Ono s tou zodpovednostou nemas pravdu. Nekvalifikovany poskytovatel ak by to robil za uplatu by mohol byt posudzovany podla 251 TZ ods 2 pism e) - nedovolene podnikanie. Doveryhodne sluzby za uplatu moze poskytovat len subjekt - poskytovatel podla eidas. ucelom eidas bolo poskytovanie doveryhodnych sluzieb aby sa na ne dalo spolahnut a nie poskytovanie nedoveryhodnych sluzieb.
Z uvedeneho vypylva ze nedoveryhodna sluzba teda nemoze byt spoplatnena a mala by byt jasne odlisena od doveryhodnej sluzby podla eidas.
Dokazovanie sa urobi jednoducho, porovna sa vysledok overenia z doveryhodnej sluzby s nedoveryhodnou a skontroluje sa trusted list eu.
v tom trusted liste vpravo hore mas aj zoznam nekvalifikovanych poskytovatelov. Akurat je prazdny, lebo nik tam nekvalifikovane sluzby nenahlasuje … to by sme mohli poslat vsetkych vyrobcov za mreze. Aj ked … podpisovanie nepatri medzi TRUSTED SERVICES, iba overovanie. A Overovac tu asi ani nekvalifikovany nikto nepradava, takze seci mozu kludne spat. Normálne môžeš používať, či kvalifikované, či nekvalifikované dôveryhodné služby z celej europy. Tolko teoria. V praxi sa riadis tým co urad zozerie. Je pravda že v eIDAS sa hovorí pri definícii kvalifikovaných služieb, že sa môžu predávať za úplatu, to mi ale nijako neimplikuje, že predávať nekvalifikované, ak sú jasne označené že sú nekvalifikované naplňa podstatu trestného činu… to už je fakt divný výklad… Mal som takú dobrú prezentáciu z Bruselu kde toto vysvbetľujú, ale neviem ju teraz nájsť, a nemám čas tohľadať, keď na to narazím opäť, dám to sem.
Nie vsetkych. Ti co robia overenie bezplatne/ neplatili ta za dodanie sluzby overovania podpisov nenaplnania znaky TC. Ono nie je podstatne ci technicky vies overit podpis, ono je skor podstatne ci overujes “doveryhodne”
za odplatu.
Tak ako pravnik s licenciou a bez licencie. Ak pravnik bez licencie zastupuje opakovane za odplatu na sude je trestne zodpovedny. Ak zastupuje bezodplatne, nie je trestne zodpovedny.
Na to len tolko:
Malo byt vyriesene a malo to uz byt pripravene skor ako vosli do platnosti prislusne ustanovenia zakonov! To co ma obcan robit - bezat na sud a sudit sa o strateny cas? Ked obcan nesplni nalezitosti tak sa s nim nikto nebabre, no stat si robi z obcana takymito preslapmi opicu na gume…
maximilian sa zrejme pyta na kvalifikovanu sluzbu overenia kvalifikovaneho elektronickeho podpisu. Takuto sluzbu najdes nielen u nas ale aj v europe tazko. Aj ked svojho casu a mozno do dnes ma takuto u nas Disig. Aspon davnejsie som videl ich sluzbu v zozname niekde na eu strankach.
Kazda aplikacia ktora overuje KEP a nerobi to kvalifikovane tak to robi iba informativne a to je podstatne ze aj pre zarucenu konverziu z ktorej maju vzniknut pravne zavazne dokumenty sa v nasej republike pouziva na overenie podpisu iba nekvalifikovana sluzba!!!
Ak bol konvertovany dokument podpisany KEPom, neexistuje iny pravne uznavany sposob overenia platnosti podpisu ako kvalifikovana sluzba overenia elektronickeho podpisu podla cl.33 eIDAS.
U nas je problem v tom ze aspon na zarucenu konverziu sa stat nemal z toho vyzut. Mal mat dohlad a aplikacie na ZK by mali byt certifikovane (ani nie tak koli technickemu overeniu podpisu, ale presnemu stanoveniu postupov ako postupovat napr. v pripade ZEPu a pod.) lebo uz z nasich diskusii je vidno ze pri overovani je vela nazorov.
