Presne tak. A kedze cely mechanizmus toho kliknutia je na jednom mieste tak to nebude taky problem ako v pripade alikacii na tvorbu KEP. Certifikuje sa iba ta aplikacia co tie kliky generuje v tomto pripade napr. statny web. U podpisovaca je nevyhoda v tom ze ak chcem mat 100 pro istotu a nie som odbornikom, tak tu istotu ako tak ziskam prave tym ze softver co pouzijem na podpisovanie je certifikovany niekym komu mozem doverovat. (toto bohuzial v eIDAS vypadlo) Ale vyrobcov SW pre KEP je vela ktoremu mam slepo verit? ze moj vlastnorucny podpis je na dokumente ktory som videl vo chvili ked som podpisoval?. Co ak je v nom chyba alebo zly umysel?
Cize ak eIDAS povedal ze KEP je mojim vlastnorucnym podpisom a nedal mi zaruku ze podpisovaci softver robi iba to co prislusne technicke normy ukladaju a vyrobca deklaruje, tak to povazujem za velky nedostatok tejto pravnej normy.
Kto v tomto pripade bude zodpovedny za to ze som podpisal nieco ine ako to co sa mi zobrazilo?
Cize ano ma to kopu nedostatkov, ktore sa ale podla mna daju eliminovat spravnou aplikaciou.
Ja ten problem vidim skorej v neskorsom dokazovani ze som nieco podpisal. Kym klik budem logovat a musim vytvorit system ktory bude moct sluzit ako dokaz (musel by som zrejme logovat aj vsetky polozky a ich hodnoty ktore vyplnil uzivatel skorej ako klikol), inak viem iba dokazat ze bolo kliknute, ale neviem napr. po rokoch dokazat co bolo vyplnene vo formulari.
použitím na to určenej funkcie informačného systému prístupového miesta a po úspešnej autentifikácii osoby ktorá autorizáciu vykonáva, zodpovedajúcej najmenej úrovni zabezpečenia „pokročilá“ podľa osobitného predpisu,20a) ak sa zabezpečí uvedenie tejto osoby ako odosielateľa elektronickej správy, nemennosť obsahu autorizovaného dokumentu do momentu uloženia v elektronickej schránke adresáta, spojenie autorizovaného dokumentu s identifikátorom osoby odosielateľa a zachovanie väzby medzi nimi, ak to osobitný predpis nezakazuje
Cize vieme ukazat co z toho systemu dorazilo do el. schranky, cely obsah.
OK podstatne je ta nemennost “do momentu ulozenia v elektronickej schranke”
Ak by elektronicka schranka robila skutocne uchovavanie sprav v zmysle pojmu preservation (co je upravene technickymi normami pre uschovu elektronickych dokumentov), davalo by to zmysel. Schranka je vsak iba komunikacny system kde jedna strana dorucuje druhej a pokial si dokument nedam do MDURZ tak dokonca po prekroceni kapacity mi nases moze schranku odmazavat.
Cize toto co uvadzas ano riesi aby od momentu kedy som klikom schvali do momentu kedy to spadlo uradu do schranky nedoslo k zmene obsahu. Lenze urad moze spravu po prevzati v schranke vymazat.
A ten problem kedy ja po case zacnem (napr. po 3 rokoch) spochybnovat ze ja som to v takomto zneni urcite nepodpisal to neriesi. V momente dorucenia je vsetko OK. Ked ale spätne vznikne spor, v ktorom na jednej strane budem ja tvrdit ze takto som to nepodpisal a na druhej strane ten urad ktoremu to neposkodene spadlo do schranky, tak je treba tretiu nezavislu osobu ktora predlozi dokaz. Cize v idealnom pripade stat ktory by predlozil uchovanu spravu ze toto je ta sprava-takto vyzerala pri preprave o ktorej sa ti dvaja sporia ale to by spravy musel skutocne uchovavat.
OK ale treba mat na zreteli ze teraz hovorime o uchovavani spravy na pravne ucely.
V registrature ti v podtste staci spravu na zaciatku-pri vstupe do registratury overit a zaistit jej neposkodenost po celu dobu lehoty ulozenia.
