Názory k článku Autorizovaná konverze dokumentů: padělek už vám nezkonvertují
-
xpckar (neregistrovaný)Autor opět pěkně popisuje problémy, které i přes varování IT odborníků zůstaly v DS nadále.
Ale v jednom se mýlí, resp. by se mýlit měl:
CRL se sice může vydávat jen v intervalech, ale jinak většina CA vydává CRL "okamžitě" vždy v tom případě, když se revokuje certifikát na základě "možné/zjištěné kompromitace". Jestli to ovšem dělá tato CA (podle mě je to ovšem její povinnost)...
Jinak, tu paradoxnost neplatnosti dokumentu s již revokovaným certifikátem (evidentně bez časového razítka) popisoval uživatel u minulého článku: Úřednice k 31.12.09 skončila, revokoval se jí certifikát, a uživatel po novém roce měl při konverzi smůlu. Časové razítko by taky mělo bejt vynuceno! -
anonymníOno je vcelku jedno kdy a jak podpis expiruje, jednoduse po nedefinovane dobe od 0 do 365 dnu budete mit bezcenou hromadku bitu, se kterymi si muzete leda tak vytrit pr.el.
A ze na spory a soudy dojde az po teto dobe, na to muzete vzit jed. Takze se u soudu budete ohanet onemi bezcenymi bity a ten je samosebou neuzna.
---
K clanku, aby expirace byla prekazkou konverze je stejna pitomost, jako zkonvertovani pozmene zpravy. Proste posta to ma udelat a na ten papir s razitkem napsat stav, v jakem zprava byla. Navic pokud je neco jineho v zakone a jinak se chovaj urednici (byt "logicky"), tak je vyhra u soudu pro dotycneho jista a kdo to zacaluje ?
A vubec nejjednodussi a z hlediska statniho rozpoctu nejlevnejsi by bylo celou tu hovadinu zrusit. Pocitam ze to bude na soudech tak neco mezi 300 - 500GKc (stat samozrejme prohraje). -
ale notak hoši.. nehádejte se tu.. ono rozhodnutí od soudu co podepíše nějaká bába a orazí ho ho razítkem se dneska dá zfalšovat stejně snadno jako ten obyč email, dyť je to jen papír s razítkem.. nemá žádný ochraný prvky podpis na něm je jen milionkrát opakovaná parafa úřednice z podatelny, která vám za kafe dá autogram i na váš zadek :o)
celej systém je o důvěře.. a pokud někdo podvádí rozhoduje soud.. a soud neni neomylnej, jen posoudí co je pravděpodobnější ;o) respektive vyhraje ten kdo má lepšího advokáta a jeho verze se tak jeví jako ta správná :o) -
Expirace certifikátů obecně je předvídatelná, a dá se obejít recertifikací obálky s dokumentem a digitálním podpisem s časovým razízkem pomocí novějšího certifikátu.
Standardní šifrovací aplikace jako PGP mají v revokačním certifikátu položku pro důvod zneplatnění. Jsou schopny odlišit certifikát zneplatněný pro další podepisování (kdy veškeré starší podpisy zůstávají platné) od zkompromitovaného certifikátu (kdy pozbývají věrohodnost veškeré podpisy). -
petr_p (neregistrovaný)
Podpis na papíře uděláte jednou a platí napořád, takže držitel dokumentu nemá s pravostí dokumentu žádné náklady. Digitální podpis ale držitel musí na vlastní náklady přerazítkovávat. Asi si zařídím časovou autoritu, bude to výnosná živnost :)
CRL také mohou evidovat důvod ukončení platnosti certifikátu. Ale dávat na CRL certifikáty prostě prošlé je hloupost, protože by seznam brzy narostl do obludných rozměrů, zvlášť když konec platnosti je uveden již v certifikátu samotném.