To ze podpisovacia aplikacia nemusi byt certifikovana neni az taky problem. Lebo ak nepodpisuje spravne tak overovacia aplikacia podpis oznaci za neplatny a nic sa nestalo. Ale aplikacia na overenie KEP nemoze byt nepreskusana, lebo aj programator je iba omylny clovek a moze urobit chybu alebo si pravny problem vysvetlit po “svojom”. A ak notar potom pomocou aplikacie uzna podpis KEP za platny v case konverzie tak vznikne dokument ktory ma ucinok originalu a ak ten povodny original sa znici tak len tento dokument co vznikol konverziou a bol notarom oznaceny za platny zostane a nikto uz nemoze povedat ze je urobeny z neplatneho dokumenttu.
Druha vec je ze aj XZEP podpis ak bol urobeny v case kedy platil je pri konverzii platnym dokumentom. Inak konverzia je aj na to aby sa v takych pripadoch akym nastup platnosti eIDASu bol prekonvertovali dokumenty podpisane zarucenym podpisom platnym sposobom na dokumenty podpisane KEPom a to aj v pripade ak povodny podpisujuci ZEPom uz dnes nezije a treba dokument prekonvertovat.
Stat z toho vycuval. Ale bol to on kto mal aplikaciu na bezplatne overovanie zepu, koli overovaniu v zahranici. No nemohla tato aplikacia bezat dalej (teda ak vobec bola…) a mohli ju pouzivat povinne vsetci zarucene konvertujuci a bola certifikovana. Takto sa dali pekne a spolahlivo overit dokumenty vytvorene pred eIDASom a zaplatit jednu kvalifikovanu sluzbu - ked uz nemoze donutit dodavatelov aby ju poskytovali - a potom od konvertujucich vyberat poplatky za overenie. Ale konvertujuci pravnik potrebuje garantovanu sluzbu overovania podpisu.
Lebo takto ako spravne pises nikto nebude za pripadnu skodu zodpovedny a ponesie si nasledky ten kto sa na konvertovany dokument spolahne!!!
Ak by ale chybu urobila kvalifikovana sluzba overenia tak tam sa zodpovednost priamo predpoklada a netreba nic pracne dokazovat. Takto si pomoz ako vies …
OK ale Nedoveryhodna <> Nekvalifikovana
Napr. Zdokonaleny podpis je taky kde vies preukazat urcenie totoznosti podpisovatela. Cize certifikaty vydava doveryhodna autorita a na toto nie je potrebna kvalifikovana sluzba - cize “doveryhodna nekvalifikovana”. a pre KEP je treba doveryhodnu kvalifikovanu. Poskytovanie nekvalifikovanych sluzeb neni nic trestneho iba nesplna poziadavky na kvalifikovanu sluzbu. Ale tiez to nemoze robit niekto kto nie je pod urcitym minimalnym “dohladom”.
Kym u certifikatov je to celkom jasne ze akreditovana autorita vydava aj certifikaty obycajne aj kvalifikovane tak u overovania podpisu je to take menej jasne (aj to je poskytovanie doveryhodnych sluzieb i ked nekvalifikovanych ci nie? asi…)
Kvalifikovanú službu validácie kvalifikovaných elektronických podpisov môže poskytovať iba kvalifikovaný poskytovateľ dôveryhodných služieb, ktorý:
a) poskytuje validáciu v súlade s článkom 32 ods. 1 a
b) spoliehajúcim sa stranám umožňuje získať výsledok procesu validácie automatizovaným spôsobom, ktorý je spoľahlivý, efektívny a ktorý obsahuje zdokonalený elektronický podpis alebo zdokonalenú elektronickú pečať poskytovateľa kvalifikovanej služby validácie.
