Navrhujem vzhladom na komplikovanost celeho systemu vypustit podpis ako nalezitost uradneho rozhodnutia a nahradit ho kvalifikovanou pecatou uradu. Podpis by ostal iba pri listinnych uradnych rozhodnutiach. Pri elektronickych by ho nahradila kvalifikovana pecat. Usetria sa miliony na sprave certifikatov a tokenov. Kazde elektronicke uradne rozhodnutie bude opatrene iba kvalifikovanou pecatou uradu. Nebude treba komplikovane podpisovat uradne rozhodnutie kvalifikivanym podpisom ale uradne rozhodnutie sa opatri len kvalifikovanou elektronickou pecatou. Dnes na mnohych uradnych rozhodnutiach chyba prave kvalifikovana elektronicka pecat.
2 Likes
Návrh je to tak dobrý, že už je aj v zákone.
z.305/2013, §23
(1) Orgán verejnej moci vykoná pri výkone verejnej moci autorizáciu elektronického podania alebo elektronického úradného dokumentu kvalifikovaným elektronickým podpisom17) vyhotoveným s použitím mandátneho certifikátu20) alebo kvalifikovanou elektronickou pečaťou,18) ku ktorým pripojí kvalifikovanú elektronickú časovú pečiatku,19)
2 Likes
chapem to spravne, ze pecat a peciatka su dve rozdielne zalezistosti?
pecat identifikuje kto rozhodnutie autorizoval?
casova peciatka identifikuje kedy to bolo autorizovane?
Pecat je vlastne podpis uradu a peciatka je presne to co pises…
1 Like
Trocha podrobností:
ja som od začiatku zákona o eGov propagoval práve tento prístup, t.j. že “za úrad” sa autorizuje jeho pečaťou. Teória je taká, že úrad si interne robí čo potrebuje - skrátka obeh dokumentu/spisu, lehoty, interné schvaľovanie - a keď sú “na konci” všetky podmienky splnené, tak sa príslušné rozhodnutie autorizuje pečaťou (plus ČP). Kritériá kto/za akých podmienok môže určitý dokument nechať pečatiť si môže/má každá organizácia určiť sama. V zložitejších prípadoch sa to dá aj technicky vynútiť informačným systémom, napr. DMS kontroluje, či sú na dokumente všetky určené (interné) “podpisy”/schválenia a iba vtedy povolí jeho odoslanie na pečatenie.
Problém je v tom, že jednak v niektorých zákonoch je presne uvedené kto podpisuje, a dvak extrémnou úradníckou zotrvačnosťou stále prevláda zvyk že “niekto podpisuje”. Toto sa dá (snáď) riešiť tak, že v samotnom texte dokumentu sa uvedie meno/rola osoby, ktorá rozhodla o vydaní príslušného rozhodnutia - napr. ktorý sudca vydáva rozsudok.
Pri používaní pečate okrem ušetrených zdrojov za manažment mandátnych certifikátov výhoda je, že všetky dokumenty sa podpisujú na jednom mieste, kde je ľahké spraviť ďalšie opatrenia aké treba - napr. dodatočná kontrola čo sa vlastne pečatí, alebo systematická evidencia všetkých opečatených dokumentov (už žiadne podozrivé zmenky mimo evidencie). Tým, že pečať je uložená v hlbinách IS niekde v HSM, je tiež nižšie riziko jej kompromitácie, ak sa správne používa.
2 Likes
Nizsie riziko kompromitacie (“ak sa spravne pouziva”) mozno je, ale dopad pri kompromitacii (napr. infekcia trojanom) je neporovnatelny. V pripade kompromitacie centralneho uzla sa totiz nekompromituje podpis jedneho uradnika ale celeho uradu.
ale uz aj teraz existuju agendy, kde sa nepodpisuje ale sa aj vo fyzickom svete len pecati
zo zákona 305/13 23.1 nové znenie by bolo takéto:
(1) Orgán verejnej moci vykoná pri výkone verejnej moci autorizáciu elektronického podania alebo elektronického úradného dokumentu kvalifikovanou elektronickou pečaťou,18) ku ktorej pripojí kvalifikovanú elektronickú časovú pečiatku,19)
je to výrazne praktické, lacnejšie, efektívnejšie, flexibilnejšie, interoperabilnejšie.
z praktického hľadiska je užívateľom ďaleko jednoduchšie používať kvalifikovanú pečať.
osobitné predpisy treba modifikovať tak, že vlastnoručný podpis sa vyžaduje len na listinnom úradnom rozhondutí napr. ak zlyhá technika, ale pri elektronickom úradnom dokumente sa vyžaduje vždy kvalifikovaná pečať.