-
Podpis na papíře lze falšovat také. Jen metody jsou jiné. A třeba bankovky se zastaralým a dnes již prolomeným certifikátem pravosti jsou také již dávno revokovány, a bylo je nutné recertifikovat výměnou u vydavatele.
Jinde to přesně tak funguje - prošlými certifikáty nelze už nic nového podepsat (alespoň ne zároveň se zaručenou časovou značkou), a není k tomu třeba nic nového na serveru evidovat. Pouze revokace je nutné evidovat, zároveň s důvodem, proč byly zneplatněny. Jak si platný podpis s revokovaným certifikátem a známým důvodem revokace vyloží daný subjekt, je již záležitost administrativní, nikoliv technická. Nejběžnější výklad říká: "Certifikát již není používán" => staré podpisy platí, "došlo k úniku soukromého klíče" => staré podpisy neplatí, nebo přinejmenším neplatí od uvedeného data incidentu. -
MB (neregistrovaný)Blbost: Protože pokud certifikát není používán, neznamená to, že nedojde ještě navíc k úniku klíče. A to už nemám možnost ohlásit. A časová razítka jsou pěkně drahý folklór, který jasně odhaluje odlišné vlastnosti elektronického podpisu a podpisu na papír. Mimo jiné to, že staré bankovky mají již slabé prvky ochrany, ještě neznamená, že hlubší analýzou nejde falzifikát odhalit. U prolomeného algoritmu je možnost nulová.
-
Únik klíče, kterým už stejně nelze nic nového podepsat, vás už nezajímá. Navíc nic nebrání, aby systém měl možnost více revokací k jednomu certifikátu.
Ano, digitální svět má konečnou rozlišovací schopnost, za kterou nelze jít, a je tomu třeba přízpůsobit administrativu. Je-li padělek do posledního bitu stejný, není technická cesta, jak jej odhalit. Stále zde však ještě existují kriminalistické metody, které použijí okolní svět jako postranní kanál, a možná se doberou pravdy.
Ne-digitální zaručená časová razítka jsou podstatně dražší folklór, většinou vyžadující zaplatit kolek nebo notářský poplatek. -
Zde ovšem nejde o ověření pravosti dokumentu, ale pravosti jeho datování.
Datumovka z papírnictví nemá vůbec žádnou právní váhu, stejně tak ja@toto_slovo_není_spam@ko čas nastavený v počítači.
Pravost časového razítka u papírových dokumentů lze zaručit pouze notářskou úschovou, datovanou úřední kopií nebo podobnými právními úkony.
Uznávám, že zde je to u digitálních dokumentů horší. A datové schránky neobsahují zaručenou datovou úschovu.
A tak bez pravidelného přerazítkování digitálním podpis@není_spam@em opatřeným zaručeným časovým razítkem nepůjde v roce 2020 nijak prokázat, že jste RSA1 podpis z roku 2009 nezfalšoval hrubou výpočetní silou až v roce 2019. Pokud však bude pravidelně ještě v době platnosti starého podpisu vložen do digitální obálky a opatřen platným novým (silnějším) razítkem, bude ještě v roce 2020 možné důvěryhodně doložit jeho nepozměněnost a původní datování. -
MB (neregistrovaný)Ale já u papírových podepsaných dokumentů žádné časové razítko obvykle nepotřebuji. U digitálních se vzhledem k expiraci podpisu bez nich neobejdu? A pokud dnešní podpesaný e-dokument časové razítko nemá, tak mám smůlu. Přitom takových dokumentů je 99% a starší dokumenty ani časové razítko mít nemohli a zákon ho původně neznal.
Přerazítkování el. dokumentů naprosto nic neřeší, protože riziko ztráty věrohodnosti dokumentů je vysoké a chtít po obyčejných lidech a malých firmách nekonečnné přerazítkovávání - jistě české zlatokopecké IT firmy už se na to těší. -
Vy sám se bez zaručených časových razítek obejdete. Vy přece víte, kdy jste daný dokument dostal, ať už v papírové nebo digitální podobě.
