Elektronicke_sluzby_GA_detail_sluzby.xlsx (62.3 KB)
Mozno k tejto diskusii pomoze - 250 najnavstevovanejsich sluzieb v lokatore na UPVS za rok 2021. Bolo by fajn vediet aka uroven podpisu je vyzadovana na ktoru z nich.
Myslim, ze to tu bolo rozoberane uz vela krat. Z mojho pohladu to s jednoduchostou riesenia nema nic spolocne - ide o nejake politicke rozhodnutie, ktore sa stalo a teraz je uz zbytocne to riesit.
Ja pridam este inu tabulku z UPVS. Podania co lezu cez G2G.
Formulare štatistika EGOV application - Message Type (1) (1) (1).xlsx (116.2 KB)
Poznamka: Pozor, diabol je v detailoch a niektore z tych podani sice autorizovane su, ale moze ist napriklad v pripade zalob o hromadne podania, ktore sa autorizuju mandatnym certifikatom (nic sa nemeni 31.12.) alebo ide najskor o profesionalnych zakladacov firiem/advokatov/notarov, ktori si v pohode novy eid vybavia, ak bude treba.
Necital som celu vasu diskusiu o autorizacii klikom, riesil som len interoperatibilitu podani autorizovanych klikom a to, ze klik je pre vacsinu postacujuca uroven …
To, ze pocas pandemie stacilo uradom poslat podania mailom je samozrejme zvlastne, hlavne pri tych kde pozaduju KEPy…
Ale problem je v tom, ze to je zle nastavene v osobitnych zakonoch, lebo gestori predpisov v nich riesili somariny typu “zriaduje sa IS” alebo “podanie sa da urobit cez elektronicke sluzby”…
samozrejme s odkazovanim na zakon o egovernemnt, ktory v case nasadzovania OPIS projektov poznal len podanie autorizovane ZEPom …
Klik nie je a nikdy nemal byt alternativou voci KEPu, ktory sa ma pouzit vsade tam kde zneuzitim identity hrozia majetkove alebo financne skody, cize kataster, auta, prepis obchodnych podielov a pod.
Ok, ospravedlnil si si to whataboutizmom, na ten som zvyknutý, ale konšpirácie sú pre mňa už silná káva. Degradovať názor druhej strany na “a koniec sveta je blízko”…dá sa to samozrejme aj otočiť…ale načo?
Ano, tam som aj ja spokojný. Tam, kde to ide a dáva zmysel(právne), pokojne aj emailom. Pointa? Načo investovať do nejakého “hacku”, ktorý nás nikam právne neposunie oproti emailu resp. posunie akurtát zase od štandardov (viď. nápad “doložka”, akoby sme tých lokálnych neštandardov nemali už dosť + vyvolá to nezmyselné investície na strane ÚPVS a na strane systémov OVM).
Mne umelé hľadanie problémov príde ako nárek. So samotným eIDAS nie je žiaden problém. Miesto hľadania cesty ako zo slovenska.sk urobiť niečo použiteľné v zmysle EÚ štandardov sa bojuje za partizánčinu, ktorá ani nie je vymyslená a každý týždeň ma inú technickú realizáciu, takže sa ani nie je k čomu vyjadrovať. Kľudne, strielajme subjektívne obvinenia, to pomôže
Skusme toto rozmenit na drobne v kontexte advanced signature.
Autorizacia klikom:
Adv.signature:
Na co som zabudol? Lebo mne to vychadza stale extremne v prospech aut. klikom.
Presne tak. Dáva to zmysel tam, kde vieme že vyžadované bezpečnostné záruky sú nízke. Toto už úrady mnoho rokov riešia, potreba bezpečnosti - resp. nízke riziko veľkých nákladov pri probléme - je rovnaká aj pri listinných podaniach. V listinnom svete, ak “náležitosťou podania je vlastnoručný podpis” a nič iné, tak potreba autenticity a nepopierateľnosti je nízka. Na týchto podaniach v listinnej forme sa autorizácia / vlastnoručný podpis pri štandardnom spracovaní nijako neoveruje a identita podpisujúceho nie je uvedená v podpise, ale v texte podania. Presne pre túto úroveň podaní je v §23.1.a.1 z.305/2013 umožnené autorizovať “použitím na to určenej funkcie informačného systému”, ľudovo “autorizácia klikom”. Imho veľmi rozumne zvolená hranica. Právne to dáva zmysel už samotným zavedením do zákona.
