovnaky a teda kvalifikovany a kludne aj s RC, ak treba, lebo eGov bez toho nevie fungovat.

Ziskam tym teda pohodlie pre uzivatelov, ktory vyriesia problem aj mobilom, mam interoperabilne riesenie v ramci EU a uroven pravnej istoty, ktoru evidentne potvrdzuju aj sudy. Na kataster pri prevode majetku to mozno stacit nebude, ale na to, co ma akoze riesit klik - s absolutnym prehladom, navyse je to riesenie, kde nepotrebujem ucit systemy, ako vytiahnut identitu z dorucenky, ako to cele overit a je to schodna cesta aj pre komercny sektor. HR v case covidu bezne pracovali s podpisom prac. zmluv s takouto urovnou podpisu. Ja nezuzujem elektronizaciu len na eGov a ked vie stat pomoct elektronizacii vseobecne, bude to len dobre. Nechem dalsi SK experiment ako podpisove politiky v podpise, kde sme si vymysleli a nasledne z toho uspesne cuvali ako sa len dalo. Nechcem riesit len uzke portfolio komunikacie obcana s eGov, chcem aj riesenie pre obcana s bankou, poistovnou, mobilnym operatorom. A zjavne to v Cechach staci aj uradnikom. Aj ceskym sudom.

Cize teraz hned zoberiem A4, napisem tam, ze chcem pristavit velkokapacitny kontajner na ulici, podpisem sa ako Dusan Musak a hodim to do podatelne v obalke. Co myslite, ze sa stane? Toto pomocou autorizacie klikom neurobite.

Neviem co sa stane, su dve moznosti: bud to budu alebo nebudu akceptovat. Ale rovnako polozim protiotazku:
Ked nikto podpis nekontroluje, co sa podla Vas stane v pripade, ze pouzijem mail. Uplne rovnako ako ked minuly rok FS stacilo na podanie ziadosti o odklad danoveho priznania poslat mail s udajmi. Tento rok to bolo treba znovu vyplnit rucne a podpisat, aj ked podpis nikto nekontroluje a neoveruje. Alebo ked na mesto ci obecny urad stacilo poslat ziadost o vydanie volebneho preukazu s udajmi a adresou mailom. Co sa stalo vtedy? Tam odpoved poznam. A nepotreboval som klik. Staci, aby sa uradnici zamysleli nad tym, kde naozaj realne potrebuju podpis na urovni vlastnorucneho, uradne alebo notarsky overeneho a kde im uplne staci aj obycajny elektronicky podpis - co je aj mail. Dnes vyzaduju KEP aj tam, kde predtym stacilo vlozit papier do podatelne uplne bez podpisu len s uvedenim mena a adresy alebo s tou “kuracou nohou” namiesto podpisu, lebo ju aj tak nikto nekontroloval.

Tak si povedzme, na co mi je klik, ked sa bavime o sluzbach, kde mi staci ako podpis kuracia noha alebo 3 kriziky alebo aj nic. Mail je aspon z pohladu EIDAS aj SK legislativy na urovni “elektronicky podpis”.

Zdokonaleny el. podpis na kvalifikovanom certifikate mi vyriesi vsetky bezne pripady veci s eGovom, kde by im nepostacoval mail a bude mi na to stacit mobil. A mozno zvysne 1 percento alebo skor 1 promile pripadov bude vyzadovat citacku, eID alebo ine QSCD zariadenie, lebo napr. kataster alebo podanie na sud si vyziada vyssiu uroven. Kolko takych pripadov zazije bezny obcan za zivot? Kolko krat ste ako obcan a nie konatel alebo firma boli overovat svoj podpis u notara? Ja spocitam za zivot na prstoch jednej ruky.

Na PS som nebol.

