Názory k článku Jak oživit elektronický podpis?

Vždyť je ta cena do nebe volající, tak se nedivte že není zájem. Za pas jsem platil 200 Kč, a platí mě myslím 10 let. Ověřování totožnosti je při tom velmi precizní, a dělá se ručně bez eletronických vymožeností. Druhý příklad: Ověření podpisu u notáře stojí 40 Kč, je o tom trvalý zápis v notářských šanonech a
o v ě ř e n í _ _ p l a t í _ _ s t á l e.
Sám se divím že to Mlynář nenechal na státu. Pak by jako úřad s nejvyšší důvěryhodností mohl získat certifikát nejvyšší úrovně (a od Microsoftu vyjednat množstevní slevu, vždyť i vysoké školy dostaly pěkné rabaty) a generovat certifikáty nižší úrovně jen za provozní poplatek srovnatelný s tím notářským ověřením.
Ovšem to by 1.ca nemohla vydělávat. A s těmi náklady na počítačové vybavení to není tak hrozné. Stačí jeden hlavní - úřední certifikační server který certifikuje podřízené servery. A cerifikovaným přístupem přes SSL na stránky umožňující generovat certifikáty by mohl každý notář (již kupodivu přístup na internet mají snad všichni) ověřené osobě certifikát vygenerovat a současně zavést identifikační údaje do úřední centrální databáze. Jde jen o vytvoření pár stránek na silném zabezpečeném www serveru a připojení certifikačních serverů na páteřní síť s velkou propustností. Mrkněte se na ceny za jaké třeba IOL nabízí umístění dedikovaného serveru na páteřní síť - a to jsou celé náklady které to (s výjimkou softu) stojí.
Pak by potom nebylo u nás jen pár tisíc platících majitelů kvalifikovaných certifikátů, ale určitě přes milion (za cenu 40,- Kč). A možná by se našli i nějací žadatelé o sociální dávky kteří by na to použili internetu.

No, to co rikate ale neni uplna pravda. Pasove oddeleni je statni sprava a krome 200Kc vydaje zaplaceneho konkretne v okamziku vydavani toho pasu platite jeste dalsi neurcitelnou castku v danich. A cena u notare je zase nepochybne ovlivnena tim, ze takove overeni plati sice stale, ale je jednorazove - to znamena, ze stejny clovek si kazdy dalsi podpis musi jit overit znovu, za dalsich 40Kc.

Tim neobhajuji cenu certifikatu ani casove omezeni jeho platnosti, jen upozornuji na diry pouzite argumentace.

Jeste ma certifikat pouze rocni platnost? To je pro lidi, co jsou dlouhodobe v zahranici, dost nevyhovujici, pokud pri kazde navsteve Cech musi nekam behat a obnovovat certifikat. To uz je pomalu jednodussi rovnou bezet na prislusny urad a podat zadosti rucne.

Proč by se měl vydávat s delší platností? To by na tom trhli málo, takhle je to 700/rok a basta fidli! Když to srovnám s bankami, kde člověk aktivně využívající účet s platební kartou zaplatí také kolem 800Kč/rok a přitom těch služeb od banky vybere několikanásobně víc než udělat "další, další, zaškrtnout jeden rok, další, vygenerovat" a je hotovo a 700 doma...

Nehledejte umysl tam, kde to jde vysvetlit nekompetenci. Treba ocekavaji ze polocas leaknuti/zlomeni klice, kterym certifikaty podepisuji, je mirne pres jeden rok. Docela chvalyhodna sebekritika, nemyslite? :) :) :)

Prave jsem se opet podival na MF:
" Vlastní aplikaci sloužící k vyplnění formuláře či zpracování souboru lze provozovat na počítači PC kompatibilním, který je vybaven prohlížečem sítě Internet od firmy Microsoft (Microsoft Internet Explorer ), a to v některé z těchto podporovaných verzí:

Internet Explorer 6 Service Pack 1
Internet Explorer 5.5 Service Pack 2
Internet Explorer 5.01 Service Pack 2 "

a na CSSZ:
" Technické předpoklady použití:
Windows 2000, Windows XP "

Jestli takto vypada pristup statni spravy k obcanum tak zrejme ti, kteri pouzivaji neco jineho nez M$Windows, nemusi platit dane? Nebo od statu dostanou prispevek na podporu monopolu jedne americke firmy?

A co na to antimonopolni urad???

Se soudruzskym pozdravem
Uzivatel GNU/Linuxu

Zkuste se podivat na Panelovou diskuzi posledniho Openweekendu. Zastupce MI vysvetloval, ze se jedna o "testovaci" verzi a az se "proveri", tak se bude rozsirovat, aby nediskriminovala uzivatele jinych OS. Na otazku z publika "a nebylo by jednodussi a levnejsi rovnou od zacatku vyvyjet aplikaci multiplatformni dle standardu?" odpovedel, ze "asi" ano, ale proc tak MF neucinilo, nevi, protoze celou zalezitost si MF ridilo samo.

