Názory k článku Jak oživit elektronický podpis?

Dokud nebude e-podpis soucasti e-obcanky tak to skoro nikdo nebude pouzivat, kolik procent je asi 1 000 z 10 000 000?
Nula nula PRD. Podobne predstava, ze si o socialni davky bude nekdo zadat s certifikatem za 700,- rocne je naprosto tristni.
Jako jedine rozumne reseni vidim vydavat obcanky jako cipovou kartu s certifikatem uvnitr. Overeni identity je veci statu (zda je to jeho obcan nebo neni), ne soukromeho podivneho subjektu.

Jak oživit elektronický podpis? - Úplně jednoduše: Snížit ceny za vystavení certifikátů. Ideální by bylo ke každé občance zdarma... ;)

Jeste ma certifikat pouze rocni platnost? To je pro lidi, co jsou dlouhodobe v zahranici, dost nevyhovujici, pokud pri kazde navsteve Cech musi nekam behat a obnovovat certifikat. To uz je pomalu jednodussi rovnou bezet na prislusny urad a podat zadosti rucne.

Přesně tak. To je jako kdyby si občanku člověk kupoval za 700 na rok, aby pak mohl na úřad.

Nicméně při stavu politiky v ČR se docela divím, že si Mlynářův bratranec už nezaložil firmu na vydávání certifikátů a Mlynář ve vládě neprosadil, že ke každé občance bude patřit el. certifikát, který bude vláda nakupovat u jediné správné firmy Miller's cousin s.r.o. za super cenu 400Kč/certifikát/půl roku.

Proč by se měl vydávat s delší platností? To by na tom trhli málo, takhle je to 700/rok a basta fidli! Když to srovnám s bankami, kde člověk aktivně využívající účet s platební kartou zaplatí také kolem 800Kč/rok a přitom těch služeb od banky vybere několikanásobně víc než udělat "další, další, zaškrtnout jeden rok, další, vygenerovat" a je hotovo a 700 doma...

Prave jsem se opet podival na MF:
" Vlastní aplikaci sloužící k vyplnění formuláře či zpracování souboru lze provozovat na počítači PC kompatibilním, který je vybaven prohlížečem sítě Internet od firmy Microsoft (Microsoft Internet Explorer ), a to v některé z těchto podporovaných verzí:

Internet Explorer 6 Service Pack 1
Internet Explorer 5.5 Service Pack 2
Internet Explorer 5.01 Service Pack 2 "

a na CSSZ:
" Technické předpoklady použití:
Windows 2000, Windows XP "

Jestli takto vypada pristup statni spravy k obcanum tak zrejme ti, kteri pouzivaji neco jineho nez M$Windows, nemusi platit dane? Nebo od statu dostanou prispevek na podporu monopolu jedne americke firmy?

A co na to antimonopolni urad???

Se soudruzskym pozdravem
Uzivatel GNU/Linuxu

Souhlas. Nebudu davat 700+ za rok jenom na to, abych se na nej mohl divat. Je to ostudne, ale v tomto state zrejme jde o standardni mechanismus - neco se vymysli (treba i dobreho), a stop. Zustane to na puli cesty, to v tom lepsim pripade. V horsim pripade se o to po par letech (a volbach) zacne zajimat kriminalka. Mame my to ale prima stat... :-(

Zkuste se podivat na Panelovou diskuzi posledniho Openweekendu. Zastupce MI vysvetloval, ze se jedna o "testovaci" verzi a az se "proveri", tak se bude rozsirovat, aby nediskriminovala uzivatele jinych OS. Na otazku z publika "a nebylo by jednodussi a levnejsi rovnou od zacatku vyvyjet aplikaci multiplatformni dle standardu?" odpovedel, ze "asi" ano, ale proc tak MF neucinilo, nevi, protoze celou zalezitost si MF ridilo samo.

Skutecne doporucuji celou diskuzi shlednout. Mam z toho pocit, ze se MI dostatecne nesnazi prosazovat otevrene formaty, na platforme nezavisla reseni a hlavne standardni rozhrani jak uvnitr statni spravy tak mezi urady a obcany, jak bylo deklarovano pri jeho zalozeni. Stale tvrdi, ze jsou teprve na zacatku, odborne komise tvori standardy ISVS, ale prakticke uplateni techto standardu vubec neni videt. Jedine hmatatelne vystupy jsou akce typu "zaplatime za obce certifikaty", "zaplatime Internet do knihoven", "zaplatime infrastrukturu ISVS". Tento pristup se mi zda ponekud nestastny.

Radeji bych videl pripravu kvalitni legislitivy, napr. povinnost komunikovat v standardizovanych formatech. Kdyby tomu tak bylo, urady by vyzadovaly takovy software. Dodavatele softwaru by jej museli napsat a dat atestovat. Atestacni firmy by meli praci a tak cena atestu by byla primerena. Ve vysledku by vziklo to, o co MI usiluje -- komunikace ve standartnim formatu, modularni systemy, vice dodavatelu, konkurencni prostredi atd. Vyhody by z toho plynuly pro vsechny.

Proc chci pravni predpis vyzadujici standadni rozhrani? Prirovnam to k prirozenemu jazyku. Urady maji povinnost komunikovat v urednim jazyce (tzn. cestine), protoze "format" cestiny je dobre znamy (ucime se jej uz od mala, existuje spousta jazykovednych knih), kazdy ma moznost se jej naucit a je to bezny jazyk v teto zemi. Kdyby Vam prisla odpoved cinsky, taky by se vam to nelibilo. Stejne to je s elektronickymi formaty.

Na zaver par zkusenosti. Krajsky urad poslal obci upozorneni, ze vyhlaska obce odporuje pravidlum pro jejich tvorbu. Potrebnou metodiku si ma stahnout z webu. Bohuzel download 5MB souboru na dialupu je v male vesnicce, kam ADSL, Bluetone, Wifi apod. jeste hodne dlouho nezavitaji, na umreni. Download se nezdaril. Kdyz jsem inkiminovany soubor ziskal jinak, nestacil jsem se divit. Byl to zipovsky archiv 5 jpegu naskenovane prirucky. Jinak je zcela bezne, ze urady zasilaji mailem wordovske prilohy majici velikost 200-300 kB oba, pritom obsahuji jen "lepe" formatovany text (2-3) stranky.