109

Pointa je, ze “vytvorenie podpisov nie je pod vyhradnou kontrolou identifikovanej a autorizovanej osoby” a jedine, co napr. ceske sudy uznavali, bolo to, ze za podpis povazovali bud KEP alebo zdokonaleny el. podpis. Nic ine. Takze treba aj OVM pripadne NASES pripravit na to, co ich potencialne caka v pripade, ze dojde k sudnym sporom. Nech vedia do coho idu a ci im to stoji za riziko. A este raz zopakujem - klik podla mojho skromneho nazoru a vyzera ze nie len podla mojho, nie je riesenie. A podla mna to nie je ani len “elektronicky podpis”.

110

Navrhujem v tomto momente počkať na zápis PS, zbytočne by som to tu opakoval.

Ale absolútny súhlas s tým, že úroveň autorizácie treba pre úkony znižovať. Vy hovoríte že na adv signature, my že pre podania stačí klik (áno slovenský výmysel). Ak niekto chce fungovať elektronicky voči b2b nech si od vás kúpi to riešenie a môže používať. Nevidím dôvod na plošné nasadenie.

111

Prosim k tomuto, ano uznavam, ze to bolo v rychlosti, ale teda z kontextu je snad jasne, ze problem, ktory sa momentalne hasi je ten, ze ludia maju vacsinou stary OP, ktorym KEP po 31.12. nevyrobia a vymenit sa to nestihne.

Co sa tyka toho hacku, tak skuste mi odpovedat na jednoduchu otazku. Povedzme, ze spravime teda advanced signature na zalozeny kvalifikovanom certifikate (t.j. mimo qscd). Co hovori o takomto podpise slavny eidas? Je to ekvivalentne vlastnorucnemu podpisu? Ak nie, tak potom o akej interoperabilite a pravnom ramci v EU a SK sa tu rozpravame? Obciansky zakonnik nepozna nic taketo. Vyzaduje KEP.

112

V skratke

  1. Interoperabilita v EÚ v zmysle podporovaných formátov podpisu a ich overiteľnosti a akceptovateľnosti v rozpore s SK riešením kliku.

  2. Občiansky zákonník, Paragraf 40 odstavec 4 a 5. Písomná forma.

Ale túto debatu sme už spolu viedli a nikam to neviedlo rovnako ako táto diskusia, v ktorej nemá zmysel pokračovať.

Ale aspoň sa mi podarilo uviesť na pravú mieru to, aký je problém s eID a ako ho klik nevyrieši.
Odporúčam prečítať si rozhodnutia súdov resp.odôvodnenia, ktoré som uviedol vyššie aj vo vzťahu k zdokonalenému el.podpisu a ako s nimi súd nakladá. Nech si každý urobí záver sám.

113

Kolko podani voci SK uradom potrebujeme interoperabilne v EU ramci? Hm?

(4) Písomná forma je zachovaná, ak je právny úkon urobený telegraficky, ďalekopisom alebo elektronickými prostriedkami, ktoré umožňujú zachytenie obsahu právneho úkonu a určenie osoby, ktorá právny úkon urobila. Písomná forma je zachovaná vždy, ak právny úkon urobený elektronickými prostriedkami je podpísaný zaručeným elektronickým podpisom alebo zaručenou elektronickou pečaťou.

(5) Na právne úkony uskutočnené elektronickými prostriedkami, podpísané zaručeným elektronickým podpisom alebo zaručenou elektronickou pečaťou a opatrené časovou pečiatkou sa osvedčenie pravosti podpisu nevyžaduje.

Kde tu vidite vase riesenie s advanced signature zalozene na kvalifikovanom certifikate?

Inak, neodpovedali ste jednoduchu na otazku.

Osobne si myslim, ze ste tu uviedli len marginalne upresnenia, ktore na podstate veci nic nemenia. Jedine co uvadzate je alternativne riesenie (advanced signature zalozene na kvalifikovanom certifikate), ktore sucasny stav s podpisovacmi betonuje a oddaluje riesenie podani na mobile lebo bude vyzadovat dalsie naklady pri implementacii do slovensko v mobile. Autorizacia klikom ziadne nove naklady na strane SVM nevyzaduje.