Komisia môže prostredníctvom vykonávacích aktov určiť referenčné čísla noriem pre kvalifikovanú službu validácie uvedenú v odseku 1. Ak služba validácie kvalifikovaných elektronických podpisov spĺňa uvedené normy, má sa za to, že je v súlade s požiadavkami stanovenými v odseku 1. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 48 ods. 2.
Podľa mňa sa tu nikde nehovorí že nemôžeš validovať dôveryhodnou službou s nekvalifikovaným štatútom. Videl som vysvetlenia, kde EU vysvetluje, ze je to na rozhodnutí spoliehajúcej sa strany, ktorú službu použije. Jediný rozdiel je v dôkaznom bremene.
toto by som paušálne netvrdil. Napríklad naša konkurencia, D.Convert používa kvalifikovanú českú službu 1.CA.CZ. Problem je ale omnoho širší. eIDAS definuje 5 typov podpisov a podpisových kontajnerov (PAdES, CAdES, XAdES, ASiC-S, ASiC-E) v 4 roznych profiloch (B, B-T, B-LT, B-LTA). Čiže na overenie QES/KEP môžeš dostať až 20 rôznych typov podpisov. Príslušná služba QVerify od 1.CA.CZ ale má kvalifikovaný štatút iba na CAdES, PAdES, XAdES, v profile B a BT, cize na 6 z 20 typov podpisov. Okrem toho to zakryli ak triedou, ktora ked zisti ZEP, tak overuje v inej sluzbe. Ale navonok sa honosia ze pozuvaju kvalifikovanu overovaciu sluzbu. A nevedia overit ani dorucenky z NASESu v ASiCE… Zial problematika je velmi komplikovana a bojim sa ze pre bezneho cloveka az nepouzitelna.
Jasne mas pravdu. Nikde nie je povinnost tuto sluzbu pouzivat. A to je prave to co mi najviac vadi. Minimalne pri zarucenej konverzii toto mala byt povinnost.
Pozri teraz ked by sa napriklad zistilo ze niekto vykonal konverziu tak ze sa spolahol iba na informativny overovaci system a skutocne by sa dokazalo to z nejakeho dovodu zle overilo, tak vznikne skoda.
Cize ja ako ten komu skoda vznikla ju budem vymahat po cloveku-ovm ktory vykonaval zarucenu konverziu na ktoru som sa v dobrej viere spoliehal. A dany clovek bude mat problem dokazat ako to bolo kedze nema ziaden protokol iba to co jeho pracovnicka v danej chvili vraj videla na webe.
Ak by overovanie vykonavala kvalifikovana sluzba, bola by vec jednoducha - za skodu by zodpovedal poskytovatel doveryhodnej sluzby alebo pracovnicka, lebo ak by si zaarchivovali protokol tak sa vsetko lahko zisti. Ale takto zodpoveda ten kto vykonal konverziu a zle si vysvetlil napr. nejake oznamenie tejto informativnej sluzby.
Ok zabudol som Ditec to bude mat poriesene, kedze je aj autorom povodneho zep podpisovaca a ak pouzivaju kvalifikovanu sluzbu overenia tak sa ich moja pripomienka netyka. Ale obecne som to myslel. Ok mas pravdu s tymi formatmi, ale nikto nevie aky format mi na konverziu prinesu a kedze konverziu vykonavaju OVM mali by vediet spolahlivo overit vsetky.
no sak ale to je ten hlavny problem - pouzijes kvlaifikovanu sluzbu a aj tak si nepomozes. Ak ti donesu ASiC, tak to kvlaifikovane neoveris a ked pride k suddnemu sporu, ukaze sluzba protokol ze na tento typ podpisu nema kvalifikovany statut a nech dokazuje spoliehajuca sa strana. Proste ten pravnicky text zdaleka nedokaze obsiahnut tu problematiku a tie situacie co nastavaju.
