Vlákno názorů k článku Datové schránky: jak funguje zasílání faktur? od Jason - Je to trošičku off-topic, ale váže se to...

Je to trošičku off-topic, ale váže se to k již předešlým článkům a diskusím o ISDS, a koneckonců k těm el. fakturám asi také.

Jedna z nových FAQ odpovědí na webu datoveschranky.info:
http://www.datoveschranky.info/faq/#8

„Byl-li dokument, který je přílohou datové zprávy, podepsán kvalifikovaným podpisovým certifikátem nebo elektronickou značkou a současně byl tento podpis opatřen časovým razítkem, které umožňuje ověřit si, že podpisový certifikát nebo elektronická značka byly v okamžiku použití elektronického podpisu platné, pak je takový dokument dlouhodobě průkazný a ověřitelný.“

To je IMHO průšvih, protože za řekněme 20 let se někomu podaří cracknout algoritmus používaný k výpočtu časového razítka nebo alespoň hrubou silou vypočítat vhodný klíč…

„Kompletní ověření všech těchto údajů tedy vyžaduje, aby byla celá datová zpráva i s přílohami předkládána přesně v té formě, v jaké byla doručena do datové schránky, tedy se všemi podepsanými a orazítkovanými přílohami, včetně obálky, v níž jsou uloženy, a také s elektronickou značkou a kvalifikovaným časovým razítkem, jež bylo ke zprávě připojeno Informačním systémem datových schránek.“

…za předpokladu, že toto neznamená, že se to bude kontrolovat proti ISDS, který ukládá obálky, kde jsou hashe dokumentů ve zprávě. Ale i kdyby, je to „blbá“ SHA-1 a časem bude stejně možné pořídit si jiný dokument se stejným hashem.

Bingo! Toto je problém, který považuji také už déle za zásadní a odpovědným činitelům asi nedochází. Netuší zřejmě, proč je certifikát vydáván na dobu 1 roku a co znamená prolomení šifry po této době.
Řešení, že je dlouhodobě platné to, co bylo OK v době použití certifikátu a pak už nebylo ošetřeno je podle mě průšvih a první spor se stanovisky soudních IT znalců to rozmetá. A zcela ignoruje zásady certifikačních politik.

Díky J.Peterkovi se aspoň o tom diskutuje na těchto fórech.

Ostatní diskuse, kterou se zájmem sleduji, se týkají spíše nejasností u uživatelů a organitačních zádrhelů - ale ty lze odstranit.
M.L.

Popravdě řečeno, zmínil jsem ten odkaz především coby poukázání na to, že "se něco děje". Technické i právní aspekty průkaznosti el. dokumentů, jejich dlouhodobé úschovy a možnosti (i nemožnosti) řešení se zde již v minulosti diskutovaly, včetně polemiky s principy ISDS či oficiálně prezentovanými názory na úlohu/přínos ISDS v této oblasti.

Podle mne to není tak dávno (stačí např. zalistovat staršími články p. Peterky na téma ISDS), kdy byl na toto téma prezentován a ze strany státní správy resp. autorů a provozovatelů ISDS opakovaně zdůrazňován názor zcela odlišný (ne-li opačný), než co tvrdí samotné stránky www.datoveschranky.info nyní :-)

No, uvidíme ...