Zmeny v autorizácii elektronickej úradnej komunikácie

Áno a ešte poštový peňažný poukaz. Čakal som tento príklad.
Upresňujem: formulár na podanie určené verejnej správe.

Vitaj, už si mi pri tejto debate chýbal. Zdá sa mi, že z nepochopiteľných príčin máš podstatne vyššiu vieru v schopnosti expertov v oblasti písmoznalectva, ako v expertov na informačné technológie. Viera že grafológ vie určiť “čas zápisu” v granularite povedzme dní je založená na čom? Rád sa vzdelám. Veď skús ten obrázok čo som tu dal nechať analyzovať, akýže bude výsledok (v prípade seriózneho záujmu hmotný substrát poskytnem.)

Taktiež by sa dalo argumentovať že pri IT logy, backupy, poradie zapísaných údajov na úrovni DB/OS, analýza diskov a pod. dávajú dostatočný materiál na znalecké vyjadrenie, či dokument bol modifikovaný. Špeciálne pri autorizácii kliknutím podľa zákonom predpísaných požiadaviek správa prepláva cez viacero modulov kde zanecháva samostatné stopy a dokonca je predpísané použiť ochranu integrity.

Okrem toho všetkého, v prípade ktorý tu riešime daný vykuk chce úmyselne vytvoriť zápis ktorý bude pre neho výhodný. Čiže povedzme úmyselne každú cifru sumy napíše iný človek, iným perom, v inom čase. Grafológ teda (v ideálnom prípade) potvrdí že to tak bolo. Čo ďalej? Kto a ako preukáže že posledná 0 bola pripísaná po prijatí úradom?

A teraz späť do reality: koľko takýchto sporov skutočne nastane? Ak je ich málo, prečo?

Pri vlastnoručnom podpise Ti na spochybnenie úplne stačí uviesť, že si to nepodpísal. Miera dôvery je minimálna. A zjavne to doteraz stačilo.
(Plus samozrejme pri autorizácii kliknutím sa z logov dá preukázať že si bol prihlásený, a vedel si, alebo si mal vedieť, čo robíš a že nemáš nikoho iného pri počítači kým sa neodhlásiš.)
S “dlhodobosťou” úkonov (čo presne máš na mysli?) toto celé nemá nič spoločné.

To sa opytaj napr. pana Ruska ci mu to stacilo spochybnit.

dam priklad zase hlupy.
Staci ak ti zazvoni mobil a telefonicky rozhovor sa natiahne na dlhsiu dobu a ty napr. koli dovernosti hovoru vyjdes na chodbu. Kolega ma pristup k tvojmu pocitacu ktory zostal prihlaseny…

Sporov je samozrejme veľmi veľa (dedičské konania, zmenkové konania…) a sú dokonca likvidačné. Alebo zober si napríklad ostatný prípad advokáta, ktorý je stíhaný pre falšovanie podpisu. Už len preto, že je pozastavený, musí prepustiť zamestnancov, stratil príjem a nemôže zastupovať klientov atď.

Krádeže elektronickej identity boli tak časté, že banky museli pristúpiť k dvojfaktorovej identifikácii cez 3D secure.

Na to aby si mohol povedať o elektronickom procese, že je spoľahlivo rovnocenný s vlastnoručným alebo overeným podpisom, musel by si skombinovať PKI, blockchain a technológiou FaceID/TouchID, šifrovanú DB a stále tuto technológiu zdokonaľovať a udržiavať v čase.

Máš pravdu, že aj klik je prejavom vôle, jeho sila je v prípade pochybností výrazne oslabená. Je na úrovni telegrafu, faxu, telefonického hovoru atd.

Aj ďalekopisom sa posielali šifrované správy (právne úkony, prejav vôle odosielateľa k adresátom) prelomenie ENIGMY znamenalo pád a prehru vo vojne. (Našťastie!!!)

Samozrejme, že to s dlhodobosťou úkonov/záznamov má niečo spoločné. Rovnako ako je dnes ENIGMA v múzeu, aj dnešné technológie budú v múzeu. Prakticky nevieme v elektronickom prostredí dlhodobo a lacno uchovávať nekompromitovateľné záznamy. A toto je dôležité práve na garantovanie nepremlčateľných práv. Nástupom kvantových počítačov budú dnešné elektronicky podpísané dokumenty nepoužiteľné na právne účely. Myslím, že to nebude ani dlho trvať možno 10 - 15 rokov.