Skutecne doporucuji celou diskuzi shlednout. Mam z toho pocit, ze se MI dostatecne nesnazi prosazovat otevrene formaty, na platforme nezavisla reseni a hlavne standardni rozhrani jak uvnitr statni spravy tak mezi urady a obcany, jak bylo deklarovano pri jeho zalozeni. Stale tvrdi, ze jsou teprve na zacatku, odborne komise tvori standardy ISVS, ale prakticke uplateni techto standardu vubec neni videt. Jedine hmatatelne vystupy jsou akce typu "zaplatime za obce certifikaty", "zaplatime Internet do knihoven", "zaplatime infrastrukturu ISVS". Tento pristup se mi zda ponekud nestastny.

Radeji bych videl pripravu kvalitni legislitivy, napr. povinnost komunikovat v standardizovanych formatech. Kdyby tomu tak bylo, urady by vyzadovaly takovy software. Dodavatele softwaru by jej museli napsat a dat atestovat. Atestacni firmy by meli praci a tak cena atestu by byla primerena. Ve vysledku by vziklo to, o co MI usiluje -- komunikace ve standartnim formatu, modularni systemy, vice dodavatelu, konkurencni prostredi atd. Vyhody by z toho plynuly pro vsechny.

Proc chci pravni predpis vyzadujici standadni rozhrani? Prirovnam to k prirozenemu jazyku. Urady maji povinnost komunikovat v urednim jazyce (tzn. cestine), protoze "format" cestiny je dobre znamy (ucime se jej uz od mala, existuje spousta jazykovednych knih), kazdy ma moznost se jej naucit a je to bezny jazyk v teto zemi. Kdyby Vam prisla odpoved cinsky, taky by se vam to nelibilo. Stejne to je s elektronickymi formaty.

Na zaver par zkusenosti. Krajsky urad poslal obci upozorneni, ze vyhlaska obce odporuje pravidlum pro jejich tvorbu. Potrebnou metodiku si ma stahnout z webu. Bohuzel download 5MB souboru na dialupu je v male vesnicce, kam ADSL, Bluetone, Wifi apod. jeste hodne dlouho nezavitaji, na umreni. Download se nezdaril. Kdyz jsem inkiminovany soubor ziskal jinak, nestacil jsem se divit. Byl to zipovsky archiv 5 jpegu naskenovane prirucky. Jinak je zcela bezne, ze urady zasilaji mailem wordovske prilohy majici velikost 200-300 kB oba, pritom obsahuji jen "lepe" formatovany text (2-3) stranky.

Ta diskuse je na adrese http://server1.streaming.cesnet.cz:8080/ramgen/others/su-cvut/openweekend/2003/panel.rm. Pripadne dalsi podobne veci (vcetne nazoru reprezentantu MI) lezi ve videoarchivu CESNETu.

Pokud se tyce fungovani MI, rozhodne by mohlo byt lepsi. Nicmene predstava, ze MI narizuje neco MF se mi zda velmi naivni. Verim, ze kdyz se podivate na stranky MI, jen tezko tam budete hledat vystupy "zaplatime ....". Pokud se tyce postupu praci, pokud vim, tak MI stale resi problemy s propojenych jednotlivych systemu ISVS. Bohuzel stale nemaji nahradu za Telecom, se kterym podepsal smlouvu Brezina (podekujme CSSD a ODS).

Pokud se tyce otevrenych standardu, myslim, ze nazor Mlynare je celkem jasny - uplatnovat je vsude, kde je to mozne. Tohoto nazoru se dopustil opakovane a dokonce pred svedky ;-)

Problem atestace software bych radeji nezminoval, je to obrovsky pruser, ve kterem je pouze jeden vitez - firmy, ktere delaji atestaci. Vsichni ostatni, vcetne verejne spravy, jsou Ti, kteri prohravaji.

Samozrejme ze jedno ministerstvo nemuze neco narizovat jinemu. Chtel jsem, aby MI jakozto odbornik pripravilo navrh zakonne upravy a parlament jej schvalil.

Ale rozdava zdarma: http://www.micr.cz/scripts/detail.php?id=1399 . Tim zdarma myslim zdarma pro urady, ne zdarma z hlediska danoveho obcana platiciho dane. Internet do knihoven je oficialne akce Ministerstva kultury (na webu vsak nic neni, ale do knihovny, kt. zrizuje obecni urad, prisel dopis nabizejici internet na 3 roky zdarma i s formularem o zadost).

Nahrada za Telecom? Jedine tak CRa. Bohuzel v nasi zemi pod krutou nadvladou CTc nas zadne svetlejsi zitrky necekaji.

Ano, MI se hlasi k otrverenym standardum, avsak skutek utek.

Takze budeme mit zakon o tom, ze ma MF (ci obecne verejna sprava) pouzivat takovy system, aby bezel v Opere a Mozille? Fujtajxl. To uz bychom meli mit zakon, ktery upravuje barvu toaletniho papiru.

Pokud se tyce internetu do knihoven, je-li to akce MK, proc do toho pletete Mlynare?

A pokud se tyce certifikatu obcim, to povazujete za spatne?

A nahrada ze Telecom neznamena "jedna firma", ale system, ktery umozni efektivnejsi fungovani ISVS.