Autorizácia klikom je absolútne “lepšia ako mail”. Identita autorizujúceho je overená na úrovni podľa štandardov (aha, je to dokonca kompatibilné s eIDAS!). Napr. pri AdES a dokonca aj QES (KEP) “podľa eIDAS” môžem mať certifikát, v ktorom je povedzme môj pseudonym (viď. napr. čl.3.13, alebo príloha I.c) nariadenia). Z toho vidno, že pri autorizácii klikom je dokonca lepšie overená ako pri KEP (keď porovnáme najhoršie prípady). Príklad: sedím v Španielsku, mám certifikát s menom “Karol Novák”, podpíšem ním nejaké podanie: ako úrad v SR zistí, ktorý Karol Novák to autorizoval? Ako mu to viem zo Španielska jednoducho preukázať?
No a sme späť pri prízemnej komunikácii. Akýže “hack”? Normálne národné riešenie, dobré, jednoduché, používané. Keď sme v rovine komunikácie “načo hack”, tak podľa mňa je hack to, že de-facto v_rozpore_s_eIDAS nútime občanov zapísať si do certifikátu rodné číslo.
Naopak, autorizácia klikom je absolútne kompatibilná s eIDAS, na základe čl. 2.3.
Haha. Koľko štandardov je naviazaných na “správnu” implementáciu všetkého okolo KEP? Od CA, cez QSCD, formát podpisu, až po spôsob overovania.
Btw. koľko asi používateľov čítalo, niektorú “certifikačnú politiku” (povinnú a napísanú podľa štandardov) a porozumelo jej?
Súhlas. Spravme konečne poriadnu autorizáciu klikom (je v zákone už koľko rokov?) a po 5 rokoch fungovania si dajme odpočet ako to funguje.
Akože “bolo by fajn zistiť”? Snáď si to Mirri+SKIT už dávno zistilo v rámci príprav SvM. Okrem iného, presná definícia je uvedená v zákone, čiže naozaj stačí prejsť zoznamom a pre každý typ podania overiť.
Tá definícia je (viď. §23.1.a z.305/2013) “ak sa [podanie] podľa zákona podáva v elektronickej podobe a zákon neustanovuje iný spôsob autorizácie alebo ak je podľa osobitného predpisu náležitosťou podania vlastnoručný podpis”.
Konecne niekto, kto pochopil co som sa snazil vysvetlit na samom zaciatku. Ze Klik KEP nenahradi a kedze skoncila certifikacia karty pre eID, tam kde je treba KEP, nastane problem a Klik ho nevyriesi.
Dakujem.
Nikto nechce “nahradiť KEP”. Chceme aby tam, kde to už dnes zákon umožňuje, mohli používatelia použiť autorizáciu klikom. V pohode môže kto chce ďalej podpisovať KEPom. O zopár rokov vyhodnotíme používateľskú spokojnosť s oboma riešeniami. Férové, nie?
Btw. tak ako sme hovorili na pracovnej skupine minulý týždeň, pokiaľ ide o blížiacu sa expiráciu KEP cert. 31.12. na starých eID, očakávam od MIRRI (ako gestora informatizácie) + MV (ako gestora eID) asap poriadnu verejnú komunikáciu, výzvu ľuďom aby si vymenili eID za nové ak potrebujú používať KEP v budúcom roku … a tiež implementáciu autorizácie klikom.
Komunikácia má byť okrem občanov smerovaná aj na úrady, najmä tie, ktoré majú vlastné predpisy, kde je KEP zadrátovaný.
obciansky zakonnik riesi ukony v sukromnom prave, vo verejnom ich riesi zakon o eGovernmente.
Opat suhlasim. Tvrdenie bolo, ze zdokonaleny el. podpis obciansky zakonnik neriesi. Tak som uviedol, kde to riesi obciansky zakonnik v zmysle zachovania pisomnej formy.
Mate pravdu, co sa tyka eGovu, riesi ho zakon o eGovermente:
Uznaný spôsob autorizácie je taký spôsob autorizácie,
- ktorý zabezpečuje spoľahlivú identifikáciu osoby, ktorá autorizáciu vykonala, a
- spoľahlivé zachytenie obsahu právneho úkonu, ktorý autorizovala, ako aj zhodu medzi autorizovaným právnym úkonom a právnym úkonom, ktorý osoba autorizovala.
co opat naplna aj zdokonaleny el. podpis, nie len KEP.
Ak by bol zdokonaleny elektronicky podpis uznanym sposobom autorizacie, tak ako tomu je v cechach pri komunikacii s OVM, tak by sme problem expirovanej certifikacie eID, kde eID prestala byt QSCD zariadenim, nemuseli riesit. Pretoze by sa dalej dalo pouzivat s novym certifikatom bez priznaku, ze podpis vznikol na QSCD zariadeni. Na to, na co treba klik, by urcite aj AES stacil a posluzil by lepsie.