1 Like

Toto je od Teba zvláštny argument, keďže pred chvíľou si tvrdil že grafológ dokáže “pomerne presne určiť ktorá cifra bola napísaná ktorým atramentom, sklon, čas zápisu - či došlo k prekrytiu, či išlo o tú istú osobu atď.”

Súkromné osoby si používajú na uzatváranie dohôd medzi sebou čo si sami zvolia. Zjavne aj napriek sporom im stále veľmi nízke záruky vyhovujú, ináč by siahli po spoľahlivejších riešeniach.

Prosím príklady sporov subjekt-štát týkajúcich sa falšovania podania (podpis, zmena údajov atď) pre ktoré je predpísaný vlastnoručný podpis.
(Vopred upozorňujem že celá táto téma je chyták.)

Nejaké podklady k tejto viere?

Výrazne oslabená voči čomu?
Univerzálny klik ma nezaujíma, hovoríme o autorizácii podľa zákona, ľudovo zvanej autorizácia kliknutím, ktorá musí spĺňať pomerne striktné požiadavky.
Neviem čo máš na mysli porovnaním s “telefonickým hovorom” a pod., keďže bezpečnostné parametre sú podstatne iné.

A čo to akože znamená pre túto diskusiu?

Tak áno, papier a pero som v múzeu videl už dávno. A čo má byť? Kompromitácia papierových záznamov je známa od čias kedy sa začali používať.

Nejaké podklady pre túto vieru? Iba na tejto platforme sa už o tom bavíme 4 roky. Príklady spochybnenia elektronicky vedenej štátnej evidencie za ten čas sú aké?

Tie jeho zmenky sú pekný príklad, že aj pre super-veľké hodnoty v papierovom svete je postačujúci veľmi nespoľahlivý vlastnoručný podpis. Prečo tam neboli ešte pritvrdené pravidlá?
Presne k tomu smeruje môj argument: ITčkari nemajú vymýšľať brutálne bezpečné riešenia pre veci, kde v papierovom svete stačí nízka úroveň záruk. Čiže autorizácia klikom je dobrá náhrada za vlastnoručný podpis, lebo je vo všetkých parametroch dokonca lepšia. ;-)’

Nuž ale to je Tvoja chyba asi tak, ako keby si nechal podpísaný papier ležať na stole, niekto ho zoberie a použije. Plus teda pri autorizácii kliknutím sa rýchlo dozvieš že čo presne bolo podané (povinnosť zaslať do schránky), čiže pri skutočnom zneužití vieš rýchlo rozbehnúť ochranu/riešenie.

Pri falšovaní zmeniek sú roky rokúce pritvrdené pravidlá, Rusko s Kočnerom vyfásli 19 rokov neprávoplatne. Sudkyniam hrozí 20 rokov. Všetko na základe krátkeho “klikyháku” na hmotnom substráte. Porovnávalo sa niekoľko stoviek podpisov napríklad zo záznamov v archívoch ministerstva, keď konal ako minister hospodárstva. Granularita na úrovni týždňov. Môžem pokračovať siskárom Kosíkom ktorý myslím za falšovanie zmeniek vyfásol 12 rokov.

Baví má ako tu na fóre pištíte, keď unikne 390 000 záznamov z eZdravia a na druhej strane navrhujete autorizáciu kliknutím v nešifrovanej DB rovnocennú s vlastnoručným podpisom a prenosom zodpovednosti na užívateľa. :+1:t2:

Únik 390 000 záznamov z eZdravia môžeme akurát v papierovom svete porovnať s porevolučou skartáciu záznamov agentov ŠTB aj tú nevedeli vykonať bez svedkov.

