Testujeme eIDAS

Zatial co sme tu ocividne vacsinou pionieri skusania e-governmentu na Slovensku ako takeho, ja som sa rozhodol otestovat interoperabilitu v ramci EU. Ako prvy pokus skusam podpisat podanie v PDF estonskym e-residency (malo by to fungovat v ramci eIDAS ako ekvivalent - vid http://www.howtostayin.eu/)

Napriklad by ma zaujimalo ako zistia, ze som to vlastne ja. Lebo estonsky podpis nema v certifikate moju adresu, rodne cislo ani nic take - len meno a estonske idcko.

0fa4ded9715cd1e19792388347a304ad00e7dd5b.png917×153 33.6 KB

Poznamka pod ciarou: ked som podal cez email podanie podpisane ZEPom, tak mi to odmietli, ze to co je v certifikate neberu ako dokaz preukazania zmeny trvaleho bydliska. Zaujimave.

Z certifikátu a podpisu vidia, že si to ty.

Zverejníš aj celé podanie, ktoré si odosielal? V podaní si zrejme uviedol svoje meno, bydlisko, dátum narodenia…

Ako to vidi teta za e-prepazkou ktora sa prihlasi do schranky/emailu?

Vyzera to takto. V certe toho okrem serioveho cisla viac nie je.

f4c064abe3150d086bade82fa7c0e08338fcf65a.png914×736 68.5 KB

Priamo do obsahu podania musíš napísať svoje meno a priezvisko, bydlisko, dátum narodenia a požadované zmeny.

Nedávaj tam odkaz na certifikát. Inak podanie nemá náležitosti (podanie sa posudzuje podľa obsahu) a iodmietnu ti ho.

Nové doplnené podanie podpis estónskym podpisom. Mali by ho zobrať, lebo e-podpis ťa dostatočne identifikuje, dokonca je viditeľný priamo v podaní.

No prave toto si nie som isty. Hentaky podpis mohol byt v klude od mojho menovca. Napr. moj otec alebo… hocikto na zemeguli kto sa vola jan suchal a vybavil si e-rezidencnu kartu v estonsku. => takmer hocikto.

Ale veď si na estónskom veľvyslanectve podstúpil tortúru odoberania odtlačkov a zároveň tá aj stotožnili. A na základe uvedeného ti bola udelená a doručená eresidency eID s kvalifikovaným podpisom.

Menovec by podstupoval presne takú istú tortúru na stotožnenie. Zároveň ak by podpisoval tvoj menovec, stále môžeš namietať, že to nie si ty. Najskôr by si to preukazoval nejakým potvrdením z estónska, že tebe bol pridelený kvalifikovaný podpis so sériovým číslom (asi si s Estóncami podpisoval nejakú dohodu, resp dokument)

Skúste vyskúšať napríklad žalobu na zaplatenie 1 Eura, ktoré ti bude dlzit napr. @Lubor podajte žalobu do Banskej Bystrice, ktorá bude o dva mesiace komunikovať elektronicky. Pošli im žalobu cez email va padese a sleduj čo sa bude diať

Bohuzial toto by nefungovalo. Namietanie nie je akceptovatelne, elektronicky podpis ma jednoznacne identifikovat cloveka inak to nie je pouzitelny nastroj. Tak ako Jano ma eID tak moze mat iny Jan Suchal eID a otazka stale zostava: ako teta za prepazkou urci, ze tento dokument podpisal Jan Suchal #1 a nie Jan Suchal #2. Podla mna jedina moznost: lookup toho IDcka vo (verejnej) estonskej databaze, kde je Janove trvale bydlisko a check, ci toto sedi s tym co je vo formulari, ktory podpisuje.

Ale veď teta za prepážkou správne určila, že Ján Suchal jej nestačí, a preto by ďalej požadovala trvalý pobyt a dátum narodenia, ktorý by Ján Suchal doplnil. V ďalšom podaní v obsahu podania. A nepredpokladám, že rovno dvaja Jánovia Suchalovia budú mat ten istý dátum narodenia a budú bývať na tej istej adrese.

V zmysle platnej smernice EU musí fungovať možnosť použiť na vytvorenie KEP akýkoľvek certifikát vytvorený v súlade s ňou.

