Zaručená konverzia: Validácia vstupného dokumentu

Logiku to ma, ale zda sa mi to obmedzenie sa na level A prilis obmedzujuce.
Vacsina dokumentov nie je natolko zlozita aby nepostacoval aj B.
To ustanovenie je napisane tak ze bysom v nom nehladal az konkretne prisne obmedzenie sa iba na uroven A. (resp. zakaz pouzivania B v ovm sfere)
Problem vytvarania kvalitneho pdf dokumentu je dost zlozita veda, spomeniem len skustocnost ze darmo mam kvalitny nastroj na tagovanie a formatovanie, ci strukturu, ak dokument vytvaram v textovom editore (co je vacsina dokumentov) a netusim nic o strukturovani a tagovani dokumentov. Nemam kvalitnu odborne spracovanu sablonu a podobne - uz podklad sam neobsahuje potrebne vsetky informacie.
Vacsinu dokumentov podla mna zvladnu aj formaty v B.
Ved pozrime sa vedla k susedom do CR, rovnake zasady pristupnosti funguju aj tam a oni nijak neobmedzuju jednotlive urovne PDF/A formatov. Jedinym obmedzenim je ze vystupny dokument - teda ten co sa niekam dava kde ho mozu citat zrakovo postihnuty musi byt niektora z verzii PDF/A a musi splnat asi cca. 7 poziadaviek. Tento pristup sa mi zda jednoduchsi, priamociarejsi a tym aj lepsi.

1 Like

zep.disig.sk - ten ich konvertor robi uplne nahodne veci - “zabudne” v PDF casti fontov, ktore nemaju ziadnu referenciu a subor narastie z 300 KB na 3 MB, ponecha tagy ktore v PDF 1.4 neexistuju atd.:

|File|NA PODPIS_podpisany.pdf|
|Compliance|pdfa-1a|
|Result|Document does not conform to PDF/A.|
|Details|Validating file “NA PODPIS_podpisany.pdf” for conformance level pdfa-1a

The offset in the xref table is not correct.
The value of the key S is TBody but must be a standard type.
The document does not conform to the requested standard.

The file format (header, trailer, objects, xref, streams) is corrupted.
The document doesn’t provide appropriate logical structure information.
The document does not conform to the PDF/A-1a standard.

Done.|

Neni to celkom tak dam sem par ustanoveni:
(49) Týmto nariadením by sa mala ustanoviť zásada, že elektronickému podpisu by sa nemal odopierať právny účinok
z dôvodu, že je v elektronickej forme alebo že nespĺňa požiadavky na kvalifikovaný elektronický podpis. Ponecháva sa však na vnútroštátne právo, aby vymedzilo právny účinok elektronických podpisov s výnimkou požiadavky stanovenej v tomto nariadení, podľa ktorej má kvalifikovaný elektronický podpis rovnocenný právny účinok
ako vlastnoručný podpis.
Cize stat vymedzil pravny ucinok a ich pouzitie pre tieto stare podpisy a povedal za ake povazuje ich a to je postacujuce to je rpave ta opora v zakone. A kedy sa pouzivaju, a kde sa nesmu pouzit.

Vsimni si ze kvalifikovany podpis nie je o formate. AdES podpisy nie su jedine ktore mozu byt kvalifikovane. Aj Ditek formaty kludne mohli byt kvalifikovanymi podpismi ak by v sebe nemali nieco co eIDAS nevyzaduje. To ze oni nieco v sebe maju naviac (napr. nejake atributy) ich robi nepouzitelnymi v inych krajinach ako SK - tam ich nemozno povazovat za kvalifikovane aj keby sme ako chceli.
3. Členské štáty nesmú vyžadovať na cezhraničné využívanie služby online, ktorú ponúka subjekt verejného sektora,
elektronický podpis vyššej úrovne bezpečnosti ako kvalifikovaný elektronický podpis.
Toto bude asi ten dovod preco sa prestali pouzivat

Podla tohoto ustanovenia tie stare podpisy ak im nepresla patnost certifikatov maju nadalej pravny ucinok aky doposial mali.
1. Právny účinok elektronického podpisu a jeho prípustnosť ako dôkazu v súdnom konaní sa nesmie odmietnuť
výlučne z toho dôvodu, že má elektronickú formu alebo že nespĺňa požiadavky pre kvalifikované elektronické podpisy.