Není to zas další trafika (rozuměj peníze daňových poplatníků do kapes soukromých subjektů)? Obce přece musí ze zákona provozovat elektronickou podatelnu tuším už od 1.1.2003. A k jejímu provozu nutně mají vystaveny kvalifikované certifikáty, pokud tedy dodržují zákon, což doufám, že dodržují. Kde bere MI ČR oporu pro své tvrzení, že obce využijí certifikáty ministerstvem "bezplatně" nabízené? Já žil v (možná mylném) domění, že certifikáty lze "obnovovat" za "snížené" ceny, aspoň by to mělo logiku...
Občas státním úředníkům vážně nerozumím :-(

Ta diskuse je na adrese http://server1.streaming.cesnet.cz:8080/ramgen/others/su-cvut/openweekend/2003/panel.rm. Pripadne dalsi podobne veci (vcetne nazoru reprezentantu MI) lezi ve videoarchivu CESNETu.

Pokud se tyce fungovani MI, rozhodne by mohlo byt lepsi. Nicmene predstava, ze MI narizuje neco MF se mi zda velmi naivni. Verim, ze kdyz se podivate na stranky MI, jen tezko tam budete hledat vystupy "zaplatime ....". Pokud se tyce postupu praci, pokud vim, tak MI stale resi problemy s propojenych jednotlivych systemu ISVS. Bohuzel stale nemaji nahradu za Telecom, se kterym podepsal smlouvu Brezina (podekujme CSSD a ODS).

Pokud se tyce otevrenych standardu, myslim, ze nazor Mlynare je celkem jasny - uplatnovat je vsude, kde je to mozne. Tohoto nazoru se dopustil opakovane a dokonce pred svedky ;-)

Problem atestace software bych radeji nezminoval, je to obrovsky pruser, ve kterem je pouze jeden vitez - firmy, ktere delaji atestaci. Vsichni ostatni, vcetne verejne spravy, jsou Ti, kteri prohravaji.

Stačilo by zákonem umožnit vydávání certifikátů prostřednicvím bank, stejně je většina formulářů spojena s převodem peněz. Jako služba k přímému bankovnictví by to určitě nestálo 580 Kč jako od I.CA.

V současné době má certifikát smysl jen pro měsíční DPH u firem, kde se o tuto a podobné činnosti stará většinou účetní. Představa o možnosti rozšíření mezi normální lidi, kteří podávají maximálně daň z nemovitosti a případně jednou za rok daň z příjmu, je za stávajících podmínek směšná.

Tři miliony při současném stavu e-podpisu jsou vyhozené (zneužité) peníze.

Proč jen software od Microsoftu? - Protože Mlynář jako bývalý novinář nikdy nic jiného nepoužíval (a ani nikdy neviděl).
Jak my můžeme s takovými lidmi někdy dohonit Evropu (Západní)? Vše se stále učí a dělá jen podle jedné příručky - a kdo nejde podle ní (s námi), ten jde proti nám! A takoví lidé mezi námi nemají místo. Tak si to, prosím Vás, příště rozmyslete, než zase budete něco vykřikovat o jiném softwaru, než jaký znají naši ministři.

Hodne velka cast medialni sfery pouziva Macy :-) Jde o vseobecne znamy fakt ...

Kvalifikovane certifikaty muze vydavat KDOKOLIV, kdo splni pozadavky dane zakonem. Ostatne, nejsou mezi akcionari I.CA prave nektere banky?

Podle mne je EP v podání I.CA pro většinu normálních lidí nepoužitelný. Pomineme-li cenu, služby I.CA bych rozhodně nenazval dokonalé. Pro zasmání připojuji popis mé nedávné historky.

<para>Na konci března mě kamarád upozornil na to, že v rámci
propagační akce
<ulink url="http://www.portalzp.cz&quot;&gt;portálu zdravotních
pojišťoven</ulink>, je možné získat kvalifikovaný certifikát
zdarma. Jeho běžná cena je 770 Kč za rok, což se mi vzhledem k jeho
praktické využitelnosti nevyplatí. Ale jestli je to zdarma, alespoň
vyzkouším, jak to s tím elektronickým podpisem funguje v praxi.</para>

<para>Podle pokynů na portálu zdravotních pojišťoven jsem se snažil na
stránkách I. CA vygenerovat žádost o certifkát. Vzhledem k tomu, že mi
osobně jako e-mailový klient vyhovuje alternativní Mozilla
(resp. Thunderbird) chtěl jsem mít možnost odesílat podepsané maily
přímo z ní. Pro přístup na stránky I. CA jsem proto použil
Mozillu. Toho jsem však vzápětí litoval, protože na stránce, kde se
vyplňují údaje potřebné pro vystavení certifikátu, jsem se z jedné
strohé věty dozvěděl, že stránky fungují pouze s prohlížečem Internet
Explorer.</para>

<para>Přiznám se, že mě to zklamalo, protože jsem si v minulosti
nechával vystavit certifikát i od jiných zahraničních autorit, a ty
s Mozillou problémy něměly. Řekl jsem si tedy, že se projednou
zachovám jako správný uživatel, nebudu se snažit systém přelstít,
a zavolám na kontaktní linku I.CA, jejíž telefonní číslo je na
stránkách I.CA. Jediné, co mi na této lince dokázali poradit však
bylo, abych poslal e-mailem dotaz ne jejich technickou
podporu. Kontakt po telefonu prý není možný. Inu
dobrá. O profesionalitě služeb jsem si pomyslel své, odeslal jsem
dotaz na technickou podporu a mezitím si vygeneroval žádost
o certifikát v Internet Exploreru. Naštěstí jsem dost pokročilý
uživatel na to, abych věděl, že certifikát lze vyexportovat z jedné
aplikace (Internet Explorer, resp. úložiště certifikátů ve Windows)
a naimportovat do druhé (Mozilla). Možná mě už v tuhle chvíli budete
považovat za kverulanta, který naschvál nepoužívá Internet Explorer,
a snaží se nachytat ostatní. Občasné spuštění IE přežiji, ale jak si
mají o certifikát zažádat uživatelé ostatních operačních systému jako
je třeba Linux? Oni nemohou se státní správou komunikovat
elektronicky? Přece také platí daně?</para>

<para>Pokračoval jsem dále v generování žádosti o certifikát až jsem
se dostal k poslednímu kroku, kdy je potřeba žádost o certifikát
nahrát na disketu. Přiznám se, že mě požadavek poměrně překvapil,
disketu jsem nepoužil už asi tři roky a důsledné ohledání mého
notebooku mi jen potvrdilo, že se v něm žádný otvor pro zastaralé
záznamové médium nenachází. Řekl jsem si, že to nebude problém, že
některé registrační autority určitě budou schopné žádost načíst z CD
nebo z USB tokenu (flash paměť). Opět tedy volám do I.CA a ptám se,
kde je možné podat žádost na CD. Jejich informační linka je
obdivuhodná, protože nic neví. Prý si mám zavolat na pobočky PVT nebo
ČSOB, kde se certifikáty vystavují, a zeptat se tam.</para>