Admin rozhranie úradu musí umožňovať úradníkovi jednokrokovú kontrolu KEP nie len voči národnému miestu, ale aj voči akémukoľvek správcovi identít v EU.

Toľko ideálny svet smernice EU.

Prvý problém je, že nový zákon o KEP nie je novelou ale funglovka. A paragrafy riešiace túto ineteroperabilitu v rámci EU v novom zákone proste nie sú.

Druhý problém je, pochybujem, že admin rozhrania e-gov riešenia na strane úradníkov dokážu pracovať so zahraničnými autoritami na overovanie KEP. S tým súvisí aj to, že ak raz nejaký štát EU vydáva certifikáty pre tvorbu KEP, musí ich tvoriť tak, aby v inom štáte nebolo od občana potrebné absolútne nič ďalšie dokladať, že ten KEP je od neho.

Rovnako platí aj pre súkromných vydavateľov certifikátov pre tvorbu KEP

A tretí problém je: Slovenský zákon o KEP zaviedol možnosť vkladať do KEP rodné číslo, čo je na úrovni EU neznámy atribút. A akékoľvek vyžadovanie RČ v KEP na úrovni orgánov verejnej správy bude robiť len a len problémy.

A nie posledný problém: To, že úradníkovi nestačí pre overenie KEP info, ktoré dostane od oprávnenej autority kdekoľvek v EU môže byť aj chyba vydávateľa cetrifikátov pre tvorbu KEP. Nie toho úradníka. A ani občana, ktorý v dobrej viere, že jeho certifikáty spĺňajú smernicu EU pre interoperabilitu KEP v EU.

Proste s KEP je to ako s akýmkoľvek podpisom. Úradník musí veriť, že keď mu niekto tretí (ručný podpis - notár) overí, že podpis v dokumente súhlasí s podpisovým vzorom, tak už do toho nemá čo pchať svoje pocity. A to je ten najväčší problém - zmena procesov. Doteraz úradník overoval podpis voči podpisovému vzoru (identitu voči občianke) osobne sám.

Ešte dodám, že vychádzam zo smernice NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) č. 910/2014
z 23. júla 2014
o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom
trhu a o zrušení smernice 1999/93/ES EUR-Lex - 32014R0910 - EN - EUR-Lex

V prílohe II sa píše:

PRÍLOHA I
POŽIADAVKY NA KVALIFIKOVANÉ CERTIFIKÁTY PRE ELEKTRONICKÉ PODPISY
Kvalifikované certifikáty pre elektronické podpisy obsahujú:
a) označenie, prinajmenšom vo forme vhodnej na automatizované spracovanie, že certifikát sa vydáva ako kvalifikovaný
certifikát pre elektronický podpis;
b) súbor údajov jednoznačne reprezentujúcich kvalifikovaného poskytovateľa dôveryhodných služieb, ktorý vydáva
kvalifikované certifikáty, zahŕňajúci aspoň členský štát, v ktorom je tento poskytovateľ usadený, a
— v prípade právnickej osoby: názov a prípadné registračné číslo, ako sa uvádza v úradných záznamoch,
— v prípade fyzickej osoby: meno osoby;
c) aspoň meno podpisovateľa alebo pseudonym; ak sa použije pseudonym, musí to byť jasne uvedené;
…

Takže k ten estónsky certifikát na tvorbu KEP obsahuje len a len meno podpisovateľa, tak je v súlade so smernicou a slovenský úrad si musí vedieť poradiť s identifikáciou.

Tiež si myslím, že je to jediná spávna cesta, ako by malo byť admin rozhranie naprogramované. Len som si nie istý 2 vecí:

1. či to Estónci musia umožniť.
2. kto má myslieť na to, aby to v tej estónskej databáze bolo. Info o adrese nie je povinný atribút do certifikátov pre tvorbu KEP podľa smernice č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu. Povinné je len meno podpisovateľa alebo pseudonym. (Prílohe II)

V tomto prípade určite Acrobat overil, že podpis je platný, a určite zobrazil aj podpisy ACA a korenovej autority. Ján, hoď sem screenshot overenia overenia podpisov.

