Vlákno názorů k článku Datové schránky: bez razítka to nepůjde! od IR - Pane Peterko, díky za (jako vždy) výborný článek. Neshledávám...
-
IR (neregistrovaný)Pane Peterko, díky za (jako vždy) výborný článek.
Neshledávám tak vážný problém ve formulaci fikce pravosti dokumentu, založené na platnosti uznávaného elektronického podpisu dokumentu oprávněnou osobou. Z oprávněnosti podepisující osoby může vyplývat pravost dokumentu (pokud tento účel podpisu byl uveden). Větší problém spatřuji v praktické možnosti ověření identity podepisující osoby z certifikátu a faktu, že to v době podpisu byla oprávněná osoba. -
IR (neregistrovaný)Máte pravdu, ale proč by měly elektronické dokumenty mít stále stejné nedostatky jako ty papírové?
Problém identifikace podepisující osoby v certifikátu je významnější a obtížněji řešitelný, než problém identifikace podepisující osoby u klasického dokumentu (kde pro důležité případy lze použít notářské ověření). Certifikát je běžně veřejně dostupný (tudíž prozrazuje obsažené osobní údaje), může obsahovat pouze pseudonym podepisující osoby a přísně vzato jediný subjekt, který zná jednoznačnou identifikaci je poskytovatel certifikačních služeb, který certifikát vydal. Problém zjištění oprávnění (autorizace) podepisující osoby navazuje na zjištění její identity a v současné době není běžně obsažen v kvalifikovaném certifikátu (technicky tomu nic nebrání, viz. použití CVC certifikátů pro přístup k otiskům prstů v elektronických pasech).
Pokud je použita autorizovaná konverze dokumentů, příslušný úředník nezkoumá obsah dokumentu, pouze provede konverzi a v ověřovací doložce uvede (v lepším případě), že konvertovaný dokument byl opatřen (platným) podpisem a uvede pouze číslo certifikátu a obchodní firmu vydavatele. Vydavatel kvalifikovaných certifikátů má povinnost archivovat vydané certifikáty pouze 10 let. Jak se bude po této době ověřovat kdo to podepsal a zda byl k tomu oprávněn? -
Jenomže, o to jde. Pokud je na písemné smlouvě podpis, je smlouva považovaná za platnou. Stále, bez ohledu na dobu. Tedy pokud není napadena pravost podpisu.
Zatímco, pokud je elektronický dokument podepsán elektronickým podpisem, a skončí jeho platnost, co říká zákon o platnosti takového dokumentu??? -
Jason (neregistrovaný)Ohledně 10 let - součástí oné opakovaně zmiňované novalizace několika zákonů k 1.7.2009 (viz. Zákon 190/2009 Sb.) je též jedno doplnění do zákona o el. podpisu:
V § 6 odst. 6 zákona č. 227/2000 Sb., o elektronickém
podpisu a o změně některých dalších zákonů (zákon
o elektronickém podpisu), ve znění zákona č. 440/
/2004 Sb., se slova „nejméně 10 let“ nahrazují slovy
„10 let; po jejím uplynutí předá bez zbytečného odkladu
ministerstvu seznam certifikátů vydaných jako
kvalifikované, které byly zneplatněny“. -
anonymníBlizka budoucnost = tyden, dokumenty vydane uradem muzete potrebovat za 10let a vice, sifry pouzivane pred 10ti lety se dnes daji prolomit na beznem kancelarskem PC behem par hodin.
Navic jak je zde jiz psano, muze se objevit dira v algoritmu, novy postup desifrovani, .... a kdo pak rozhodne, zda mam pravdu ja, kdyz predkladam dokument, evidentne podepsany sice jiz neplatnym, ale pred 10ti lety existujicim klicem, ze Hradcana jsou moje nebo urad, ktery predlozi tentyz dokument podepsany tymz klicem, ze Hradcana jsou statni?
Uz vubec nepomyslet na to, ze pri trose snahy (a $) se da jiste zaridit, aby onen opacny dokument zmizel docela. -
Filip Jirsák (neregistrovaný)Ze zákona máte povinnost uchovat privátní klíč v tajnosti, a pokud se vám to nepodaří, certifikát zneplatnit. Můžete třeba mít privátní klíč na specializované zařízení, do kterého se jen pošlou data, vy přímo na tom zařízení naťukáte PIN, zařízení data zašifruje a vrátí výsledek – a privátní klíč přitom zařízení neopustí. I z takového zařízení lze se znalostí PINu a pokud jej fyzicky získáte klíč vydolovat, ale to je už na úplně jiné úrovni, než obyčejná barevná kopírka, která stačí na zfalšování vlastnoručního podpisu. A ani to zařízení není potřeba, mně třeba úplně stačí mít klíč zašifrovaný na disku, protože si do počítače žádné trojské koně nepouštím.
-
Filip Jirsák (neregistrovaný)Tohle se řeší jednoduše. Před koncem důvěryhodnosti podpisu nějaký důvěryhodný subjekt dokument přepodepíše silnějším algoritmem. Třeba teď do konce roku je ještě důvěryhodný hash SHA-1, od 1. 1. 2010 už je důvěryhodná jen skupina SHA-2. Takže do 31. 12. 2009 někdo podepíše dokument podepsaný na základě SHA-1 podpisem na základě SHA-2, kterým říká „já, podepisující, ručím za to, že tento dokument byl k (třeba) 11. 11. 2009 důvěryhodně podepsán“. Při ověřování pak ověříte původní podpis (čímž ověříte, že dokument podepsal skutečně ten, o kom to dokument tvrdí), a pak ověříte ten přepodepisující podpis, čímž ověříte, že byl tento dokument podepsán ještě v době, kdy ona šifra byla dostatečná.