Stale sa tocime do kola. Nikto netvrdi ze je menej bezpecna ani ze nevhodna. Ale ma svoje nedokonalosti tak isto ako KEP. A preto treba stanovit kedy je ktora vhodnejsia. To je cele. Inak nasa debata sa dostala do roviny ktora bola podrobne poriesena v case ked sa pripravoval eIDAS. Tym kedy sa ma nieco preukazovat a preco sa zaoberali odbornici europskych krajin ako strucne uviedol @Nikhaj, dopracovali sa k nejakym zaverom a tie sa premietaju do legislativy a technickych noriem. To nie su vymysly ani moje ani @ius ove.
Nasa krajina tam mala a ma zastupcov tiez. Mame spickovych odbornikov ktori sa na tvorbe eIDAS svojim podielom podielali a spolupracuju na tychto veciach aj dnes lebo tato norma sa stale vyvyja a su oblasti ktore treba doriesit a niektore aj vylepsit. Maju skusenosti aj aplikacnej praxe a bohate technicke znalosti. Len problem je ze sam eIDAS ich postavil do uplne inej role aku by sme potrebovali. A tak mame spickovych odbornikov ale ich znalosti a skusenosti nie su pri navrhu podobnych dokumentov ako v uvode vyuzite. Takze potom riesime take otazky ze co je viac ako vlastnorucny podpis a preco a naco. Veci su davno vyriesene a ak doslo k nejakym zmenam tak urcite pripravene k revizii.
A aky je odkaz z tohoto sveta?

Pozrite sa kam ide europa

KEP pouzite ak potrebujete …

Mozno by bolo dobre kedze tieto znalosti a skusenosti v takej mieere sa ziskat inak ako dlhorocnou kazdodennou cinnostou nedaju bolo by mozno dobre uvazovat o konzultacii pri priprave dokumentov s s tymito expertami ktorych u nas mame.
(aj ked je to asi nad ramec zakona autorska a konzultacna cinnost by sa na tento ucel dala vyuzit)

nad tým som už tiež rozmýšľal … ale zase sú tu iní, ktorí si myslia, že pojedli všetku múdrosť… a hlavne neustále vymýšľame slovenské ďalšie a ďlašie špeciality … a to jak technické, tak právne …

Navrh mozneho riesenia zaistenia integrity.

Nechcem vyzerat ako totalny odporca kliku. Jedine co mu vytykam je nedokonalost v oblasti dokazovania udajov z autorizovanych formularov po dlhej dobe a pre pravne ucely.
Napadlo mi riesenie ktore by mohlo vyzerat takto:

  1. Uzivatel sa prihlasi do schranky a otvori formular podania.
  2. Vyplni ho a stlaci Odoslat - KLIK (bok)
  3. Portal slovensko.sk vytvori kvalifikovanu elektronicku pecat s casovou peciatkou tejto spravy.
  4. Do zlozky dorucena posta adresata vlozi takto zapecatenuspravu rovnako ako
  5. Do zlozky Odoslane vlozi odosielatelovi tiez tuto zapecatenu spravu.

Takze obidvaja aj adresat aj odosielatel maju teraz v schrankach ten isty po rokoch nespochybnitelny dokument vhodny aj pre pravne ucely bez toho aby niekto musel dokladovat rozne logy a pod.

Tym je hlavna nedokonalost kliknutia vybavena. A asi je to rychlo realizovatelne kedze vsetko potrebne uz funguje.
(samozrejme co sa tyka preukazovania udajov)

Mozno by bolo dobre, keby sa kazdy drzal svojej odbornosti. Hrat tu buzzword bingo autonomnymi cloudami, sifrovanim a blockchainami je mozno fajn pre ludi, co si precitali nejaky letak nadnarodnej konzultacky, ale IT zdatny clovek co chape principy si trieska po cele. Je potom celkom problematicke ta brat vazne aj v inych temach. Priklad: Sifrovanie napriklad absolutne nic pre tento pripad neriesi. Sifrovanie sluzi na zabezpecenie, aby to niekto neopravnene nemohol citat. Co je uplne iny problem ako integrita a vizualizacia nejakeho dokumentu, ktora sa tu od zaciatku riesi pri “podpise klikom”.

Nie. Hlavna nedokonalost je, ze prehlasis, ze si videl nieco ine ako si podpisoval. Toto je dnes vyriesene tak, ze doverujes vizualizacnemu a podpisovaciemu nastroju. Ci je to podpisuj.sk alebo podpisovatko na UPVS alebo nejaky komponent, ktory bude robit autorizaciu klikom. To, ze sa o tom budu viest logy alebo sa niekde spravi nejake podpisanie pecatou alebo sa to certifikuje su uz len viac menej prkotiny, ktore doveru upevnuju, umoznia kontrolu v pripade sporov, pripadne audity.