A som presvedčený, že Acrobat Reader overil podpisy v slovenčine.

Úradník nič viac nepotrebuje, samozrejme pokial nebude vyžadovaný osvedčený podpis.

Toto určite pri KEP splnené je, t.j. je nepochybné, že podpisoval určitý konkrétny človek a napr. ACA, ktorá mu certifikát vydala, presne vie kto to je. Otázka zostáva, nakoľko spoľahlivo musí identitu toho človeka vedieť overiť adresát podania.
Pokiaľ by sme sa držali analógie s listinným svetom, tak nijako. Lebo pri prijatí vlastnoručne podpísaného dokumentu sa identita podpisovateľa nezisťuje z podpisu, ale z textu dokumentu, ani sa nijako neoveruje pravosť podpisu, čiže či podpísala skutočne tá osoba, ktorá sa (sama) identifikuje v dokumente.

To o čo sa teraz hrá, je presne otázka, či - a na základe akého predpisu - sa pri KEP neschopnosť úradu priradiť identitu k podpisu môže použiť na odmietnutie podania, resp. či môže vzniknúť požiadavka na doplnenie podania a aké údaje/dokumenty/doklady je možné vyžadovať.

Nie, pri bežnom vlastnoručnom podpise žiadny podpisový vzor neexistuje. Overenie vyžadovaním fyzickej prítomnosti, zistením totožnosti z dokladu a podpísaním na mieste (napr. do zápisnice) je možné iba v konkrétne určených prípadoch.

Žiadna taká verejná databáza neexistuje, nikde na svete. Okrem iného by to bol slušný zásah do ochrany osobných údajov. Databáza identifikačných údajov, ktorú si buduje ACA, nie prístupná ani nikomu inému privátne (za normálnych okolností). Aj keby bola, “Janove trvalé bydlisko” stále nie je postačujúce na jednoznačnú identifikáciu subjektu.

Problém je, že aj ak by “teta za prepážkou” rozhodovala o tom, aké údaje potrebuje na jednoznačné identifikovanie určitej osoby (niekedy to bude RČ, inokedy meno+TB+dátum_narodenia?), tak tie údaje potrebuje mať hodnoverne preukázané - po starom: treba predložiť doklad. V elektronickom svete je to čo?

Myslím, že odpoveď poznáš: v elektronickom svete je to elektronická identifikácia a autentifikácia (napr. prihlásenie na portál). Pre prípad potreby dokazovania sa (teoreticky) môže použiť autentifikačný token, ktorý vydal poskytovateľ identity.

Autorizácia (podania) nie je nijako viazaná na autentifikáciu. A nedá sa ani dobre prepojiť. Z toho že som prihlásený na portáli sa nedá nijako odvodiť, že KEP na podaní je môj.

Ale teda dobre, aby to nevyzeralo že len vŕtam: sú viaceré uvažovateľné riešenia, škoda však že k tomu nie sú jasné inštrukcie. V eIDAS je iba vágne ustanovenie čl.26.b “AES … umožňuje určenie totožnosti podpisovateľa”, a čl.32.1.d “sa jedinečný súbor údajov reprezentujúcich podpisovateľa v certifikáte správne poskytol spoliehajúcej sa strane”.

Jedna možnosť je, že Jano predloží zmluvu medzi ním a ACA, kde je (resp. by mala byť) uvedená aj jeho identita aj číslo certifikátu.