Ono to tak ale zial nie je. To je vsetko co som tym chcel povedat.
Nepovazuje sa a nie je na to ani ziadny dovod.
Tu si davame do hromady viac veci.
Vlastnorucny podpis, KEP a AdES na kvalifikovanom certifikate, resp. klik s pozadovanou urovnou autorizacie.
Pekne to vyriesili v ceskej republike.
V zakonoch stanovili tzv. uznavany (povodne som pisal zaruceny - oprava diky robo) podpis ktorym je bud KEP, alebo AdES na kvalifikovanom certifikate. A v zakonoch stanovili ze uroven uznavaneho podpisu sa pouziva na autorizovanie dokumentov.
Neriesia ci je vlastnorucny lebo nie je a ani nepotrebuju nizsej urovni ako KEP zakonm priradovat vlastnosti vlastnorucneho podpisu.
Oni jednoducho povedali ze na autorizaciu staci to co sa povazuje za uznavany podpis. Nekoliduje im to s urovnami autorizacie v inych statoch a da sa s tym vytvorit aj rozumny proces i v pripade ak zariadenie strati certtifikaciu…
Priradenie vlastnosti Vlastnorucny nizsej urovni je podla eIDAS mozne ale plati len v danej krajine. Tak naco to komplikovat “vlastnorucnostou”. Netreba ju riesit - treba sa podla mna zaoberat tym aka autorizacia kedy postacuje.
Nezabudnime ze niekedy povodca registratury ktorym nie je stat potrebuje dokument na pravne ukony a tam je KEP podla mna nenahraditelny.
AdES nema voci doposial pouzivanemu podpisu ziadnu zmenu (aj to su AdES podpisy), okrem atributu v certifikate, ze certifikat, resp. privatny kluc je umiestneny na QSCD. Cize tam sa nic nemeni, len overovac raz skonstatuje ze je to KEP a raz ze je to AdES inak je vsetko uplne rovnake.
Preto sice bude treba updatovat podpisovac ale len u toho kto nema kvalifikvany certifikat na QSCD a potom bude treba vykonat zmenu v overovani podpisu na strane CEP (nic ine neurobi len na podpisanie ponukne aj kvalifikovane certifikaty, ktore nema uzivatel na QSCD).
Ak by sme isli podobnou cestou ako v CR - zmena zakonov kde sa pre autorizaciu umozni aj AdES tam kde je to mozne tak tych zmien v systemoch by nebolo vela.
Dokument s autorizacnou dolozkou je normalne podpisany dokument KEPom. Len ten KEP je napriklad NASESovy.
To len hovorí, že v danom čase dokument existoval, že ho nases podpisal svojim certifikatom a že od tej doby sa nezmenil. (akoby pocas prepravy. Ani adresat ani odosielatel ale prepravovatel. Ak komunikuje OVM a obcan tak ten podpis neni ani jednej zo stran ale toho kto to medzi nimi prepravuje)
tu sa myslím mýliš. Zdokonalený podľa eIDAS = Zaručený podľa českého zákona o službách vytvářejícich dúvěru.
A na podania od občanov na OVM sa používa tzv. UZNÁVANÝ el podpis. Čo je buď zaručený, alebo kvalifikovaný (v českých termínoch). Inak povedané väčšina Čechov čo používa ePodpis podpisuje certifikátom uloženým vo Windows a takto vzniknutý PAdES (uznávaný) používa na podania na OVM…
Vyriešili to síce elegantne … ale paralelnú českú terminológiu k eIDASu zavádzať nemuseli …
A hlavne tam riešia podpisy s DOKUMENTAMI. Takmer výhradne PAdES
Nie s DÁTAMI (formuláre vytvárajú dátové XML súbory na automatizované spracovanie), číže nie ASiC/XAdES.
PARDON pisem z hlavy
ano UZNAVANY je ten co su vlastne dva ktore mozno pouzivat
Asi mali dobre skusenosti s registraturou - u nich spravou dokumentov. Tam si tiez urobili pojmy po svojom
Taketo jednoduche to asi nebude vid
Pretoze v danovom poriadku (osobitny zakon)
Podanie urobené elektronickými prostriedkami sa podáva prostredníctvom elektronickej podateľne podľa § 33 ods. 2 a musí byť podpísané kvalifikovaným elektronickým podpisom20) osoby, ktorá ho podáva, alebo prostredníctvom elektronickej podateľne ústredného portálu verejnej správy spôsobom podľa osobitného predpisu.20aa) Podanie, ktoré má predpísanú štruktúrovanú formu podľa tohto zákona alebo osobitného predpisu,20ab) možno podať len prostredníctvom elektronickej podateľne podľa § 33 ods. 2 cez určené dátové rozhranie a v súlade s podmienkami a podrobnosťami o elektronickej komunikácii zverejnenými na webovom sídle finančného riaditeľstva podľa § 33 ods. 4. Ak daňový subjekt, ktorý je fyzickou osobou, chce doručovať finančnej správe písomnosti elektronickými prostriedkami, ktoré nebudú podpísané kvalifikovaným elektronickým podpisom, oznámi správcovi dane údaje potrebné na doručovanie na tlačive podľa vzoru uverejneného na webovom sídle finančného riaditeľstva a uzavrie so správcom dane písomnú dohodu o elektronickom doručovaní. Táto dohoda obsahuje najmä náležitosti elektronického doručovania, spôsob overovania elektronického podania a spôsob preukazovania doručenia.