At zije soudruh Mlynar s MI spokojene az do blizke politicke smrti na smetisti dejin smrti a strci si ten certifikat do trenek. Ve skutecnosti je to detail, spis se podivejte na ten MATRIX:
http://www.micr.cz/scripts/modules/disc/messages.php?did=16

Proc to neposlete ministrovi Mlynarovi? Aspon byste dostal reakci z mista, ktere se tim zabyva.

Omyl. Mlynar Ministerstvu Financi nesefuje :-) Teda pokud Spidla neudelal od vcerejska nejaky sachmaty ...

Ale sefuje ministerstvu informatiky, ktere by melo mit tyhle veci v popisu prace.

Proč jen software od Microsoftu? - Protože Mlynář jako bývalý novinář nikdy nic jiného nepoužíval (a ani nikdy neviděl).
Jak my můžeme s takovými lidmi někdy dohonit Evropu (Západní)? Vše se stále učí a dělá jen podle jedné příručky - a kdo nejde podle ní (s námi), ten jde proti nám! A takoví lidé mezi námi nemají místo. Tak si to, prosím Vás, příště rozmyslete, než zase budete něco vykřikovat o jiném softwaru, než jaký znají naši ministři.

Hodne velka cast medialni sfery pouziva Macy :-) Jde o vseobecne znamy fakt ...

Co se CSSZ tyce, tak u nich me prekvapuje, ze vubec neco elektronickeho maji. Kdyz maminka kamarada zadala ted o duchod, tak pobocka CSSZ v miste jejiho soucasneho bydliste trvala na tom, ze musi zajit na pobocku CSSZ v miste sidla zamestnavatele a prinest potvrzeni. Potvrzeni od CSSZ pro CSSZ, ze v tom jako CSSZ nema interne bordel. Ted, kdyz slysim, ze uz komunikuji elektronicky se tesim az pujde do duchodu moje maminka. To bude uzasne, az poslu CSSZ zadost o potvrzeni, oni mi ji, alektronicky podepsanou poslou, ja k tomu prihodim jeste svuj podpis a to cele odeslu zpatky zase na CSSZ, kde overi muj i svuj vlastni podpis a diky tomu se pozna, ze v evidentci CSSZ je vsechno jak ma byt, protoze CSSZ si to pro svoji vlastni potrebu sama sobe potvrdi. Je uzasne uzitecna ta nova technika muze byt a kolik papiru se tim asi usetri ...

Docela bych Ti to, Dane, pral, ale myslim, ze se Ti tak nestane. Staci jeden zatvrzely debil v tom celem retezu a je utrum.

Proboha, snad jsem uspesne nevzbudil dojem, ze to nadseni myslim vazne.

Jedine, v co mam malou nadeji a co bych povazoval za nebetycny pristup elektronickych certifikatu kvalite bezneho zivota by bylo, kdyby nahodou tu elektronickou komunikaci skutecne zavedli, ze by snad uz konecne (porotoze na ni je to lepe videt) nekoho napadlo, ze to, aby jedna organizace sama sobe vystavovala nejaka potvrzeni (a jeste si jejich ziskani nezarizovala interne, ale nechala to vyrizovat klienta) je proste kretenismus ...

No ja vim - jeste predvcirem jsem v jien diskusi nekomu vycital, ze je nerealisticky idealista - a uz jsem do toho spadnul taky ...

"jedna organizace sama sobe vystavovala nejaka potvrzeni"

V nasem kocourkove bohuzel naprosto bezna praxe. Proc by se chudak prepracovana pani mela obtezovat vyzadat si nejake dokumenty z oddeleni ve vedlejsi kancelari, kdyz to potvrzeni preci chcete vy => posle vas tam a vystojite si dalsi hodinovou frontu.

O komunikaci mezi urady statni spravy radsi nemluvim vubec.

Není to zas další trafika (rozuměj peníze daňových poplatníků do kapes soukromých subjektů)? Obce přece musí ze zákona provozovat elektronickou podatelnu tuším už od 1.1.2003. A k jejímu provozu nutně mají vystaveny kvalifikované certifikáty, pokud tedy dodržují zákon, což doufám, že dodržují. Kde bere MI ČR oporu pro své tvrzení, že obce využijí certifikáty ministerstvem "bezplatně" nabízené? Já žil v (možná mylném) domění, že certifikáty lze "obnovovat" za "snížené" ceny, aspoň by to mělo logiku...
Občas státním úředníkům vážně nerozumím :-(

Stačilo by zákonem umožnit vydávání certifikátů prostřednicvím bank, stejně je většina formulářů spojena s převodem peněz. Jako služba k přímému bankovnictví by to určitě nestálo 580 Kč jako od I.CA.

V současné době má certifikát smysl jen pro měsíční DPH u firem, kde se o tuto a podobné činnosti stará většinou účetní. Představa o možnosti rozšíření mezi normální lidi, kteří podávají maximálně daň z nemovitosti a případně jednou za rok daň z příjmu, je za stávajících podmínek směšná.

Tři miliony při současném stavu e-podpisu jsou vyhozené (zneužité) peníze.

Kvalifikovane certifikaty muze vydavat KDOKOLIV, kdo splni pozadavky dane zakonem. Ostatne, nejsou mezi akcionari I.CA prave nektere banky?