Ale teda všetci preferujeme, že by to vedel úrad overiť/zistiť automaticky. Hoci to v eIDAS nie je priamo takto uvedené, ale dá sa v ňom k tomu nájsť mechanizmus. V kap.II sú pravidlá pre “schémy elektronickej identifikácie”. (Sú síce myslené na účel autentifikácie, viď. čl.6.1 “na účely cezhraničnej autentifikácie pre danú službu online”, ale to nezakazuje ich použitie aj na overenie identity v inom procese.) Tie schémy, ktoré sú “notifikované” majú byť medzinárodne uznávané, a teda údaje z nich sú aj medzinárodne dostupné.
Ak by teda Estónsko notifikovalo identifikačnú schému, v ktorej by bol súbor údajov obsahujúci identifikátor z Janovho certifikátu (napr. id osoby, alebo id certifikátu) a súčasne ďalšie údaje popisujúce Jana dostatočne na to, aby ho slovenský úrad vedel stotožniť, išlo by to celé automaticky.
Ešte treba samozrejme vyriešiť otázku spoľahlivosti priradenia údajov konkrétnej osobe v určitej identifikačnej schéme. Keďže však podľa čl.24.1.b na identifikáciu osoby pri vydávaní certifikátu je použiteľná služba v úrovni “pokročilá” aj “vysoká” (cca. obdoba nášho levelu 3 a 4), analogicky sú schémy v tejto úrovni použiteľné aj na identifikáciu pri overovaní certifikátov. (Bizarné je, že art.16 predpokladá použitie iba schémy v leveli “vysoká”.)
Či táto teoretická úvaha bude aj vykonateľná by nám mohol povedať niekto z Nasesu, alebo jeho dodávateľ, ktrorý implementuje teraz viaceré veci z eIDASu, aj používanie notifikovaných identifikačných schém.

Skusim este raz. Vidim tu taketo rozne pripady:

1. Napisem podanie - do podania vlozim moje kredenciale - podpisem ZEPom. Uradnicka vidi na podani moje kredenciale, v podpise/certe vidi tie iste kredenciale. Ak veri ACA (co by asi mala), je to jasne, ze to neni podvrh.
2. Napisem podanie - do podania nevlozim moje kredenciale - podpisem ZEPom. Uradnicka vidi podanie, kredenciale ma v podpise/certe. Ak veri ACA, tak by to malo podla mna prejst.
3. Napisem podanie - do podania vlozim moje kredenciale. Podpisem to estonskym QES. Uradnicka vidi podpis, netusi ci ta osoba co to podpisala je ta co je v podani. Moze ist o podvrh. Na ake ukony toto staci?
4. Napisem podanie - do podania nevlozim moje kredenciale. Podpisem to estonskym QES. Uradnicka vidi podpis, netusi kto to je. ACA podla eIDAS musi verit. Na ake ukony toto staci?

Tieto veci už sme ináč viackrát riešili, aj tu na platforme, aj napr. s MV. Špeciálne pre eID je identifikácia podpisovateľa na OVM riešiteľná veľmi jednoducho aj iba na základe sériového čísla certifikátu (čiže netreba RČ ani TB).
Totiž pri vydávaní eID má MVSR spoľahlivo k dispozícii identitu držiteľa certifikátu, stačí aby si prepojenie Janove číslo certifikátu v eID - Janove BIFO “odložili”. Následne túto informáciu môžu poskytovať na účel overenia identity pri overovaní KEP.
A keď bude centrálna podateľna, stačí toto prepojenie robiť na jednom mieste.

V 1. a 3. Prípade ti úradník podanie spracuje (v treťom prípade možno s reptanim, lebo zrejme na tuto situáciu nie sú technicky vybavení), v 2. a 4. Ti určite podanie odmietne. ( po výzve na odstránenie vád podania). V podstate ti ho zo zákona aj musí odmietnuť.

kredenciale musíš vždy zadať do obsahu podania, lebo tieto patria medzi tzv. náležitosti, ktoré musí mat každé podanie

Určite im ale už priamo v podaní uveď, že podanie je elektronicky podpísané kvalifikovaným podpisom podľa nariadenia eidas, Pripadne im uveď, že platnosť podpisu si vedia overiť priamo v Acrobate.

Základom dobrého podania je jeho predžutie, aby úradník nad ním nemusel dlho uvažovať

Ok, idem teda skusit ten treti pripad.

Podanie sa posudzuje podľa jeho obsahu. Z podania musí byť zrejmé, kto ho podáva, akej veci sa týka a čo sa navrhuje. Osobitné právne predpisy môžu ustanoviť jeho ďalšie náležitosti.
71/1967 Zb. Správny poriadok | Aktuálne znenie

Nie som pravnik, ale moj programatorsky mozog si toto vie vysvetlit aj trosku gumovejsie. Podla mna je obsahom podania prave aj ZEP, kde tie identifikacne udaje su. Cize je jasne kto ho podava.