Skusme to zjednodusit:
Kto garantuje, ze to co si videl na monitore ma cokolvek spolocne s tym, co si podpisal?
Som zvedavy co zacnes hovorit, ked pride eidas 2.0 kde uz asi nebudu musiet byt podpisy na QSCD.
To s tebou uplne suhlasim.
Podla mna najvacsi problem kvalifikovaneho elektronickeho podpisu je ten, ze uz sa nevyzaduje certifikacia aplikacii na vyhotovovanie KEP. To bola asi najvacsia chyba legislativy eIDAS. Bohuzial podpis sa povazuje za platny az do doby kym ho niekto nespochybni, co moze v buducnosti mnohym ludom priniest celkom poriadne problemy ak sa spolahli na nejaku “amatersku aplikaciu”.
Podpisovacie aplikacie by mali prejst auditom kodu, ci naozaj splnaju vsetky poziadavky. Ked po rokoch pridem na to ze som doveroval niecomu comu som nemal uz je spravidla neskoro. To mas pravdu…
Uvidime ked tam bude nieco co sa mi nebude pacit urcite sa ozvem aj ked viem ze mi to nic platne nebude. Ale ak by to bolo nieco co mi bude vadit tak sa jeho pouzivaniu budem vyhybat
A teraz si predstav, ze by to niekto garantoval. Napriklad by zagarantoval, ze ked na slovensko.sk prihlaseny kliknes, tak si videl presne to, co si tam odklikol. Voala! Autorizacia klikom!
s týmto absolútne nesúhlasím. Dávali sme otázku na NBÚ podľa 211 že ako sa robí, čo znamená ta certifikácia atď …
Takže nejde ocertifikáciu ale o ROZHODNUTIE podľa zákona o správnom konaní z roku 1969, ktoré len vytlačia na papier s modrým rámom aby to vyzeralo ako certifikát.
Rozhodnutím stanovia súlad s bezpečnostnými princípmi budovania softvéru.
A nerobí ho NBÚ … ale NBÚ akceptuje (a stotožní sa s) posudok certifikovaného externého bezpečáka … takže aj kamárata s certifikátom … Okrem toho procedúra trvá 90 dní …
Ak by sa niekto zaoberal zraniteľnosťou procesu podpisovania alebo overovania a na to dal certifkát, to by som asi bral… Ako to urobila univerzita v Dortmunde na EÚ DSS knižnice… Ale ten proces v NBÚ absolútne nespĺňal účel a bol skôr brzdou rozvoja …
Certifikaciu nemoze robit NBU. NBU sa pri vydani rozhodnutia iba spolieha na firmu, ktorá to robi. Presne ako je to aj v pripade certifikacii zariadeni QSCD - robi to nejaka tretia strana ktora je pod dozorom nejakeho narodneho akreditacneho organu. U nas je tymto orgánom Slovenska narodna akreditacna sluzba SNAS. Tato akreditacna sluzba ma zozonam firiem, ktore su opravnene vykonavat taketo certifikacie. Tieto firmy musia dolozit ze maju na to nielen riadne vyskolenych ludi ale aj materialne a technicke podmienky. Tiez ich na tuto cinnost preveruju. Myslim takuto nejaku organizaciu napr.
EVPU Nová Dubnica
Ten proces v NBU nic nebrzdil, len si pockal na certifikaciu od organizacie, ktora je opravnena certifikaciu v EU vykonat.
Jednou z dolezitych funkcii podpisovaca ZEP bolo aj ustanovenie pri certifikacii tykajuce sa bezpecneho prehliadaca obsahu podpisovaneho suboru. To co @jsuchal spravne pojmenoval.
Este myslim aj dnes to prehlasenie co je na NBU strankach pre vyrobcov podpisovadiel obsahuje nejaky odstavec tykajuci sa bezpecneho prehliadaca.
Ked hovorime o dovere a spoliehajucich sa osobach nemali by sme mat na zreteli iba doveru medzi nimi ale aj ich doveru k nastrojom na podpisovanie, lebo treba pocitat ze ich pouziju aj ludia, ktorí nepoznaju tuto problematiku. A ak si dnes vytvorim KEP a spolieham sa nan ze je v poriadku, stat by nemal pripustit aby ma mohla niekedy cakat studena sprcha, zvlast ak KEP je “povinne” pouzivany hlavne koli komunikacii so statom.
