Zaujimave, takze 5.4 bola rok po povodnej certifikacii znovu recertifikovana - z dovodu predlzenia platnosti. Preco potom eID aplikacia vydava certifikaty s obmedzenou platnostou do 17.6.2025?
Kazdopadne z toho noveho rozhodnutia je zrejme, ze sa pouzili viacere podklady z povodnej certifikacie. V takom pripade by si mal stat zmluvne zabezpecit, aby boli pocas zivotnosti OP pravidelne vykonavane recertifikacie (ak nedoslo k prelomeniu zabezpecenia a pod.)
S autom tiez treba pravidelne chodit na STK a nikto nenuti majitela vymenit ho za nove po uplynuti prvych 4 rokov pouzivania.
trochu je ten priklad prekruteny … lebo nik nenúti výrobcu auta, aby recertifikoval (re-homologoval) povedzme ABS na starých modeloch na vlastné náklady …
Jednoducho INFINEON, alebo ATOS nedonúti malý fliačok zeme v Európe recertifikovať si staré modely na vlastné náklady … Jedine ak by na tom bral nejakú aspoň finančnú spoluúčasť…Ale si treba uvedomiť že ide oglobálny produkt, ktorý sa využíva na kadečo iné, než len na SVK eID.
Ja netvrdim, ze to musi robit vyrobca. Ale netvarme sa, ze v IT neplatia standardne postupy. Pravidelne uradne skusky su uplne bezna vec.
Zoberme si akekolvek vyhradene technicke zariadenia - napr. vytahy. Vyrobca doda vytah spolu so vsetkymi dokladmi preukazujucimi zhodu s prislusnymi predpismi. Prevadzkovatel vytahu je nasledne povinny vykonavat uradne skusky kazdych X rokov, aby mohol byt vytah v prevadzke.
Obcianske preukazy su v gescii statu - Ministerstva vnutra. Bolo teda jeho ulohou zabezpecit, aby sa v 5-rocnych intervaloch vykonavala recertifikacia, ak je nevyhnutna pre vytvaranie kvalifikovanych podpisov. Mohol si to zmluvne zabezpecit u vyrobcu alebo dodavatela, mohol v ramci zakazky pozadovat potrebnu dokumentaciu a vykonavat si recertifikaciu na Slovensku cez NBU.
Nic z toho vsak nezabezpecil, na rozdiel od Ceskej republiky nestihol ani termin vydavania novych OP s NFC a dokonca nuti obcanov, aby si vymenili OP za stary typ len par tyzdnov predtym, ako zacne vydavat nove. Cele zle.
potom rovno ziadajme kazdy rok … lebo ked si vybavis eID vtretom, alebo stvrtom roku platnosti certifikacie tak uz mas len 1-2 roky eID s KEPovym certifikatom, potom ti ho zneplatnia.
Dozes to robit aj kazdy rok a takto to predlzovat …
Ale dolezite je ze ked by MV takto vyhlasilo tender, so vsetkymi podmienkami co tam ma aj dnes kto by sa im prihlásil …
Ak nikto, tak co potom ?
Preto hovorím ze obstaravat globalny produkt a chciet na neho nejake lokalne specifika je asi nevykonatelne. MV SR v tomto pripade taha za kratsi kneic ako globalny dodavatale, pre ktoreho je tato slovenska zakazka len co ja viem 3% jeho rocneho obratu s daným zariadením a potom dlho dlho nic … Preco by to robil?
Preto si myslím, ze mantra bezpecakov a itckarov, ze ja chcem ovladat a vlastnit (nepustit z ruky) prostriedok, na ktorom je moj podpisovy certifikat je v prakktickom zivote pre beznych ludi nezmyselná, nepotrebná a nepouzitelna.
Ovela lepsie je (podla mna) vyddávat podpisové certifikáty na centrálne udrziavané HSM, pod kontrolou statu (tak ako dnes suv projekte DCOM udrziavane certifikáty pre pecat obci a miest).