Su procesy, kde potrebujes preukazat, ze rozhodla konkretna osoba s nejakou poziciou, co pecat sama o sebe neriesi. Ak by sa to riesilo len textovou informaciou - rozhodnutie vydal X.Y. + pecat uradu, tak to vyvolava otazku, ako preukazes (napr. v pripade sporu), ze to dotycny naozaj vydal.
Ak to spravis tak, ze dotycny sa prihlasi do nejakeho agendoveho systemu a spolahnes sa na to, ze ten to zabezpeci, tak na viacerych urovniach degradujes bezpecnost. Po prve, na to, aby si dostal KEP s mandatnym CP je nejaky proces a privatny kluc drzis v rukach ty a nikto iny. Na druhej strane, ako vies, ze niekto neresetne tvoje heslo do agendoveho systemu aby ziskal pristup, nezmeni opravnenia alebo inym sposobom nieco nepodhodi na ,podpis’’ v tvojom mene. Ty ako osoba nesies za rozhodnutie zodpovednost, ale nemas to pod kontrolou. Za dalsie, nie je to len otazka paranoje ale aj dokazatelnosti, kto to v skutocnosti vydal (v pripade sporu).
Su procesy, kde potrebujes preukazat, ze rozhodla konkretna osoba s nejakou poziciou - táto požiadvaka je nad rámec eIDASu. eIDAS v žiadnom prípade nevyžaduje preukazovanie pozície pri rozhodovaní, neumožňuje to na účely elektronického podpisovania ani GDPR. preto je úplne nezmyselná. je to nákladné, neefektívne, zbytočne komplikované.
pritom stačí, ak budeme dôslední a budeme aplikovať ustanovenia eIDASU o kvalifikovaných pečatiach na elektronické úradné rozhodnutia.
zoberme si takú výzvu súdu na zaplatenie súdneho poplatku. táto je ako elektronický úradný dokument autorizovaný
kvalifikovanou pečaťou súdu, je vydaná konkrétným súdnym úradníkom, spája sa s ňou vážny právny následok (nezaplatenie má za následok zastavenie konania), a súd by ju mal udržiavať v archíve pečatením počas celej archivačnej doby až do vymazania elektronického úradného dokumentu z HDD/SSD po skončení arch. doby.
pri výzve na zaplatenie poplatku teda nemusíme preukazovať funkciu a pozíciu? úradnú osobu? úrad, ktorý výzvu vydal?
načo tá nákladná dvojkoľajnosť kvalifikovaných pečatí vs. kvalifikovaný podpis? Už dnes mohol štát fungovať efektívnejšie, keby sa pracovalo s kvalifikovanými pečaťami na elektornických úradných dokumentoch.
na toto eIDAS pamätá pri kvalifikovaných službách, kedy elektronickú pečať môže spravovať dôveryhodná autorita.
podstatným zefektívnením je, že pri kvalifikovaných pečatiach nevstupuje úradník osobne do PKI infraštruktúry ktorej nerozumie ale naučí sa iba klikať na akejkoľvek platforme a operačnom systéme.
nikomu napríklad nevadí, že elektronické doručenky sa už nepodpisujú, pritom sú s nimi spojené vážné právne následky.
1 Like
Myslim si ze nie, ty ako obcan ci podnikatel vzdy jednas s instituciou. Ak institucia rozhodne nespravne, tak sa budes sudit alebo dozadovat nahrady od institucie.
