Vlákno názorů k článku Datové schránky vyděsily klienty finančních úřadů. Kdy můžete zprávu pokládat za doručenou? od Filip Jirsák - Úplně to samé se stalo už 1. dubna...
-
Úplně to samé se stalo už 1. dubna 2011, kdy se staré úřady práce transformovaly na pobočky Úřadu práce ČR. Tehdy také zaniklo 77 datových schránek a místo nich vzniklo 77 schránek nových.
Když už datové schránky fungují, jak fungují, a když už se zvolila cesta nových subjektů (t.j. staré FÚ/ÚP zanikly a nové vznikly, místo aby se staré transformovaly do nových s kontinuitou právní subjektivity), dalo se to jednoduše vyřešit přechodným ustanovením příslušného transformačního zákona, které by novelizovalo zákon o datových schránkách a řekl by, že se datové schránky starých subjektů převádějí na nové subjekty. Tím pádem by zůstaly ID schránek, zůstala by historie přijatých i odeslaných zpráv, zůstala by přístupová práva, nebylo by nutné doručovat nové přístupové údaje atd.
Jenže na takovéhle "detaily" není při prosazování "reforem" čas a vláda klidně udělá tu samou chybu dvakrát během dvou let.
-
x (neregistrovaný)
Kdyby se misto DS implementoval (vpodstate) normalni email, tak by si za to tezko nekdo moh rict stovky mega rocne ... (pro skarohlidy, ano, pokud budu mit cely system pod kontrolou, klidne budu doruceni mailu garantovat). .... technicky envidim problem ani v poslani naprosto standardniho mailu - bud to neni nic zasadniho => beru na vedomi ze to nemusi dorazit, nebo mi prijde zpet podepsany potvrzeni o prijeti => mam totez co v DS. Kdyz k tomu pridam web rozhrani (ktery ma taky kazdej freemail ...) tak mam "zadarmo" to, co stoji stovky mega a dela to vsechno, co se od takovy veci ceka, navic muzu pouzivat logicke a ocekavatelne adresy uradu ... (a ne nejaka hausnumera)
-
pojke (neregistrovaný)
jen pár poznámek (tím ten systém nehájím, nemám ho rád)
- doručení do schránky není co přečtení
- je potřeba mít systém zašifrovaný = posílají se úřední dokumenty
- systém je potřeba mít zabezpečený i na straně příjemců, odesílatelů i po celé "cestě"
- musíte jej zabezpečit proti všem možným útokům vedoucím k možné změně obsahu zprávy
- musíte jej učinit maximálně BFU-vzdorný -
V případě DS doručení do schránky + 10 dnů = přečtení. Šifrování dokumentů DS naopak znemožňují – interně ISDS možná šifruje, ale ověřit si to nemůžete. Pořádné šifrování by ale znamenalo, že odesílatel zašifruje dokument veřejným klíčem adresáta, takže dokument nemůže přečíst nikdo jiný, než adresát – ani správce "mail serveru". To ale ISDS prakticky neumožňují, protože nepodporují žádný formát, který by šifrování podporoval. Leda by si nějaký úřad vymyslel svůj XML formát, ve kterém by zašifrovaná data byla vložena – to ale není moc praktické. Všechny možné útoky vedoucí k možné změně obsahu zprávy se řeší elektronickým podpisem (který se opět datové schránky pokouší obejít a vystrnadit).
Elektronické podepisování a šifrování e-mailu se používá už léta, je ověřené a funkční. Takže v tomto směru datové schránky nepřinášejí nic lepšího, právě naopak.
-
Certifikát je veřejný, na to nemusíte být hacker, abyste jej od certifikační autority získal – jsou normálně vystavené na webu.
Myslel jste zřejmě případy, kdy se mezi spoustou nedůvěryhodných certifikačních autorit, které vám vnucuje Microsoft nebo Mozilla, objevily některé, které překvapivě byly nedůvěryhodné. To je ale něco dost jiného – české akreditované certifikační autority musí splňovat dost přísná pravidla. Navíc v případě použití PKI si vždy můžete ověřit přímo koncový certifikát a nemusíte důvěřovat vůbec žádné certifikační autoritě, když nechcete. (Úřady na výběr nemají, ty těm akreditovaným autoritám věřit musí.) A to nejlepší na závěr – datové schránky stejně používají jednu z českých certifikačních autorit, takže pokud jim nevěříte, nemůžete věřit ani datovým schránkám.
-
pojke (neregistrovaný)
přiznám rovnou, že této problematice moc nerozumím. Nicméně jsem pochopil, že existují "řady" certifikátů, kdy od " nejvyššího" odvíjí svoji autoritu nižší .... a právě k těm "nejvyšším" (kořenovým ?) se dostali hackeři u VeriSignu, pokud si pamatuji dobře .... tak před 2-3 lety (?)
těm českým autoritám nevěřím - ale nemám na výběr .....
