Názory k článku Čeká nás revoluce v elektronizaci jménem eIDAS. Co všechno se změní?
-
Elektronický podpis nikdy zdarma nebude. Vždy jsou s tím nějaké náklady – jde jenom o to, kdo je zaplatí. Vy zřejmě chcete, aby byly placené z daní. Já si myslím, že by v takovém případě byly náklady mnohem vyšší, než dnes. A nevidím k tomu placení z daní žádný důvod. Podnikateli, který vystaví jenom pár faktur ročně, se certifikát pro el. podpis finančně vyplatí už dnes. Takže jde spíš o to, aby používání pro něj bylo bez problémů (ne že se bude u každé druhé faktury dohadovat, zda musí být na papíře), a aby se to používat naučil. No a pokud se to někomu nevyplatí, tak ať elektronický podpis nepoužívá, proč bychom ho k tomu měli nutit a platit mu to? Navíc spousta lidí se nechce učit s něčím takovým zacházet, nechtějí používat třeba ani mobily nebo platební karty. Bylo by hloupé je k něčemu takovému nutit. Navíc by takoví lidé byli snadným cílem podvodníků.
-
Bavíme se o vydávání certifikátů pro elektronický podpis, že? Takže nějaké kartičky s čipem jsou nepodstatné (ostatně, privátní klíč vůbec nemusím mít na čipové kartě), podstatné je bezpečné zacházení s privátním klíčem certifikační autority. A to nezařídíte za pár korun, jak se tváříte. Nebo – pokud to umíte – nic vám nebrání založit si vlastní CA a nízkými cenami rozdrtit konkurenci.
Elektronický podpis není totéž. Že nemají podepsat každý papír, co jim někdo podstrčí, to se lidé učí už od ZŠ. A vědí, jak s takovým podpisem zacházet. Elektronický podpis je pro takové lidi něco úplně jiného. Občanku s čipem a PIN klidně dá někomu cizímu, protože k tomu nemá žádný vztah, neví co to je, tak proč by se o to měl starat? Nemám nic proti tomu, ať je čipová karta povinná, až s ní bude běžně umět zacházet každý. Ale nutit to lidem, kteří nechtějí nebo nemohou přijmout něco nového, je neuctivé a nepokorné. Uvědomte si, že jednou nejspíš budete na jejich místě.
-
Jean Laroux (neregistrovaný)
Pokud se tím nahradí fronty na úřadech, tak to může stát naopak mnohem méně. Umíte si představit kolik stojí úředníci na všech těch úřadech? Pokud bude systém dělat někdo rozumný a ne někdo, kdo bude chtít přihrát výhodné kšefty "někomu" viz. DS a česká pošta, pak by šlo jen o vytvoření portálové nadstavby nad jednotlivými IS jednotlivých úřadů, které již existují. Zde se zajistí pouze výměna dat na úrovni diskových systémů a IS jako takové mohou klidně běžet na stávajících, rozdílných platformách. K portálu se zajisti přístup jednotným autorizačním klíčem (elektronické podpisy na občanských průkazech) a pak zde lze dělat naprosto vše. Od komunikace - současné DS, přes úřední úkony (výpis z rejstříků atp) až po třeba elektronické volby. Pod portál lze v budoucnu navěsit COKOLIV. Samozřejmě chápu vaše obavy. Praxe v naší zemi je jiná a co může stát pár korun obvykle končí tak, že si někdo někomu a sobě namastí kapsu a výsledek práce je pak žalostný.
-
Pavel (neregistrovaný)
Náklady na elektronický podpis jsou tvořeny hlavně náklady na ověření, že ten, kdo o ten podpis žádá, je opravdu ten, za koho se vydává. Náklady na vygenerování těch pár bitíků klíče jsou pak minimální. A to ověření se musí dělat a dělá i u "papírových" OP. Takže není důvod, aby OP s elektronickým podpisem byla (výrazně) dražší než stávající OP, za padesátku by se to mělo sfouknout.