Asi to nebude tak jednoduché když když pod pojmem KDOKOLIV je zatím jen JEDINÝ akreditovaný poskytovatel certifikačních služeb.

Ja jsem nepsal, ze je to JEDNODUCHE, ja psal, ze to muze delat KDOKOLIV, kdo SPLNI zakonne podminky.

Za I.CA stala drive IPB (mozna jen neprimo pres PVT). Jako zamestnanec jedne dcerinne spolecnosti IPB jsem take utrpel veselou historku s porizovanim osobniho certifikatu...
I.CA se mi proste jevi jako totalne neschopna firma, vylozene skolni priklad. Neni divu, ze lide certifikaty nechteji, kdyz s jejich porizovanim maji spatne zkusenosti a jeste k tomu nemaji na vyber. Hm, docela by mne zajimalo, co na to antimonopolni urad... Tady soudruzi z MICR udelali chybu.

I.CA jako firma vznikla v březnu 2001. MIČR vznikl 1.1.2003. Akreditaci měla I.CA od března 2002 od ÚOOÚ. Takže "soudruzi z MIČR" to dostali jak už to bylo.

Jinak, že má I.CA postupy občas kostrbaté bych souhlasil, ale zase byla skutečně první, kdo tomu zde razil cestu. To, že nikdo nenásleduje je spíš indikace toho, že zde není dostatečná poptávka.

Podle mne je EP v podání I.CA pro většinu normálních lidí nepoužitelný. Pomineme-li cenu, služby I.CA bych rozhodně nenazval dokonalé. Pro zasmání připojuji popis mé nedávné historky.

<para>Na konci března mě kamarád upozornil na to, že v rámci
propagační akce
<ulink url="http://www.portalzp.cz&quot;&gt;portálu zdravotních
pojišťoven</ulink>, je možné získat kvalifikovaný certifikát
zdarma. Jeho běžná cena je 770 Kč za rok, což se mi vzhledem k jeho
praktické využitelnosti nevyplatí. Ale jestli je to zdarma, alespoň
vyzkouším, jak to s tím elektronickým podpisem funguje v praxi.</para>

<para>Podle pokynů na portálu zdravotních pojišťoven jsem se snažil na
stránkách I. CA vygenerovat žádost o certifkát. Vzhledem k tomu, že mi
osobně jako e-mailový klient vyhovuje alternativní Mozilla
(resp. Thunderbird) chtěl jsem mít možnost odesílat podepsané maily
přímo z ní. Pro přístup na stránky I. CA jsem proto použil
Mozillu. Toho jsem však vzápětí litoval, protože na stránce, kde se
vyplňují údaje potřebné pro vystavení certifikátu, jsem se z jedné
strohé věty dozvěděl, že stránky fungují pouze s prohlížečem Internet
Explorer.</para>

<para>Přiznám se, že mě to zklamalo, protože jsem si v minulosti
nechával vystavit certifikát i od jiných zahraničních autorit, a ty
s Mozillou problémy něměly. Řekl jsem si tedy, že se projednou
zachovám jako správný uživatel, nebudu se snažit systém přelstít,
a zavolám na kontaktní linku I.CA, jejíž telefonní číslo je na
stránkách I.CA. Jediné, co mi na této lince dokázali poradit však
bylo, abych poslal e-mailem dotaz ne jejich technickou
podporu. Kontakt po telefonu prý není možný. Inu
dobrá. O profesionalitě služeb jsem si pomyslel své, odeslal jsem
dotaz na technickou podporu a mezitím si vygeneroval žádost
o certifikát v Internet Exploreru. Naštěstí jsem dost pokročilý
uživatel na to, abych věděl, že certifikát lze vyexportovat z jedné
aplikace (Internet Explorer, resp. úložiště certifikátů ve Windows)
a naimportovat do druhé (Mozilla). Možná mě už v tuhle chvíli budete
považovat za kverulanta, který naschvál nepoužívá Internet Explorer,
a snaží se nachytat ostatní. Občasné spuštění IE přežiji, ale jak si
mají o certifikát zažádat uživatelé ostatních operačních systému jako
je třeba Linux? Oni nemohou se státní správou komunikovat
elektronicky? Přece také platí daně?</para>

<para>Pokračoval jsem dále v generování žádosti o certifikát až jsem
se dostal k poslednímu kroku, kdy je potřeba žádost o certifikát
nahrát na disketu. Přiznám se, že mě požadavek poměrně překvapil,
disketu jsem nepoužil už asi tři roky a důsledné ohledání mého
notebooku mi jen potvrdilo, že se v něm žádný otvor pro zastaralé
záznamové médium nenachází. Řekl jsem si, že to nebude problém, že
některé registrační autority určitě budou schopné žádost načíst z CD
nebo z USB tokenu (flash paměť). Opět tedy volám do I.CA a ptám se,
kde je možné podat žádost na CD. Jejich informační linka je
obdivuhodná, protože nic neví. Prý si mám zavolat na pobočky PVT nebo
ČSOB, kde se certifikáty vystavují, a zeptat se tam.</para>