Chapem tvoje obavy a podla mojich skusenosti kym nebudu jasne sudne rozhodnutia ze to tak je, tak sa budu uradnici branit. Ale z logiky by malo naozaj stacit vediet ze to nespochybnitelne poslala institucia, jej vnutorny bordel ta nemusi zaujimat.
A len poznamka s EIDAS to ale naozaj nesuvisi.
Ale mozeme sa pozriet na prakticku stranku. Zoberme si priklad ked ti sekretarka ministra posle objednavku na velku tlaciaren. Posle to cez elektronicku podatelnu a ma to teda pecat. Objednas ju ci nie ? Podla zmluvy objednavky musi podpisat statutar, co s tym ?
Prakticky by som sa asi na svoj vyklad nespolahol :), pekne by som jej zavolal a poprosil o papier s ministrovym podpisom
2 Likes
Myslim si ze nie, ty ako obcan ci podnikatel vzdy jednas s instituciou.
Podme zhora. Priklad z ustavy:
Čl. 101
(1) Hlavou Slovenskej republiky je prezident. (…)
(2) Prezidenta volia občania Slovenskej republiky (…)
Prezident je konkretna osoba, ktora post zastava a ta moze rozhodnut o urcitych veciach. Prezident vyhlasuje vojnu, udeluje individualne milosti, atd. On, nie napr. Kancelaria prezidenta SR. To je o pravomoci osobe na danom poste a nie o “internom bordeli institucie”.
Nerozumiem tvrdeniu:
podstatným zefektívnením je, že pri kvalifikovaných pečatiach nevstupuje úradník osobne do PKI infraštruktúry ktorej nerozumie ale naučí sa iba klikať na akejkoľvek platforme a operačnom systéme
Ako ma pri podpise “vstupovat do PKI infrastruktury, ktorej nerozumie”? Ak si v agendovom systeme vytvori rozhodnutie a ma tam tlacitko ,Podpisat", tak sa od neho ocakava, ze zastrci kartu a zada PIN. S bankomatom snad robit vie. Operacny system, agendovy system a ovladac na tlaciaren mu tiez niekto nahodil, snad mu ten isty da aj driver na kartu.
vstúp do PKI infraštruktúry znamená, že úradník musí navštíviť certifikačnú autoritu, podpísať s ňou zmluvu, ktorá mu vydá kvalifikovaný certikát k elektornickému podpisu. a takto to musí opakovať každý rok.
pri elektronickej pečati nemá úradník žiadny zmluvný vzťah s certifikačnou autoritou, nemusí si obnovovať žiade certifikáty, používa iba tlačidlo v IS, tablete, notebooku, mobile v rámci služobného pomeru.
Inak silne pochybujem, že Pán Prezident SR podpisuje zákony elektronicky svojím kvalifikovaným podpisom.
Preco by mal navstevovat certifikacnu autoritu. Ked nam vedia doniest do firmy toaletak (bez toho, aby niekto od nas navstevoval ,toaletnu autoritu’’), urcite sa da vydat certifikat na mieste. A pokial niekto potvrdi, ze dana osoba post stale zastava, tak aj obnova sa da riesit vzdialene.
Je uplne jedno, ci pan prezident teraz nieco podpisuje pomocou KEP. Je to priklad, ako musi rozhodnutie autorizovat konkretna osoba. Takych pripadov je N. Ak by sme sa hrali na to, ze KEP nepouzivame, potom nemusime riesit ani to, ci pecat alebo podpis.
mňa by zaujímalo, koho napadlo spájať funkciu s elektornickým podpisom. musela to byť veĺmi múdra hlava, ktorej by mali dať preplatiť účet za komplikovanosť systému.
ešte raz zopakujem, pri autorizovaní kvalifikovanou pečaťou úradník nevstupuje do PKI infraśtuktúry osobne zmluvným vzťahom s certifikačnou autoritou. nevstupuje do schémy PKI.
pri elektronickom podpise vstupuje, je viazaný politikou ACA, svojim podpisom garantuje integritu a nepopierateľnosť. pri vlastnoručnom podpise nie je viazaný žiadnou politikou ACA, nie je osobne v PKI infraštruktúre. Rovnako pri použití pečate nie osobne je viazaný politikou ACA, nie je osobne súčasťou PKI infraštruktúry.
zoberme si prezidenta, pri elektoronickom podpisovani je viazany politikou ACA, OSOBNE vstupuje do schémy PKI, prenášame zodpovednosť za integritu elektronického dokumentu na neho OSOBNE. je to taký magoristan.