-
Jean Laroux (neregistrovaný)
Já to vnímám jako mezikrok. Smysl má podobný systém jedině v případě, že bude v konečné fázi fungovat plošně tj. i pro osoby fyzické. A proto by se měl už od počátku zajistit systém autorizace, který bude použitelný i pro ty fyzické osoby v budoucnu. Jaký bude mít smysl, když budou právnické subjekty nyní k autorizaci používat nějakou speciální kartu a následně se bude a) fyzickým osobám vydávat povinně placená stejná karta s drahým certifikátem nebo b) Právnické osoby se budou překlápět na univerzální způsob autorizace pomocí elektronického OP?? ... To je nekoncepční.
-
Ondřej Bouda (neregistrovaný)
Pokud má být autentizace občankou, tak tu právnické osoby nikdy mít nebudou. Takže zatím to nemá moc smysl řešit (autentizaci stejně bude dělat jeden subsystém, u kterého by neměl být problém naučit ho v případě potřeby nové způsoby autentizace - a ty budou zákonitě přicházet, jak se ty staré budou postupně prolamovat).
-
Já bych se podvodů až tak nebál. Naopak - pohřešenou elektronickou občanku snáz zneplatním. Když dnes ztratím OP, nemám to v podstatě kde rychle oznámit. Se ztrátou mě z policie vyhodí, neb to nespadá pod jejich agendu. Můžu částečně uspět s oznámením o krádeži, ale i tam se mne budou snažit vyhnat, pokud to nebude zároveň spojeno s krádeží hotovosti a/nebo věci. Naproti tomu elektronickou občanku odvolám hned, třeba telefonicky s použitím PIN (třeba s tím, že to pak musím potvrdit osobně někde na ouřadě).
-
P2010 (neregistrovaný)
Zacneme od toho, ze s vami "nevyrazi dvere" kdyz jdete ohlasit ztratu/odcizeni takoveho dokladu. Zajimavy material je treba zde http://www.ojp.usdoj.gov/ovc/pubs/ID_theft/pfv.html
-
Vit Hnilica (neregistrovaný)
Nizky ceny nasadit jen tak nemuzete, 100k spravni poplatek, statisice vselijake audity dokumentu a pak neco stoji i ten certifikovany HW. Takze bylo by hezky kdyby treba nake obcanske sdruzeni melo CA, ale ty poplatky co se plati statu a statem poverenym firmam vam v zalozeni uspesne zabrani. Tyto naklady stat nema;) Zaroven velke naklady jsou za lidskou kontrolu vsech dokladu a papirovani, to stat uz dela pri vydavani obcanek.
-
Vit Hnilica (neregistrovaný)
Spravni poplatek zarucuje bezpecnost? Pro me i tech 100k nejsou male penize. Bezpecnostni proverku a kontrolu postupu nezvladne NBU? Na tom ze nejdrazsi je overovani identity si trvam, treba startssl si platit nechava jen za to overeni a certifikatu si muzete udelat kolik chcete. Cena casoveho razitka ve vetsim mnozstvi stoji neco pod korunu a je technicky jen podepsany cas misto podepsaneho verejneho klice. Naroky na HW ma legislativa stejny. Ze si u nas nechaj platit stejny penize za obnoveni je spis cenova politika:)
Ja ve svem predchozim prispevku nabizel levnejsi certifikaty? Ne, ja jen tvrdil ze stat to umi levneji. Ono i kdybych to levneji umel, tak veskerej trh je jen statni sprava a na prodej tam bych zaludek nemel...
-
Vit Hnilica (neregistrovaný)
Hadam ze obcanku mela novou a pokuty naskakovali na te stare. Pri tom jak u nas fungujou soudy s cernyma pasazerama, tak platnost dokladu na ktery dali pokutu nekontroloval a DPP pak jiste s radosti hned vsechno projistotu skartoval. Tak spis otocim otazku, v jakem state by se tohle jeste mohlo dit?:)
-
Tomáš Kapler (neregistrovaný)
ehm. Volební komise dá každému při příchodu novou a hlavně orazítkovanou sadu lístků. Každému, vekslák nic nezjistí. Krom toho by si tam jistě někdo veklsláka všiml, pakliže by tam okoukněl opakovaně a nezapomínejme, že volební komise je složená ze zástupců všech politických stran, takže jistě by se někd oozval
-
Jak je to v ČR ve skutečnosti se sadami lístků už vám napsali jiní – jenom doplním, že sadu lístků dostane každý předem do schránky, a těmito lístky může volit (a drtivá většina lidí to tak dělá). Takže razítka na nich už musí být předtištěná – a bylo by nesmyslné dávat sady volebních lístků domů, kdyby pak ve volební místnosti dostali druhou.