Jednoduchy priklad: dnes sme riesili staznost. Rozhodnutie, ktore podpisal sudca 28.3. certifikatom, ktory expiroval 4.4. Dnes donesli advokatovi na konverziu. Samozrejme ze validacia mu povedala ze dokument je NEAUTORIZOAVANY podla zakona. Lebo certifikat vyprsal. Bola tam sice aj cas. peciatka, ale kedze sa nejednalo o profil LT, ani LTA, iba B-T, tak peciatka ibaurcuje KEDY bol podpis vykonany, ale nepredlzuje jeho platnost. Zaujmave ze Podpisuj aj QSign povedali ze je podpis neplatny, ale zep.disig.sk ,aj informativna sluzba na Slovensko.sk povedlai ze je platny …
A to je uplne jednoduchy priklad.
Možno by sa malo overovať k dátumu vydania … aj keď o 10 rokov by som sa takemu rad vyhol, lebo ako rozlíšiš fejk od originalu o 10 rokov ? Možno by sa mal rozhodovať ten kto overuje k akemu datumu to chce overovať. Ale toto nie je podchytene v žiadnom predpise, vyhláške … tak to vieš interprtovať iba ako overovanie k dnešnému dátumu.
Podobne to je aj s tými starými formátmi. Keď raz zákon hovorí že autorizácia EUD je iba KEP, a nemá žiadne písmeno, ktoré by ošetrovalo stašie formáty, ktoré v čase vydania boli platné, tak aj tak musíš iba dodržať zákon a nmôžeš si vymýšľať algoritmy.
Aj s tou konverzio zo ZEP → ASICE … od 2013 je v 305/ke spominana konverzia E2E, ale dodnej sk nej nebol vydany elektronický formulár ani vyhláška, že ako by to asi malo vyzerať … takže konverziu E2E dodnes nikto na slovensku neurobil, napriek tomu ze je 6 rokov v zákone.
No presne toto su tie veci pre ktore stat to nemal nechat len tak na pouzivateloch a ich dodavateloch. Ten softver by sa mal v spornych pripadoch chovat uplne rovnako bez toho aky maju na to nazor jednotlivi vyrobcovia a certifikacia by to mala potvrdzovat lebo ozaj tu nejde len o techniku overenia ale tieto rozne situacie co zivot moze priniest.
Ta peciatka ak je kvalifikovana a je pocitana nad podpisanym dokumentom aj podpisom tak by sa dala uznat ze podpis nadalej plati.
Toto bolo v minulosti domenou NBU a nikdy neboli ziadne problemy s vykladom a clovek mal istotu ze staci pouzit na to urceny softver a bola istota teraz sa muchy vychatavaju za behu a kazdy ako vie…
Dnes je autorizacia EUD KEP, ale pred eIDASom bola ZEP. A ak mam platny dokument z casu ZEP a iny napr. v papierovej podobe neexistuje ani neexistval - nemozem o takom dokumente ak bol technickymi prostriedkami predlzovany podpis, alebo este nahodou stale plati ten povodny podpis povedat ze to je neplatny dokument a ak ten co povodne podpisoval uz neexistuje tak akoby nikdy tento dokument neplatil - nemozeme sa tak k nemu chovat. Zvlast ked bol podpisany kvalifikovanym certifikatom - eIDAS nehovori ze to musi byt prave AdES podpis, kep je zdokonaleny podpis vykonany s klucom ulozenym na bezpecnom zariadeni. Jedina moznost ako ho dalej pouzivat na pravne ucely je prave konverzia do novsieho formatu (ak uz povodny podpisovatel neexistuje). Je vela takych dokumentov aj v registraturach a pod. Tie by uz neboli pre pravne ucely pouzitelne.
absolutne súhlasim, len vravím, že to má byť napísané vo vyhláške, keďže máme špecializvanú vyhlášku o zaručenej konverzii. Žiaľ nie je. A zase je len striktne povedaný algoritmus, akoby také prípady neexistovali. Vy keď robíte softvér, ktorý interpretuje zákon a vyhlášku, nemáte kam uhnúť, ani si vymýšľať. Ak urobíte algoritmus, ktorý nie je vo vyhláške, tak máte problém, právny aj obchodný.