114

Neviem ci som dobre pochopil info z MVSR, ale ja napr. chapem info ze ti co sme si stihli prevydat certifikat pred 26. junom budeme musiet po 31.12.2022 za vymenu eID karty platit. Pricom my sme nezavinili ze nasa eID karta uz nema platnu certifikaciu. Malo by sa uvazovat ze u tychto drzitelov eID by sa mala vymena udiat zdarma. Uz cakanie v rade na vymenu je urcitym sposobom obtazovanie, kedze sme pri vydavani eID karty neboli na tuto skutocnost upozorneni.

Ak by si mohol posli mi dajake a ak mas aj z inej krajiny eu - mna to celkom zaujima.
Ano mozeme sa tu bavit ako je podpis komplikovany a obtazuje, aj pravne stanovisko si ktomu vyziadat, ale prave tieto sudne rozhodnutia su to co skutocny zivot prinasa. Lebo az tu sa naostro rozhoduje a jedna strana sporu vzdy ide zo sudu s dlhym nosom. AQ tu uz ide spravidla o peniazky.

Ono s tym KEPom pri podaniach to nie az take tragicke sam som si povodne myslel ze vacsina podani sa musi podpisovat, ale potom tu platforme bola zverejnena statistika a z nej bolo vidiet ze KEP sa vyzaduje v celkom malom pocte podani.
Ak oddelime autentifikaciu od autorizacie, ktora moze byt KEPom a alebo inym sposobom ak sa KEP nevyzaduje. V pripadoch kedy zakon vyzaduje KEP ponechajme KEP a tam kde sa nevyzaduje zakonom autorizacia kepom moze byt autorizacia inym sposobom. Kludne klikom alebo opakovanym zadanim boku.
A mozno pri rozhodovani o tom kedy sa ma pouzit autorizacia KEPom by prave mali hrat dolezitu ulohu aj podobne stanoviska sudov, lebo akakolvek autorizacia je OK len dovtedy pokial nedojde k sporu a niekto ju nezacne spochybnovat.
Ja som tu troloval na temu podavania podani firmy voci statu, kde moze niekto napriklad odoslat ziadost o dotaciu, kde sa akoby “sekne” v pocte nul v sume ktora ma deklarovat jeho narok na vyssiu dotaciu. A pri sude bude v pripade ak nepodpisal ziadost kepom tvrdit ze on urcite napisal sumu spravne a druha strana teda stat nech dokazuje ze nedoslo k omylu na jej strane. A stat bude tvrdit ze na jeho strane nemohlo dojst k pochybeniu za ziadnu cenu, ale ak nebude mat v rukach jasny technicky prostriedok, bude to len tvrdenie proti tvrdeniu. (niekedy nejde len o to kade som to podal a s akou pravdepodobnostou som to bol ja ale najma o to ake udaje som podal a dokaz ze som to bol prave ja a ze k ""chybe doslo na mojej strane v - mojom zariadeni (KEp sa deje u mna v pocitaci vzdy)…)
K napisaniu tychto prikladov ma prave viedlo jedno z takychto sudych rozhodnuti na ktore som kedysi narazil. To som este netusil k podobnemu zneuzivaniu takychto ziadosti naozaj pri kovide aj skutocne doslo.

115

Tak pokracujme, aj ked som uz nemal chut:

Kolko podani voci SK uradom potrebujeme interoperabilne v EU ramci? Hm?

Je uplne jedno, kolko. Podstatne je, ze klik je slovensky unikat, s ktorym v inej krajine nic neurobim. Takze tu zavadzame nieco, co je vyuzitelne akurat lokalne. Rovnako ako s nim nic neurobi nikto, kto by chcel riesit nieco s SK uradmi, ale nie je z SK a teda nema SK eID. Aj o tom je interoperabilita.

Občiansky zákonník, Paragraf 40 odstavec 4 a 5. Písomná forma.