<para>Budiž. V PVT určitě počítám rozumí lépe, tak volám nejprve
tam. Dozvídám se, že v PVT mají počítače ještě z dob kupónové
privatizace, takže z ničeho jiného než z diskety to nejde. Paní na
druhé straně telefonu se mě nejprve ptá, zda si to opravdu nemohu na
disketu přehrát a pak mi nesměle nabízí, že na jednom počítači mají
i CD mechaniku, a mohli by mi to přehrát sami. Ptám se, zda je to
v pořádku, když se ve všech podmínkách píše, jak mám certifikát
chránit. Paní proti mé výtce nic nenamítá a navrhne mi, ať zkusím
ČSOB. Volám tedy do ČSOB. Po deseti telefonátech, několika přepojeních
a bloudění v kruhu konečně mluvím s někým, kdo ví, co je to
certifikát. Jde to jen z diskety, program neumožňuje načtení žádosti
z jiného média. Jsem odkázán na I.CA. Kruh je uzavřen.</para>

<para>Pobaveně si vzpomenu na ministra Mlynáře, jak ve světle
reflektorů kamer vykládá o elektronickém podpisu, e-governmentu,
informační společnosti, blablabla. Na <ulink
url="http://www.micr.cz/epodpis/default.htm&quot;&gt;stránkách ministerstva
informatiky</ulink> nalézám telefonní číslo na horkou linku e-podpisu.
Už spíše ze sportu na číslo zkouším volat. Hlášení mých problémů
(žádost jde vystavit jen v IE a lze ji předat jen na disketě) je
zaujalo, nicméně nemají žádný nástroj, jak I.CA donutit stav napravit.
Určitě to s nimi však proberou na dalším setkání. Přestávám chápat,
jak mohla I.CA dostat akreditaci na poskytování certifikačních
služeb. Jejich služby mi připadají dost amatérské.</para>

<para>S certifikátem jsem se otravoval už půl dne, a musím také někdy
pracovat. Pouštím to k vodě a počkám si alespoň na odpověď technické
podpory ohledně generování žádosti v Mozille.</para>

<para>Po týdnu mě I.CA překvapila. Přišla mi odpověď na sedm dní starý
dotaz. Žádost si mám vygenerovat v Internet Exploreru, certifkát po
vystavení vyexportovat a naimportovat do Mozilly. Podpora pro další
platformy se připravuje, ale zatím není k dispozici. Opravdu výborná
technická podpora, když po týdnu přijde na to, co mě napalo po jedné
minutě, a to nejsem odborník na e-podpis.</para>

<para>Začínám být certifikátem posedlý, říkám si, že to musím
dotáhnout do konce. Bez certifikátu neodejdu. Volám znovu na linku
I.CA a ptám se, co mám dělat, když v počítači nemám disketovou
mechaniku. Velmi se nad mým problém podivují, prý se ještě s takovým
případem nesetkali. Jestli se to nemohu na jiném počítači
přehrát. Nemohu a nechci. Ať zkusím zavolat do PVT a ČSOB. Volal
jsem a musel jsem si sám hledat telefonní čísla, telefonní kontakty na
ČSOB na webu I.CA chybí. Poslední co mi navrhují je kontaktovat jejich
technickou podporu &ndash; mailem. Ptám se, jestli to myslí
vážně. Vyjadřují údiv nad tím, že posledně mi odpověděli až za
týden. Zavolat se tam nedá, ani oni nemohou. Přestávám se bavit a chci
mluvit s nadřízeným. Nadřízený je už jen přímo generální ředitel pan
Č. Chci mluvit s ním. Má jednání. Beru si na něj číslo,
a navrhuji, že pokud mi technická podpora zavolá dříve než panu
generálnímu skončí jednání, nebudu mu muset volat. Nikdo nevolá. Za to
já volám pana ředitele. Rád bych s ním probral kvalitu jejich služeb
a přístup jeho zaměstnanců. Asi přede mnou někdo pana ředitele
varoval, protože se mi ho během půldne nepodaří
zastihnout. Jeden z důvodů proč jsem generálního ředitele nezastihl
mohlo být to, že zrovna pracoval jako technická podpora. Jak jsem si
později uvědomil, odpověď na můj dotaz ohledně Mozilly mi posílal
právě on.</para>

<para>K mému překvapení se mi někdo z I.CA ozval další den (už devět
dní po té, co jsem chtěl získat kvalifikovaný certifikát). Byly mi
nabídnuty dvě možnosti &ndash; abych si žádost přehrál na disketu nebo
že ji donesu na CD na předem dohodnutou pobočku PVT a certifikát
dostanu jen e-mailem. Souhlasil jsem s druhou variantou. Po pár
hodinách mi bylo potvrzeno, že mohu vyrazit na nejbližší pobočku PVT,
že jsou na mě připraveni.</para>

<para>Na pobočce PVT si ode mne vzali CD, zasunuli do počítače a po
chvíli mne požádali o průkaz lékaře nebo potvrzení, že pracuji
v nemocnici. Nechápavost jsem v té chvíli nemusel
předstírat. V žádosti o certifikát jsem do jednoho pole napsal kód
PORTALZP přesně tak, jak bylo popsáno v pokynech na portálu
zdravotních pojišťoven. Měl bych tak nárok na jeden z tisíce
certifikátů, které byly zdarma. Pracovnice PVT však trvaly na tom, že
tento kód mohou mít certifikátu jen zdravotničtí pracovníci. Mé pokusy
o to, ukazát jim na webu, že se to vztahuje i na pojištěnce nebyly
úspěšný. Někam ještě volaly, ale tam je akorát ujistili v jejich
omylu. Vzal jsem si tedy zklamaně zpět své CD a jel jsem domů. Volám
zpět do I.CA a líčím jim můj problém. Přesměrovávají mě na pana
Š. z PVT, který má projekt portálu ZP na starosti.</para>

<para>Dozvídám se, že možnost získat certifikát zdarma byla zamýšlena
skutečně jen pro lékaře a firmy, které ve větším objemu komunikují se
zdravotními pojišťovnami. To, že je na webu něco jiného, je zřejmě
chyba. Prý to ještě prověří u partnerů ze zúčastněných
pojišťoven. Nicméně v PVT mi každopádně měli nabídnout alepoň možnost
získaní certifikátu za peníze. Pan Š. byl také poměrně překvapen,
když jsem mu řekl, že můj kamarád takto certifikát coby pojištěnec
získal. Asi prý některé pobočky ČSOB nepracují důsledně podle
metodických pokynů. Zjistí co se dá, a určitě si mi po víkendu ozve.</para>

