Zaručená konverzia: Validácia vstupného dokumentu

Dobru robotu v tomto smere robi podpisuj.sk, cize na nich by sa dalo stavat uz ci by sa islo opensource alebo nie a toto doplnit tou povodnou sluzbou ktoru musel koli zepom stat poskytovat inym statom (bola verejna), tak mame v podstate hotovy overovac, ktory staci ocertifikovat a poskytnut ako kvalifikovanu sluzbu. A mame kvalitny overovac ako eIDAS formatov tak aj este existujucich platnych starych podpisov.
Problemom by uz bolo iba poistne, ktore by nebolo male.

Uvaha: Cim lepsi a bezchybnejsi overovac, tym nizsie poistne? Co sa da dosiahnut zvysenou aktivitou NBU a UPPVII? V spolupraci s EK?

Mal som na mysli to, ze ked uz raz podla vtedy platnej legislativy bolo vytvorenych X dokumentov so ZEP, tak sa to cez palubu hodit neda len tak lahko. Ale to uz lepsie popisal Robert:

Potom:

Nadabil som na tento zapis z jednania PS4 dna 8.8.2017: https://wiki.vicepremier.gov.sk/display/PS4/4.+zasadnutie+PS4#id-4.zasadnutiePS4-3.1Formátypodpisových(transportných)kontajnerovXAdES_ZEP,ZEPf,ASiC

Pracovný návrh rozposlaný 22.6.2017 členom PS4: … Vhodným riešením by bolo predpísať do Výnosu o štandardoch nasledovné pravidlá: …
Povinné osoby sú povinné prijímať a čítať transportný podpisový kontajner vo formáte ZEPf alebo XAdES_ZEP …

Podla mailu z 22.6.2017 navrh predkladal UPPVII po konzultacii s NBU.

Neviem, ci toto konkretne je presne to, co pises, ale je to k tomu blizko a lepsie som nenasiel. Mozno @stefan.szilva?

Inak, podla toho ako casto a co pocuvam o ZEP-e na roznych PS, tak ano, aj ja by som uvital jeho “zmiznutie z povrchu zemskeho”.

T.j. “read ano” ale “write nie”. V tomto duchu som chapal jednania o ZEP-e v KS ISVS po prichode eIDAS. Aj ten zapis co spominam vyssie tak chapem, ale formulacie sa mi zdali a stale zdaju prilis zlozite a teda nejednoznacne resp. rizikove.

Predpokladam, ze tu je klucove slovo “informativne” - notar predsa nemoze robit ukon na zaklade informativneho overenia. Chapem, ze overovac je pri aktualnej legislative riadna kombinatorika (@miromr vysveltlil, vdaka), ale ak do toho nik nepojde, tak skoncime pri “vsetko je informativne” a tym padom to cele mozeme zahodit do kosa, lebo teda vediac toto, nehnutelnost nikomu nikdy na elektronicky podpis nepredam. A moze si digitalny lider trhnut cim chce. Takto tu podom ziadny eGov nezavedieme, ak sa na to nespolahne ani len nezodpovedny lachtikar. (A medzicasom bezi “covid-19 workaround”, ze sa predsa len niektore veci riesia “iba obycajnym mailom”.)

toto musim spochybnit. Podla mna plati ze eidas pozna kvalifikovane a nekvalifikovane overenie kvalifikovaneho, alebo zdokonaleneho podpisu. A neznamena to ze nekvalifikovana sluzba je na zahodenie. Je uplne legalna a spoliehajuca sa strana si moze vybrat aku sluzbu pouzije. Tu sa stale stretavame s omylmi v chapani.

No zase prichadza k nedorozumeniu a vytvaraniu si vlastnych slovenskych kategorii a pojmov … eIDAS nepozna pojem informatívny. Overenie podpisu patrí podľa eIDAS medzi tzv dôveryhodné služby (podpis napríklad nie). Si poskytovatelom doveryhodnej sluzby overenia ? Ak áno platí pre teba úplne rovnaká zodpovednosť za poskytnutú službu, či už máš , alebo nemáš kvalifikovaný štatút. Informatívny štatút v eIDAS neexistuje. Jediný rozdiel je v prípade pochybeni, kto čo dokazuje. Takže podľa mňa pred zákonom má tzv. informatívna služba (správne: nekvalifikovaná) úplne rovnakú zodpovednosť za to ako je poskytovaná ako ju má aj kvalifikovaná. Tu sa o tom píše v eIDASe: https://eur-lex.europa.eu/legal-content/SK/TXT/HTML/?uri=CELEX:32014R0910&from=SK#d1e1851-73-1 (oddiel 1, clanok 13 - odkazy nejako fdobre nefunguju)
Čize ak nastane spor, tak v prípade

  • nekvalif. služby - musí pochybenie dokázať spoliehajúca sa strana poskytovateľovi.