Navyse mozem proste prehlasit, ze som v case podpisu mal zavireny pocitac, niekto mi dal zbran ku hlave a je to. Ako toto prosim riesi KEP? Nijako, proste sme hodili zodpovednost na pouzivatela.

Ja som bol inak v tom, ze takto nejako to ma fungovat (dokonca nie nutne to musis vyplnat na UPVS). O com sa tu vlastne hadame? :smiley:

1 Like

Toto papierovy svet nejako riesi? (EDIT → Preto treba dokument podpisovat az u notara?)

Ako ano, preco to nie je mozne riesit rovnako / obdobne aj v elektronickom svete?

tak ale toto mozes prehlasit aj pri podpise perom na papier …

Ved presne. A skus to pre tuto modelovu situaciu (hrozba zbranou, zavireny pocitac) rozviest, ze ake to ma pre cloveka co to podpisal dosledky, pre tieto 4 pripady:

  1. dokument podpisany KEP + casova peciatka
  2. dokument podpisany KEP
  3. dokument podpisany klikom
  4. dokument podpisany vlastnorucne na papieri

Ano presne tak toto je vec ktora moju doveru voci kvalifikovanemu podpisu ako vlastnorucnemu podpisu vobec nezvysuje a legislativa to postavila tak ze mi nic ineho ako doverovat podpisovaciemu softweru nezostava (max. mozem si vsak precitat vyhlasenie vyrobcu co to robi) - nemam inu moznost. Som presvedceny ze ako podpisuj tak aj na podpisovatko co je na slovesnko.sk ale aj tie podpisovadla firiem ktore sa venovali vyvoju uz pred eIDAS mozem bez obav pouzit. A trochu mi je vsak luto uzivatelov podpisovacieho softveru, ked nam pride sprava kde v asiku je meno suboru bez koncovky a je tvorene asi tak 240-imi prvymi znakmi z obsahu dokumentu. Uz vidim aku namahu si dal autor programu so studiom standardov… Co este tak mohol prehliadnut, nedostudoval alebo ignoroval?

Ano takato nejaka kombinacia klik a podpisovacia technologia z toho robi skutocne silny system, ktory sa aj trochu podoba na KEP, kedze aby si mohol autorizovat musis zadat nieco co poznas iba ty BOK. Malo by to aj tu schopnost zaistenia integrity a hodnovernosti, ktoru som tam z pociatku nikde nevidel a bez nej nevedel som si predstavit ako by to mohlo fungovat. Jedine co je tu ine ze tie data podpisal svojim certifikatom niekto iny. Len co ma tak napada mozno este bude treba vymysliet co s tymi podaniami ktore v schranke podpisujes klikom ze ako sa tieto budu autoritzovat u integrovanych subjektov kde komunikujeme s UPVS cez technickeho uzivatela. Tam asi by bol stale podpis, alebo pecat? asi

Divame sa na to iste len kazdy z inej strany :grinning: :grinning:

Povedal som si, že skúsim zosumarizovať už predošlé konštatovania.
Na úvod: Zdá sa, že sa porovnáva vlastnoručný podpis na papieri vlastnou rukou pomocou pera s elektronickými spôsobmi autorizácie, najmä KEP podľa eIDAS a slovenský proprietárny (a neinteroperabilný) Klik. No pre diskusiu o mechanizmoch autorizácie v elektronickom svete nemá podľa môjho názoru relevanciu porovnanie papiera s vlastnoručným podpisom a elektronickými metódami. Porovnávať by sme preto mali elektronické metódy navzájom (KEP vs. Klik), pretože rozumiem tomu tak, že otázka vyvstáva, či obe metódy vedia dosiahnuť tie isté vlastnosti/záruky a vhodnosť pre autorizáciu elektronickým spôsobom, ktorý má mať právny účinok „až“ (nie „iba“) vlastnoručného podpisu. Je potrebné si uvedomiť závažnosť podaní, ktoré vyžadujú autorizáciu metódou s právnym účinkom vlastnoručného podpisu, prípadné konsekvencie (práva, povinnosti, majetkové, trestno-právne atď.) – preto je potrebné pristupovať ku tak kritickej téme nanajvýš obozretne s premyslením konceptu vopred (kedysi sa v súvislosti s Klikom spomínala aj kvalifikovaná elektronická doručovacia služba pre registrované zásielky, dnes už je inak…), nie ex post roky po uvedení do legislatívy. Zároveň situácia v kybernetickej bezpečnosti sa vo všeobecnosti mení - potenciál útočníkov sa zvyšuje, rovnako je vyššia aj dostupnosť prostriedkov, aktéri cudzích štátov atď. Preto je na mieste opatrnosť v snahe zavádzať prostriedky autorizácie s potenciálne nižšími zárukami, no s právnym účinkom vlastnoručného podpisu.