<para>Chci certifikát zdarma a rozhodl jsem se proto zkusit ČSOB. Když
to dali kamarádovi zdarma, dají to třeba i mě. Oprašuji starý
notebook s disketovou mechanikou, v krabičce od myši nacházím disketu
s ovladači, mažu jí a přehrávám na ní žádost o certifikát. V pátek
odpoledne, deset minut před koncem zavírací doby pobočky ČSOB,
provádím další pokus o vygenerování certifikátu. Vše je zdá se
v pořádku, ale aplikace hlásí, že mám za certifikát zaplatit. Ukazuji
vytištěné kopie stránek portálu ZP, z kterých vyplývá, že mám nárok na
certifikát zdarma. Paní L. ochotně volá do I.CA, ale nikdo
to už nebere. Domlouváme se, že to zjistí a ozve se mi.</para>

<para>Víkend jsem přežil v pohodě a certifikát mi k životu překvapivě
nechyběl. V úterý se mi paní L. ozvala, že budu mít certifikát
zdarma. Radostně běžím s disketou do ČSOB. Certifikační program přečte
data z diskety a čekáme. Minutu, pět minut, deset minut. Ptám se, zda
je to normální. Prý ano, protože žádosti se v I.CA ručně
kontrolují. Půl hodiny a pořád nic. Paní L. volá do I.CA. Dozvídáme
se, že mám špatně vyplněnou žádost. Hodnotu PORTALZP jsem napsal do
pole Zaměstnavatel a ne do Organizační jednotka. No jo, ale co mám
napsat do pole Zaměstnavatel. Odcházím z zklamaně z ČSOB a jdu domů
studovat dokumenty vážící se k certifikátům.</para>

<para>Nakonec vykoumám, že v poli zaměstnavatel mohu uvést své jméno,
protože mám živnostenský list. Zkušeně v Internet Exploreru generuji
novou žádost, na druhém počítači ji nahrávám na disketu a další den
jdu do ČSOB. Po ověření totožnosti a podepsání smlouvy je mi vystaven
certifikát. Zdarma. Jen mě podivuje, že nikdo něchtěl vidět
živnostenský list.</para>

<para>Disketu zahazuji na dno šuplíku a z e-mailu, který mi
přišel instaluji certifikát. Po instalaci ho vyexportuji a importuji
do mého e-mailového klienta. Hotovo. Ale komu teď budu psát? Vzpomínám
na nedělní oběd, kde mi kamarád líčil své zkušenosti s podpisem. Skoro
všude mu řekli, že elektronické podání nestačí. Odpovědi na jeho
maily přicházely nepodepsané.</para>

Samozrejme ze jedno ministerstvo nemuze neco narizovat jinemu. Chtel jsem, aby MI jakozto odbornik pripravilo navrh zakonne upravy a parlament jej schvalil.

Ale rozdava zdarma: http://www.micr.cz/scripts/detail.php?id=1399 . Tim zdarma myslim zdarma pro urady, ne zdarma z hlediska danoveho obcana platiciho dane. Internet do knihoven je oficialne akce Ministerstva kultury (na webu vsak nic neni, ale do knihovny, kt. zrizuje obecni urad, prisel dopis nabizejici internet na 3 roky zdarma i s formularem o zadost).

Nahrada za Telecom? Jedine tak CRa. Bohuzel v nasi zemi pod krutou nadvladou CTc nas zadne svetlejsi zitrky necekaji.

Ano, MI se hlasi k otrverenym standardum, avsak skutek utek.

Proc to neposlete ministrovi Mlynarovi? Aspon byste dostal reakci z mista, ktere se tim zabyva.

Omyl. Mlynar Ministerstvu Financi nesefuje :-) Teda pokud Spidla neudelal od vcerejska nejaky sachmaty ...

Takze budeme mit zakon o tom, ze ma MF (ci obecne verejna sprava) pouzivat takovy system, aby bezel v Opere a Mozille? Fujtajxl. To uz bychom meli mit zakon, ktery upravuje barvu toaletniho papiru.

Pokud se tyce internetu do knihoven, je-li to akce MK, proc do toho pletete Mlynare?

A pokud se tyce certifikatu obcim, to povazujete za spatne?

A nahrada ze Telecom neznamena "jedna firma", ale system, ktery umozni efektivnejsi fungovani ISVS.

At zije soudruh Mlynar s MI spokojene az do blizke politicke smrti na smetisti dejin smrti a strci si ten certifikat do trenek. Ve skutecnosti je to detail, spis se podivejte na ten MATRIX:
http://www.micr.cz/scripts/modules/disc/messages.php?did=16

Jest bych dodal. Vetsina politicke sceny bude na otevrene standardy kaslat do doby, nez se objevi dostatecne zajimava volicska skupina, ktera na jejich prosazeni bude bazirovat.

Do te doby mate na vybranou mezi politiky, kteri IT a telco nerozumi do detailu, ale berou je jako tema a temi, kteri nejenze tomu nerozumi, ale nejsou schopni ci ochotni to brat jako tema.

... a tak to bude do doby, nez i do tehle oblasti vstoupi konkurence ...

Ale sefuje ministerstvu informatiky, ktere by melo mit tyhle veci v popisu prace.

Asi to nebude tak jednoduché když když pod pojmem KDOKOLIV je zatím jen JEDINÝ akreditovaný poskytovatel certifikačních služeb.

Zakon by nevyjmenovaval konkretni software nebo standardy. To je samozrejme nesmysl. Zakon by vyzadoval, aby rozhrani pro komunikaci (napr. format souboru) bylo dle otevreneho standardu. Tzn. aby kdokoliv mohl soubor cist, zvalidovat, konvertovat, ci jinak modifikovat. To je smysl otevrenych formatu.

Zapomnel jsem napsat, ze v dopise stalo "...v soucinnosti s MI..." a "...bude vyuzita infrastruktura ISVS...". Mimochodem zadost o zadost a popis stavajici infrastruktury bylo mozne podat elektronicky (jestli tu adresu najdu, tak ji sem prihodim).