Problém nastává v okamžiku, kdy vy chcete dokázat někomu dalšímu, že na tom dokumentu jste v posledním roce nepozměnil ani čárku.
A průšvih nastane v okamžiku, kdy digitální podpis vyexpiruje.
Důsledné přerazítkování dokumentu autoritou s časovým razítkem problém řeší a lze ho automatizovat.
Víte snad o někom, kdo umí zlomit RSA1, aby s tím byl do konce roku hotov? Přesto už je dnes RSA1 pro jistotu odstaven. Pokud tedy opatříte do konce roku tento dokument + starý podpis + staré časové razítko novou obálkou a opatříte to RSA2 podpisem a zaručeným časovým razítkem, máte důkaz, že dokument nebyl později změněn. Právně nejméně do okamžiku expirace nového certifikátu, fakticky až do okamžiku prolomení RSA2.
Riziko ztráty důvěryhodnosti takového podpisového řetězce je nízké. Muselo by dojít k tomu, aby mezi prvním náznakem slabin šifry a jejím komerčním prolomením uplynula velmi krátká doba v řádu měsíců.
Uznávám, že zaručené datové úložiště by bylo jistě příjemnější než věčné přerazítkovávání dokumentů, a podivuji se, že jej tvůrci datových schránek nezavedli. -
MB (neregistrovaný)Pořád nechápete, že když je na listiném dokumentu v Praze dne 11.2.2010 a podpis, tak prostě pokud je podpis pravý je stvrzeno i datum. Nebo připustíme podpis na prátdný papír, ale pak... Ještě listinné dokumenty mívají razítko, ale asi to byl bezcenný otisk brambory, tak je nahrazen digitálně textem otisk úředního razítka.
-
Jistě, že chápu. Mezi papírovým a digitálním podpisem jsou rozdíly, které nelze přehlédnout.
Rozdíl digitálních podpisů spočívá v tom, že jejich časová věrohodnost je omezená. Proto v situaci, kdy chcete někomu dokazovat věrohodnost dokumentu po uplynutí doby expirace certifikátu, musíte:
a) mít dokument opatřený zaručeným časovým razítkem, a to i kdybyste datum vzniku prokazovat nepotřeboval. Potřebujete totiž prokázat, že vznikl v době, kdy byl daný algoritmus ještě neprolomitelný.
b) provést před každou expirací certifikátu přerazítkování.
Uznávám, že toto u listinných dokumentů podstupovat opravdu nemusíte.
U listinné smlouvy mezi dvěma subjekty nemusíte nijak ověřovat datum, není-li pro obsah podstatné. Datum vzniku vám sice nemusí třetí subjekt věřit, ale na obsah smlouvy mezi vámi dvěma to nemá vliv.
Zato u digitálně podepsané a nepřerazítkované smouvy může protistrana za 10 let předložit úplně jiný dokument podepsaný cracknutým RSA1, a vy nemáte jak prokázat, že pravá je ta vaše verze. Jedná se o digitální verzi kvalitního padělku.
Digitální podpis má ale i výhody: Např. mechanismus revokace. Pokud uniklo úřední razítko do nepovolaných rukou, žádný mechanismus jeho revokace neexistuje.
(Váš příklad není vhodně zvolený, na onom vámi podepsaném papíru vám datum vzniku 11.2.2010 za 10 let věřit nemusím.) -
Jedná se o tzv. viditelný podpis.
Pomocí Java knihovny iText - http://itextpdf.sourceforge.net/howtosign.html - lze jednoduše podepisovat PDF dokumenty.
Sám už jsem to několikrát použil k podepsání elektronické faktury. -
Jirka (neregistrovaný)Zdar! Pokud se na problematiku podívám selským rozumem, tak by mělo platit, že jednou podepsané platí už na vždy a ze konkrétnímu dokumentu nemůže být podpis zneplatněn.