  1. Identifikácia konajúceho:
    Pri metóde Klik stačí identifikácia a autentifikácia aj na úrovni „Pokročilá“ podľa eIDAS. Určite je potrebné vziať do úvahy podstatné rozdiely medzi úrovňami záruk „Pokročilá“ a „Vysoká“ vyplývajúce z vykonávacieho nariadenia č. 1502 v kombinácii s Guidance pre eIDAS úrovne (útočník so stredným vs. vysokým potenciálom, ochrany prostriedku pred pozmeňovaním, manipuláciou či duplikáciou…). Zároveň je nevyhnutné konzistentné uplatňovanie nariadenia eIDAS, najmä pokiaľ ide o úroveň zabezpečenia „vysoká“ týkajúcu sa preukazovania totožnosti na vydávanie kvalifikovaných certifikátov. Nie je možné vydať KC bez toho, aby identita F.O. (budúceho pôvodcu KEP) nebola dôsledne a jednoznačne overená – má umožniť určenie totožnosti podpisovateľa. Z tohto pohľadu je možné dedukovať, že úroveň záruk pre celý rámec okolo KEP (nie len identity, ale aj certifikácie QSCD, dozor nad QTSP ich auditovanie, dôkazné bremeno atd.) a pre Klik (s autentifikáciou aj na úrovni „Pokročilá“ bez širšieho rámca, technického štandardu, podmienok používania, dohľadu a dôkazného bremena) je jednoducho odlišná. Klik poskytuje širšie rozpätie možných vektorov pre útočníka, ktorému stačí stredný útočný potenciál (hovoríme prioritne o smartfónoch, mobilné ID bez certifikovaného elementu na úrovni EAL4+, otvorenej autentifikácii aj iných subjektov s potenciálne nedokonalými mechanizmami typu OTP cez SMS…). V prípade úrovne autentifikácie „Vysoká“, ak by útočník skompromitoval autentifikačný mechanizmus (napr. v komunikačnej časti - nie nevyhnutne samotný prostriedok), zároveň by sa otvorili dvere aj pre zneužitie autorizácie (2in1) pre ak nie ktorékoľvek tak takmer ktorékoľvek ľubovoľné podanie, v prípade KEP by to bolo komplikovanejšie.
    Otázka - mal by napriek zvýšeným rizikám Klik umožniť autorizáciu s rovnakým právnym účinkom ako KEP, ktorý vyžaduje laboratórnu evaluáciu a certifikáciu zariadenia QSCD s odolnosťou voči útočníkovi s vysokým útočným potenciálom a pozmeňovaniu, duplikácii a manipulácii? Nemyslím si to.
    Ak sa autorizácia nemá používať na autentifikáciu, tak by sa autentifikácia nemala používať na autorizáciu – obe akty obsahujú špecifiká, na ktoré reflektujú vo svojom dizajne.
  2. Integrita úkonu.
    Zrejme vychádzame z opisu fungovania Klik, že sa KEPečaťou opečatí akési tvrdenie o identite (po autentifikácii) a obsah podania po pridaní elektronickej časovej pečiatky. Samozrejme, že integrita je dosiahnutá z pohľadu prístupového miesta/úradu ako pôvodcu pečate nad uvedenými objektami. To však ešte neznamená, že ide o zachytenie nespochybniteľného prejavu vôle uvedenej F.O., ktorá je kryptograficky jednoznačne previazaná s konkrétnym podaním (jeho obsahom). KEPečať nie je ultimátny nástroj určený a použiteľný aj pre účely autorizácie podaní F.O. Mala by byť primárne nástrojom autorizácie pre potreby iba P.O. a jej úkony v jej mene (potvrdenie integrity a pôvodu). To, že niekomu ukážem občiansky preukaz a protistrana vyplní formulár, doplní čas a potom dá na to pečiatku ešte neznamená, že som s obsahom (úkonom alebo podaním) súhlasil. Na podaní totiž nie je žiadny dôkaz prejavu mojej vôle s týmto konkrétnym podaním, aj keby som občiansky preukaz ukázal aj päťkrát – jednoducho sú tam údaje o mojej osobe, ostatné údaje, čas aj pečiatka protistrany, ale to nepostačuje, pretože tam chýba práve tá značka charakteristická iba a výlučne pre mňa.