Takto by sa obcan nemusel starat o QSCD zariadenie, sledovat certifikacie a ine pre neho nezmysly.
Dalo by sa to pouzit aj desktopových, aj z mobilných zariadení a vytvárať KEP vzdialene.
Obsolutne to oddeliť od občianky …
QSCD karticky by ostlai len profesionalom - vojakom, sudcom, advokatom a ludom vo funkciach na OVM (mandatne certifikaty).
Takto si myslim ze by sa elektronicke autorizacie rozbehli jedna radost … furt by vytvarali KEP.
Aj zdroj Živé.sk konštatoval, že štát má problém z jeho použitia pri „kritických“ úkonoch, lebo by riskoval, že občania by mohli namietať uskutočnenie podania. Dôvodom je, že kým elektronické podpísanie za pomoci čipovej karty má plne v rukách používateľ, „klik“ garantuje prevádzkovateľ portálu. Napríklad daňovník by tak mohol namietať údaje v zaslanom formulári.
Specialne tato cast ma vynimocne pobavila. Priznajte sa, kto mate pod kontrolou kartu vydanu statom, podpisovac vydany statom, vizualizaciu formulara vydanu statom, portal slovensko.sk, kde sa to odosiela prevadzkovany statom?
Ale pozor, klik to nie! To by bolo nieco uplne ine, lebo to by bola karta vydana statom, prihlasovacia app vydana statom a portal prevadzkovany statom! To je uplne ine!
No napad to zly nie je. Ked prihliadneme k tomu, ze
napr. v CR sa bezne pouziva pre autorizaciu aj zdokonaleny podpis zalozeny na kvalifikovanom certifikate a k tomu
ze ulozenie kvalifikovaneho certifikatu a jeho privatneho kluca na necertifikovanom QSCD je omnoho bezpecnejsie ako jeho ulozenie povedzme v PFX subore tak je to myslim si dobre riesenie. Iba bude potrebne legislativne osetrit aby bol takyto podpis “uznavany” v nasej legislative.
ale bude treba zrejme vymysliet sposob ako takyto podis odlisit od bezneho zdokonaleneho zalozeneho na kvalifikovanom certifikate.
Napad ako zachovat status quo je to naozaj vynimocny. Lebo sa nezmeni vobec nic. Zdokonaleny podpis to nebude, lebo to by museli akceptovat vsetky mozne zdokonalene podpisy, bude to najskor ten uznany sposob autorizacie. Cim sa dostavame naspat k mojmu oblubenemu flamewaru, ze to bude taky slovensky “kep” (bystre oko si vsimne uvodzovky).
Cize z mobilu nevyrobite nic, “kartickari” budu radi a my cakame na “europske riesenie”, kde budeme mozno 2023+ vzdialenym KEPom zlozito certifikovanym na cezhranicne podpisovanie urcene najme pre B2B podpisovat vnutrostatne podania. Parada!
riesenie je furt po ruke … refundovat vydanie podpisoveho kvalif. certifikatu na samostatne QSCD zariadenie v komercnej RA, teda uplne odddelene od eID… naklady asi rovnake ako na vymenu eID, ale netreba fotit, odoberat vzorky otlackov prstov a ine veci. Netreba k tomu ziadne, ozaj ziadne legislatívne zmeny. Usetri sa cas na jednotnych pracoviskach, aj komercne RA budu spokojne lebo zarobia … nechapem, nechapem … taka ista blbost ako s tými zdravotnym preukazmi. Kazdykrat co idem k lekarovi (a tento mesiac som bol uz asi 5x) im strkam eID kartu… nechcu. Chcu svoju poistenecku karticku. A to tu ake velke oci boli aj na fore ze kde budeme v roku 2022 … a do zahranicia si aj tak furt musim nosit separatnu kartu … …
Ak kep podľa MV používa tak 30k ľudí nie je skôr čas toto celé odpískať a povedať, že proste sa to za 10+ rokov neosvedčilo? Načo to plošne rozdávame? Nech si to kúpi kto to potrebuje.