Tiez si myslim, ze ak je vykonavatelom verejnej moci institucia, tak by mala na autorizaciu stacit kvalifikovana pecat uradu. Pokial je vykon verejnej moci zvereny konkretnej osobe (notar, sudca, exekutor) tak by jeho rozhodnutia mali byt autorizovane KEPom na zaklade MC
Výkon verejnej moci advokátom? 
preto mandátny certifikát 
svojim podpisom garantuje integritu a nepopierateľnosť
To nie je celkom presne, ale povedzme, ze si rozumieme.
Ak za nieco zodpoveda konkretna osoba (napr. prezident, minister a pod), tak by asi by mala mat autorizaciu dokumentov pod svojou vylucnou kontrolou. Ved v zakonoch mame napisane, ze za nieco je zodpovedny prezident, minister, atd. To, ze je to tak, je celkom logicke a odraza to vztahy v realnom svete. No a potom mame pripady, ked rozhodnutie vyda ,urad’'. Oboje ma zmysel.
1 Like
Sorry, myslel som notara… 
Ako môžme sa tu baviť čo by si každý z nás želal, ale skúsim trocha formálnejšie, aj keď toto je viac právnická téma než ITčkarska:
Ako sa podpisujú úradné rozhodnutia je určené v správnom poriadku -
z.71/1967 Zb. §47.5 “V písomnom vyhotovení rozhodnutia sa uvedie aj orgán, ktorý rozhodnutie vydal, dátum vydania rozhodnutia, meno a priezvisko fyzickej osoby a názov právnickej osoby. Rozhodnutie musí mať úradnú pečiatku a podpis s uvedením mena, priezviska a funkcie oprávnenej osoby. Ak sa rozhodnutie vyhotovuje v elektronickej podobe podľa osobitného predpisu o elektronickej podobe výkonu verejnej moci, neobsahuje úradnú pečiatku a podpis, ale je správnym orgánom autorizované podľa osobitného predpisu o elektronickej podobe výkonu verejnej moci. Osobitné právne predpisy môžu ustanoviť ďalšie náležitosti rozhodnutia.”
“Orgán, ktorý rozhodnutie vydal” je správny orgán, ktorým je (viď. §1) “štátny orgán, orgán územnej samosprávy, orgán záujmovej samosprávy, fyzická osoba alebo právnická osoba, ktorej zákon zveril rozhodovanie o právach …” Napr. ak rozhodnutie vydáva prezident ako osoba, on sám je správnym orgánom.
Tu už je jeden konkrétny problém s eIDASom - totiž podľa jeho čl.3.24 “pôvodca pečate je právnická osoba, ktorá vyhotovuje elektronickú pečať”. Fyzická osoba nemôže mať svoju elektronickú pečať, teda -bohužiaľ- nie každý správny orgán môže mať svoju elektronickú pečať.
Keďže šanca že zmeníme eIDAS je blízka nule, musíme mať aj bezpečaťový spôsob autorizácie.
Čiže §23 ZeGov by sa dal vylepšiť maximálne upresnením, ktorý OVM ako autorizuje:
“(1) Orgán verejnej moci vykoná pri výkone verejnej moci autorizáciu elektronického podania alebo elektronického úradného dokumentu kvalifikovanou elektronickou pečaťou, ku ktorému pripojí kvalifikovanú elektronickú časovú pečiatku, ak ide o orgán verejnej moci, ktorý je právnickou osobou, v ostatných prípadoch kvalifikovaným elektronickým podpisom vyhotoveným s použitím mandátneho certifikátu, ku ktorému pripojí kvalifikovanú elektronickú časovú pečiatku.”
(Mimochodom, vie niekto priblížiť rozdieľ medzi “správnym orgánom” v zmysle správneho poriadku a “orgánom verejnej moci” v zmysle zákona o eGov?)
2 Likes