Veksláka by si ve volební místnosti možná někdo všiml, ale co by s ním mohl dělat? Jinak plenta ve volební místnosti není proto, aby volič nebyl pod kontrolou někoho konkrétního, ale aby nebyl pod „veřejnou“ kontrolou. Pokud někdo podlehne nátlaku příbuzných nebo veksláka, možnost vzepřít se ve volební místnosti s vysokou pravděpodobností stejně nevyužije.
-
Vit Hnilica (neregistrovaný)
Byl jste si nekdy pro certifikat na postu? Trva jim to 1/4 - 1/2 hodiny, a pozor, s prijetim doporuceneho dopisu nesrovanavat. Podpis kvalifikiovanym certifikatem ma vahu uredne overeneho podpisu. Moje id kontroluje jen jestli dopis dorazil na zadanou adresu. A duvod proc neexistujou dalsi CA: co treba malej trh, konkurence v podobe datovych schranek, jediny skutecny zakaznik stat.
Pristup k privatnimu klici je zakazany pro vsechny, nikdy nesmi opustit HSM. Takze defakto muzete mit klic pro CA i pro TSA v jedny krabice. U TSA je navic jeste potreba certifikovany zdroj casu, pravidelne kontrolovan. Rucni prenos zadosti o certifikat z RA snad neprobyha.
Ja naklady vidim, ale vidim je proste nizsi a duvody jsem jiz popsal.
Veskery trh je statni sprava, zbytek je zanedbatelny a mezi firmama vetsinou zpusobeny nepochopenim pojmu (uz jsem se setkal s tvrzenim ze pro sifrovani potrebujete certifikat od ceske posty). Prvni vesmirnej turista vydelal miliardy prave na provozovani certifikacni autority. Startssl si necha platit jen za overeni, potom si certifikatu muzete udelat kolik chcete, nemyslim ze moje tvrzeni existence komercnich CA nabourava.
Na slovensku NBU provozuje korenovou CA
-
Byl jsem pro certifikát na poště, u I.CA, byl jsem si prodloužit občanku i pas, nechával jsme ověřit podpis – ověření totožnosti podle občanky vždy trvá pár vteřin, tedy nějaké promile trvání celého úkonu. V případě MojeID to nebude jiné (psal jsem o nejvyšším stupni ověření, ne o ověření dopisem).
Zpočátku zde byla jedna akreditovaná CA, dnes jsou tři; akreditované CA jsou zde od roku 2000, datové schránky od roku 2009; stát není jediným a nejspíš ani převažujícím odběratelem kvalifikovaných certifikátů, komerčních už vůbec ne. Nějaký reálný důvod byste tam neměl?
Přístup k privátnímu klíči nemusí hned znamenat, že ten klíč umím přečíst. Když chcete něco podepsat, musíte mít k tomu klíči přístup (pro podepisování e-mailu stačí třeba přes čipovou kartu a PIN). Klíč v HSM je hezká věc, ale potřebujete, aby to HSM tím klíčem občas něco podepsalo. Takže musíte mít nějak zabezpečeno, kdo a jak může dávat HSM pokyny „tohle podepiš“. A je rozdíl tohle zabezpečit pro tři servery a pro desítky lidí po celé republice.
StartSSL není certifikační autorita, jejímž certifikátům bych svěřil cokoli důležitého. Klidně si můžete rozjet certifikační autoritu sám s OpenSSL, pak budou opravdu největší náklady na ověření totožnosti. Jenže jak budete investovat do lepšího a lepšího zabezpečení, neustále poroste podíl nákladů na bezpečnost.
-
Vit Hnilica (neregistrovaný)
Nevylucuje se to s tim co jsem uz psal, kontrola vsech dokladu a pairovani (moje posledni navsteva posty 1/2 hodina).
Od roku 2000 tu mozna ICA je, ale nikdo to nepouzival (vim jen o CEPSu v jeho aukci). Ksefty se rozhejbali az datovejma schrankama a nutnosti posilat prilohy v nich k obcanovi/firme podepsane. Firem je zlomek a vetsinou to porizujou bud z potreby komunikace ze statem a nebo kvuli nepochopeni (viz muj priklad z praxe). Pro komunikaci mezi sebou velke firmy pouzivaji certifikaty vydane svyma autoritama (napr Ceska sporitelna, Allianz ...).