Actor = fyzicka osoba (1 konatel, 3 firmy = 1 unikatne prihlasenie)
subject = ako kto je prihlaseny (napriklad 3 rozne firmy, 1 konatel = 3x unikatne prihlasenie)
Z tohto vieme ± aka velka skupina pouziva prihlasovanie (nie nutne podpisovanie!). 230-285K ludi. Z 2M vydanych OP s cipom teda 11%-14%.
Toto je dôležitá informácia z toho článku:
“zo záznamov v … OCSP … za prvý polrok bolo použitých 128 841 jedinečných občianskych preukazov, na ktorých sú certifikáty, ktoré budú musieť byť zrušené.”
A Slovensko.Digital prišlo – pri všetkej úcte ku kolegom – s naivne zjednodušujúcim pohľadom, že akési kliknutie bude dostatočne dôveryhodnou autorizáciou pre právne úkony. No nebude.
Zaujimave, ze teda pozname niekolko sluzieb, ktore to takto robia a neevidujeme ziadne problemy.
Z toho vyplýva tak veľký právny problém, že si to radšej ani nechcem predstavovať. Ak sa rozkradnú majetky cez „kliknutie“, kto bude zodpovedný? Ako prevezmete záruku nad tým, že ten, kto klikol, bol naozaj ten, kto je vedený za kliknutím.
Ach tento FUD. Aky majetok viem dnes rozkradnut vlastnorucnym podpisom? Nie osvedcenym?
Po dlhej dobe zase jeden fundovany odborny nazor. Som rad ze sa redakcia obratila aj na odbornika - sudneho znalca z tejto oblasti.
Aj z tohoto clanku vsak citit ze sa autorizacia klikom porovnava s KEPom lebo sa robia podobne ukony:
vsunie sa napr. ta ista karta a zada sa BOK namiesto PINu a stlaci tlacidlo Podpisat.
Ano je to na vlas podobna cinnost a bez znalosti principov fungovania KEP to nie je schpny ani fundovany pravnik rozoznat (musi poznat porincip vytvarania KEP) a povie ze je to to iste. ALE je tam jeden velmi velky rozdiel:
Privatny kluc nikdy nesmie opustit QSCD zariadenie a to ani v momente vypoctu elektronickeho podpisu. Cize vypocet prebieha v samotnom QSCD. Nie na serveri statu, dokonca ani nie v pocitaci podpisujuceho ale v cipe toho QSCD. Toto je najvacsi rozdiel aj ked sa to pozorovatelovi javi ako navlas rovnake ukony, podpisovanie sa deje vzdy mimo toho systemu v ktorom sa podpis pouziva.
A z toho sa potom v pripade spochybnenia podpisu vyvodzuje aj osobna zodpovednost.
Pomocou KEP nie je mozne urobit nieco takehoto:
Nainstalujem mobilne id,
policii zahlasim ze mi ukradli mobil
dam ho kamaratovi a dohodnem sa v akom case ma vyplnit a klikom podpisat v mojom mene ziadost o dotaciu s nepravdivymi udajmi.
presne v tejto dobe budem sa nachadzat na druhom konci republiky a napr. hodim policajtom do okna kamen aby som mal istotu ze ma zoberu na vysluch a v case podvodu budem mat aliby, ze som nemohol podpisat formular ziadosti o dotaciu.
Kedze QSCD tiez mozem dat kamaratovi a prezradit mu PIN, ale tam sa uz jasnejsie preukazuje ze som urobil chybu ja a kedze doveryhodna autorita neurobila ziadnu chybu, zodpovednost za skodu si nesiem sam.
Mozno by bolo dobre sa takychto odbornikov z praxe - sudnych znalcov opytat ako by to bolo posudzovane v pripadnom sudnom spore, ake by dali stanovisko?