Ovšem na tento „detail“ s přepodepisováním se v současné legislativě o elektronických archivech jaksi zapomnělo. -
MB (neregistrovaný)To je krasne receno - ja si do PC trojskeho kone nepoustim. To vlastne asi nikdo. Ale na urade svym pocitacem nevladnete, alespon ne bezni zamestanci nez z IT oddeleni. Kdyz vam outsousrcing oznami, ze neni problem cokoliv kamkoliv doinstalovat - mame prece vzdaleny pristup...tak i ten PIN mi muze nekdo odposlechnout. Problem neni v tom, ze to ten outsourcing odposlouchava, ale ze ja to mohu s drzou pravdou tvrdit a soud mi da za pravdu, ze jsem ztratil vladu nad klicem vlastne diky uradu.
-
Znovu podepsat cizí dokument není až taková legrace. Například v bezpečnostním nastavení PDF lze při připojování základního podpisu vymezit, jestli může být k dokumentu připojen i další podpis. Pokud je to zakázáno, originální nástroje pro manipulaci s PDF od Adobe vám neumožní další podpis připojit.
Nástroje třetích stran by to sice možná dokázaly kdyby bezpečnostní politiku ignorovaly ale můžete tím dostat dokument do stavu kdy porušuje technickou normu formátu ve kterém je uložen.
Jestliže bezpečnostní politika "zakletá" v prvním podpisu zakazuje připojení dalších, může je interpretující software ignorovat i kdyby tam reálně byly, na druhou stranu nemůžete sejmout omezení dané prvním podpisujícím aniž byste poškodil jeho podpis a tím do budoucna očividně zpochybnil jeho platnost.
Můžete navazující ověřovací blok vytvořit vně dokumentu jako jiný soubor nebo strukturu, tím by asi nemělo dojít k problémům. -
Filip Jirsák (neregistrovaný)
Jakmile úspěšně zfalšujete elektronický podpis
Elektronický podpis (postavený na asymetrické kryptografii) je postaven na tom, že elektronický podpis nejde v současnosti a blízké budoucnosti dostupnými prostředky zfalšovat (pokud používáte algoritmy přiměřené stavu výpočetní techniky). Jediná možnost je získat privátní klíč. To už pak ale nepůjde o zfalšování podpisu, ale o vytvoření pravého podpisu. Tam už je problém s dokazováním, že jste to nepodepsal vy (můžete např. dokazovat, že jste v tom okamžiku neměl přístup k PC, jenže pak zasu bude problém dokázat, kdy skutečně k podpisu došlo) – právě proto se v oblasti certifikátů tolik řeší odvolávání platnosti, abyste v případě vyzrazení privátního klíče mohl co nejrychleji (nejlépe okamžitě) zabránit používání odcizeného klíče. -
Filip Jirsák (neregistrovaný)O čem to píšete? Pokud nějaký úřad přijde o svůj privátní klíč kvůli nekompetentnosti svého IT oddělení, je to jeho problém, ne váš. A vy zase nemáte nic společného s počítači úřadu, vy používáte svůj privátní klíč jenom na zařízeních, která sám považujete za důvěryhodná.
-
MB (neregistrovaný)Problem je o tom, ze skutecne nekdo na urade muze ziskat muj privatni klic. 99 procent uradu neresi nejak certifikaty = jsou nekde v ulozisti windows. A A A nekdo vladne mym pocitacem. Ma dalkovy pristup - treba outsourcing servis, anebo vlamal se tam jako smirak program co tam non stop smiruje = urad objednal si, co tam treba pry nepraveho pacham - ale to je doopravdy jen oficialni trojsky kun naprosto mimo moji kontrolu!!! To neprojde pres nejaky rozumny soud!
V tom je e-goverment stale na vode - a je to jednozancne vec naprosto vagni legislativy.
a budeme mit certifikaty na tokenech. Ale porad nad nimi bude ten trojsky kun :-! -
Podle mne to není přesné. Znalecké posudky jsou schopny určit, zda jste papír opravdu podepsal vy a nejen to. Dokáží říct, zda to bylo při smyslech - poznají např. vliv drogy či stres (výhrůžky). I když to může být zdlouhavé, jde to.
Jakmile úspěšně zfalšujete elektronický podpis, nevím o způsobu, jak to vyvrátit. Možná to jde, ale nevím jak. -
patapuf (neregistrovaný)Ale ten problém je i v papírové podobě dokumentů.
Běžně podepisuji smlouvy tak, že uvede hůlkovýmpísmem své jméno a příjmení, případně fukci (jednatel, společník, apod.) a podpis (nečitelný). Protistrana ověří zda-li je osoba s uvedeným jménem a příjmením oprávněná jednat za společnost (v obchodním rejstříku) a dále považuje smlouvu za platnou.
Do doby než se objeví někdo a začne říkat, že smlouva či podpis je neplatný. Pak nastupijí znalecké posudky a soud rozhodne o pravosti smlouvy či podpisu.
Vidím to jako analogii a pomíjím složitost vytvořit falzo papírového nebo elektronického dokumentu.
ČLÁNKY DO MAILU