    V prípade autorizácie F.O. ide práve o tú jedinečnú značku a integritu v situácii prejavu vôle vykonaného priamo samotnou F.O. a jej prostriedkami a viažuceho sa ku konkrétnemu podaniu resp. jeho obsahu. Jedine táto konkrétna F.O. by mala byť pôvodcom autorizácie úkonu a jej (kryptografického) výsledku zaisťujúceho integritu. To sa dosahuje takým spôsobom/mechanizmom, ktorý previaže obsah úkonu s unikátnou/jedinečnou hodnotou (napr. privátnym kľúčom) patriacou výlučne a iba konkrétnej F.O., ktorá zároveň musí rešpektovať práva a povinnosti pri používaní prostriedku vo výlučnej kontrole (o ktorých bol informovaný a s ktorými explicitne súhlasil pri vydaní KC na QSCD, vie načo mechanizmus slúži, aký má právny účinok, ochrana faktorov pred inými osobami atď.). Preto je výlučná kontrola nad kryptografickým materiálom vitálnym aspektom. V prípade KEPečate a jej aplikácie prístupovým miestom nad ľubovoľnou množinou údajov nemá F.O. prakticky žiadnu kontrolu.
    Koncepty tvoriace podstatu kliku, pričom paradoxne vychádzajú z toho istého nariadenia eIDAS (pečať, časová pečiatka atď.), sa v prípade Kliku navrhujú použiť nevhodným spôsobom resp. v nesprávnom kontexte a pre odlišný účel. Je intencia použiť pečať definovanú pre účely P.O. (rozhodnutia – pôvod a integrita atď.) na účely prejavu vôle F.O., na ktorú sa zaviedol odlišný koncept elektronického podpisovania a priamo vyžaduje interakciu F.O. (kombináciou faktorov), bez ktorej by nemalo byť možné vyhotoviť KEP. Preto v sporoch ohľadom KEP nie je triviálne iba povedať „ja som to nepodpísal“, pretože ten KEP nevznikol len tak z ničoho nič a pravdepodobne musel niekto disponovať, alebo získať kontrolu nad povedzme QSCD zariadením, ktoré nebolo nahlásené ako stratené, ktoré nemal pustiť z ruky, mal chrániť znalostné faktory atď. Ľudský faktor, ale aj vírus/malvér sú všeobecné a negatívny dopad sa prejaví bez ohľadu na mechanizmus, platformu atď.
  3. Zachytenie času úkonu.
    Argument, že čas uvedený v samotnom úkone/podaní je v podstate irelevantný predsa platí aj pre Klik, pretože aj tu rozhoduje čas doručenia správy adresátovi (OVM) do e-schránky. Ak je nutné mať overený časovú údaj, kedy autorizácia nastala, tak pre tento prípad je zavedený úradne osvedčený podpis (s kvalifikovanou elektronickou časovou pečiatkou).
  4. Nespochybniteľnosť
    Sumár o nespochyniteľnosti vychádza z predošlých bodov. Nižšie záruky už pri samotnej autentifikácii majú priamy súvis s týmto aspektom – riziko, že úkon vykonal miesto oprávnenej osoby útočník, ktorý skompromitoval autentifikačný prostriedok (napr. ukradol privátny kľúč a autorizačný prostriedok nemusí riešiť) a samotný držiteľ autentifikačného (a de facto aj autorizačného prostriedku) sa o tom nedozvedel (a možno ani sa nejakú dobu nedozvie), je podstatne vyššie. Absentuje výlučná kontrola F.O. nad kryptografickým materiálom, ktorým sa vykoná a zaznamená akt autorizácie ako prejavu súhlasu nad množnou údajov, ktorý je zároveň previazaný s obsahom tak, že v prípade zmeny je možné odlišnosť zistiť (F.O. nemá kontrolu nad vyhotovením „svojej“ značky odvíjajúcej sa aj od konkrétneho obsahu). V prípade Klik by mohli existovať pochybnosti o samotnom úkone pomocou mechanizmov definovaných nariadením eIDAS na iný účel – ide o proprietárny a neoverený spôsob autorizácie postavený na subjektívnej miere dôvery v prístupové miesto (v prípade KEP je snaha tú dôveru dosiahnuť objektívnym a aj formálnym spôsobom na čo najvyššiu úroveň, no nie je absolútna). Akú asi môže mať dôveru F.O. v prístupové miesto prevádzkujúce Klik (napr. UPVS), ktorého správca (Nases) nie je schopný dosiahnuť a preukázať splnenie bezpečnostných predpokladov (viď napr. Kyberbezpečnosť štátu bola hrubo zanedbaná, tvrdí Remišová. Audit NASESu skončil závažnými zisteniami )?
    Spomínaná vizualizácia ako potenciálne slabé miesto je všeobecným problémom a nedá sa vylúčiť ani v prípade kliku.