  • kvalifikovanej služby - musí svoje NEpochybenie dokázať poskytovateľ spoliehajúcej sa strane.

Ale v prípade dokazania pochybenia a či úmyslu, alebo nedbalosti, majú kvalifikovaná a nekvalifikovaná služba úplne rovnakú zodpovednosť voči spoliehajúcej sa strane … .
Preto furt nerozmumiem tomu dožadovaniu sa kvalifikovanej služby …
No a dosť mojho amaterskeho pravneho názoru, uvítam kvalifikovaný pohľad právnika.

A za ten luxus dokazneho bremena sa zvycajne plati.

1 Like

toto by som opravil Read Ano - ak podpis/pecat vznikli do oktobra 2016 (272/2016)

Rôzni poskytovatelia zaručenej konverzie používajú rôzne aplikácie, ktoré majú rôznu podporu formátov a rôznu mieru akceptácie niektorých typov chýb.

UPPVII môže v zmysle Výnosu č. 55/2014 Z. z. o štandardoch pre IS VS (od mája 2020 to je Vyhláška č. 78/2020 Z. z. o štandardoch pre IT VS) určiť referenčný validátor pre formáty podpisovaných dokumentov. Zatiaľ bol určený validátor pre PDF/A a to open source validátor VeraPDF. Pre iné formáty zatiaľ validátor určený nebol.

V prípade porušovania Vyhlášky o zaručenej konverzii alebo Vyhlášky o štandardoch pre IT VS je možné poslať podnety do UPPVII.

Tento problém som v tom čase komunikoval s príslušnými dodávateľmi (priamo alebo sprostredkovane) a podľa mojich informácií by to malo byť opravené už pred viac ako mesiacom:

Chyby v dotknutej aplikácii pre zaručenú konverziu mali byť opravené približne vo februári, takže takéto súbory by v nej už malo byť možné zaručene skonvertovať.

Chyba na strane registratúry:

  • Uvádzanie chybných hodnôt v elementoch Language a TargetEnvironment malo byť podľa mojich informácií už opravené.
  • Neuvádzanie prípony súboru - zatiaľ nebolo podľa mojich poznatkov doriešené v niektorých registratúrnych systémoch, takže stále vznikajú takéto dokumenty - a to s argumentom výrobcu, že prípona nie je potrebná a mimetype postačuje (čomu rozumiem ale nepovažujem to za správne a navrhnem to diskutovať aj v príslušnej pracovnej skupine Komisie pre štandardizáciu).

To je pravda, ale ak sa ma urobit konverzia, cize ukon kedy z dokumentu vznikne pravne uznatelny iny rovnopis musi tam byt uplna istota a hlavne pravna zodpovednost. Tj. aj v pripade skody musi existovat pravny stav ako tuto skodu uhradit. A prave na to je dobra kvalifikovana sluzba overenia kvalifikovaneho elektronickeho podpisu v suvislosti s konverziou.
To ze su aj ine sluzby overenia je v poriadku lebo na informativne overenie mi staci aj nekvalifikovana sluzba a dokonca aj overenie kepu ako zdokonaleneho podpisu pri vybavovani beznej veci uplne postacuje.
Ta zaruka spociva v tom ze kvalifikovana sluzba mi da aj pravne uznatelny protokol o overeni ktory je listinou dokazujucou sposob overenia podpisu, ktorym sa mozem pravne preukazovat v pripade pochybnosti. A v pripade uplatnenia si skody nesie kvalifikovany poskytovatel automaticky - nespochybnitelne zodpovednost za sposobenu skodu, lebo eIDAS predpoklada ze za nu automaticky a nespochybnitelne zodpoveda poskytovatel overovacej sluzby.
My nevieme na ake ucely uzivatel pouzije nami konvertovany dokument a ked z toho moze vzniknut skoda velkeho rozsahu malo by to byt v ramci proceu konverzie jasne dane.