Vždyť přeci když dostanu poštou dopis s razítkem a podpisem, tak mi taky za rok neřeknou, že ten podpis neplatí, že ten, kdo ho podepsal, už na úřadu nepracuje, nebo nemá podpisové právo. Co je jednou podepsané, tak platí...
Navíc, listiny mají platnost několik desítek let, třeba i stovek. Kdo zaručí, že za 20 let si někdo bude moci přečíst uložený dokument? Kdo zaručí, že za 20 let bude používaný formát PDF?
Jirka -
xpckar (neregistrovaný)Asi jsi nečetl dřívější články, tam je to jak zdůvodněno, tak je tam "snad se na tom už nějak pracuje". A to, o čem mluvíš, je právě časové razítko.
Zkráceně je důvod ten, že e-podpis je dělán algoritmem, kterej má omezenou časovou "neprůstřelnost", byť, pokud je správnej, pak jenom brute-force útokem (v době kvantových počítačů půjde ale prolomitelnost dolů o řády...).
PDF vzhledem k otevřenosti půjde přečíst (i kdyby jen virtuálními prostředky) za desítky let určitě. Jeho podepsání už ale půjde zcela jistě zfalšovat během setin vteřiny. -
Selským rozumem lze dojít tomu, že se certifikát využívá na co nemá. Certifikáty by se měly využívat v elektronickém styku pro okamžitou komunikaci. Já se (v tomto okamžiku) připojuji k nějakému serveru, já (v tomto okamžiku) převádím peníze přes ebanking, a certifikát mi (v tomto okamžiku) prokazuje, že k tomu mám oprávnění. Nebo (dejme tomu) já zasílám někomu dokument s příkazy, a ten při přijmutí kontroluje certifikát s vědomím, že ještě v okamžiku jeho čtení mám oprávnění mu ty příkazy vydávat.
Na co mi je prošlá ochrana certifikátem na dokumentu, kterým mám prokazovat (nikoliv vůči počítači ale vůči úřadu) právní skutečnosti po desítky let, to je ovšem záhada.
Správné řešení by asi bylo, kdyby zákon definoval že právě na právní dokumenty se DS používat nesmí. Ať se mnou tedy komunikuje úředník přes DS, a pošle mi třeba na konci informaci, že rozhodl tak a tak. Ale právní dokument (povolení , oficiální rozhodnutí,..) ať mi pošle pěkně poštou s podpisem a razítkem... -
anonymníKonečně tady někdo alespoň trochu píše a přemýšlí jako normální člověk, který už někdy viděl nějakou agendu na počítačích fungovat.
Podle mě byla největší chyba, že datové schránky navrhovali lidé, kteří nic takového dosud neznali.
Mohl bych tady uvést konkrétní jména lidi, kteří za tenhle paskvil nesou odpovědnost, ale místo toho se zeptám, co ti IT-vizionáři dosud realizovali a kde před tím pracovali? A nejvíce mě vadí, že se prostřednictvím zrovna IT-praxí nezkušeného autora těchto článků Lupa propůjčuje k neustálemu omlování a osvětlování tohoto vnitráckého poštovního paskvilu. -
Tak doufám že jste tím nemyslel autora tohoto (i předešlých podobných ) článků. Ten naopak velice fundovaně a zároveň názorně popisuje (no dejme tomu osvětluje) stav datových schránek. Neomlouvá, pouze konstatuje. Víc nemůže, a na tomhle projektu rozhodně nepracoval.
To že to je paskvil, to víme všichni. Ale právě pomocí podobným článkům, popisující jeho právní i technické nedostatky se snad někdy dostane do stavu "jakž takž to funguje a všichni si na to zvykli". -
Petr (neregistrovaný)Tohle je opravdu zajímavý názor, který bude asi nejblíže pravdě. Prostě datový schránky nechat datovejma schránkama (jako takový lepší e-mail) a kromě toho zavést aspoň zavést povinnost poslat to na vyžádání normální poštou. Takže kdyby mi přišel nějaký dokument, u kterého předpokládám potřebu v budoucnu, tak zavést povinnost, že na požádání mi místo pochybný konverze zašlou poštou hezky klasický originál.