Napr. pri prichode spravy sa overil KEP a z pohladu registratury - teda vyradovacieho konania to staci. Ale ak potrebujem dokument uchovat na pravne ucely tak na to sluzi napr. kvalifikovana sluzba uchovavania KEP kedy sa da preukazovat ako obsah dokumentu tak aj osoba ktora ho “vlastnorucne” podpisala.
Ak potrebujeme preukazovat hodnovernost pred tretou osobou napr. sudom nestaci povedat ze nam to pre potreby registratury takto vyhovuje.
Toto ale na pravne ucely nemusi stacit.
Na pravne ucely to pdola man nepstacuje. Pravnici nebudu riesit problem s informatikmi ale podla zakona, teda bud to bude ustanovene zakonom alebo to nebude mozne pouzit pre pravne ucely.
Lenze NBU aj v dobe kedy on vydaval certifikacie v tomto smere vzdy vyuzival tieto statom akreditovane firmy. Sam nikdy nerobil technicku kontrolu v procese certifikacie. Vzdy sa spolahol na vysledok certifikacie takejto firmy. Ta kontrola softveru vzdy prebehla tam a NBU sa predlozil iba protokol o vysledku.
Na tieto ucely ma stat zriadenu Slovensku narodnu akreditacnu sluzbu a ta vydava akreditacie firmam a technickym skusobniam. Tie potom su opravnene vydavat certifikaty. Lebo ta oblast kontroly je tak siroka ze by to stat svojimi silami neobsiahol tak to robia firmy ktore na to maju akreditaciu. Neni to len nasa specialita takto je to v ramci celej unie. Takze jedine kde sa dnes dozvies a ziskas certifikat ze sluzba skutocjne robi to co ma a nerobi nic co nesmie je takato firma ktorej stat udelil opravnenie certifikovat danu sluzbu ci softver.
Zoznam slovenskych je tu https://ais.snas.sk/ais/#!Login
no veď to … a tie “certifikaty” od NBU su iba Rozhodnutia podľa záklona o Správnom konaní z roku 1969… hovooria len to, že pri vybuildovani aplikácie sa dodržali postupy, že to nema zadne vrátka a že binárka zodpovedá zdrojákom. Žiadne algoritmy sa neskumali. Vytlacili to Rozhodnutie do modrehoa ciftvaneho ramceka a nazvali cerifikatom. mame o tom v tomto zmysle aj odpoved na infoziadost priamo z NBU. Platnost rozhodnutia bola 5 rokov a ucinnost len v Slovenskej republike.
Certifikacia robena firmmai, ktore su akreditovane certifikovať DOVERYHODNE SLUŽBY je trochu ine kafe. Plati v celej EU, a platí 2 roky. Ale zase neskuma sa algoroitmus, a jeho spravnost, ale doraz sa kladie na KVALIFIKOVANOSŤ služby. To znamena ci mas vhodne datacentrum, ci v nom mas vsetky bezpecnostne protokoly, metodiky, ci uchovavas zaznamy o doveryhodnych sluzbach 10 rokov a ci mas dostatocne financne krytie pretoze ako kvalifikovana sluzba znasas dokazne bremeno… a td. A ako vieme vytvorenie podpisu nepatri medzi sluzby, ktore mozu mat kvalifikovany statut, na rozdiel od Overenia podpisu. Preto sa vytvorenie podpisu zase necertifikuje …
su opravnene dat certifikat KVALIFIKOVANOSTI pre doveryhoddnu sluzbu. Takto certifikovana sluzba sa potom stava KVALIFIKOVANOU DOVERYHODNOU SLUZBOU na 2 roky v celej EU.
Nevedia urobit rozbor a vyskum ako laboratorium, alebo forenzny znalec. Myslim ze @jsuchal myslel nieco take …
Preveze o tom hovorim, ze tieto firmy ten siftver skontroluju podla nielen schemy dohladu ale aj podla vsetkych dokumentov na ktore sa dana schema odvolava.