Presne tak citat ich musime vediet az do doby kedy im skonci platnost podpisu ci jeho predlzenia. Ale vytvarat sa uz nesmu - myslim v statnom prostredi. Ja si mozem podpisovat nimi co len chcem a su takisto platne ako aj eIDAS formaty.
A jedina cesta ako sa ich zbavit na vzdy je bud ich zmazat, alebo prekonvertovat do moderneho formatu a na to potrebujem zase spolahlive overenie platnosti stareho zep podpisu.

to dava aj nasa nekvalifikovaná služba … rozdiel je ze v pripade sporu mi musí niekto dokázať , že protokol nemá pravdu. V prípade protokolu z kvalifikovanej služby a sporu, musí poskytovateľ dokázať že protokol má pravdu. (neznamena to že výsledok z kvalifikovanej služby neviem napadnúť, alebo že má vždy pravdu)
Akonáhle sa dôkazy vykonajú a uzná sa ze protokol má pravdu, tak už je jedno ci pochádza z kvalifikovanej, alebo nekvalifiokovanej sluzby - je právne uznatelný.
Vedel by som povedať pár príkladov s problémovým fungovaním kvalifikovaných služieb overenia z Čiech … naozaj to nie je všeliek.

Toto je prave to preco som aj niekde tu uvadzal ye vobec nevadi ak sa aplikacie na vytvaranie KEPu necertifikuju, ale ak programator domrvi aplikaciu na vytvaranie zarucenej konverzie tak tomu sa hovori pruser na n-tu. Lebo zakaznik s konvertovanym dokumentom odide v presvedceni ze ma pravne uznatelny dokument a vobec netusi ze je vlastne poskodeny samotnym podpisovacim softverom. A ak programator robi take chyby ako popisal @Bororo, tak kde je zaruka ze v podpise ma riadne podpisane tie atributy ktore maju musia pospisane. Ten podpis sa da vytvorit roznymi sposobmi a moze sa sa stat ze jev nom castktora mala byt uvedena medzi podpisanymi atributmi a nie je podpisana, lebo programator, ktory si nenastudoval ani nahodou technicke normy vytvoril podpis, ktory sa na podpis iba podoba (napr. meno podpisaneho dokumentu s 300 znakmi, bez koncovky v asic kontajneri a podobne zverstva, kde je zaruka ze takyto umelec vytvara riadne podpisy pri konverzii?) To nie je o tom ze oznamte klientovi alebo priamo vyrobcovi to je o tom ze takyto sw sa nesmie na konverziu vobec pouzit.
Preto by nad tymito sw pre konverziu mala byt certifikacia.

Podľa stanoviska výrobcu aplikácia zohľadňuje slovenskú podpisovú politiku, ktorá obsahuje položku CautionPeriod deltaDays = 1 a na jej základe čaká 24 hodín. Táto položka má byť v ďalšej podpisovej politike vypustená. K odlišnej interpretácii tejto položky prebehla minulý rok rozsiahlejšia diskusia medzi viacerými výrobcami aplikácií pre overovanie podpisov a NBÚ.

Jeden z citátov zo špecifikácií, z ktorých výrobcovia vychádzali (ale bolo ich viac, nemám priestor tu sem vkladať celú diskusiu):
“The cautionPeriod field specifies a caution period after the signing time that it is mandated the verifier shall wait to get high assurance of the validity of the signer’s key and that any relevant revocation has been notified. The revocation status information forming the ES with Complete validation data shall not be collected and used to validate the electronic signature until after this caution period.”

V zmysle odporúčania NBÚ niektorí výrobcovia túto položku nezohľadňujú. Niektorí sa držia technického výkladu a povinnosti predpísanej v zákone riadiť sa podpisovou politikou.

Podľa vyjadrenia NBÚ:
“Keďže ETSI opravu definície „CautionPeriod” neplánuje a nepoužíva ju v aktuálnych algoritmoch, kapitola 6.3 štandardu NBÚ Formáty podpisových politík, verzia 2.0 ju korektne definuje nasledovne: Položka obsahuje hodnotu maximálneho čakania, počas ktorého je sprístupnené CRL alebo OCSP odpoveď aktualizovaná (thisUpdate) od času, ku ktorému zisťujeme platnosť certifikátu.. Položku „CautionPeriod" môže použiť validačná aplikácia na detekciu incidentu nedostupnosti CRL/OCSP odpovede aktualizovanej do 24 hodín podľa čl. 24 ods. 3 nariadenia (EÚ) č. 910/2014 pre potreby informovania spoliehajúcej sa strany, aby kontaktoval vydavateľa certifikátu a orgán dohľadu – NBÚ."