Obciansky zakonnik odstavec 4: Pisomna forma je zachovana ak je pravny ukon:

  1. urobeny elektronickymi prostriedkami
  2. ktore umoznuju zachytenie obsahu pravneho ukonu
  3. urenie osoby, która ikon vykonala

A teraz poziadavky na zdokonaleny el.podpis:

a) je jedinečne spojený s podpisovateľom;
b) umožňuje určenie totožnosti podpisovateľa;
c) je vyhotovený pomocou údajov na vyhotovenie elektronického podpisu, ktoré môže podpisovateľ s vysokou mierou dôveryhodnosti používať pod svojou výlučnou kontrolou
d) je prepojený s údajmi, ktoré sa ním podpisujú, takým spôsobom, že každú dodatočnú zmenu údajov možno zistiť.

Bod 1 - naplna definicia pre c) vyhotoveny pomocou údajov na vyhotovenie elektronického podpisu
Bod 2 - naplna bod d)
Bod 3 - naplna poziadavka a) a b) a c) a to dokonca s vysokou mierou, pri kvalifikovanom certifikate identitu osoby osvedcuje aj CA

Z coho vyplyva, ze pisomna forma je zachovana v pripade, ze pouzijem zdokonaleny elektronicky podpis. V pripade sudneho sporu by sa musela preukazovat, ale na rozdiel od inych sposobov autorizacie je dokazatelna relativne lahko a doveryhodne. To nehovorim len ja, potvrdzuju to hlavne aj rozhodnutia sudov. Tak co chcete este spochybnovat. Prosim opytajte sa nejakeho pravnika, lebo toto je stale dokola.

Jedine co uvadzate je alternativne riesenie (advanced signature zalozene na kvalifikovanom certifikate), ktore sucasny stav s podpisovacmi betonuje a oddaluje riesenie podani na mobile lebo bude vyzadovat dalsie naklady pri implementacii do slovensko v mobile. Autorizacia klikom ziadne nove naklady na strane SVM nevyzaduje.

Ja som neuvadzal alternative riesenie, ale vysvetloval, o co sa pravdepodobne snazi MIRRI na rozdiel od nezmyslov, z ktorych ste MIRRI obvinili. Zdokonaleny el. podpis nic nebetonuje. Prave naopak. Konecne by sme mohli fungovat aj v pripade, ze karta uz nema certifikaciu. Miera overitelnosti podpisu a toho, ci pisomna forma bola alebo nebola zachovana, je jasne definovana.

A to, ci autorizacia klikom vyzaduje alebo nevyzaduje dodatocne naklady na strane SVM, podatelni, OVM alebo inych organov statu, to nech posudi MIRRI. Ja tento Vas optimisticky nazor nezdielam.

Sam ste tvrdili, ze o tom s MIRRI diskutujete. O nakladoch.

Cielom prezentacie nebolo vycislit dopady, mozem vas ubezpecit, ze presne toto je cielom diskusii s MIRRI prave teraz.

116

Toto neviem, ci je naozaj tak. Ja osobne dufam, ze za to sa platit nebude musiet. Ak by to tak bolo, tak je to este o “pruser” naviac.

117

Prave naopak je to uplne klucove. Navyse autorizacia kliknutim sluzi na podania voci SK uradom, preco by som chcel s tym robit nieco na urade niekde inde v EU? Toto nedava ziadny zmysel. Ked sme pri tom, tak schvalne. Podpisem slovensky formular + datacointainer krasnym EIDAS 432x certifikovanym riesenim. Co s tym kde kto v EU spravi? Ved to nevedia ani nase urady niekedy otvorit. :smiley: Toto su uplne haluze, co tu pisete o tej bajnej interoperabilite v EU. To ciel nikdy nebol, nie je a povazujem to za uplne bludny smer, keby sa tam niekto vybral.

Autorizacia kliknutim vyzaduje autentifikaciu na urovni pokrocila, mam za to, ze akekolvek prihlasenie v eidase na urovni pokrocila umoznuje voci sk uradom fungovat uplne v pohode ak sa subjekt z toho prihlasenia da identifikovat. Ziadny problem, presne naopak ako pisete. Dokonca kazdy, kto ma dnes integraciu na IAM UPVS, kde je eidas prihlasovanie to moze vyuzivat uz dnes.

