Vlákno názorů k článku Datové schránky: přihlašujeme se s certifikátem od Lada - Jeste neco. Je hezke, ze ve vyhlasce je...

Jeste neco. Je hezke, ze ve vyhlasce je ze s certifikatem + jmenem + heslem. Je ale spis otazka PROC to tam je. Kdyz normalne statu staci kvalifikovany certifikat, tak proc zrovna do DS ma byt jeste vetsi zabezpeceni? A jeste k tomu udelane tak, aby kvalifikovane certifikaty nesly pouzit?

To ma IMHO jen dve vysvetleni:

1) Je to hloupost toho kdo to vymyslel.

2) Je to vylobovane aby si poskytovatele cert. sluzeb mohli namastit kapsy na dalsich certifikatech. Ta nabidka CP na "bezpecny klic k datove schrance" je na tohle presne udelana...

V obou pripadech tam ten clovek, co to vymyslel/napsal, nema co delat!

Nechápu, proč je potřeba k přihlašování používat komerční certifikát. Technicky by stačil úplně jakýkoli certifikát, třeba takový, který si vytvořím sám doma. Certifikát do ISDS nahrávám jako přihlášený uživatel, identita je tedy ověřena přihlášením – a pochybuju, že ISDS ověřuje identifikační údaje na certifikátu oproti údajům o vlastníkovi schránky (protože by to ve spoustě případů nesedělo, navíc údaje na certifikátu nejsou dostatečné pro jednoznačnou identifikaci vůči registru obyvatel).

Maximálně by mohl ISDS požadovat, aby certifikační autorita, která daný certifikát vydala, publikovala veřejně přístupný seznam odvolaných certifikátů, ale ani to by nebyl problém splnit s mnohem širším spektrem certifikátů, než jsou tři náhodně vybrané komerční služby.

Navíc použití CRL pro přihlašování je skoro zbytečné, protože zatímco s ověřováním podpisu můžete počkat na okamžik, kdy si budete jisti, že certifikát v době podpisu na CRL nebyl (budete mít k dispozici novější CRL), přihlašování musíte provést okamžitě, takže CRL neCRL je technicky nerealizovatelné zabránit všem pokusům o přihlášení s certifikátem, který již byl odvolán – pokud útočník stihne certifikát využít mezi okamžikem, kdy byl odvolán, a okamžikem, kdy si přihlašovací systém stáhne CRL kde už je odvolaný certifikát uveden, může se do ISDS přihlásit a certifikát nahradit svým (pokud zná heslo, samozřejmě).

stejna otazka, proc nestaci QCA - kvalifikovany certifikat. Je to trochu na hlavu. Drive jsme meli na komunikaci hlavne QCA - to jako jedine lze pouzit na podatelny apod statni spravy, a ted abychom komunikovali se stejnou spravou, tak musim defakto podepsat dokument kvalifikovanym certifikatem a pro prihlaseni do ISDS musim pouzit pouze heslo a nebo si koupit dalsi certifikat.

Jako kdyby poste nestacilo ze bude kasirovat 10-15 korun za par bajtu. Tj. tu samou cenu jako za dopis a doruceni dorucovatelkou.

No, pokud nejste OVM, platí pro vás fikce el.podpisu při použití DS, takže si nemusíte dělat starosti ...

Protože http://www.mvcr.cz/clanek/informace-k-pouzivani-kvalifikovanych-certifikatu-pro-elektronicky-podpis-a-zaroven-pro-autentizaci-a-sifrovani.aspx

Požadavek resp. výrazné doporučení na používání kvalif. certifikátů výhradně pro el. podpis existuje již delší dobu, nezávisle na ISDS.

Pardon, přilepil jsem odpověď o kus výš než správně patřila - odpovídám samořejmě jen na otázku, proč nelze použít kvalif. certifikát; nikoliv na otázku proč nelze použít i jiný "nekvalifikovaný certifikát"

Myslím, že jak je u ČP zvykem, převzala řešení už z nějakého hotového, tj. kdy se bude k DS přistupovat přes jiné rozhraní, a protože si chce vydělat, nabídne iluzi bezpečnosti i pro přístup přes obecné webové rozhraní.

Na te strance http://www.mvcr.cz/clanek/informace-k-pouzivani-kvalifikovanych-certifikatu-pro-elektronicky-podpis-a-zaroven-pro-autentizaci-a-sifrovani.aspx se mj. pise:

Použití kvalifikovaného certifikátu, resp. elektronického podpisu pro autentizaci je možné řešit výhradně tak, že osoba, která se autentizuje, podepisuje srozumitelný text, např. „Tímto se přihlašuji k systému….“.

To je prece trivialni takovehle prihlaseni implementovat. Presne tak je udelany web https://adisdpr.mfcr.cz/adistc/adis/idpr_pub/auth/LoginPage.faces a krasne to funguje. To je opravdu takovy problem udelat datove schranky stejne a nebuzerovat lidi s prihlasenim certifikatem + jmenem + heslem?

Evidentne jako v mnoha dalsich ohledech u toho "tvurci" nemysleli hlavou...