Nikde sa nehovori ze KEPmusi byt formatu AdES iba definuje ako vznikne zo zdokonaleneho podpisu kvalifikovany a zdokonaleny je zase len o tom ze je prepojeny s osobou podpisovatela ale neriesi format.,
Ak by Ditek formaty nepozadovali nieco co z hladiska eIDAS neni potrebne pozadovat (ich poziadavky idu nad ramec poziadaviek eidas), kludne mohli existovat ako kvalifikovane. Jedinou ich chybou je to ze su zbytocne zlozite a idu nad ramec poziadaviek ktore su potrebne pre KEP.

Zepf mi tiez dost vadi a mozno ma aj nejake uplatnenie (niekde je ze sa mozu nim podpisovat tify a pod. nepametam si presne ktora alikacia to povolovala a predpisovala ze musi byt v zepf). Ale kedze je to kontajner neni ho potrebne z hladiska eIDAS vobec riesit. Je to kontajner a ak dam do neho CAdES a vytvorim ho spravne tak ten cades v nom je KEP, ten zepf je len nosicom. Samozrejme je to len dalsia komplikacia pre toho kto to ma spracovavat.

@miromr toto co pise ja vobec nerozporujem a chapem to. Ja len hovorim ze ked validujem podpis validatorom a napise mi to, ze je PLATNY (napr. XZEP) tak aky to ma vyznam ked zakon podla ktoreho sa urobila vlaidacia (s vysledkom PLATNY) je uz neplatny. Aky ma ta validacia zmysel… To ma vyznam iba ak naozaj existuje medzi tymi subjektami zmluva ze sa v ich vztahu bude pouzivat tato validacia. To mi vadi pri tej “spatnej kompatibilite”. Ze sa uplat+nuje bez znalosti kontextu a uradnik dostanevysledok PLATNY a naklada s tym akoby tam bol dokazany KEP. Vidite tu na tejto diskusii
ze ludia co sa tomu roky venuju si to musia zlozito vysvetlovat. Co taky starosta co bol pred mesiacom zvoleny. Pogtrebuje nastroj co ho nebude mylit…

Ok plne suhlasim. Overovac by mi toto mal vo vyslednom protokole oznamit. Vratane toho ze overoval format XZEP aby mi bolo jasne ze neslo o overovanie KEP.

Tu zmluvu co spominas nie je potrebne mat lebo aj XZEP je platny elektronicky podpis iba jeho format stat nepovolil pouzivat na ucely KEP. Dokonca myslim ze na viacnasobne podpisovanie alebo nieco podobne mal dokonca vynimku ze sa nim mohli podpisovat dokumenty aj po eIDASe.
Napr. mam rozhodnutie z roku 2015 podpisane ZEPom a chcem si ho overit, alebo lepsie povedane chcem si ho dat zkonvertovat do noveho formatu. Takze overovac ho musi overit ze nebol poskodeny a ze podpis splna vsetky poziadavky podpisu, ktory sa pouzival v roku 2015. Na to nemusim mat s tym OVM co mi ho vroku 2015 vydal ziadnu zmluvu a podpis je platny aj dnes a preto overovac musi ho vediet overit, ale ako spravne pises overujuca osoba by mala byt o tom informovana, a zaroven by bolo vhodne ju este aj upozornit ze sa odporuca dokument pre dalsie pouzitie prekonvertovat do novsieho formatu.

To me preberali na PS, t.j. napr. VeraPDF resp. validacia PDF ako takych ma zaujima menej. Vies prosim niecp napr. k tomu VaIS, tot validator techynickej.formatovej stranky podpoisov bez holadu na format podpisaneho payloadu?

Pomozem si prirovnanim k GPG: Mam povedmze .PDF, .JPG, .TXT atd. Spravim podpis (povedzme detach) a teda vyrobim .SIG. Zaujima ma SW, ktory zvaliduje, ze .SIG (resp. teda jeho eIDAS ekvivalnet) ma spravny format, strukturu, pouzite algoritmy a pod.