Ak to zosumarizujem, Klik hodnotím ako zavedenie prostriedku s dodatočnými rizikami (nižšími úrovňami záruk) oproti KEP, ktorého rámec je interoperabilný, právne a technicky stabilný, zaužívaný, spoľahlivý, časom overený, využiteľný bez ohľadu na sektor (nie len slovenský eGov), komplexný, veľmi pozorne dohľadovaný a i keď nie je dokonalý, je to akýsi najvyšší štandard, na ktorom pracovali expertné tímy azda všetkých členských krajín, častokrát zastúpené priamo bezpečnostnými agentúrami pre informačnú bezpečnosť a špecializujúcimi sa na túto oblasť. Nepodceňoval by som ich racionalitu.
Určite má Klik potenciál pre mnohé služby vyžadujúce nižšiu úroveň záruk, ale definovať ho rovno ako prostriedok s právnym účinkom vlastnoručného podpisu (ekvivalent KEP) sa javí ako neprimerané - v tom vidím ten principiálny rozkol resp. kontroverziu.

Preto je na mieste zváženie návrhu zmeny zákona v tom zmysle, že by mohli byť definované tri (viac zrejme nie, aby to bolo zrozumiteľné pre úradníkov na OVM) úrovne autorizácie: 1. úradne osvedčená (KEP+KCP atď.), 2. kvalifikovaná (KEP) a 3. autorizácia iným uznaným spôsobom (tieto iné spôsoby by mohli byť ustanovené napr. vo vyhláške a tu by mohol byť pokojne Klik, AdES – takmer čokoľvek… pre všetky podania, ktoré nevyžadujú vlastnoručný podpis resp. mechanizmus s právnym účinkom vlastnoručného podpisu).

Ak ste však skalopevne presvedčení o opaku, možno by bolo prínosné ozrejmiť tento mechanizmus aj ostatným krajinám a ich expertný skupinám v rámci eIDAS. Možno by sme väčšine (ak nie možno všetkým), ktorí sa teraz spoliehajú na onen KEP, ponúkli ako alternatívu pre právny účinok vlastnoručného podpisu práve metódou klikom s vyššími zárukami vo všetkých aspektoch a vytrhli ten „tŕň z päty“.

1 Like

ja mam asi malo predstavivosti … .ale ako inak by to malo byt ?
Ked si ako používateľ zobrazis PDF v Acrobat readeri, tiez doverujes tomu co ti ukazuje, a nerobis raketovu vedu z toho co tam este moze byt … To iste pre formular XML, ktorý vizualizuješ HTML, vizualizáciou… Ako inak na to kukať pri podpise, než rovnako ako si to bude pozerať finálny používateľ …
Inak je nejaky precedens sudny ? Alebo sa tu bavime o hypotetickych problemoch ?