V dôveryhodnom zozname je uvedené, kto takéto služby poskytuje.
Vo vyhláške o zaručenej konverzii sa v prílohe č. 2 uvádza, že v zázname o vykonanej zaručenej konverzii sa má uvádzať Výsledok overenia podpisu/pečate, ktorý obsahuje:
“Obsahuje výsledok overenia elektronického podpisu alebo elektronickej pečate – validačná správa splnenia požiadaviek12) a v súlade s bodom 5.3. Schémy dohľadu kvalifikovaných dôveryhodných služieb definovanou orgánom dohľadu, ak aplikácia používaná na overovanie takúto správu poskytuje, alebo výsledok procesu validácie podpísaný alebo zapečatený kvalifikovanou dôveryhodnou službou validácie kvalifikovaných elektronických podpisov alebo pečatí vo formáte napr. podľa technickej špecifikácie. 13)”

12) Čl. 32 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES.
13) ETSI TS 119 102-2.

Použitá služba by teda mala spĺňať pri overovaní postupy, ktoré sú predpísané v Nariadení eIDAS.

Vo Vyhláške č. 78/2020 Z. z. o štandardoch pre IT VS sa uvádza povinnosť akceptovať staré formáty použitím centrálnej elektronickej podateľne, ak takýto podpis strana spoliehajúca sa na podpis akceptuje. Citujem § 47 písm. c):

c) modulom centrálnej elektronickej podateľne externe podpísaných elektronických dokumentov alebo v ZEPf transportnom kontajneri obsahujúcom podpísaný dokument a jeho podpis CMS AdES alebo XML AdES podľa zverejnenej osobitnej špecifikácie,31) pričom modul centrálnej elektronickej podateľne zabezpečuje aj overenie elektronického podpisu vyhotoveného podľa pravidiel platných do 30. júna 2016, ak takýto podpis strana spoliehajúca sa na podpis akceptuje; na overenie podpisov sa obsah transportného kontajnera ZEPf alebo samostatné podpisy a nimi podpísané dokumenty môžu uložiť do formátu ASiC podľa písmena a),

malokto chape co je transportny format, a ze citovana sekvencia je vlastne E2E Zarucena konverzia. Tieto domotane definicie v 99% uradnikov evokuju ze “Akceptacia” transportneho formatu je ekvivalent k Platnosti KEPu. A pritom je to nieco uplne ine ako prehlasenie o pritomnosti kvalifikovaneho podpisu. A ked este CEP algoritmom z roku 2002 na takyto podpis vycapi nalepku ze podpis je PLATNY, tak uz su domotaní úplne všetci. A n eviem sa zbavit pocitu, že o to hlavne autorom išlo :slight_smile:

Takze ak som to spravne pochopil, to kvalifikovane overovanie kvalifikovanych podpisov vyhlaska o konverzii pozaduje, ibaze sa to v praxi nerobi?
Priznam sa ze som prilohu 2 vyhl. o konverzii cital, ale nedal som si tu vetu ze v sulade s bodom 5.3 schemy dohladu do suvisu. Zda sa ze vyhlaska je v pohode len prax je taka ze sa to nerobi. Aspon tam kde som videl vykonavat konverziu sa to nedalo nijako urobit…
Ja by som takuto dolezitu vec cakal skorej v paragrafovom texte ako jeden z dolezitych bodov, kedze to zaroven riesi aj problem zodpovednosti za pripadne skody… V tej tabulke je to strasne skryte a pri tom je to zasadna poziadavka ktora vlastne dava istotu ze konvertovany dokument je skutocne to co ma byt.

ale citajme s porozumenim… format spravy ma byt v sulade bodom 5.3. Nie ze sa vyzaduje kvalifikovane overenie. Naopak tam je predsa napisane, ze ak je overenie kvalifikovane, tak sa namiesto tejto spravy ma sem dat zapecateny overovaci prokol prislusnej sluzby.