Suhlasim a doplnim, k comu vlastne mierim: Ak si uz stat implementaciu nejakych validatorov zaplatil resp. este si len zaplati v OPII, mozeme aspon jeden takyto validator “vynat” z projektu v ktorom je a zverejnit ho ako prepouzitelny, Open Source a (neskor aj) referencny? (“vynat” = tot nech uz je to prilepene k comukolvek za kolkokolvek “mega”, tak nech sa dodavatel neboji, ze mu chceme “ukradnut” cely velky projekt :slight_smile: ) Vies o existujucej vhodnej implementacii? Resp. ak nie, vieme o nejakom pripravovanom OPII proijekte, kde by sa to este stihlo efektivne “prilepit”?

Bol tu uz spominany Open Source DSS a ze na zalklade neho vlastne v SR vzniklo tusim podpisuj.sk . A teda argumentujem, ze dalsi Open Source komponent podpori eIDAS nasadenie v praxi este viac.

Vies tuto svoju aktivitu “vyskalovat”, t.j. aby sa take plug-testy robili vo vacsom aj v SR a teda aj so zohladnenim “starsich” formatov (ZEP, … - ked uz sa ich teda nevieme “hrubou ciarou” zbavit)?

Z nej by teda mohol pochadzat ten buduci Open SOurce referencny validator, po ktorom tu volam. :slight_smile:

PDF:
OK veraPdf sluzi iba na overenie suladu s PDFA a pripadnu konverziu do PDFA formatu. Nie je zla ak by sa islo podobne ako V v CZ kde je podmienka pouzit PDF/A format 1-3 tak v podstate cela kontrola sa u nich tyka iba dvoch bodov a to je ci vystupny dokument je PDFA (ano/nie) a ak je PDF/A-3 tak ci nema nepovolenu prilohu. Toto je jednoducha funkcionalita ktora nepotrebuje nic zloziteho. U nas sa moze pouzit aj obycajny pdf bez aktivnych prvkov. Ale zistovanie nepovolenych prvkov je prilis zlozite a naviac ani PDFA-3 nezapada do naseho sveta. Cize u nas je to omnoho komplikovanejsie - cize aby som to tak dosledne zistil ako v CR dvomi jednoduchymi funkciami, musim zistovat ci je formatom pdf ak ano ci nema aktivne prvky, ak je PDFA tak zistujem este ci neni PDFA-3 ak ano ci nema v sebe prilohy. o je proces daleko zlozitejsi.

Tie podpisove formaty si akosi neviem predstavit jednoduchsie.
Ak sa nam podari mnozinu formatov udrzat na rozumnej miere (napr. odstranenim zepf a podobnych starych veci) ani tak to nebude jednoduche.
Povedzme ze budeme pouzivat vylozene iba formaty CAdES, PAdES a XAdES s moznostou Cades a Xades v kontajneri ASiC.
Pripominam ze stat musi vediet overovat vsetky varianty tychto podpisov, lebo ak niekto zo zahranicia posle dokument podpisany KEPom v jeho krajine nemozeme povedat ze nevieme ho overit, lebo ma nejaku legalnu specialitku v sebe.
ETSI zriadilo portal ETSI CHecker
kde by sa mal kazdy jeden z formatov otestovat na jeho sulad. Cize clovek by si povedal ze ano toto je to miesto, kde sama organizacia, ktora stoji za standardami, kde si mozem kazdy jeden podpis oceknut ci je v sulade. Lenze ani to nie to prave orechove. Napr. U nas sa zaviedol asic a povedalo sa ze koli tomu aby nebolo mnozstvo variant bude sa tento pouzivat v urcitom mode -base. To ale napr. predpoklada ze niektore atributy ako napr SigningCertificateV2 sa v podpise nebudu pouzivat. To ale checker hodnoti ako problem a svieti na cerveno. Takze nech zoberies ktory kolvek podpis od nasho vyrobcu trufam si tvrdit ze bude vykazovat jednu alebo viac takychto “nezhod”, ktore ale nezhodami az tak nie su lebo su vychadzaju z legalnych moznosti.