Pomoci obcim ze zacatku s certifikaty a tim vsim okolo neni spatne, ale ten zpusob se mi nelibi. Vydani "darovaneho" certifikatu neni o nic jednodussi ani slozitejsi nez vydani certifikatu za vlastni penize. Co je tedy pricinou onoho "zlevneni"? Navic certifikat je jen na jeden rok. Pak, urade, zaplat plnych 700 Kc. Nebylo by lepsi, aby si stat zridil vlastni CA? (Rekneme jen pro urady, aby se nereklo, ze napor obcanu zadajich o levny certifikat nezvladne.) Stat prece kazdy den overuje totoznost, skladuje osobni udaje apod. Koupit k tomu jeden server neni problem. Konec koncu i obcanum by certifikaty mohly vydavat ti stejni urednici, kteri maji na starost OP. I urednik zvladne vygenerovat ceritifikat -- jedno dve klinuti, a je to. (Sam si jich muzu v GnuPG ci OpenSSL vygenerovat kolik chci.) Chci rici, ze zaplaceni prvniho certifikatu uradum, aby se pouzivani e-podpisu rozjelo, neni nejlepsi reseni. Lepsi nez zadne, ale jde to lepe.

Teorii, ze mensiny nemaji narok na jakakoliv prava dokud nesplynou (nestanou se) vetsinou by bylo mozna zajimave rozebrat trochu podrobneji a i na jinych prikladech, nez je "jen" IT ...

Co se CSSZ tyce, tak u nich me prekvapuje, ze vubec neco elektronickeho maji. Kdyz maminka kamarada zadala ted o duchod, tak pobocka CSSZ v miste jejiho soucasneho bydliste trvala na tom, ze musi zajit na pobocku CSSZ v miste sidla zamestnavatele a prinest potvrzeni. Potvrzeni od CSSZ pro CSSZ, ze v tom jako CSSZ nema interne bordel. Ted, kdyz slysim, ze uz komunikuji elektronicky se tesim az pujde do duchodu moje maminka. To bude uzasne, az poslu CSSZ zadost o potvrzeni, oni mi ji, alektronicky podepsanou poslou, ja k tomu prihodim jeste svuj podpis a to cele odeslu zpatky zase na CSSZ, kde overi muj i svuj vlastni podpis a diky tomu se pozna, ze v evidentci CSSZ je vsechno jak ma byt, protoze CSSZ si to pro svoji vlastni potrebu sama sobe potvrdi. Je uzasne uzitecna ta nova technika muze byt a kolik papiru se tim asi usetri ...

Jen k tem disketam. Kdyz jsem si zadal o certifikat v Ebance, take po me chteli dorucit zadost na diskete. Zeptal jsem se na CD, a pry muze byt. Jenze protoze mi 6ty smysl nedal, vyndal jsem pro jistotu ze skrine FDD mechaniku a nahral tu zadost jeste na disketu. A samozrejme, zadost z CD sice pravda precist problem nebyl, ale ten nastal v okamziku, kdy bylo treba zpet nahrat bankou podepsanou zadost ;).
Vypalovacka nebyla. Ani jsem se na pracovnici banky nezlobil, pokousela se na CD soubor ulozit z jejich aplikace a me bylo hned jasne, ze tohle nema sanci na uspech. Jen me prekvapilo, ze s necim takovym proste nepocitaji. Zvlaste kdyz dnes uz opravdu neni zadny duvod pouzivat diskety (bal jsem se hlavne toho, ze nez ji donesu domu, nebude citelna).

U nás zavedli informační systém. Rektor je informatik, tak si hraje.
Průšvih nastal v momentě, kdy se elektronické údaje začaly používat místo zápisů v indexu. Za čtvrt století co zkouším, se mi nikdy nestalo, aby mi student druhý den přišel s prázdným indexem, že mu z něj přes noc zmizela známka. Za dva roky, co jsem nucen používat tuhle elektronickou ptákovinu, se mi to stalo v cca dvaceti případech.
Patrně ještě větší průšvih nastane, až se tam známky naopak začnou objevovat, a určité procento studentů školu vychodí čistě virtuálně.

Proto těmhle věcem nevěřím. Nevěřím tomu, že neexistuje databáze elektronických identit, s jejíž pomocí bude možné "autenticky" podepsat kohokoli, kdo si takovouto identitu zřídí.
Nevěřím tomu, že v ryze elektronicky vedených úředních dokladech nebude možné nadělat obrovský binec, na kterém se někdo dobře nenapakuje (najednou zjistíte, že jste někomu "výhodně" prodali dům, ve kterém bydlíte apod.). Možnost průkazu padělku (a tudíž dovolání se práva) je u papírových dokladů mnohonásobně vyšší než u dat na disketě nebo CD (o HDD u nějaké pochybné organizace raději nemluvě). I částečně poškozený papírový doklad je čitelný a identifikovatelný, diskety a CD "chcípnou" v dost vysokém procentu zcela spontánně, jen ležením v obalu v šupleti, ani data na HDD nejsou stoprocentně bezpečná. Jsem ochoten věřit tomu, že nucení občanů k výlučně elektronickému evidování spousty věcí je vedeno ze strany některých subjektů právě takovými postranními úmysly.

Elektronická evidence má jistě neocenitelný význam jako pomocné údaje, pro statistiku apod., ale rozhodně by výlučně na ní neměly být založeny nějaké právně závazné vztahy.

Za I.CA stala drive IPB (mozna jen neprimo pres PVT). Jako zamestnanec jedne dcerinne spolecnosti IPB jsem take utrpel veselou historku s porizovanim osobniho certifikatu...
I.CA se mi proste jevi jako totalne neschopna firma, vylozene skolni priklad. Neni divu, ze lide certifikaty nechteji, kdyz s jejich porizovanim maji spatne zkusenosti a jeste k tomu nemaji na vyber. Hm, docela by mne zajimalo, co na to antimonopolni urad... Tady soudruzi z MICR udelali chybu.

Pokud je nejaka sluzba poskytovana monopolne, musi stat hlidat, ze je nabizena za primerenou cenu. Ten kdo chce 700kc za to ze zkontroluje par udaju na zadosti o kvalifikovany certifikat oproti udajum v obcance a pak bouchne do tlacitka kterym mou zadost podepise, chce cenu ktera primerena NENI.

Jsem si naprosto jisty ze jako komercni subjekt poskytujici stejnou sluzbu (pravdepodobne i kvalitneji) bych mel velmi slusny margin i s desetkrat mensimi poplatky.

Jinak vy cekavate ze Mlynar neco udela dobre? Nebudte naivove... http://www.root.cz/clanek/2212

Ja jsem take majitelem kvalifikovaneho certifikatu, seriove cislo 9.