No je pravda ze sa to da vysvetlovat aj tak aj tak. Len to potom neriesi tu zodpovednost za pripadnu skodu ktoru by automaticky a bez pracneho dokazovania niesol poskytovatel kvalifikovanej sluzby. Zvlast ak sa na to pride az za par rokov kedy uz ten overovaci soft je davno v inej verzii a neda sa uz k nemu dostat aby sa zistilo ze nefungoval spravne. Mohli to zrozumitelnejsie uviest naprilklad ze sposobom obdobnym/rovnakym ako u kvalifikovanej sluzby a pod.
A to ze neni takyto overovac otestovany nejakou skusobnou autoritou, ktora ho podrobne otestuje a prehlasi ze robi presne to co ma a zapecati, je velkym nedostatkom procesu konverzie a predpokladom ze nechtiac moze sw podat nespravne udaje ci uz ze si vyrobca nieco vysvetlil po svojom, alebo pri vyvoji doslo k chybe ktoru bezne otestovanie neodhalilo.
Dnes je vyrobcov podpisovacich softverov ako maku. Ale sam vies ze mnohi z nich si neprestudovali technicke normy a vytvaraju podpisy kde strcia co im pride pod ruku. Obcas dostavam na stol podpisy ktore sme poslali naspat ovm ktore ich odosielali s tym aby oslovili svojich dodavatelov ze to takto nejde. A teraz si zober ze niekto takyto sa rano zobudi a rozhodne ze bude poskytovat softver na zarucenu konverziu a podobnym sposobom zbucha aj overovac. A jeho overovac bude produkovat spravny protokol (na oko) co bude pre neho jedine kriterium aby to veselo ponukol na trh. Chudaci ti co budu pouzivatelmi takto konvertovanych dokumentov.

hore som vysvetloval ze zodpovednost je rovnaka aj pre nekvalifik. poskytovatela (definuje priamo eidas). Len sposob dokazovania je iny. Takze netreba nic riesit.

Mas pravdu ale napr. pre mna keby som bol napr. advokat by bolo lepse ak by mi tuto informaciu poskytoval kvalifikovany poskytovatel u ktoreho sa zavinenie zo zakona priamo predpoklada a nemusim nic dokazovat a tento musi byt zaroven aj poisteny proti pripadnej skode.
Takto ano moze sa poistit ten co sluzbu poskytuje alebo ten co poskytuje sluzbu zarucenej konverzie, alebo aj nemusi vobec nikto. Da sa to poriesit vseliako…

to je jeden z dôvodov prečo sa do toho nik nehrnie. Jednak na to aby si bol kvalif, poskytovatel potrebujes spustu penazi na postavenie PKI, aby si mohol byt zapisany do trusted listu, spustu penazi na rezervnom ucte, pre pripad sporov a jednak mas dokazne bremeno vzdy ked niekto si zmysli, ze bude cosi rozporovat. Pritom zodpovednost rovnaka ako u nekvalif. poskytovatela. Tak naco sa trapit ?

1 Like

Ja viem zase sme u penazi. S tym nenarobime asi nic. Iba chcem poukazat na to ze kym u kvalifikovaneho poskytovatela organ dozoru skor ako ho povoli tak skontroluje nielen sulad funkcionality ale mozno aj to ci je na to poisteny. U nekvalifikovaneho kona az ked je problem ex post. Takze ci jeho softver je v sulade s tym co vyhlaska pozaduje je v podstate iba na vyhlaseni samotneho poskytovatela. A kedze sa na tuto sluzbu spolieha ju tretie osoby ako notar aj jeho klient mal by tu byt vyssi stupen istoty nez presvedcenie vyrobcu softveru ze to ma v poriadku. Aspon povinnost preskusania funkcionality - auditu - ze skutocne splna poziadavky a je v sulade.
Nejde mi o to buzerovat poctivych vyrobcov, ale o to ze medzi nami su dodavatelia, ktori si s normami nerobia tazku hlavu a vyrobit overovac, ktory bude generovat sice predpisane vystupy, ale na zaklade funkcionality, ktora nevychadza zo znalosti noriem je velmi pravdepodobne.

K validatorom: A toto sa pouziva? Asi nezvladne ZEP, ale hadam lepsie ako nic:

Stefan aj ostatny: Malo by zmysel dat do slovenskej vyhlasky o standardoch tento validator?

Resp. ak nie, lebo poredsa len treba osetrit aj ZEP, moze UPPVII este do OPII vlozit projekt, ktory by implementoval/zaobstaral/whatever eIDAS+ZEP validator?