Vlákno názorů k článku eIDAS: Elektronické občanky schváleny, na elektronickou identifikaci si ale ještě počkáme od petr_p - Nikde nevidím oznámení o udělení statusu pro eIdentity...
-
petr_p (neregistrovaný)
Nikde nevidím oznámení o udělení statusu pro eIdentity pro vydávání kvalifikovaných prostředků nebo certifikátů. Na tom vámi odkazovaném seznamu (ke kterému se není jak doklikat) mohou být zastaralé informace. Datum aktualizace je 14. 6. 2017. Zrovna tak eIdentity se na svém webu toto skutečností nijak nechlubí,. Z toho všeho jsem vyvozoval, že není poskytovatelem prosředků podle eIDAS.
Když si nyní čtu jejich poslední certifikační politiku 2.6 z 19. 9. 2016, tak máte pravdu, že se tam je zmíněna ona směrnice, ale zrovna tak se tam píše:
Tato Certifikační politika nevyžaduje na straně podepisující osoby používání prostředku pro bezpečné vytváření elektronických podpisů.
Což je docela zvláštní, protože jsem měl za to, že pokud chcete vydávat kvalifikované certifikáty podle eIDAS, tak kvalifikované prostředky jsou nutnou podmínkou.
Ad MVČR. MVČR má vlastní neveřejnou autoritu. Předpokládám tedy, že ji provede celým atestačním procesem, aby takové prostředky vydávat mohla. Nebo formálně outsourcuje vydávání se všemi právními náležitostmi na PostSignum, nebo, což v našem státě považuji za nejpravděpodobnější, prostě občanské průkazy na rozdíl od slibů nebudou pro kvalifikované podpisy použitelné.
-
Hezky jste popřel sám sebe – nejdřív popíšete, jak by se to muselo chovat se standardním rozhraním, a pak napíšete, že to vlastně má proprietární ovladač, který může dělat cokoli. Doporučuju přečíst si ten manuál, který jste odkazoval, abyste zjistil, jak je to s tím PINem a PUKem. To zařízení má proprietární ovladač, to samotné zařízení je taky proprietární, nicméně to ničemu nevadí – eIDAS není postaven na tom, že se všichni stanou experty na PKI a budou si ovladače a zařízení ověřovat sami. Je postaven na tom, že to ověří opravdoví odborníci, ověří to jednou a dají tomu zařízení certifikát, že splňuje požadavky dané eIDASem.
-
petr_p (neregistrovaný)
Doporučuji nastudovat rozhraní PKCS#11. Aby PostSignum servisní klíč vytvořila, musí znát váš PIN nebo PUK, nebo musí veškerá data zničit. To znamená, že PostSignum může nakládat s vaším budoucím kvalifikovaným soukromým klíčem, protože zná PUK a vy si PUK změnit nemůžete, protože byste tím zničili servisní klíč tudíž by vám PostSignum nevystavila certifikát ke kvalifikvanému klíči. Nehledě na to, že se zařízením se komunikuje prostřednictvím proprietárního ovladače, který může dělat cokoliv. Mně to opravdu proti předchozí legislativě (držitel má výhradní kontrolu nad soukromým klíčem) připadá jako krok zpět.
-
Honza (neregistrovaný)
Nejde asi ani tak o to, jestli tomu bude posta duverovat, protoze to reklo MVCR, ale spise o technickou realizaci, ktera je pro postu problematictejsi, protoze pokud vim, tak system autority maji "pouze" koupeny a nemuzou provadet zadne zasahy ze sve vule, tedy to bude stat tezky prachy (ne ze by to postu trapilo, kdyz neni na vyplaty, tak se poprosi u mecenase MVCR, ktery to zadotuje). Kazdopadne neverim, ze to zrovna posta nevyresi, to si nemuze dovolit.