Nepotrebuji ho, nechal jsem ho vystavit z profesiobalniho zajmu. Nakonec mam certifikaty nekolika zahranicnich agentur, tak proc nemit take cesky. 770 Kč není málo, ale v odmene za nasazeni PKI u zakaznika se to da vyuctovat.

Take jsem ho chtel mit vystaveny pod linuxem. Tam jsem narazil. Nedozakazal jsem sehnat patche do OpenSSL, ktere by mi umoznily pouzivat 64-bitove Unicode kodovani, ktere se pouziva uvnitr certifikatu I.CA (mimochodem nepisi lide po tecce mezeru?) Pokud by takove patche existovaly, mam subjektivni pocit, ze mam struktury certifikatu nastudovane tak, ze bych dokazal s OpenSSL vystavit zadost u ktere by I.CA nedokazala poznat, ze neni vystaven jejich aplikaci.

Nuz na vyber bylo generovani certifkatu pomoci absolutne neduveryhodne aplikace distribuovane v binarni podobe a podobne neduveryhodne aplikace v podobe active X komponenty ICA enroll. Tezke rozhodovani. Nakonec zvitezila aplikace, ta alespon nekomunikuje po Internetu a snad muj privatni klic neproflakne. Jeste aby ho generovala nahodne. Par pokusu ukazalo, ze alespon neni pokazde stejny, takze budeme verit, ze je nahodny. (Predstavte si, jakou paseku dokaze napachat ten, kdo jednou dokaze distribuovat takovouhle aplikaci negenerujici nahodne privatni klice.)

Takze mam zadost a jdu do CSOB pro overeni. Prvni adresa v seznamu byla Vitezne namesti 5. To mam hned u skoly, proc ne. Jenze ouha, dlouho tam nikdo nic o certifikatech nevedel a nakonec sehnali nekoho, kdo me rekl, ze oni tedy v zadnem pripade. Poslal me do pobocky o 100 metru dale, adresa jina. Tam vedeli a meli hned tri proskolene osoby. Certifikat me vystavovali postupne vsichni tri. Neslo jim to. Volani do ICA = vsichni tri maji propadle certifikaty. Aplikace jim to nerekla, o autorovi takove aplikace si myslim zcela nepublikovatelne veci.

Takze dalsi pobocka CSOB. Vybral jsem tu v Jindrisske, velka pobocka, tak by mozna mohli chodit lide z okolnich uradu. Pan byl velmi prekvapen, ze chci certifikat. A kupodivu mi jej dokazal i vystavit. Overeni ICA trvalo pul hodiny, takze tam chudak zustal po pracovni dobe. Rikal, ze to nekdy trva i dele. Opet se to neobeslo bez volani na ICA, ale jen takove pingnuti mate to = mame to.

Kazdopadne musim lidi z RA pochvalit, ze meli velmi profesionalni chovani. Kdyz se omlouvali, ze to dlouho trva a nebo ze jim to nejde, tak opravdu vzbuzovali dojem, ze to snad i mysli vazne. Ptal jsem se jich, co by rikal, kdyby si o certifikat prislo vsech 200 tisic pojistencu spratelene pojistovny. Na to rikali, ze to tedy nevedi, protoze pri rychlosti aplikace je propustnost jedne RA asi 12 lidi za den.

Takze stal jsem se s vynalozenim 4 hodin casu + 770 korun majitelem certifikatu. Mimochodem, pokud se domnivate, ze v CSOB lze neco zaplatit embosovanou platebni kartou, tak jste na tezkem omylu, poslali me do bankomatu a s penezi zase zpet.

Nuz zacal jsem si certifikat uzivat. Jenze ouha, jedna ze hodne zajimavych aplikaci je sluzba casovych razitek, ktera ma dostat podle slibu na webu kazdy drzitel certifikatu vystaveneho I.CA zdarma. Jenze ja ho nedostanu vubec, kvalifikovany certifikat mi totiz jejich aplikace odmita prijmout. Takze reklamace mailem (podepsanym jejich kvalifikovanym certifkatem), po tydnu urgence telefonem, oboje bez odpovedi. Kdyz jim zavolam, poznamenaji si cislo a slibi se ozvat. Jeste par dni zbyva do 30 dnu a bude nasledovat vypoved smlouvy pro poruseni zavazku poskytovat technickou podporu a pro klamani spotrebitele nepravdivymi informacemi.

A jen takova perlicka, pri organizaci prednasky RMS jsem posilal pozvanky podepsane kvalifikovanym certifkatem. I ministru Mlynarovi. Odpovidal mi nepodepsanymi maily. Potom jsem omylem poslal mail podepsany mym Thawte certifikatem (jsem WOT notary) a odovedel podepsanym emailem. Podivil jsem se, proc jsou nektere odpovedi podepsane a jine a ne a odpoved byla: Podepisuji odpovedi jen na podepsane emaily. Z toho mi vyplyva, ze emaily podepsane kvalifikovanym certifikatem se jako podepsane nezobrazily. Mozna nekdo nema korenovy certifikat pro kvalifikovane certifikaty instalovan.

Mimochodem overil jsem, ze vychozi instalace pocitacu v poslanecke snemovne, senatu, ministerstvu zdravotnictvi a dopravy certifikat neobsahuji, takze kdyz tam poslete podepsany email, tak se zobrazite jako podvodnik.

Na druhou stranu, I.CA je jiste v tezke situaci. Vim jake jsou pozadavky na jejich servery a hosting a take kolik to orientacne stoji. Kdyz si predstavim, ze bych tohle provozoval a pritom vystavil po roce behu na jednu RA 9 certifikatu, tak to je na masli. To se pak nedivim, ze reditel dela soucasne sekretarku a technickou podporu. Ono mu asi nic jineho nezbyva, jeste by mohl ve volnem case stat pred uradem vlady s transparentem, mila vlado, kdyz jsi me do toho uvrtala, tak mi ted pomoz a zajisti, aby lidi nejake certifikaty chteli. Kdyz jsem dostaval akreditaci, to bylo reci jak vsichni budou mit certifikat. Proverovala me BIS, abych nahodou neutekl s certikaty milionu lidi a ted jich ma kazdy prumerny podnik vice od interni CA nez jsem jich mel moznost vydat ja.

No tak to je síla a možná by to byl zajímavý náměr pro TV reportáž. Opravdu jsme maximální kocourkov a mimo jiné to dokazuje, že Mlynář je jedině šašek, který umí dělat gesta pro média. Ostatně kdo si s ním někdy mailoval, tak jen z jeho češtiny na úrovni prvního stupně ZŠ (a to je bývalý novinář a současný ministr) se mu muselo dělat špatně.