563/2009 Z.z. - Zákon o správe daní (daňový poriado... - SLOV-LEX
Takych omylov tam ma p. Suchal viac, ja napr. nepoznam podpisovac, ktory by nevedel vyrobit zdokonaleny podpis. Mozno taky je. Ale nehodlam na neho reagovat, lebo budem znovu oznaceny za zaujateho.
eid klient nie je podpisovac (ale napriklad ten sw co sluzi na prihlasovanie a prevydavanie novych certifikatov atd). Ale v klude reagujte takto cez proxy, ak to povazujete za efektivne.
V skutocnosti to nehovori nic o tom, ci ten dokument v nejakom case existoval. V pohode ho moze statny system vyrobit a tvarit sa, ze ste ho podpisali vy. Tak isto ako sa nejaky statny podpisovac moze tvarit, ze nieco zobrazil a vy podpisete nieco uplne ine. Proste je tam dovera, ktora sa neda obijst ziadnym technickym riesenim. To len ITckari ziju vo svete, ze to nejako vyriesia. V realite len presuvaju doveru inam. Na nejaku certifikacnu autoritu alebo “na zodpovednost pouzivatela”. Tak co keby sme tu zodpovednost teraz preniesli na ten statny system, kde sa podanie robi a ktore ma plne pod kontrolou stat? Coho presne sa bojime? Ved sa tu uz vymacknite a dajte nejaky priklad, idealne taky, ktory sa dnes vo fyzickom svete neda spravit. Lebo zatial je to tu taky poslabsi FUD.
Dalo by sa aj inak. Peter Miškovič zo spoločnosti Disig, ktorá sa venuje elektronickej komunikácii, navrhuje iné riešenie. Ministerstvo investícií (MIRRI), ktoré zodpovedá za zákon o e-governmente, by podľa neho mohlo vydať vyhlášku, ktorá dovolí podpisovať dokumenty pomocou súčasných eID, a to prostredníctvom takzvaného zdokonaleného elektronického podpisu. Tento druh elektronického podpisu je podľa Miškoviča v súlade s podmienkami EÚ a zároveň by nebolo potrebné meniť občiansky preukaz ešte tento rok, takže väčšina ľudí by si počkala až na ten s duálnym rozhraním. „Vyžadovalo by si to, samozrejme, aj reakciu od iných orgánov, napríklad Finančnej správy. Tá by pri komunikácii v oblasti daní a ciel musela tento zdokonalený elektronický podpis uznať,“ hovorí Miškovič.
MIRRI s legislatívnymi zmeny v oblasti elektronického podpisu ráta v druhej polovici tohto roka. Mali by zahŕňať aj akceptáciu zdokonaleného elektronického podpisu. „Tým sa umožní občanovi vykonávať niektoré úkony aj bez výmeny občianskeho preukazu,“ tvrdí tlačový odbor ministerstva. V určitých prípadoch to však bez výmeny eID nepôjde ani po zmene zákona, príkladom je prevode nehnuteľnosti.
No a uz mi je jasne odkial tento napad na MIRRI pristal. A uz asi aj chapem podrazdenej reakcii na upozornenie na konflikt zaujmov, lebo ked som sa toto na MIRRI explicitne pytal, ze odkial toto prislo, tak boli vyhybave odpovede. Zda sa, ze lobisticke kanaly stale funguju a transparentnost uradu je stale slaba.
Disclaimer: Ja nemam ziadny problem s navrhmi dodavatelov, dokonca ani s konfliktom zaujmov pokial je normalne deklarovany a priznany a manazovany. Lenze tu sa po upozorneni (!) na konflikt zaujmov dodavatel urazi, pritom vecne sa dalo normalne diskutovat dalej. Ale uznavam, ze som dal peknu zamienku ako zdupkat z vecnej diskusie, ospravedlnujem sa za to zvysku.