Cize ak kontroluju napr. overenie podpisu tak skontroluju softver zvnutra ci robi presne to co schema dohladu v tom grafe a popise uvadza, ak sa ale nejaka informacia nachadza aj v dokumentoch napr. eu, noriem a pod tj,. pri citani schemy dohladu ich vidis iba ako odvolavku, tak pri kontrole ak sa nieco z takehoto dokumentu vztahuje na tvoj SW tak aj to ti pripomenu ze musis zosuladit lebo nejaky dokument napr, technicka norma uvadza ze to ma byt tak a nie inak.
Toto je velmi podrobna a draha kontrola kde skontroluju softver aj podla noriem ktore by mna ani nenapadlo. Maju na to vyrobene postupy co vsetko pri kazdej sluzbe sa kontroluje a voci ktorym pravny normam a technickym normam sa to kontroluje.
V oblasti technickeho skusobnictva je to tak neni to iba nejaka laicka prehliadka. Vychadza to zo zakona č. 505/2009.
Inak ide o problematiku Posudzovania zhody.
Na ich praci je obdivuhodne napr. to, ze kym bezny smrtelnik si precita technicku normu a len akoby zoberie do uvahy vsetky dokumenty uvedene v uvode normy alebo niekde pod ciarou, oni maju presne stanovene pri tychto kontrolach co musis splnovat. Pricom toto sa nemusi v danej technickej norme nachadzat ale je to niekde v inej ktora bola v tejto uvedena iba v poznamke pod ciarou a aj v tej dalsej bola uvedena tiez iba ako odkaz a az tam tej dalsej dalsej je odstavec ktory sa ma tykal. Takto podrobne si musia tie postupy pripravit aby dostali akreditaciu. A celkom mi ich je luto ked eIDAS povinnost certifikacie podpisovacich SW na KEP zrusil. Tolko usilia islo na zmar. A ja ked podpisujem svojim vlastnorucnym podpisom vobec nemam istotu ci podpisovaci softver robi to a len to co ma.
Priatelia, mňa v tejto téme už nezaujímajú ITčkarske výmysly (napr. nejaké vtipné certifikácie nejakého softvéru), ale reálne argumenty k mojej otázke: kde je autorizácia klikom menej bezpečná ako vlastnoručný podpis.
Čiže diskusia zatiaľ vyprodukovala iba jeden konkrétny negatívny príklad:
K tomu analógia s papierovým svetom - mám formulár s kolónkami, podpísaný vlastnoručne, položka “strata” vyzerá takto:
Cifry tohto čísla v skutočnosti začala písať jedna osoba a dokončila iná osoba v inom čase. Otázka: ktoré cifry už napísala iná osoba? Kto to vie spoľahlivo zistiť, kto sa za to zaručí? (ani grafológ nie, na to má málo materiálu)
Čiže v papierovom svete príslušný vykuk môže úplne rovnako tvrdiť že on napísal iba 14000 a na preukázanie že klame je podstatne menej dôkazov ako pri autorizácii klikom. ČBTD
(Kvôli tomuto príkladu som synovi vytrhol stránku zo školského zošita, čím sa mu ospravedlňujem.)
Grafológ vie pomerne presne určiť ktorá cifra bola napísaná ktorým atramentom, sklon, čas zápisu - či došlo k prekrytiu, či išlo o tú istú osobu atď. Tých biodynamických atribútov je pri vlastnoručnom podpise/zápise na hmotnom substráte dosť.
Pri elektronickom podpise či už klikom, jednoduchým zápisom mena toto samozrejme chýba. Takže právny úkon ľahšie spochybníš. Preto podpis klikom != vlastnoručný podpis.
Pri podpise klikom ti na spochybnenie úplne stačí uviesť, že si to ty neodklikol. Miera dôvery je minimálna a nestačí na dlhodobé úkony.
Kvalifikovaný elektronický podpis == vlastnoručný podpis sui generis s prižmúrenými očami
Toto ma veľmi pobavilo. Vo WinZip by mohli začať podporovať overovanie všetkých exotických formátov QES/AdES, aby neboli úradníci naprieč Európou zmätení.