-
Pamatujete si to špatně. Občas se někomu podařilo získat mezilehlý certifikát, kterým mohl podepisovat certifikáty pro libovolné domény – a protože prohlížeč věřil všemu, co mělo na začátku cesty certifikát, kterým byl podepsán ten mezilehlý, důvěřoval i serverovým certifikátům podepsaným tímto mezilehlým certifikátem. Celé se to týkalo ověřování serverů, pro ověřování osob se tyhle globální certifikační autority moc nepoužívají.
Pokud chcete ověřovat osoby podle českého práva, stačí použít těch asi 6 certifikátů třech českých akreditovaných autorit, kterými přímo podepisují ty osobní certifikáty. Těm českým autoritám můžete věřit určitě víc, než většině autorit, které máte automaticky nainstalované ve Windows. No a pokud nevěříte ani jim, nic vám nebrání každý certifikát si ověřovat sám. Tedy v případě e-mailu. V případě ISDS máte smůlu, nezbývá vám než věřit provozovateli ISDS, a ten mimo jiné těm českým autoritám věří. Ostatně Česká pošta, která je provozovatel, poskytovatel, dodavatel – nebo jakou má roli – datových schránek je zároveň prostřednictvím své dceřiné firmy PostSignum jednou z těch třech akreditovaných českých autorit.
-
petr_p (neregistrovaný)
Již nějakou dobu jsou unijní akreditované autority postaveny na úroveň českých. Takže se jedná o tři autority a řádově více.
-
Teoreticky ano. Prakticky potřebujete jednoznačně identifikovat osobu, k čemuž jméno, bydliště a e-mail nestačí. Takže k rozumné bezproblémové komunikaci je potřeba mít v certifikátu i IK MPSV, a to vám do certifikátu žádná zahraniční autorita nepřidá. Ale ano, pokud chcete na úřadě způsobit pozdvižení, můžete použít i certifikát autority akreditované kdekoli v EU ;-)
-
MB (neregistrovaný)
Vy jste ale šprýmař, pane jirsák. Identifikátor MPSV je naprosto zbytečný údaj, který si můžete a nemusíte dát do kvalifiovaného certifikátu (nějak tam zbyl). Úředníku je na nic (tedy mimo resort MPSV). Zkuste se protlouct platnou legislativou, ale ani registr obyvatel ani evidence obyvatel takový identifikátor nezná.
Navíc je tento identifikátor naprosto veřejný údaj! Pokud jste ho někdy uvedl do kvalifikovaného certifikátu, který je veřejný, tak tam visí naprosto veřejně na příslušném webu dodnes a je profláknutější než rodné číslo, které nezná registr obyvatel, ale evidence stála ano.
-
IK MPSV používá např. také resort financí, protože je to v současné době jediný jednoznačný identifikátor osob v ČR, který se dá použít v kvalifikovaném certifikátu. To, že je identifikátor veřejný údaj, je logické – kdyby ho nikdo neznal, těžko ho použít k identifikaci. Vaše jméno je taky identifikátor a taky je to veřejný údaj, kdyby ho lidé neznali, těžko by vás jím mohli oslovovat.
V různých zákonech se desetimístný bezvýznamový identifikátor různě objevuje a mizí, podle toho, zda vítězí strana MV (která předpokládá, že někdy jednou bude mít evidence obyvatel správné údaje a bude schopen osoby jednoznačně identifikovat), nebo ostatní úřady (které tu identifikaci potřebují tady a teď). Momentálně má na vrch MV a „všechno bude v registrech“, přičemž se klasicky řeší identifikace osob mezi různými agendami, ale navenek je občan je jednoznačně identifikován jen identifikátorem datové schránky. Takže když něco občan podepíše kvalifikovaným certifikátem a když máte k dispozici jen základní registry, zase nijak nezjistíte, kdo to vlastně podepsal. Což je u podpisu docela hloupá vlastnost.
-
MB (neregistrovaný)
Nemohu s vámi souhlasit, že můj identifikátor má být veřejný a každý kdo se dostane k nějakým mým (osobním) údajům, je může personalizovat.
A k názoru MV stačí jejich perla na závěr -
Stanovisko k problematice údajů umožňujících jednoznačnou identifikaci podepisující osoby
(obsah si vyhledejte - je to jak v té pohádce ani oblečený ani nahý)Toto stanovisko koresponduje s právním názorem odboru legislativy a koordinace předpisů ministerstva vnitra. Upozorňujeme, že výše uvedené je toliko právním názorem, k závaznému výkladu právních předpisů je v konkrétním případě povolán toliko soud.