<para>Budiž. V PVT určitě počítám rozumí lépe, tak volám nejprve
tam. Dozvídám se, že v PVT mají počítače ještě z dob kupónové
privatizace, takže z ničeho jiného než z diskety to nejde. Paní na
druhé straně telefonu se mě nejprve ptá, zda si to opravdu nemohu na
disketu přehrát a pak mi nesměle nabízí, že na jednom počítači mají
i CD mechaniku, a mohli by mi to přehrát sami. Ptám se, zda je to
v pořádku, když se ve všech podmínkách píše, jak mám certifikát
chránit. Paní proti mé výtce nic nenamítá a navrhne mi, ať zkusím
ČSOB. Volám tedy do ČSOB. Po deseti telefonátech, několika přepojeních
a bloudění v kruhu konečně mluvím s někým, kdo ví, co je to
certifikát. Jde to jen z diskety, program neumožňuje načtení žádosti
z jiného média. Jsem odkázán na I.CA. Kruh je uzavřen.</para>

<para>Pobaveně si vzpomenu na ministra Mlynáře, jak ve světle
reflektorů kamer vykládá o elektronickém podpisu, e-governmentu,
informační společnosti, blablabla. Na <ulink
url="http://www.micr.cz/epodpis/default.htm&quot;&gt;stránkách ministerstva
informatiky</ulink> nalézám telefonní číslo na horkou linku e-podpisu.
Už spíše ze sportu na číslo zkouším volat. Hlášení mých problémů
(žádost jde vystavit jen v IE a lze ji předat jen na disketě) je
zaujalo, nicméně nemají žádný nástroj, jak I.CA donutit stav napravit.
Určitě to s nimi však proberou na dalším setkání. Přestávám chápat,
jak mohla I.CA dostat akreditaci na poskytování certifikačních
služeb. Jejich služby mi připadají dost amatérské.</para>

<para>S certifikátem jsem se otravoval už půl dne, a musím také někdy
pracovat. Pouštím to k vodě a počkám si alespoň na odpověď technické
podpory ohledně generování žádosti v Mozille.</para>

<para>Po týdnu mě I.CA překvapila. Přišla mi odpověď na sedm dní starý
dotaz. Žádost si mám vygenerovat v Internet Exploreru, certifkát po
vystavení vyexportovat a naimportovat do Mozilly. Podpora pro další
platformy se připravuje, ale zatím není k dispozici. Opravdu výborná
technická podpora, když po týdnu přijde na to, co mě napalo po jedné
minutě, a to nejsem odborník na e-podpis.</para>

<para>Začínám být certifikátem posedlý, říkám si, že to musím
dotáhnout do konce. Bez certifikátu neodejdu. Volám znovu na linku
I.CA a ptám se, co mám dělat, když v počítači nemám disketovou
mechaniku. Velmi se nad mým problém podivují, prý se ještě s takovým
případem nesetkali. Jestli se to nemohu na jiném počítači
přehrát. Nemohu a nechci. Ať zkusím zavolat do PVT a ČSOB. Volal
jsem a musel jsem si sám hledat telefonní čísla, telefonní kontakty na
ČSOB na webu I.CA chybí. Poslední co mi navrhují je kontaktovat jejich
technickou podporu &ndash; mailem. Ptám se, jestli to myslí
vážně. Vyjadřují údiv nad tím, že posledně mi odpověděli až za
týden. Zavolat se tam nedá, ani oni nemohou. Přestávám se bavit a chci
mluvit s nadřízeným. Nadřízený je už jen přímo generální ředitel pan
Č. Chci mluvit s ním. Má jednání. Beru si na něj číslo,
a navrhuji, že pokud mi technická podpora zavolá dříve než panu
generálnímu skončí jednání, nebudu mu muset volat. Nikdo nevolá. Za to
já volám pana ředitele. Rád bych s ním probral kvalitu jejich služeb
a přístup jeho zaměstnanců. Asi přede mnou někdo pana ředitele
varoval, protože se mi ho během půldne nepodaří
zastihnout. Jeden z důvodů proč jsem generálního ředitele nezastihl
mohlo být to, že zrovna pracoval jako technická podpora. Jak jsem si
později uvědomil, odpověď na můj dotaz ohledně Mozilly mi posílal
právě on.</para>

<para>K mému překvapení se mi někdo z I.CA ozval další den (už devět
dní po té, co jsem chtěl získat kvalifikovaný certifikát). Byly mi
nabídnuty dvě možnosti &ndash; abych si žádost přehrál na disketu nebo
že ji donesu na CD na předem dohodnutou pobočku PVT a certifikát
dostanu jen e-mailem. Souhlasil jsem s druhou variantou. Po pár
hodinách mi bylo potvrzeno, že mohu vyrazit na nejbližší pobočku PVT,
že jsou na mě připraveni.</para>

<para>Na pobočce PVT si ode mne vzali CD, zasunuli do počítače a po
chvíli mne požádali o průkaz lékaře nebo potvrzení, že pracuji
v nemocnici. Nechápavost jsem v té chvíli nemusel
předstírat. V žádosti o certifikát jsem do jednoho pole napsal kód
PORTALZP přesně tak, jak bylo popsáno v pokynech na portálu
zdravotních pojišťoven. Měl bych tak nárok na jeden z tisíce
certifikátů, které byly zdarma. Pracovnice PVT však trvaly na tom, že
tento kód mohou mít certifikátu jen zdravotničtí pracovníci. Mé pokusy
o to, ukazát jim na webu, že se to vztahuje i na pojištěnce nebyly
úspěšný. Někam ještě volaly, ale tam je akorát ujistili v jejich
omylu. Vzal jsem si tedy zklamaně zpět své CD a jel jsem domů. Volám
zpět do I.CA a líčím jim můj problém. Přesměrovávají mě na pana
Š. z PVT, který má projekt portálu ZP na starosti.</para>