Mrknete se treba na dokumentaci k EJBCA, tam je i s obrazkama popsany jak by takova CA mela vypadat. A ze opravdu nepotrebujete u konzole k HSM "operatora" kterej odklepava pozadavky na podepsani.
diskuze se mi jiz zda trosku zacyklena a tak radsi koncim ...
-
Tak si to spočítejte sám – 30 minut vydání certifikátu, z toho 10 sekund kontrola OP. Vynecháním kontroly OP ušetříte 1,5 minuty denně – to je ta výrazná úspora nákladů?
To, že vy nevíte o nikom, kdo by to používal, neznamená, že by to nikdo nepoužíval. Povinnost posílat dokumenty v elektronické podobě podepsané kvalifikovaným certifikátem platí od roku 2000, datové schránky naopak umožnily při podání vůči státu certifikát vynechat.
Dostávám a posílám elektronicky podepsané faktury, není to ani komunikace se státem a ni nepochopení, naopak je to pochopení toho, že je to levnější.
Nikde jsem nepsal, že by u HSM někdo něco odklepával. Asi pořád nechápete, že mezi tím pracovníkem na přepážce, u kterého si obstaráváte certifikát, a tím HSM, je nějaká souvislost. Ten pracovník totiž musí dát bezpečným způsobem HSM pokyn k podpisu certifikátu. Těch pracovníků jsou desítky, takže musíte počítat s tím, že budou dělat chyby a snažit se jim předcházet, monitorovat podezřelé transakce. Samozřejmě můžete spoléhat jen na to, že všichni zaměstnanci budou pracovat přesně podle předpisů, ale pak budete muset neustále řešit nějaké pochybné certifikáty a vaší CA nikdo nebude věřit.
-
Pavel (neregistrovaný)
U vlastnictví se to zacyklení aspoň v nejjednodušších případech hlídá. Není třeba možné, aby dvě a.s.vydali akcie za miliardu, vyměnili si je a tak navýšily své jmění o miliardu, protože při úpisu akcií se musí platit něčím "reálnějším" než jinými akciemi. Ale samozřejmě, složitější vztahy se rozplést nedají.
Podle mě je jednatelství důležitější než vlastnictví z pohledu odpovědnosti. Zatímco vlastník ručí za chyby firmy jen do výše svého podílu, jednatel ručí i svým majetkem. Pokud se tedy potřebuju na firmě zahojit a její majetek nestačí, půjdu za jednatelem, ne za vlastníkem.
-
Jean Laroux (neregistrovaný)
Jistě, že jsou náklady. Ty jsou ale minimální. Portál obsahující db veřejných klíčů je součást systému. Někdo, kdo zajistí provoz tj. výdej certifikátů společně s OP. Nic světoborného a nákladného - to zvládne úřad, který nyní vydává OP, možná jen přijme pár lidí navíc. Samotný OP s chipem se již vydává vybraným zájemcům. Hodnota takové karty je cca. 20 - 40 Kč. Ty stovky co za to chtějí jsou prachsprostá zlodějna. Vím to, protože jsem podobné karty sám prodával. Pokud jde o krok k odbourání fyzické agendy tj. úředníků na kvantech úřadů pak jde ve finále o úspory v řádech miliard ročně. To vše oproti investici v řádu reálných pár mega jednorázově. Provozní náklady budou pouze minimální. Pokud někdo nechce používat podpis tak jej nebudeme nutit podepsat ten papír? Děláte si legraci? Tady máš babi důchod a když nechceš tak nepodepisuj převzetí :D ... Elektronický podpis je v podstatě totéž. Pokud babča nemá PC, tak si zajde na kontaktní místo, kde jej mají (Např. na poštu a tam ji pomohou - ona jen zasune občanku s chipem). Nebo může pomoct vnouček s PC. Existuje mnoho řešení pro každého. Jaké riziko "podvodu" máte na mysli, které by nefungovalo už nyní? Třeba, že by babča půjčila někomu občanku s chipem a řekla mu i svůj PIN? To je totéž, jako by nyní podepsala papír s plnou mocí ve smyslu, dělejte si za mne co chcete. Navíc i takové věci lze ošetřit. Pokud s ebude OP s chipem používat např. při volbách, mohou se ve volebních místnostech vyčlenit autorizované terminály a z domova neodvolíte. Musíte vejít za plentu s OP, zasunete a zde pak odvolíte. Nemáte v ruce obálku s vybraným jedním hlasem od veksláka, který Vám za stovku dá tu obálku předem. V tomto konkrétním případě elektronický způsob eliminuje riziko podvodu, protože podvodník ztratí možnost ověření toho co se děje za plentou a tudíž pro něj nemá smysl odkoupit si hlas. To by vyhodil peníze zbytečně. ;)