Tento checker neviem ci je tiez nejaky podobny projekt ako bol DSS. Lebo ak by tiez bol opensource tak by to bolo asi najlepsie riesenie s tym ze ponechat jeho validance funkcie ako su ale zapraccovat tam nase vynimky ktore sa u nas pouzivaju a on ich vykazuje ako nezhody. A tiez stare formaty na baze XAdES len doplnit o tie nase veci.
Len mam dojem ze je to zatvorena aplikacia , ale mozno by sa z autormi dalo rokovat, bolo by len k dobru ak by takato aplikacia sluzila va validaciu aj u nas pre potreby SK… Je uz hotova a mozno by autori pristali na jej pouzitie aj inde nez len tam kde je, nevyvyjala by sa od zaciatku a aj cena y asi bola lepsia ko ked sa zada zakazka od nuly.
To co pises ako by si robil podpis, to je presne to co ja napriklad robim ked si neviem uz dat rady s podpisom, tak sa pekne takto rozoberie na drobne a overi sa tak i ked aj tam napr. v pripade ak bol povodne XAdeS to neni az tak jednoduche a bez znalosti formatu sa to neda tak jednoducho urobit. Ale to je posledna moznost, lebo tych variantov je vela urobim kontrolu suladu aby si videl a dam na web priklad kedze tam sa da ist len cez heslo. Priklad ASiC-E(XAdES)

OK, super. Len teda, clovek sa tam musi registrovat (co mozno nie je blocker, len zase teraz nemam cast citam im tam “vsetko”).

Cize mame to asi takto:

  1. cele to eIDAS ma vela vela kombinacii jedneho z druhym, tretim, …, N-tym
  2. validatory su sice dokonca viacere, ale nie su dostupne uplne volne

A teda cele je to fragmentovane a postup je pomaly.

Skusim teda posondovat v EC, ze co z toho co nakupili, nakupuju alebo nakupia oni by mohlo byt Open, inak tu dokola budeme implementovat “ciastkove zaklady” na N-krat, ale k niecomu ucelene chodivemu sa dopracujeme asi az ked uz to bude cele irelevantne.

stiahni si podpisuj.sk/download a validator tam mas zdarma.
Aj s protokolom z overenia v anglictine
XZEPy overuje cez slovensko.sk s upozorneím, ze je to podla uz neplatneho zakona.
eIDAS formaty overuje cez poslednu verziu DSS

1 Like

DSS a toto co robia podpisuj je ako som uz niekde skorej uviedol tiez dobry zaklad, je tam diagnosticky strom a reporty co napr. mne tiez hodne pomohlo podpisuj urcite upravili tie nase obmedzenia ktore ETSI checker vykazuje ako nezhody.
Bolo by mozno zaujimave porovnat jeho vysledky s tym ETSI checkerom a pripadne postupne dorobit ak tam nahodou nieco chyba, ale ako zaklad to tiez nie je zle riesenie

1 Like

Super, dakujem. (A “plus bod” za RPM :slight_smile: )

no vramci nášho v januári ukončeného projektu šikovný kolega @janprochaska do finálnej technickej správy ako aj do bugtrackingu DSS uviedol niektoré nezrovnalosti, na ktoré sme prišli. Samozrejme sme to aj online prezentovali priamo ludom v Bruseli ktorí “velia” eIDASu. A väčšina je už v poslednej verzii DSS odstránená. Ostala jedna vec, ktorá ani nie je chybou, ale skôr dierou v normách. A niektoré slovenské OVM, ju produkujú. Myslím, že hlavne niektoré súdy, ktoré vyrábaju ASíC-S kontajnery. Tu sa autori DSS bránia urobit “fix”, kedze riešenie nie je normalizované. Kolega preto urobil úpravu DSS, s tým fungujeme a dali sme to firme co sa stará o DSS k dispozícii… Uvidíme či to nakoniec zaradia do oficiálnych releasov, alebo to ostane slovenským hackom …
Len … male upozornenie. … predstava, ze niekto vezme DSS a od buduceho mesiaca bude mat produkt based on DSS je mylná. Potrebuješ nejaké PKI backgroundy, a aj legioslatívno, normalizačné skúsenosti. Bez nich to nepojde. A cas … Posledné 2 roky sme viedli 2 diplomovky na temu Long Term Validation podla eIDAS. Jedna je na MUNI Brno už uzavretá, jedna má tento mesiac obhajobu na FIIT. Open Source eIDAS Validator sme ponukli minuly tyzden FIITke ako dalsiu temu. Uvidime ci ich to zaujme. My na to cas nemame, ale sikovnemu studentovi vieme pomoct.