<para>Dozvídám se, že možnost získat certifikát zdarma byla zamýšlena
skutečně jen pro lékaře a firmy, které ve větším objemu komunikují se
zdravotními pojišťovnami. To, že je na webu něco jiného, je zřejmě
chyba. Prý to ještě prověří u partnerů ze zúčastněných
pojišťoven. Nicméně v PVT mi každopádně měli nabídnout alepoň možnost
získaní certifikátu za peníze. Pan Š. byl také poměrně překvapen,
když jsem mu řekl, že můj kamarád takto certifikát coby pojištěnec
získal. Asi prý některé pobočky ČSOB nepracují důsledně podle
metodických pokynů. Zjistí co se dá, a určitě si mi po víkendu ozve.</para>

<para>Chci certifikát zdarma a rozhodl jsem se proto zkusit ČSOB. Když
to dali kamarádovi zdarma, dají to třeba i mě. Oprašuji starý
notebook s disketovou mechanikou, v krabičce od myši nacházím disketu
s ovladači, mažu jí a přehrávám na ní žádost o certifikát. V pátek
odpoledne, deset minut před koncem zavírací doby pobočky ČSOB,
provádím další pokus o vygenerování certifikátu. Vše je zdá se
v pořádku, ale aplikace hlásí, že mám za certifikát zaplatit. Ukazuji
vytištěné kopie stránek portálu ZP, z kterých vyplývá, že mám nárok na
certifikát zdarma. Paní L. ochotně volá do I.CA, ale nikdo
to už nebere. Domlouváme se, že to zjistí a ozve se mi.</para>

<para>Víkend jsem přežil v pohodě a certifikát mi k životu překvapivě
nechyběl. V úterý se mi paní L. ozvala, že budu mít certifikát
zdarma. Radostně běžím s disketou do ČSOB. Certifikační program přečte
data z diskety a čekáme. Minutu, pět minut, deset minut. Ptám se, zda
je to normální. Prý ano, protože žádosti se v I.CA ručně
kontrolují. Půl hodiny a pořád nic. Paní L. volá do I.CA. Dozvídáme
se, že mám špatně vyplněnou žádost. Hodnotu PORTALZP jsem napsal do
pole Zaměstnavatel a ne do Organizační jednotka. No jo, ale co mám
napsat do pole Zaměstnavatel. Odcházím z zklamaně z ČSOB a jdu domů
studovat dokumenty vážící se k certifikátům.</para>

<para>Nakonec vykoumám, že v poli zaměstnavatel mohu uvést své jméno,
protože mám živnostenský list. Zkušeně v Internet Exploreru generuji
novou žádost, na druhém počítači ji nahrávám na disketu a další den
jdu do ČSOB. Po ověření totožnosti a podepsání smlouvy je mi vystaven
certifikát. Zdarma. Jen mě podivuje, že nikdo něchtěl vidět
živnostenský list.</para>

<para>Disketu zahazuji na dno šuplíku a z e-mailu, který mi
přišel instaluji certifikát. Po instalaci ho vyexportuji a importuji
do mého e-mailového klienta. Hotovo. Ale komu teď budu psát? Vzpomínám
na nedělní oběd, kde mi kamarád líčil své zkušenosti s podpisem. Skoro
všude mu řekli, že elektronické podání nestačí. Odpovědi na jeho
maily přicházely nepodepsané.</para>

... a tak to bude do doby, nez i do tehle oblasti vstoupi konkurence ...

Ja fakt tu kristalovou kouli nemam, ale Euro On-Line pise o tom, ze by Ceska Posta mela vydavat take kvalifikovane certifikaty. Jejich rozhodovani se docela tahlo.

Jo a jestli nechcete cekat na to, ze se v 16:00 objevi ta zprava mezi zpravickami, kam ji v jednu umistil Martin Kopta, navstivte Euro On Line

Ja jsem take majitelem kvalifikovaneho certifikatu, seriove cislo 9.

Nepotrebuji ho, nechal jsem ho vystavit z profesiobalniho zajmu. Nakonec mam certifikaty nekolika zahranicnich agentur, tak proc nemit take cesky. 770 Kč není málo, ale v odmene za nasazeni PKI u zakaznika se to da vyuctovat.

Take jsem ho chtel mit vystaveny pod linuxem. Tam jsem narazil. Nedozakazal jsem sehnat patche do OpenSSL, ktere by mi umoznily pouzivat 64-bitove Unicode kodovani, ktere se pouziva uvnitr certifikatu I.CA (mimochodem nepisi lide po tecce mezeru?) Pokud by takove patche existovaly, mam subjektivni pocit, ze mam struktury certifikatu nastudovane tak, ze bych dokazal s OpenSSL vystavit zadost u ktere by I.CA nedokazala poznat, ze neni vystaven jejich aplikaci.