-
braqela (neregistrovaný)
Nějak mi ten článek nesedí. Pan Peterka nás obecně poinformoval co se zas chystá v elektronizaci státní správy. Ale ať čtu mezi řádky jako za starého režimu, furt nemůžu přijít na to, co je to za průser. Ani nenaznačil a přitom vždycky napíše na plnou hubu co je za průser, na základě čeho, kdo za to může a hlavně vidí daleko dopředu na celá léta, jaký to bude mít dopad a co s tím udělat zavčas. Nebo už ani on nesmí ani naznačovat?
-
P2010 (neregistrovaný)
Zajimavy vyklad prava. A kvuli tomu ma clovek ktereho okradli zit dalsich deset let v nejistote, ze (i opakovane) prijde o svuj majetek jen proto, ze tento stat neni schopen zajistit radne ukonceni platnosti odcizeneho dokladu totoznosti ? Pak by zrejme mela existovat moznost takovy doklad odmitnout, kdyz je tak snadno zneuzitelny.
-
Jean Laroux (neregistrovaný)
Aby systém nahrazující "papírovou" agendu mohl fungovat bude se muset začít ODSHORA. Pokud má občan opravdu přejít na elektronickou formu, musí mít v první řadě i elektronický podpis. Důvěryhodný elektronický podpis. A ten podpis musí mít každý a musí jej mít ZDARMA !! A proto by se tvůrci těchto projektů měli sejít a domluvit na tom, že výchozím autorizačním prvkem občana bude občanský průkaz z chipem, který bude obsahovat elektronický podpis. Tento OP dostanou všichni občané zdarma, protože oni to nejsou, kdo vymýšlí elektronickou agendu. Bez jednotného systému autorizace je NAPROSTÝ NESMYSL tvořit jakýkoliv státní elektronický systém, který budou občané nuceni používat.
-
krakonoš (neregistrovaný)
Pokud jde o tu ,,obálku s hlasem od veksláka" tak to je kolosální nesmysl! Nejspíš jste volit nikdy nebyl! Obálku, ve které vám přijdou domů volební lístky totiž do urny nevhazujete, k volbám musíte mít druhou, orazítkovanou a tu dostanete až od volební komise po ověření totožnosti. Navíc si můžete na místě vyžádat i novou sadu hlasovacích lístků. Takže pokud budu chtít veksláka přečůrat, no problem. Vyzvednu si novou sadu, což on nemá šanci zjistit, za plentou vrazím do orazítkované obálky to, co sám chci a nazdar bazar. Něco jiného jsou ,,volby" v LDN, neo podobných zařízeních, kde za klienty ,,volí" personál. (Dědku tady máš ten jedině správný lístek a když se ti to nelíbí, tak si sbal sakypaky a vypadni!) a chodí volební komise s přenosnou urnou.
-
Trochu bych to upřesnil. To nejsou poplatky státem pověřeným firmám. Jsou to platby za to, že to vydávání certifikátů je dostatečně bezpečné. Že je bezpečný hardware, že jsou správně naplánované postupy, že se ty postupy dodržují a kontrolují, že lidé ty postupy znají. Tyto náklady by měl stát také.
Náklady na lidskou kontrolu všech dokladů a papírování jsou nejspíš nepodstatné. Jinak by vydání následného certifikátu, které prakticky může vyřešit automat, bylo podstatně levnější. Opět, pokud máte pocit, že to zvládnete výrazně levněji, než současné autority, nic vám nebrání začít podnikat. A pokud nechcete vynakládat peníze za ty správní poplatky, začněte nejprve s komerčními certifikáty, tam jsou poplatky státu nulové. Už tady máme dva diskutující, kteří umí certifikáty vydávat výrazně levněji, než konkurence, to to s konkurencí zamává.