Súhlas na 99%, ale

Na mieste je zmena zákona v tom smere, že sa iba odkáže na nariadenie eIDAS. eIDAS našťastie zatiaľ žiadne šialenosti typu osvedčený podpis neobsahuje. Češi chcú osvedčenie podpisu na elektronickom dokumente robiť cez notátov, keď notár pripojí svoj kvalifikovaný podpis/pečať hoci aj k nekvalifikovanému epodpisu.

https://www.lupa.cz/clanky/legalizace-elektronickych-podpisu-nesmysl-nebo-schudna-cesta-k-digitalizaci-ukonu-vyzadujicich-uredne-overeny-podpis/

Áno som tu nejako monotématický, ospravedlňujem sa. Štve ma totiž keď sa odbieha od témy bez zodpovedania otázok, alebo keď čítam bludy.

eIDAS/ KEP - nadšencom tohto nariadenia by som dal do pozornosti:

  1. Všetky predošlé smernice/normy/dokumenty EÚ v oblasti elektronického podpisu, ktoré tiež boli harmonizované, komplexné, dohľadované a ešte onakvejšie … akurát že celkovo tu u nás prakticky nanič … tým chcem povedať, že upínať sa na EU nariadenia pri riešení vnútorných vecí môže byť sakra nákladné + nepraktické

  2. Citujem: “Toto nariadenie by sa nemalo vzťahovať ani na aspekty súvisiace s uzatváraním a platnosťou zmlúv alebo iných právnych záväzkov, pri ktorých existujú požiadavky na formu stanovené vo vnútroštátnom práve alebo práve Únie.” Zákon č.305/2013 ustanovuje presne takéto požiadavky na formu. Je to úplne v poriadku a obdobne v každom štáte.

  3. Silne celý čas myslite na to, že eIDAS nie je rámec pre government-to-citizen komunikáciu, ale pre akúkoľvek elektronickú komunikáciu. Teda aj medzi ľuďmi navzájom. Kto tvrdí že KEP je “jediné poriadne riešenie čo tu máme”, je obzvlášť mimo. Smelo odhadujem, že aj viac ako 99% všetkej autorizácie (uzatvárania záväzkov) v elektronickom svete je robených dnes nie pomocou KEP. Vo všetkých štátoch.

  4. Celkovo zatiaľ “kvalifikované služby” podľa eIDAS sú skôr pokus o riešenie, nie osvedčená a široko akceptovaná metóda. Príklad: kvalifikované doručovacie služby. Prosím nech sa prihlási kto už nejakú použil (alebo aspoň reálne videl fungovať).

  5. eIDAS, ako každý iný EÚ počin, je nevyhnutne (bohužiaľ) výsledkom “kompromisu” medzi členskými štátmi. Obvykle sa návrhy oholia na kosť, aby boli pre všetkých prijateľné (a ešte sa tam dostanú rôzne bizarnosti - napr. pri KEP možnosť pozastavenia platnosti certifikátu, všakže). Nikto nikdy nepochyboval že “alternatívy” nielen že existujú, ale je ich mnoho a sú dobré. Vnútroštátne dokonca oveľa lepšie ako default-kompromisný-KEP.

K “interoperabilnému KEP” som ešte nedostal poriadnu odpoveď na otázku, ako sa spoľahlivo identifikuje podpisujúca osoba. eIDAS zakazuje! stanoviť povinnosť poriadneho identifikátora v certifikáte a priamo umožňuje použitie pseudonymu.
Je v tomto aspoň nejaký plán do budúcnosti? @peterryb ?

1 Like

eIDAS toto nezakazuje. Príloha I naridenia eIDAS, písmeno c)
aspoň meno podpisovateľa alebo pseudonym; ak sa použije pseudonym, musí to byť jasne uvedené;”

A pri tom pseudonyme plynú povinnosti aj pri službe validácie KEP: použitie pseudonymu sa jasne oznámilo spoliehajúcej sa strane v prípade, že sa v čase podpísania použil pseudonym;

Asi je dôvod na to vyslovene upozorňovať.