Nuz na vyber bylo generovani certifkatu pomoci absolutne neduveryhodne aplikace distribuovane v binarni podobe a podobne neduveryhodne aplikace v podobe active X komponenty ICA enroll. Tezke rozhodovani. Nakonec zvitezila aplikace, ta alespon nekomunikuje po Internetu a snad muj privatni klic neproflakne. Jeste aby ho generovala nahodne. Par pokusu ukazalo, ze alespon neni pokazde stejny, takze budeme verit, ze je nahodny. (Predstavte si, jakou paseku dokaze napachat ten, kdo jednou dokaze distribuovat takovouhle aplikaci negenerujici nahodne privatni klice.)

Takze mam zadost a jdu do CSOB pro overeni. Prvni adresa v seznamu byla Vitezne namesti 5. To mam hned u skoly, proc ne. Jenze ouha, dlouho tam nikdo nic o certifikatech nevedel a nakonec sehnali nekoho, kdo me rekl, ze oni tedy v zadnem pripade. Poslal me do pobocky o 100 metru dale, adresa jina. Tam vedeli a meli hned tri proskolene osoby. Certifikat me vystavovali postupne vsichni tri. Neslo jim to. Volani do ICA = vsichni tri maji propadle certifikaty. Aplikace jim to nerekla, o autorovi takove aplikace si myslim zcela nepublikovatelne veci.

Takze dalsi pobocka CSOB. Vybral jsem tu v Jindrisske, velka pobocka, tak by mozna mohli chodit lide z okolnich uradu. Pan byl velmi prekvapen, ze chci certifikat. A kupodivu mi jej dokazal i vystavit. Overeni ICA trvalo pul hodiny, takze tam chudak zustal po pracovni dobe. Rikal, ze to nekdy trva i dele. Opet se to neobeslo bez volani na ICA, ale jen takove pingnuti mate to = mame to.

Kazdopadne musim lidi z RA pochvalit, ze meli velmi profesionalni chovani. Kdyz se omlouvali, ze to dlouho trva a nebo ze jim to nejde, tak opravdu vzbuzovali dojem, ze to snad i mysli vazne. Ptal jsem se jich, co by rikal, kdyby si o certifikat prislo vsech 200 tisic pojistencu spratelene pojistovny. Na to rikali, ze to tedy nevedi, protoze pri rychlosti aplikace je propustnost jedne RA asi 12 lidi za den.

Takze stal jsem se s vynalozenim 4 hodin casu + 770 korun majitelem certifikatu. Mimochodem, pokud se domnivate, ze v CSOB lze neco zaplatit embosovanou platebni kartou, tak jste na tezkem omylu, poslali me do bankomatu a s penezi zase zpet.

Nuz zacal jsem si certifikat uzivat. Jenze ouha, jedna ze hodne zajimavych aplikaci je sluzba casovych razitek, ktera ma dostat podle slibu na webu kazdy drzitel certifikatu vystaveneho I.CA zdarma. Jenze ja ho nedostanu vubec, kvalifikovany certifikat mi totiz jejich aplikace odmita prijmout. Takze reklamace mailem (podepsanym jejich kvalifikovanym certifkatem), po tydnu urgence telefonem, oboje bez odpovedi. Kdyz jim zavolam, poznamenaji si cislo a slibi se ozvat. Jeste par dni zbyva do 30 dnu a bude nasledovat vypoved smlouvy pro poruseni zavazku poskytovat technickou podporu a pro klamani spotrebitele nepravdivymi informacemi.

A jen takova perlicka, pri organizaci prednasky RMS jsem posilal pozvanky podepsane kvalifikovanym certifkatem. I ministru Mlynarovi. Odpovidal mi nepodepsanymi maily. Potom jsem omylem poslal mail podepsany mym Thawte certifikatem (jsem WOT notary) a odovedel podepsanym emailem. Podivil jsem se, proc jsou nektere odpovedi podepsane a jine a ne a odpoved byla: Podepisuji odpovedi jen na podepsane emaily. Z toho mi vyplyva, ze emaily podepsane kvalifikovanym certifikatem se jako podepsane nezobrazily. Mozna nekdo nema korenovy certifikat pro kvalifikovane certifikaty instalovan.

Mimochodem overil jsem, ze vychozi instalace pocitacu v poslanecke snemovne, senatu, ministerstvu zdravotnictvi a dopravy certifikat neobsahuji, takze kdyz tam poslete podepsany email, tak se zobrazite jako podvodnik.

Na druhou stranu, I.CA je jiste v tezke situaci. Vim jake jsou pozadavky na jejich servery a hosting a take kolik to orientacne stoji. Kdyz si predstavim, ze bych tohle provozoval a pritom vystavil po roce behu na jednu RA 9 certifikatu, tak to je na masli. To se pak nedivim, ze reditel dela soucasne sekretarku a technickou podporu. Ono mu asi nic jineho nezbyva, jeste by mohl ve volnem case stat pred uradem vlady s transparentem, mila vlado, kdyz jsi me do toho uvrtala, tak mi ted pomoz a zajisti, aby lidi nejake certifikaty chteli. Kdyz jsem dostaval akreditaci, to bylo reci jak vsichni budou mit certifikat. Proverovala me BIS, abych nahodou neutekl s certikaty milionu lidi a ted jich ma kazdy prumerny podnik vice od interni CA nez jsem jich mel moznost vydat ja.