-
Karel Dytrych (neregistrovaný)
eIdentity neni kvalifikovanym poskytovatelem sluzeb vytvarejicich duveru? A proc jsou tedy stale evidovani na strankach MVCR, jako kvalifikovani poskytovatele (http://www.mvcr.cz/clanek/seznam-kvalifikovanych-poskytovatelu-sluzeb-vytvarejicich-duveru-a-poskytovanych-kvalifikovanych-sluzeb-vytvarejicich-duveru.aspx)? Pomijejte co chcete, ale dvouleta vyjimka je tu z jinych duvodu. Tuzemsti poskytovatele ziskali statut automaticky na 1 rok a meli povinnost, do 1.7.2017 odevzdat zpravu o shode, jinak jim bude statut automaticky odebran (https://www.lupa.cz/clanky/prvni-pulrok-s-narizenim-eidas-prichazi-elektronicke-peceti/). Vzhledem k tomu, ze mame 12.7.2017 a eIdentity tam stale je, je Vase tvrzeni vice nez komicke. Podle ceho usuzujete, ze neni poskytovatelem prostredku ve smyslu eIDAS? Co vubec znamena "byt poskytovatelem prostredku ve smyslu eIDAS"? To neni ani MVCR a tyto prostredky bude poskytovat ve forme eOP.
-
To je ale jen způsob implementace, jak PostSignum i na dálku pozná, že byl privátní klíč vytvořen pomocí kvalifikovaného prostředku pro vytváření elektronických podpisů. Není to žádný tajný univerzální PIN, a není to soukromý klíč PostSignum, ale soukromý klíč toho zařízení. PostSignum k němu eviduje veřejný klíč, takže podle toho dokáže poznat žádosti vygenerované tím zařízením.
-
petr_p (neregistrovaný)
Doporučuji vaší ctěné pozornosti pojem „servisní klíč“ v dokumentaci ke kvalifikovaným prostředkům.
-
Radši ani nechci vědět, co jste myslel tím „potřebují uložit vlastní klíč“. Pro vytvoření klíčové dvojice v úložišti klíčů není potřeba žádný tajný univerzální PIN, je to normální akce, která se dělá pokaždé, když si na tom úložišti necháte třeba sám vygenerovat nové klíče.
Pro vytváření kvalifikovaných podpisů potřebujete prostředek pro vytváření kvalifikovaných podpisů, tedy takový, u kterého je zaručené, že z něj nejde privátní klíč rozumně získat. Když certifikační autorita ví, že privátní klíč vznikl na takovém zařízení, dá příslušný příznak do certifikátu. Takže úplně bude stačit, když certifikační autorita bude vědět, že česká e-občanka splňuje pravidla pro kvalifikovaný prostředek pro vytváření elektronických podpisů. Což by české CA o českých e-občankách vědět mohly.
-
petr_p (neregistrovaný)
Jako že pošlu občanku na servisní středisko PostSigna, tam mi zresetují obsah nebo použijí velmi tajný univerzální PIN, protože potřebují uložit vlastní soukromý klíč, a zase mi ji pošlou zpátky a všichni se budeme tvářit, jak je to teď bezpečnější :D
eIdentity není poskytovatelem kvalifikovaných služeb (pomineme-li dvouletou výjimku) a ani prostředků ve smyslu eIDAS.
-
emba (neregistrovaný)
No to asi ne. Stát se nemůže takto míchat do komerční činnosti jako je vydávání certifikátů (i na OP) tím, že by protěžoval nějakou certifikační autoritu. Tam musí být rovnost. Čili kvalifikovaný certifikát pojede jako dnes a je na vás zda ho na OP chcete a od koho a za kolik tam si ho koupíte. Stát vám jen obstará certifikát pro identifikaci od své NIA.
-
Toto je i pro mě ještě jedna z nezodpovězených otázek. Osobně si myslím, že min. PostSignum díky tomu, že přes Českou poštu spadá pod stát, bude své kvalifikované certifikáty umisťovat i na e-Občanky a zvolí podobnou cestu, jakou má dnes při umístění certifikátů na Token ME, který zasílá z e-shopu. Jinak autority jsou u nás tři, ještě eIdentity.cz
ČLÁNKY DO MAILU