(Jediný problém je, že člověk někdy neví, co bude za pár let potřebovat.) -
anonymníJo, je to tak. Mne to pripada, jako kdyz dite veme ctverec a tiskne ho do kulaty formy.
system, ktery byl dizajnovan na online trazakce (vznik kratkodobych casovych vazeb), nelze pouzit na situace, kde je vyzadovana dlouhodoba jistota, kde vznikaji dlouhodobe vazby. (napr. pravotvorni dokumenty, ktere garantuji jistotu do budoucna, t.j vznik, zmena a zanik prav a povinosti
Elektronicky podpis proto neni klasickym podpisem, je to jenom kratkodobe certifikovani a to i kdyz je opatren casovym razitkem protoze elektronicky dokumet ma v reale vahu podepsaneho dokumentu jenom po dobu platnosti certifikatu.
zakonodarce by proto mnel zmenit definici epodpisu
na elektronickou certifikaci, kde by misto epodepisovani dokumentu definoval ecertifikaci dokumetu. sluvko certifikat evokuje presnej, ze jede o neco casove omezene -
bývalý volič ODS (neregistrovaný)No právě...někdo kdysi certifikát přeložil jako podpis a je to v bruseli. To co známe jako zertifikát je jakási pečeť která zaručuje neporušenost vnitřku dopisu, ale jen a pouze do doby kdy dokážu ještě poznat pravost pečetě a maximálně do doby otevření dopisu a rozlomení pečetě.
No joo ale tohle říkejte fašounskýmu Langerovi -
jirick (neregistrovaný)Nesmyslnost konverze spočívá také v tom, že některým např. ministerstvům je třeba doložit originál stavebního povolení, které bylo stavebním úřadem stavebníkovi doručeno datovou zprávou. Jedinou cestou je konverze, což se někdy pěkně prodraží. Proč není možné SP přeposlat do datové schránky ministerstva?
-
jh (neregistrovaný)Podle člověka, který vyvíjí knihovnou pro přístup k datovým schránkám, je zpráva nejprve "orazítkovaná" časovým razítkem a teprve potom podepsána. Viz. http://www.abclinuxu.cz/blog/pb/2010/2/zprava-zvyvoje-libisds
Takže si nejsem jistý jestli tam to razítko k něčemu je. -
MB (neregistrovaný)Samotná datová zpráva se v ISDS nepodepisuje, naopak dostává časové razítko. Podle mne , když mi expiruje podpis na dokumetu a je obsažen v datové zprávě opatřené časovým razítkem, tak by podle selského rozumu mohl být podpis vyhodnocen alespoň k tomuto času... Ale sw to neumí.
Zatím jsem se nesetkal s PDFkem opatřeným časovým razítkem a Acrobat reader sice píše o neověření času, ale nedává mi možnost ho tam s podpisem vlepit. Samozřejmě by se mělo časové razítko vztahovat na podpis resp, již podepsaný dokument. Tak jako se vztahuje na datovou zprávu s již vloženým podepsaným PDF. Pokud budu podepisovat dokument opatřený časovým razítkem, tak pouze potvrzuji datum uveřejnění rozhodnutí (tak to ale chce zřejmě správní řád). To je ale za úplně jiným účelem, než abych prokazoval na Czechpointu dobu podepsání dokumentu! V tom případě musí mít dokument časová razítka DVĚ :-) - tedy pokud chci datovat vydání rozhodnutí v jiný okamžik než podpis. -
petr_p (neregistrovaný)
Datovou zprávu (a doručenku) jako celek podepisuje na vyžádání vnitro (najděte si ve specifikaci službu SignedMessageDownload). Co je smyslem, nevím, protože celá zpráva je tvořena obálku a seznamem dokumentů a informacemi o doručení (které se v čase mění). Jinak řečeno tímto ministerstvo stvrzuje, že dotyčná zpráva v konkrétním stavu prošla systémem. Papírová pošta v podstatě nic takového nenabízí. V podstatě se jedná o jinou formu dodejky/doručenky.