Dodal bych, že MIČR má těžkou pozici, Telecom tam tlačí především Gross a je to skutečně průser, protože po jeho
dybatizaci (Telecomu) bude infrastruktura celé státní správy v rukou JEDINÉ soukromé firmy a to raději do konce ani nedomýšlím.
Tato firma pak bude mít možnost tlačit stát, kam bude chtít a v případě potřeby služby např. nebudou fungovat z "technických důvodů". No prostě nechci malovat čerta na zeď, ale podle mne, jestli se s tím něco neudělá, bude to dost katastrofální...

Docela bych Ti to, Dane, pral, ale myslim, ze se Ti tak nestane. Staci jeden zatvrzely debil v tom celem retezu a je utrum.

Jestli mate problemy s IS MUNI, tak si stezujte na isna@fi.muni.cz. Veskere zmeny jsou oznaceny casem a osobou, kt. je provedla. Jinak za me dvoulete studium na FI MUNI jsem se s podobnym pripadem nesetkal.

Proboha, snad jsem uspesne nevzbudil dojem, ze to nadseni myslim vazne.

Jedine, v co mam malou nadeji a co bych povazoval za nebetycny pristup elektronickych certifikatu kvalite bezneho zivota by bylo, kdyby nahodou tu elektronickou komunikaci skutecne zavedli, ze by snad uz konecne (porotoze na ni je to lepe videt) nekoho napadlo, ze to, aby jedna organizace sama sobe vystavovala nejaka potvrzeni (a jeste si jejich ziskani nezarizovala interne, ale nechala to vyrizovat klienta) je proste kretenismus ...

No ja vim - jeste predvcirem jsem v jien diskusi nekomu vycital, ze je nerealisticky idealista - a uz jsem do toho spadnul taky ...

Díky za asi nejzajímavější příspěvek do diskuse. Zaujalo mne hlavně potvrzení toho, čeho jsem se obával: I) že můj privátní klíč není bezpečný (nemohu jej vytvořit sám), II) že CA která prodává vládou schválené certifikáty není v kořenových certifikátech počítačů, které vláda používá.

"jedna organizace sama sobe vystavovala nejaka potvrzeni"

V nasem kocourkove bohuzel naprosto bezna praxe. Proc by se chudak prepracovana pani mela obtezovat vyzadat si nejake dokumenty z oddeleni ve vedlejsi kancelari, kdyz to potvrzeni preci chcete vy => posle vas tam a vystojite si dalsi hodinovou frontu.

O komunikaci mezi urady statni spravy radsi nemluvim vubec.

Hmm, o svych zkusenostech z FELu (CVUT) pri zavadeni podobneho systemu bych mohl napsat celou esej. Bezne prislo na zkousku pro 20 studentu lidi 100, pri zapisech predmetu byl vypsan predmet pro 400 lidi, ale cviceni jen pro 200 (vyreseno cvicenim pro 200 lidi v prednaskovem sale) a pod. Studentum a vyucujicim to bylo proste "hozeno na hlavu" a starejte se.
A to se da na teto skole predpokladat, ze drtiva vetsina lidi nema problem s pocitaci pracovat.

Pokud vim, system nebyl zrovna zadarmo a myslim si, ze podobna skola ma dost schopnych studentu, kteri by mohli system v ramci nejakeho predmetu vyvynout a hlavne otestovat.

Ja jsem nepsal, ze je to JEDNODUCHE, ja psal, ze to muze delat KDOKOLIV, kdo SPLNI zakonne podminky.

Ktere "tyhle veci"? :-)

Verim, ze znate kompetencni zakon a vite, jake kompetence ma MICR.

Klidne ji muzes rozebirat na jakemkoliv retorickem skoleni :-)

Ja vim jedno. Zastupitelska demokracie ve sve prapuvodni podobe, ktera je u nas v podani vetsiny parlamentnich politickych stran uplatnovana, tak proste funguje.

Podotykam, ze z meho pohledu BOHUZEL. Zmena je jedina, proste vstoupit do politiky a prevalcovat starou gardu :-)

Zakon by nevyjmenovaval konkretni software nebo standardy. To je samozrejme nesmysl. Zakon by vyzadoval, aby rozhrani pro komunikaci (napr. format souboru) bylo dle otevreneho standardu. Tzn. aby kdokoliv mohl soubor cist, zvalidovat, konvertovat, ci jinak modifikovat. To je smysl otevrenych formatu.

A proc na to ma byt zakon? Potrebujeme zakon na kazdou pitomost?

Nebylo by lepsi, aby si stat zridil vlastni CA?

Pokud si myslite, ze by stat mel provozovat sluzby, ktere muze delat lepe a efektivneji soukroma spolecnost, pak zijete hluboko v sociku. Stat by mel nastavovat hriste a ne na nem hrat. Soucasny problem s certifikaty je klasicky problem "vejce-slepice". Lidi nemaji zajem o certifikaty, protoze nejsou aplikace. Aplikace nejsou, protoze predelani autentizacnich mechanismu na PKI holt trva dost dlouho a zatim se to nevyplati, protoze nejsou uzivatele certifikatu.

Mate-li nejaky skutecne podnetny navrh, jak pomoci vyuzivani certifikatu ve verejne sprave, MI Vas prijme jako spasitele. Ale pokud si myslite, ze problem je v tom; koupit jeden server, tak tam radeji nechodte :-)

No treba Vas ustav rovnez zakoupil licence toho uzasneho IS co jina ceska univerzita (a nasadila na vsechny fakulty). Poznamka na okraj - ten zmineny IS je urcen pro strojirenstvi a hutnicky prumysl, informatikum uz asi musi byt jasne, jak je vhodny a ohebny pro univerzitu...

Ja fakt tu kristalovou kouli nemam, ale Euro On-Line pise o tom, ze by Ceska Posta mela vydavat take kvalifikovane certifikaty. Jejich rozhodovani se docela tahlo.

Jo a jestli nechcete cekat na to, ze se v 16:00 objevi ta zprava mezi zpravickami, kam ji v jednu umistil Martin Kopta, navstivte Euro On Line

Samozrejme to vyzaduje velmi castou a neohlasenou kontrolu + povinnost pojisteni (pokud bude zrusena cerifikace, musi byt z ceho uhradit skody, protoze vsichni si budou muset nechat vystavit nove certifikaty jinde).

A tu kontrolu udelaji novi urednici. Mnam mnam ... Ten recept rychle prodejte Skromachovi.

Napriklad nevidim zadny problem v tom, abych svuj certifikat vydany E-bankou pouzil pro komunikaci s urady

Pokud eBanka bude vydavat kvalifikovane certifikaty, muzete bez problemu pouzit jeji certifikat pri komunikaci se statni spravou.