Díky za asi nejzajímavější příspěvek do diskuse. Zaujalo mne hlavně potvrzení toho, čeho jsem se obával: I) že můj privátní klíč není bezpečný (nemohu jej vytvořit sám), II) že CA která prodává vládou schválené certifikáty není v kořenových certifikátech počítačů, které vláda používá.

To je blbost !

Váš soukromý klíč si můžete (dokonce musíte) vytvořit sám. I.CA přijímá žádosti v protokolech podle standardů popsaných v jejich certifikační politice a vydává je opět v jasně daných standardních formátech. Na disketě k nim nenesete svůj soukromý klíč, ale žádost o vystavení certifikátu, kterou pouze podepisujete svým soukromým klíčem. Protože v žádosti je uveden váš veřejný klíč, je CA schopna ověřit, že odpovídající soukromý klíč skutečně máte. Žádost můžete vytvořit hexa editorem, když na to přijde.

Mimochodem, přimlouval bych se za to, abyste všichni měli a používali soukromý klíč pouze z čipové karty, nejlépe s papírem ověřujícím, že má určitou úroveň zaručení bezpečnosti.

Informace o funkcionalitě RA z praxe je ale zajímavá a I.CA by si z toho měla vzít ponaučení. Těmto nuancím nemůže normální člověk nikdy rozumět a šíří se o firmě pak bludy. Chybí jí user-friendliness, prostě asi nejsou peníze.

Tak to pozor. Soukromy klic nevytvarite vy, ale vytvari jej aplikace, kterou poskytuje CA. Ta aplikace neni ani nahodou pripravena na to, ze si udelam klic pres openssl genrsa -des3 2048 a v aplikaci vyrobim potom CSR.

To ze si to muzete udelat hexa editorem je pravda, budete muset znat syntaxi nekolika privatnich OID, ktere do certifikatu vklada jejich aplikace, aby to nepoznali. Oni samozrejme popiraji moznost, ze by podporovali certifikaty, resp. zadosti o ne, vytvorene mimo jejich aplikace. No to jsem se specialne ptal a kolega zjevne take.

S tim, ze by bylo vhodne, aby se pouzivaly certifkaty vyhradne na cipovych kartach lze jen souhlasit. Snad bych jen upresnil, ze pro domaciho uzivatele je jiste stravitelnejsi pouzivat USB tokeny, ktere interne obsahuji cipove karty, ale jsou levnejsi nez ctecka a karta zvlast. Tady ale opet narazime na to, ze I.CA takove tokeny nepodporuje a ne kazdy si v takove situaci umi poradit.

Bezny uzivatel, ktery nema potrebne znalosti nema sanci svuj privatni klic ochranit dostatecne, zvlaste kdyz nektere nejmenovane firmy si predstavuji zabezpeceni tak, ze uzivateli poslou nejaky program a ten si ve vlastni rezii nacte certifikat a privatni klic, pricemz obejde alespon zakladni bezpecnostni mechanizmy uloziste certifikatu v prohlizeci/OS, ktere to jeste mohly zachranit.

I.CA. nevydala, podle vseho, nikdy zadny certifikat serioveho cisla "9". Pokud vidim, tvuj certifikat:

 Data:
 Version: 3 (0x2)
 Serial Number: 10004604 (0x98a87c)
 Signature Algorithm: sha1WithRSAEncryption
 Issuer: CN=I.CA - Qualified root certificate 
 (kvalifikovaný certifikát poskytovatele) 
 - PSEUDONYM,
 C=CZ, 
 L=Podvinný mlýn 2178/6, 190 00 Praha 9,
 O=První certifikační autorita a.s.,
 OU=Akreditovaný poskytovatel certifikačních služeb
 Validity
 Not Before: Apr 14 14:55:02 2004 GMT
 Not After : Apr 14 14:55:02 2005 GMT
 Subject: C=CZ, CN=Dan Ohnesorg, 
 L=Rudná u Prahy, Jinočanská 367/7/Email=dan@ohnesorg.cz, 
 G=Dan, I=DO/name=Dan Ohnesorg, 
 S=Ohnesorg, SN=ICA - 10008174
 ....
 X509v3 Certificate Policies: 
 Policy: 1.3.6.1.4.1.6625.1.1.4.4
 CPS: http://www.ica.cz/qcp/cpqpica02.pdf
 User Notice:
 Explicit Text: Tento certifikat je vydan 
 jako Kvalifikovany certifikat 
 v souladu se zakonem 227/2000 Sb.

... ma seriove cislo 10004604. To jen pro poradek.

Kdyz uz jsem tak brouzdal po databazi - celkem bylo dosud vydano (do tohoto okamziku) 5063 kvalifikovanych certifikatu. Z nichz 1345 bylo vydano (zatim) tento rok, Loni to bylo 2944 a rok predtim (to sluzba zacinala - prvni certifikat byl vydan 29.3.2002) 773.