Časové razítko podepisuje pouze obálku a seznam dokumentů a to těsně po přijetí zprávy systémem. Zaručuje tedy, že daná zpráva byla v určitém čase podána. V podstatě nahrazuje podací razítko pošty otiskované na papírovou obálku.
Samozřejmě že podle selského rozumu by razítko zprávy mělo stačit na stanovení času pro kontrolu platnosti certifikátu přenášeného dokumentu, protože z ně jednoznačně vyplývá, kdy podpis dokumentu existoval.
Otázka ale je, jestli takový postup má oporu v zákoně o elektronickém podpisu, protože razítko podepisuje otisk zvláštním způsobem vybraného binárního podřetězce.
Pokud budu podepisovat dokument opatřený časovým razítkem, tak pouze potvrzuji datum uveřejnění rozhodnutí.
Nikoliv. Když podepisujete dokument, tak vyjadřujete svůj souhlas s podepisovanými údaji. Takže když podepisujete {dokument, razítko(dokumentu)}, tak vyjadřujete souhlas se všemi prvky množiny, tedy i s obsahem dokumentu. Kdybyste chtěl stvrdit platnost času existence dokumentu, tak podepíšete jen {razítko(dokumentu)}.
-
Jason (neregistrovaný)... "Zatím jsem se nesetkal s PDFkem opatřeným časovým razítkem a Acrobat reader sice píše o neověření času, ale nedává mi možnost ho tam s podpisem vlepit." ...
a právě proto i 602 nyní říká, že vlastně "Vytváření elektronických dokumentů s právním účinkem není možné bez elektronického časového razítka. " a pohotově rozšířila nabídku a funkcionalitu Print2PDF o časová razítka :-))
http://www.602.cz/tsa -
Tak správný postup by byl, nahrát si dokument na CD, zajít na CZech Point, vystát si tam frontu, tam by si ho nahráli,vydali by mi potvrzení o přijetí, šel bych domů, počkalo by se 24 hodin, než by se převzali aktuální údaje o revokaci, pak bych na tu poštu zašel znova, znova vystál frontu, a konečně by mi to vytiskli á 30Kč??? ?????????????
Čímž ale ta legrace teprve začíná. Kdokoliv (a kterýkoliv úřad) by mohl odmítnout platnost přijatého dokumentu s certifikátem s odvoláním na to, že si nemůže aktuálně ověřit zda nebyl revokován. Čili by všechny dokumenty přebíral až s 24 hodinovým zpožděním. Co na to patřičné lhůty o přebírání dokumentů??? -
No ono se naštěstí v zákoně píše "vybraní notáři", a dá se usoudit, že ti, kteří budou napojení na síť Czech Pointu aby mohli online provést jak kontrolu certifikátu, tak i v rámci systému DS zaznamenat provedení konverze.
Do doby, kdy ti spřátelenej (nebo podplacenej) advokát dá na výpis z počítače razítko "autorizovaná konverze z DS" je ještě daleko.. -
Technicky je to vyšpekulované hezky, a já věřím že v technickém prostředí lze převzít počítač či projekt s výhradou, že na 0,0001% se v něm projeví chyba, což lze ověřit tím že se podívám do toho a to logu, a podobně.
Ale jakou cenu bude mít právní dokument v jehož konverzní doložce bude výhrada "tento dokument byl možná vydán neoprávněně. Aby se potvrdila jeho platnost, je nutné se podívat na seznam revokovaných certifikátů ze dne (datum možná někdy před 5 či 10 lety, technická kontrola nemožná...)