Odbor Hlavního architekta eGovernment, 15. 9. 2012
-
MB (neregistrovaný)
No to zas ne. Jméno a příjmení ani adresa nestačí. Rod Karlů Nováků se vždy jmenoval Karel Novák a bydlí na stejné adrese. A poměry v rodině třeba nebudou idylické, nesnáší se. Ano stačí rok narození. Ale dovedu si představit 15 patrový panelák a Jardu Nováka, stejný rok narození.
-
x (neregistrovaný)
1) doruceni do schranky uradu je totozne s prectenim, doruceni do schranky firmy/nebozaka + 10dnu je prectenim (nadto neni problem posilat mailem potvrzeni o precteni)
2) odkdy jsou urendni dokumenty tajne? Technicky muzete ziskat kazdy jeden - primo na urade. Co se tyce ruznych osobnich udaju ... kdyz pominu to, ze sou zverejnovany vsude mozne, tak mail lze sifrovat - narozdil od DS, tam nic sifrovat nelze (jak uz rekli jini)
3) mno kdyz mail podepisu = zcela standardni a BFU fiendly postup (staci importovat podpis do klienta), tak chci videt, jak ho zmenite, nadto mi nic nebrani pouzit zminene webove rozhrani a nahrat to primo.
4) jak bylo receno, neznam moc BFU, kteri si neporadi s webmailem, ale i jako clovek, kterej se tim zivi, narazim neustale na potize stim svinstvem kolem DS a jsem nucen to neustale resit ... -
pojke (neregistrovaný)
ad 1) - jsou zásilky, u kterých nestačí doručení do schránky, ale je potřeba mít jednoznačně prokázáno přečtení (platební rozkaz, směnečný platební rozkaz apod.), "potvrzení o přečtení" u obyčejného mailu znamená - mail byl adresátovi zobrazen - ale komu?
ad 2) - že existuje něco jako stupně utajení, že ne každé řízení je veřejné, že se pracuje se stáním a obchodním tajemstvím, že mladiství mají extra ochranu - to asi vůbec netušíte, že ...
ad 3) - co znamená výraz "mail podepíšu"? jak zabráníte útokům typu "man in middle"? a jak budete mít ošetřenu "zranitelnost" prohlížečů (typicky přetečení zásobníku, že ...)? - a z toho vyplývající možnosti zneužití, změny mailů apod.
ad 4) že jsou DS svinstvo - s vámi souhlasím -
Polaris (neregistrovaný)
ad 1) Jak často doručujete úřadu platební rozkaz?
ad 2) Ano a přesto si tohle všechno posílají už od nepaměti strany mezi sebou zcela nezašifrované, obyčejnou poštou. Vy umíte zašifrovat spis na papíře? Takže novinka pro vás - předpokládá se, že poštovní zásilka je nenarušitelná, což se týká nejen dopisů, ale i elektronických zpráv v DS.
ad 3) Stejně jako výše v této diskusi mluvíte o něčem, co vůbec nechápete. Zneužít lze všechno, také může mít někdo kameru někde za vámi a bude vám číst přes rameno, když už na to přijde. Pokud nevíte, co znamená elektronický podpis, nemá smysl, abyste o tom zde diskutoval, doučte se základy a třeba pochopíte, že "man in the middle" v případě elektronického podpisu vůbec nehrozí, sice si to přečte, ale nijak nemodifikuje. A ty technické okolnosti... jsou asi tak stejné, jako když se někde po cestě dopisu rozlepí obálka (a někdo získá přístup k obsahu), nebo někdo třeba vykrade poštovní vůz.
ad 4) DS nejsou svinstvo, jde jen o to, že si je spousta lidí (jako vy) zaměňuje s emailem a nechápou, že ve skutečnosti jde o elektronickou podobu podatelny na úřadě. -
Jinak k přístupu do starých schránek jsme tehdy měli tuto informaci:
Existující datové schránky budou znepřístupněny k půlnoci 31.3.2011. Stávající přístupové údaje zůstávají v platnosti. Doručené i odeslané datové zprávy je možné z těchto schránek stahovat po celou dobu, kdy jsou tyto zprávy ukládané (90 dnů od doručení). ISDS automaticky zajistí, že do znepřístupněných schránek nebude možné dodávat ani doručovat zprávy.
Já jsem to pochopil tak, že ve schránce bude i nadále vidět to samé, jako by schránka nebyla znepřístupněna, jenom se nic nebude zapisovat (ani příchozí zprávy, ani změny stavu). Je to i logické, nezobrazovat v takovém případě dodané (ale nedoručené) zprávy by znamenalo přidávat do programu další logiku. Dalo by se to odvodit i z toho nebude možné doručovat zprávy – kdyby pouze dodané zprávy nebyly vidět, nemuselo by se tohle řešit. Ale jak tehdy opravdu vypadala znepřístupněná datová schránka, to nevím.