Nebo to neumíte, a vaše představy o tom, jak je to levné, vycházejí jen z neznalosti toho, co je potřeba a kolik to stojí. To pokládám za pravděpodobnější možnost.
-
Pokud je nejdražší ověřování identity, proč to zvládne Česká pošta mnohem levněji při doručování dopisů do vlastních rukou, proč to zvládne mnohem levněji MojeID pro nejvyšším stupni ověření, proč to zvládnou mnohem levněji matriky a notáři při ověřování podpisů? Proč je vystavení následného certifikátu, o který se žádá podepsaným e-mailem, stejně drahé, jako vystavení toho prvního? Pokud je to vše proto, že na tom autority neskutečně rejžujou, proč už zde dávno nemáme další autority, které by nabídli nižší ceny?
Časové razítko je levnější z toho důvodu, že se jich vydá řádově víc, než certifikátů, takže se ty fixní náklady (které jsou ty podstatné) rozdělí na mnohem větší počet jednotek. Za druhé časová razítka vydává automat, takže nemusíte řešit bezpečný přístup několika desítek osob k privátnímu klíči, zajistíte ho dvěma třem serverům. A když to server jednou naučíte dělat správně, bude to tak dělat pořád, nemusíte ho tolik kontrolovat – nestane se, že se server špatně vyspí a druhý den si nechá ukrást PIN ke kartě a ještě o tom ani nebude vědět.
Ano, tvrdíte, že stát umí vydávat certifikáty levněji, ale jediný váš argument je „náklady nevidím, tak nejsou“. Zkuste si představit, že by se tři české akreditované autority zestátnily, na čem by se pak ušetřilo. Tvrdíte, že na duplicitním ověřování totožnosti, tak napište, kolik času zabere ověření totožnosti při vydání OP a při vydání certifikátu, takový podíl koncových zaměstnanců byste ušetřil. Obávám se, že úspora skončí na tom, že propustit 1/4 zaměstnance není možné.
Veškerý trh není jen státní správa, uznávaný podpis používají daleko víc soukromé subjekty v komunikaci se státní správou i soukromé subjekty mezi sebou. A vedle toho existují ještě komerční certifikáty, jejichž cena je srovnatelná s kvalifikovanými certifikáty. Což mimochodem nabourává vaše tvrzení, že drahé jsou na tom požadavky státu.
Co se týče NBÚ, to má být další stupeň kontroly bezpečnosti, těžko může zajišťovat bezpečnost vydávání státních certifikátů, a pak kontrolovat, zda se to dělá správně. A i kdyby se to takhle špatně udělalo (ostatně už to tak máme u základních registrů), ta činnost NBÚ opět nebude zadarmo.
-
petr_p (neregistrovaný)
Problém budou certifikované nástroje. Zatímco dnes v ČR můžete použít OpenSSL, GnuTLS nebo NSS, po vydání nařízení budete muset použít certifikovanou proprietární aplikaci použivající certifikovanou proprietární knihovnu na certifikovaném proprietárním operačním systému a možná na certifikovaném proprietárním (UEFI secure boot) stroji.
-
Santiago (neregistrovaný)
Tohle vychazi ze spatneho predpokladu o tom, ze OP je nejaky token, ktery kdo drzi, muze rozhodovat za danou osobu. Ale tak to neni. OP je jen pomucka slouzici k identifikaci. Pro platnost pripadnych pravnich ukonu je dolezite primarne to, zda je provedla dana osoba, nikoliv to, zda se pri tom prokazala (platnym) OP.
V nize zminenych problemovych pripadech je primarni problem v tom, ze se dotycny nedostavil k soudu a neodporoval. V podstate to s OP nesouvisi - stejne nekdo muze 'za vas' podepsat smenku ci smlouvu (aniz by k tomu potreboval OP) a nasledne ji soudne vymahat. Pokud na soudni vyzvy nebudete reagovat, tak soudce da nejspis za pravdu zalobci.
ČLÁNKY DO MAILU