Ak k tomu pridame aj to ze v state neexistuje doveryhodna sluzba overenia KEP podpisu, kde by si obcan zdarma vedel kedykolvek svoj KEP preverit tak si myslim ze su to dost vazne diery v tej dovere.
toto je tiež (súkromný názor) absulútne preceňovaná funkcia. Keď podpisuješ perom vytlačený PDF (napr. cez Acrobat), tak si tiež nerobís OCR, alebo nevytahujes z PDF inak TXT informaciu … Podpisujes to, co vidis zmyslami. Nevidím žiaden dôvod sa k tomu chovať inak… potom to nie je ekvivalent k papierovému svetu … A presviedca ma o tom aj prax v ČR a vlastne väčšine sveta, kde sa používa de facto len PAdES a funguuje sa s Acrobat Readerom nikomu nie je treba ziaden specialny viewer.
Zas chceme byť pápežskejší ako pápež …
Mali sme takého systemáka v korporácii kedysi … keď si potreboval server na vývoj, tak si mu napísal task a pripravil ti ho tak, že sa nedalo na ňom nič spustiť … aplikoval všetku bezpečnosť o ktorej sa kde dočítal a tak si mal superbezpečný windows server, ktorý bol ale vývojarom nanič …tak sa mi to tak pripomenulo ako analógia.
akoze neexistuje … pre OVM existuje, dokonca pre E2P ZaKo je povinna podľa vyhlášky.
Ale veď tak to má aj byť.
Aj eIDAS o kvalifikovaných službách predsa hovorí, že sa poskytuju spravidla za úplatu. Z toho pohľadu je poskytovanie kvalifikovaných služieb zadarmo narúšaním hospodárskej súťaže a krivením trhu. V Čechách nič také nemáš, a vlastne ani neviem kde ešte inde je nejaká podobná situácia.
Tam kde pôsobí viac poskytovateľov a robia si konkurenciu, tak si štát nedovolí vstúpiť medzi nich a začať poskytovať službu zdarma. Veď by firmám začali utekať zákazníci. Tam pokiaľ sa môžem spoľahnúť na info od partnerov pri pive už boli na takéto pokusy podané aj žaloby. U nás keď sa začali časové pečiatky poskytovať NBU zdarma a začali vydávať mandátne certifikáty, tak bol iba jeden poskytovateľ a ten sa zjavne nejako s tým štátom dohodol, že mu to nevadilo… Už ich je viac a čakám kedy niektorý z nich si napraví v trencliach gule a tento stav na súde napadne.
Nechceme byt papezskejsi len nam-resp. mne osobne vadi ze:
OK no ved vdaka panu bohu ze sa uz do konverzie uz dostala doveryhodna sluzba overenia podpisu. Ved to by bolo sialenstvo aby sa zarucene konvertovali dokumenty na zaklade informativneho overenia podpisu. Kto by v takom pripade niesol zodpovednost ak by vznikla overena kopia niecoho co bolo napr. nejakou chybou programatora oznacene ako platny podpis.
Ale to hovoris o konverzii… Ta je platena a sluzi k inym veciam ako ovrovaniu podpisu.
Ja hovorim o tom, ze kedze eidasom doslo k zruseniu povinnosti certifikacie podpisovadiel a zaroen stanoveniu ze podpis plati az dokial ho ktosi nespochybni, tak uz na zaciatku chyba nezavisly nastroj ktory mi da istotu ze moj podpis je platnym podpisom a podpisane je to co som videl pri podpisovani.
Inak sa mi moze stat ze podpis niekto uspesne spochybni a vyrobca napr. uz nebude existovat a mne vznikne skoda. Ako ju a kde ju budem uplatnovat?
ale no …
neviem ktorý stratég zaviedol pojem “informatívne overenie” - definícia neexistuje. NASES predsa poskytuje dôveryhodnú službu a tie eIDAS delí iba na kvalifikované a nekvalifikované. A NASES v tomto prípade z pohľadu dohľadového orgánu poskytuje NEKVALIFIKOVANÚ službu overania, nie informatívnu.
Mám dojem že sa niekto chce zbavovať zodpovednosti. Lebo podľa eIDAS a aj 272/2016 majú kvalifikovaná aj nekvalifikovaná služba ROVNAKÉ zodpovednosti voči spoliehajúcej sa strane. Rozdiel je len v tom, že ak niekto napadne výsledok overenia tak u kvalifikovanej služby sa APRIORI predpokladá že pravdu má spolihajúca sa strana a kvalifikovaný poskytovateľ musí dokázať, že ani náročky a niz nedbanlivosti nepochybyl. Ak sa nájde skrytá chyba softvéru aj v kvalifikovanej službe, čo nie je nič nemožné, sami sme ich pár v kvalifikovaných službách našli za posledný rok, tak pred tým zákon nechráni. Len pred nedbanlivosťou, alebo zámerom.