3 Likes

Mohol by si uviest o co sa to jedna?

stiahni si podpisuj.sk/download a validator tam mas zdarma.

Nevidím tam zdrojáky, kde sa dajú stiahnuť?

ide o informaciu o kanonikalizacii pri pridávani časovej pečiatky. Táto informácia je podľa noriem nepovinná, ale v prípade že ju podpissovač pri vytváraní podpisu s časovou pečiatkou neuvedie, nie je stanovená default hodnota, ktorá je zas ale potrebná pre korektné overenie časovej pečaitky. DSS potom vyhodnotí časovú pečiatku ako indeterminate, kedze nepozná informáciu o kanonikalizácii. Slovenké overovače, v takom prípade použijú vlastné default hodnoty a časovú pečiaku overia ako platnú. A keďže default hodnota nie je nikde normalizovaná autori DSS sa zatiaľ bránili tam “niečo” zapracovať …

zdrojáky sa stiahnúť nedajú. Zdarma je binárka pre program PERSONAL.

zdrojáky sa stiahnúť nedajú

Jasne, takže je to useless. Nejdem predsa inštalovať binárky od hocikoho.

Show me the code and then we’ll talk.

1 Like

Takto je to aj u mna, len teda tu “obhajim” podpisuj.sk v tom, ze “pod kapotou” sice maju Open Source DSS implementaciu, ale aby z toho bolo “nieco funkcne pre SR”, tak do toho museli vlozit kopu svojich sukromnych zdrojov. Kedze su ich zdroje ich, tak ja nemam pravo nutit ich dat to ako Open Source.

Co mi ale vrta v hlave a na co sa teraz sustredujem, je: Preco stat X takych validatorov nakupil ako prioprietarne riesnia? Preco radsej nezvolil mat jednu spolocnu Open Source implementaciu? A ak tak neurobil doteraz, tak co a ako moze/ma spravit, aby sme z niecoho takeho mohli vsetci (obcania aj firmy) benefitovat ASAP?

Pomaly sa rozbieha minanie penazi z OPII, t.j. je najvyssi cas zabezpecit, ze aspon tentoraz za tie peniaze dostaneme aj zmysluplny a pouzitelny Open Source vystup. EC/EU si svoju “domacu ulohu” v tomto smere plni (jasne ze nie na 100%, ale vyrazne lepsie nez SR).

1 Like

To je pravda. Preto treba velmi dobre zvazovat ktory produkt sa rozhodne vyvojar vylepsovat.
Najvacsi problem v tomto smere je ak chcem dat svoje know-how do produktu ktory je pod GNU licenciou. Lebo potom mam taky dojem ze musim vsetko co do toho pridam zverejnit vratane kodu aplikacii ktre spolupracuju s takymto kodom aj ked by som chcel si to chranit. Takato licencia to neumoznuje. Spravidla sa treba spojit s autorom a kupist si potom licencciu pre komercne vyuzitie. Mnoho dobrych technologii je prave postavenych na tejto licencii ci uz pre spracovanie PDF, alebo inych ale vyzaduju otvorenie aj kodu aplikacii ktore s nimi spolupracuju. Pri com licencia pre komercne vyuzitie ide casto do tisicov eur, GNU pouzitie je pri tom zdarma.

Podla mna problem je v historii. Kedysi ked sa zacal podpis aplikovat v SR, kedy este neboli standardy, spolocnost Ditek vytvorila vlastne podpisovacie formaty. Ktore ak by nedoslo k eIDAS, mohli v pohode sluzit. Boli sice velmi komplikovane voci normalnemu podpisu, ale mali v sebe kopec funkcionality, ktora by sa dala vyuzivat v systeme ktory podpis vyprodukoval ako aj v systeme prijemcu takehoto dokumentu. Dali by sa nimi robit rozne workflow procesy a mnohe uzitocne informacie by boli priamo v nom. Cize myslienka dobra. Tieto sa ujali a stat ich zacal pouzivat. No apotom zacala standardizovat EK, to bezalo paralelne s pouzivanim nasich formatov a potom doslo k tomu, ze cokolvek co je nad ramec jednoduchych podmienok pre KEP sa nesmie v medzinarodnom styku pouzit. Tym nase formaty isli na druhu kolaj.
A validatory sa tejto situacii iba prisposobovali.