Řekl bych že vůči hodnotě takového právního dokumentu se bude toaleťák vyvažovat zlatem... -
Martin (neregistrovaný)s překvapením jsem dnes zjistil, že na mých Windows 7 existuje adresář:
C:\Users\(username)\AppData\Local\Temp\BinFiles602\
a v něm jsou všechny dokumenty, které jsem si při práci s datovou schránkou kdy prohlížel.. To je v pořádku nebo je to jen další bezpečnostní díra v systému datových schránek? -
Také je zajímavé, že existují dva typy konverze - pro občana, a pro vnitřní potřebu úřadu, a ta konverze pro vnitřní potřebu úřadu se dá provádět i na dokumentech PDF bez elektronického podpisu, což na doložce je uvedeno. Příjde mi ale, že právní síla zkonvertovaného dokumentu bez elektronického podpisu je stejná, jako bychom si ho jednoduše okopírovali.
-
michals (neregistrovaný)At se na me nikdo nezlobi, ale datove schranky nas neskutecne vytaci.
Dneska jsem napriklad zjistil, ze se mi smazaly odeslane datove zpravy z rijna, takze nemame jediny doklad o odeslani zprav uradum.
Asi jsme neco prehledli, ale nechali jsme se ovlivnit informaci, ktera se zobrazuje hned v uvodu:
Lhůta pro uchování doručených zpráv
je 90 dnů ode dne doručení do datové
schránky.
Nikde se ale nepise o odeslanych zpravach?
volali jsme tedy na podporu, kde mi pani arogante sdelila, ze mame smulu (s urcitou davkou radosti). a ze je to v podminkach, ze se zpravy mazou.
rekl jsem ji,ze by mohla byt minimalne trochu ochotnejsi, kdyz se jedna o novou vec a vsichni se ucime.
takze ponauceni pro ostatni.
Michal -
Jirka (neregistrovaný)Podle mě je jediná možnost, jak datové schránky zlepšit: neustále o problému psát, kritizovat, posílat urgence na ministerstvo a vládu, aby si konečně uvědomili, že to, co udělali, je paskvil. Samozřejmostí by přece mělo být uchovávání došlých i odeslaných zpráv po celou dobu funkčnosti datových schránek. Přeci taky nikdo ke mě po 3 měsících nepřijde a neroztrhá mi lejstro.
Ten, kdo tohle navrhoval, byl asi hodně ožralej, že vůbec dovolil, aby to takhle fungovalo.
Omlouvám se, ale nedá mi to, je to prostě šlendriján! -
Hexer (neregistrovaný)Smekam pred autorem protoze to vypada ze je to jediny clovek ktery ma ve schrankach jasno :)))
Tak neskutecny paskvil jakym jsou Datove schranky mohl projit jedine v nasi bananove republice :) take vubec nechapu proc zustavaji dokumenty ulozeny jen 90 dni... v dnesni dobe kdy existuji donwload servery atp. prece nemuze byt problem skladovat par terabajtu dat... tohle ja osobne povazuju za nejvetsi pruser celych schranek... pro obycejneho uzivatele... (nemyslim ted pro nekoho kdo v tom bude hledat chyby)
Diky autorovi za informace z jungle :) -
anonymníJen poznámka - požadavek na to, aby dokument byl podepsán oprávněnou osobou, je v zákoně proto, že někteří filutové chtěli, aby stačilo např. to, že podpis (resp. e-značku) ke každé zprávě přidá systém DS, a tím je to vyřízené - to by ovšem došlo k přenosu odpovědnosti za obsah všech zpráv v systému DS na Poštu nebo vnitro (kromě toho, že to je hovadina, ale některým lidem se to nedalo vysvětlit).... Toto je věc, kterou neověří systém, ale je divné, když např. stavební povolení bude podepsáno zaměstnancem ministerstva školství - to je přeci podezřelé, že? Ale toto není kontrolovatelné automatizovaně, je třeba to ověřit "selským rozumem" - stejně tak na papíře byste také na takové stavební povolení s razítkem Ministerstva školství koukal divně. Nemyslím si, že to má kontrolovat pošťák, protože to je již spíše věcná otázka, ale má si to ověřit ten, kdo se na obsah podepsaného dokumentu spoléhá.