Zdokonaleny podpis na eid - betonuje eid karty, podpisovac a ich pouzitie v state. Je to hack ako dalej fungovat so sucasnym eid, lebo MIRRI extremne podcenilo situaciu. Zachovava status quo a neumozni fungovat na mobile, lebo… no schvalne, co by sa muselo udiat, aby sme vedeli urobit trapne podanie vseobecnej agendy na mobile? Navrhovany Adv signature na karte to NIJAKO neumoznuje. Ake naklady budu na zavedenie riesenia, ktore vyrobi adv signature na mobile na UPVS, rezortnych portaloch?. Skuste toto rozmenit na drobne.

Ja vam odporucam skusit nasledovny prakticky test: Podpiste nejaku banalnu ziadost, kde napr. banka vyzaduje vlastnorucny podpis podpisat s vasim riesenim, ktore je zalozene na advanced signature a potom sa mozeme zacat bavit o tom, ze ci to bude alebo nebude fungovat v komercii.

Hovoril som vylucne o SVM. Cize opat skuste este raz, co by sa muselo udiat, aby sme mohli od 31.12.2022 podpisovat nieco na mobile. Ja tvrdim, ze s autorizaciou kliknutim okamzite so sputenim SVM (snad teraz v juni) moze kto chce fungovat vyuzivanim paragrafu o autorizacii klikom. Jedine co musi vediet je to, ze ak to posle upvs, tak precita autorizacnu dolozku (co je standardny formular, ktory musi vediet vizualizovat uz dnes). O akych hroznych nakladoch sa tu bavime? Ved povedzte konkretne. Problem budu mat len agendy, ktore su hromadne a automatizovane spracovane. Tieto MIRRI momentalne podla dat z pouzivania na UPVS identifikuje a vobec to nevyzera nejako hrozivo, prave naopak.

Momentalne to tak je. Platny OP vam len tak nevymenia za novy bez poplatku.

Stale tu nevidim odpoved na otazku, takze ju zopakujem. EIDAS povazuje podpis vytvoreny s advanced signature zalozenom na kval. certifikate za vlastnorucny podpis?

Ak ano, prosim si citaciu. Ak nie, o akej interoperabilite v EU ramci sa bavime? Co s tym v EU budem vediet vybavit? Kolko takychto veci obcania SK rocne alebo za cely svoj zivot riesia?

118

Prakticky test som vykonal. S poistovnou. Preslo. Bez problemov. Dononca mame nepotvrdene info, ze preslo aj na uradoch.

119

K tomu co je alebo nie je bludny smer, si skuste pozriet napr. toto. Odporucam obzvlast uplny koniec, kde

AES: Know exactly who signed what and when
While there are some local differences, the report found that the main European standard for electronic signatures is advanced electronic signatures (AES). These are incredibly beneficial as they cover most of the requirements for electronic signatures across European countries

Tolko k tomu, co je a co nie je brudny smer.

120

Stale dokola, EIDAS sluzi primarne na b2b, tam je situacia zasadne ina, kedze ide o decentralizovane prostredie. Ale teda som rad, ze sa hybeme. Nebolo to tak davno, co predstavitelia kartickovych firiem svato svate tvrdili, ze QSCD je uplna nevyhnutnost, bez toho je to strasne nebezpecne. Dnes sa zda, ze uz staci nejaky Adv. Signature, ktory si nakopirujem kam sa mi zachce. Este chvilku tomu davam a uz mozno aj ten klik bude na podania voci sk uradom v pohode. Kto chce robit nieco v eu, nech si kupi za 10 korun nieco od disigu, ditecu alebo tisic inych firiem v eu a moze pouzivat. Nevidim najmensi dovod preco by sme to tu mali robit plosne.

121

Tak to vam gratulujem, lebo ste mali asi stastie. Mne ani KEP vacsinou nechcu zobrat, ktory je v zakonniku explicitne pomenovany.

Ale teda asi vam v rychlosti opat (4x) unikla moja otazka, takze ju tu zopakujem.