Ešte pred dnešným stretnutím k mobilnému ID iba zopár vecných poznámok k tejto téme:
Keď sa odvoláva(me) na eIDAS, v ňom je téma o ktorej tu diskutujeme pokrývaná “doručovacími službami” (viď. najmä rec.66, čl.3.36, oddiel 7) a nie iluzórnymi možnosťami použitia slabo podporovaných podpisov. “Registrované zásielky” zaslané kvalifikovanou doručovacou službou majú z pohľadu eIDAS rovnakú úroveň záruk ako povedzme kvalifikovaná el. pečať, alebo časová pečiatka. A to bez ohľadu na mechanizmus akým si ich medzi sebou používateľ a prevádzkovateľ doručovacej služby autorizujú.
Zásielka skutočne má byť podpisovaná, ale podpisom/pečaťou poskytovateľa dôveryhodných služieb, viď. čl.44.1.d. Tento podpis tam bude povinne, podpis používateľa vôbec nie je spomínaný.
Interoperabilita doručovacích služieb v rámci eIDAS je nielen plánovaná, ale sú k nej aj štandardy a konkrétne implementácie (zatiaľ pilotné). Hľadaj Connecting Europe Facility (CEF) eDelivery, hlavná stránka tu: https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/CEF+Digital+Home
S týmto riešením počíta povedzme aj smernica o SDG (Single Digital Gateway) - ďalšia veľká plánovaná vec po eIDASe. Momentálne putuje v codecision procedure, viď. 2017/0086 (COD), určite poznáš aktuálnu verziu z Rady ministrov 15.6.2018, ak nie, môžem poslať.
Ako sú riešené bezpečnostné otázky v CAF eDelivery a plnenie požiadaviek eIDAS pre ERDS pozri Security Controls guidance document . Pre interoperabilitu je tam dôležitá C2-C3 komunikácia/protokol/požiadavky v ich “4 corners” architektúre, hľadaj “Cross-party security”. Tam sa vôbec nepočíta s podpismi odosialateľa. Pre vyžadované/podporované mechanizmy autorizácie však pozri “End-to-end Security (C1-C4)”. V prílohe I.3 nájdeš 3 podporované scenáre. S podpisom vytváraným odosielateľom sa počíta iba v scenári “I.3.3 Extended security scenario”, podľa popisu: “This scenario is suitable when C1 and C4 exchange highly sensitive data and have the necessary security means and capabilities.” (Polopatisticky: celé riešenie interoperability je postavené na iných mechanizmoch ako podpis používateľa, aj KEP je tam len podporovaná varianta.)
Aj mimo témy autorizácie kliknutím a spol., ÚPVS skrátka realizuje doručovaciu službu v zmysle eIDAS a čím skôr by sme mali riešiť jej prispôsobenie štandardnému rámcu v EÚ - časom nás to dobehne, to je nabetón isté. T.j. prispôsobenie technické - architektúra, API, štandardy, formáty, aj legislatívne - úprava z.o eGov, zriadenie kvalifikovanej služby, otvorenie iným doručovacím službám, riešenie doručovania zahraničným subjektom. Fakt verím že Nases toto už rieši.
@kyselat , snáď sa týmto posunieme v debate od “neuviedol si protiargument, tak sumarizujem” niekam ďalej.