-
MB (neregistrovaný)na takové stavební povolení s razítkem Ministerstva školství koukal divně - no a tak to právě je!!! Vždyť místo razítka je tam jen text "Otisk úředního razítka" a el. podpis, který sice má obsahovat i služební údaje zaměstnance, ale...kdo z běžných lidí umí tato data vůbec z certifikátu vylovit! Vždyť kolik lidí jde na Czechpoint zbytečně, protože si nezkontroloval, že mu úřad poslal neplatně podepsaný dokument (třeba vůbec nepodepsaný)
-
L (neregistrovaný)O registru práv a povinností si někteří lidé myslí, že to bude CML-Centrální mozek lidstva, ale to opravdu existuje jen ve sci-fi... Zkuste si spíš představit, jak jste si mysleli, že budou fungovat datové schránky a jak reálně fungujou a s registry to bude podobné, ne-li ještě horší, protože to je obtížněji uchopitelné - zvlášť registr práv a povinností.... Doufala jsem, že až se změní garnitura, bude haluze s registrem práv a povinností zrušena...
-
Narozdíl od kontroly podpisu, kterou lze provádět off-line, je pro zkoumání revokace certifikátů potřeba spolehnout se na CA.
Spolehlivost není nijak technicky zajištěna - jen předpisem. Revokované certifikáty se v CRL nemusí objevit. Nebo hůře: mohou se objevit, ale v pozdějších vydáních už ne. Pokud dvě strany budou zkoumat stejný dokument s podpisem stejným algoritmem, mohou dojít k různým výsledkům.
Problematické je také získání CRL z potřebného data po mnoha letech. Optimální je si stahovat a ukládat všechna vydaní CRL všech CA :-) -
Jason (neregistrovaný)A přesto si myslím, že v aktuálním CRL nemusí být a nejsou uvedeny již "vypršené" revokované certifikáty. Viz příslušné RFC i viz např. konkrétní obsah aktuálních CRL třeba i našich akreditovaných CA.
BTW mj. asi i právě proto je naopak k dispozici možnost stáhnout si stará, historická CRL ... -
petr_p (neregistrovaný)
Už rozumím. Jde o to, že odvolaný certifikát z CRL zmizí, jakmile uplyne standardní doba platnosti certifikátu.
Na RFC se podívám. Asi vzniklo v době, kdy se časová razítka nenosila a certifikáty se vždy ověřovaly k současnosti.
Takto to docela podkopává jakýkoliv pokus o automatizaci (přístup k historickým seznamům asi není nijak standardizovaný). Navíc to značně zatěžuje prostředky, protože by to znamenalo, že ke každému certifikátu by se musel stáhnout vlastní CRL vydaný v době nejbližší po času podepsání. To už by se vyplatilo nasadit OCSP.
-
petr_p (neregistrovaný)
Teoreticky je možné cokoliv. Pokud takový ošklivý CRL získáte, není problém jej použít jako důkaz proti autoritě, protože autorita CRL podepisuje. (I CRL musí být chráněn proti padělání.) A vězte, že pokuty za porušení dotčených předpisů mají horní hranici řádově v miliónech korun.
Běžný software hledá CRL tam, kam ho odkáže certifikát. Rozumnější software je možné nastavit, aby se díval i do jiných CRL (často se používá ve větších podnicích pro potlačení zátěže způsobené masivním stahováním stejného souboru všemi pracovními stanicemi). Takže úplně stejně je možné nastavit nahlížení do seznamů ministerstva.
Problém ale spíše bude ten, že ministerstvo potřebný systém ještě ani nemá vybudovaný. Tedy alespoň se mi nedoneslo, že by něco takového již fungovalo.
ČLÁNKY DO MAILU