inak minule leto bola prijata vyhlaska 331/2018 o ZK. Platna od 1.1.2019. Zial dodnes neboli vydane elektronicke formulare pre tuto novu vyhlasku. A su dost zmenene. A vyhlaska sa v mnohych pismenach a clankoch odvolava na nove formulare. Cize dodnes sa robi ZK podla starej vyhlasky so starou osvedcovacou dolozkou. Ale v Slov-Lexe to vyzera ze uz plati nova. Preco vobec nejaky organ akceptuje ZK urobenu v roku 2019 s osvedcovaceou dolozkou ktora nezodpoveda sucasnej vyhlaske ? To je dalsi stav, ktory moze kedykolvek, ktokolvek napadnut …Pre mna ako technika zvyknuteho na kazdom vstupe overovat platnost vstupovanych dat voci scheme, ci inej definicii je to nieco nepochopitelne
Ok cim dlhsie bude tento stav trvat tym viac dokumentov sa bude kazdym dnom zvacsovat a raz mozno niekto pride na to ze sa malo ist radsej pomalsie a doslednejsie…
Práveže takéto služby sú uvedené na zozname trusted list eu a je ich veľa.
Zaručená konverzia by sa pri kvalifikovaných pečatiach a podpisoch z nekvalifikovanej služby overenia nikdy nemala realizovať.
Nie tak úplne, podpísaný dokument napr z roku 2014 o ktorý si sa patrične nestaral dnes by nemal prejst zaručenou konverziou ani by nemal byť overený ako platný Vypočtový výkon počítačov rastie… Brno vysvetlí ako sa to dá prípadne zneužiť
Ale to je dost podstatné, lebo len kvalifikovaný podpis/pečať je rovnocenný vlastnoručnému resp. Doveryhodne spája povodcu s dokumentom. Nahrádza mi vlastnoručný podpis na istý obmedzený čas. Ta trestnosť je teritoriálne špecifická pre každú krajinu. U nas by sa mohlo kvalifikované overovanie za odplatu nekvalifikovaným poskytovateľom posudzovať ako trestné - nedovolené podnikanie. Ak je nekvalifikovana služba overenia podpisu poskytovana bezodplatne, tak to trestné nie je. Napr. Dodávateľ dodá štátu zadarmo soft na overovanie.
Overovanie podpisov v zmylse 33 nariadenia a primerane pecati musi byt vzdy poskytovane kvalifikovanym poskytovatelom, presne v rezime dohladu ako ACA ked vydava kvalifikovane certifikaty. Uvedene plati aj na doveryhodne sluzby dorucovania.
Je to jednoznacne vyjadrené MOZE POSKYTOVAT IBA KVALIFIKOVANY POSKYTOVATEL DOVERYHODNYCH SLUZIEB
Vysledok by mal byt spolahlivy (to je zamer eidasu - spolahlive a doveryhodne sluzby overenia) a naviac mal by obsahovat pecat podpis poskytovazela validacie.
Podla cl 13 nariadenia Ak poskytovatelia dôveryhodných služieb svojim zákazníkom vopred riadne oznámia obmedzenia týkajúce sa využívania služieb, ktoré poskytujú, a ak tieto obmedzenia sú rozpoznateľné tretími stranami, poskytovatelia dôveryhodných služieb nenesú zodpovednosť za škody spôsobené využívaním služieb, ktorým sa takéto oznámené obmedzenia prekročili
Ak poskytovatel uvedie ze cast sluzieb je nekvalifikovana a zvysna cast je kvalifikovana tak na kazdu sluzbu sa bude aplikovat ina zodpovednost, nebude sa aplikovat objektivna zodpovednost za kvalifikovanu sluzbu en block.
Eidas hovori o technickej neplatnosti podpisu
Ak nebola zabezpečená technická platnosť zepu podľa stareho zákona Novým zákonom eidas sa to nezhojí. Keďže iné štáty nepoužívali zep zrejme digitálnu kontinuitu padesov a cadesov vedia zabezpečiť aj po prechode na eidas samozrejme nie napr pri znackach v CR a pod.