Takže prosím nespomínajme že chceme mať istoptu, tú mať nebudeme nikdy.
dúfam že tvrdenie, že tomuto acrobat vyhovuje je prijateľné (lebo v iných krajiách to stačí) … 
A u XMLDataContainerov, máš zase oficiálne html, / pdf transformácie, ktoré zas vieš zobraziť štandardným softvérom … A prosím nestrašte už bielym písmom na bielom pozadí …
hm… toto isté môžem povedať o papieri. Mal som podpis Marillyn Monroe, o ktorom som bol presvedčený 30 rokov, že je pravý… a prišiel znalec a dokázal mi opak … Takže nechápem čo je na tom také výnimočné, resp. nebezpečné.
podpisovanie tu (v legislatíve a právnej praxi) máme od roku 2002 … okrúhlych 20 rokov.
Prosím pozná niekto taký súdny spor ? Ja nie, ale mám samorejme medzery, takže ak nikto o takom vie, dajte sem link na rozsudok… Inak riešime, čo by, ak by … presne ako niekedy keď banky nechceli poskytovať informácie telefonicky, lebo by sa mohli zneužiť… a o 10 rokov bolo všetko inak, každá banka má svoje callcentrum a predbihejau sa ktorá lepšie …
A VISA karta podobne … keď ju niekto zneužije, potichu ťa vyplatia, len nerob paniku na systém ktorý inak v globále funguje… ak budeme investovať a báť sa a zozzložiťovať procesy a robiť nepekné funkcie len preto, že raz za 50 rokov dá niekto žalobu, tak to je zlá stratégia. Zase ale len predstavujem svoj pohľad, nechcem o tom nikoho presviedčať.
" sme schopní začať tento najmodernejší typ dokladu vydávať v prípade schválenia legislatívneho návrhu už v decembri,“ povedal minister vnútra Roman Mikulec."
To ako fakt je najväčším problémom schválenie legislatívneho navrhu?
Prisiel mi pozdrav z Ministerstva Vnutra ( do schranky )
Dôležité upozornenie!
Pokiaľ máte občiansky preukaz vydaný do 20.júna 2021, týka sa Vás nasledovná informácia.
31.12.2022 uplynie Vášmu občianskemu preukazu platnosť certifikácie čipu,
… atd, ale zaujala ma posledny odsek :
Dátum vydania Vášho občianskeho preukazu si môžete overiť priamo na občianskom preukaze.
Ak ste si už občiansky preukaz vymenili, považujte tento oznam za bezpredmetný.
Ministerstvo vnutra nevie kedy komu vydalo preukaz ? Oni nemaju evidenciu ?
Ministerstvo stale tvrdi, ze sa vymena tyka priblizne 30 tisic obcanov. (Potreba výmeny občianskeho preukazu sa dotkne 30-tisíc používateľov e-podpisu, Ministerstvo vnútra Slovenskej republiky)
Z nich si uz stihlo podat ziadost o vymenu OP 56 tisic (HNonline.sk - O vydanie občianskeho preukazu z dôvodu zmeny v čipe požiadalo 56-tisíc ľudí).
Vymena je zda sa uspesna, uz skoro 200% z tych co sa to tyka si OP vymenia. Jedine ze by bola pravda, ze sa to tyka asi 200 tis obcanov.
toto je vyrok roka!!!
odkladam si to na buduci rok na narodeniny SD…toto treba ocenit
Toto rozhodne treba ocenit. Pocet podanych ziadosti o nove eID je aktualne niekde na urovni 160.tis.
Takze na MV sa podarilo ako stachanovcom prekrocit a splnit plan na viac ako 500%.
Aj ked nie vsetci si ho menia kvoli certifikatom, Niektorym asi aj skoncila platnost a nebude ich zanedbatelne mnozstvo.
Len pre lepsiu predstavu, zrusenych bolo 457 tis. certifikatov na starych OP a CRL narastlo do obludnej velkosti voci bezne vydavanym CRL.
Inak veľká časť ľudí okolo mňa, čo mení op ich mení vlastne zbytočne. Robia to kvôli podaniu daňového, na čo to práve netreba alebo tomu, že nechápu, že prihlasovanie stále funguje.
Technický súhlasím. Nechcem však riskovať, že nejaký iniciatívny úrad(ník) nevymyslí nový formulár, ktorý je nutné podpísať KEP ( lebo iba tento je “dostatočne” dôveryhodný ) a ako alternatíva “stačí” (nejaký) podpis na papieri v liste poslanom obyčajnou postou …