Pokud eBanka bude vydavat kvalifikovane certifikaty, muzete bez problemu pouzit jeji certifikat pri komunikaci se statni spravou.

Kdybys mel pravdu alespon v tomhle. Takze reci, ze s urcitymi castmi statni spravy nelze komunikovat "obycejnym" kvalifikovanym certifikatem, ale pouze takovym, ktery obsahuje (navic, nad ramec povinnych udaju stanovenych zakonem pro kvalifikovany certifikat) jakysi bezvyznamovy identifikator jsou nepochybne jen sproste pomluvy ...

IMO by stat mel provozovat vlastni CA, ale nevydavat certifikaty primo obcanum, jen firmam, ktere teprve budou vydavat certifikat koncovemu uzivateli. Samozrejme to vyzaduje velmi castou a neohlasenou kontrolu + povinnost pojisteni (pokud bude zrusena cerifikace, musi byt z ceho uhradit skody, protoze vsichni si budou muset nechat vystavit nove certifikaty jinde).

Napriklad nevidim zadny problem v tom, abych svuj certifikat vydany E-bankou pouzil pro komunikaci s urady. Overena totoznost je, a generoval jsem si jej sam = je daleko bezpecnejsi nez cosi vygenerovano na cizim PC (pokud jsem spravne pochopil, jak se to generuje).
Neco takoveho nemuze byt duveryhodne uz z principu, copak ja vim, jestli si neukladaji privatni cast nekam jinam nez na tu disketu ?

Samozrejme urady by nedostaly za nepouziti podpisu pokutu jako urad, ale pokutu by dostala prislusna zodpovedna osoba = nejspis vzdy v prvni rade starosta/primator ... a ti by si to pak mohli resit se svym podrizenym.
Toto je totiz zasadni problem cele statni spravy u nas, ze pripadny postih padne vzdy na urad, nikoli na konkretni osobu. A cizi penize jak znamo nikoho nepali.

Ano, to mas pravdu. Nicmene s temi castmi statni/verejne spravy nejde komunikovat ani certifikatem, ktery Ti by default vystavi I.CA.

Tohle je starý problém, o kterém se musí vědět. Stížností na to byly spousty. Stávalo se to dost běžně už v době, kdy se systém "krmil" osnovami předmětů: Jeden den jsme tam několik hodin bouchali data a druhý den jsme se připojili a bylo tam prázdno. Přitom nebylo možné (a dodnes není) to zpracovat offline a odeslat najednou. Pracoviště, která nebyla na pevných linkách, vyplácala za necelý měsíc roční rozpočet jen za připojování k internetu.
Jinak isna@fi.mini.cz je v podstatě /dev/null. Maximálně dojde majlem nejaký blábol o tom, jak je vše vynikající.

Jinak tady nejde o IS, tady jde o obecný problém, že se jakési pochybně zbastlené systémy vnucují lidem k používání (jak tu psal kdosi kousek výš: udělejte povinnou agendu, která by se vyplňovala jen elektronicky). Proč nutit lidi do používání nefunkčních zgarbů? To, co je bezproblémové, a co skutečně práci usnadní, lidi používat začnou. Problém je v tom, že řada elektronické agendy vyžaduje svou nespolehlivostí paralelní vedení agendy papírové, a tím je pouze zbytečnou prací navíc.
Když vím, že je elektronická evidence zkoušek nespolehlivá, tak vedu zkoušecí sešit, jako se vedl už za socíku (a taky v dobách ještě vzdálenějších). A ta povinná elektronická agenda je ovšem zcela zbytečná práce navíc.

Bezvyznamovy identifikator MPSV ale prideluje CA, takze pokud bude eBanka vydavat kvalifikovane certifikaty, tak bude vydavat i bezvyznamove identifikatory.

Teda nevim jak si predstavujete kontrolu, ale ja treba tak, jak to delaji automobilky u svych dealeru. Najdou si zakaznika, kteremu neco nabidnou (v nasem pripade treba certifikat zdarma na X let) a s prislusnymi instrukcemi jej poslou k dealerovi. Ten nic netusi a zakaznik se po te vyjadri ve smyslu "nechteli po me zadny doklad a dali mi certifikat" (overitelne treba ze zaznamu bezpecnostni kamery). Jediny urednik "obslouzi" desitky CA.

Vim, naivni predstava, v nasem pripade by se na to zalozil odbor ministersva, kde by bylo alespon 500lidi, jejich sefa by CA vsude zvali na "sluzebni vecere", jen aby na ne nejaka kontrola neprisla, a cele by to vykazalo 10 kontrol do roka. 1x za 10 let by se nasel obetni beranek a udelal by se z toho exemplarni pripad aby utichly stiznosti na nicnedelani.

Ale mezi nami, kdyz se vyhazuji miliardy za daleko vetsi pitomosti, tech par milionu rocne za takovyto urad se v tom bordelu ztrati ;).

Me osobne bezvyznamovy identifikator pridelilo MPSV. Tak mam dojem, ze jde pouze o zalezitost rozhrani mezi konkretni CA a MPSV.

Myslim, ze automaticky predpokladat, ze kontrola bude stejna jako u dealeru automobilek, je naivni.

I kdyz ponechavam stranou soucasnou "best current practice" nasi statni spravy (zaloz urad, kup barak, zamestnej stovku lidi), stejne mam dojem, ze pripadna kontrola by mela byt na trosku jine urovni nez "virtualni nakup".

BTW skutecne mate dojem, ze urad vyzije s par miliony? :-)

Nechytejte me za kazde slovo. Misto zakonu to muze byt vyhlaska ci jiny pravne zavazny predpis.

Jenze dnes ty "efektivni" a "levne" soukrome firmy prilis efektivni a levne nejsou. Dnes si kdejaka vetsi firma zrizuje vlastni CA, aby mela vnitrni bezbecnou komunikaci. Proc si tyto firmy vystavuji cerifikaty samy? Ze by nase verejne CA byly prilis drahe? Stat je de facto taky takova velka firma. Tak proc si nevydava cerifikaty pro sve urady sam?

MIČR má "tyhle věci" v kompetenci. Při vzniku do sebe převzalo Úřad pro veřejné informační systémy, včetně zákonů umožňující dříve ÚVIS, dnes MIČR, stanovit standardy pro veřejné informační systémy, které jsou pak pro inf.systémy veřejné správy závazné.

I.CA jako firma vznikla v březnu 2001. MIČR vznikl 1.1.2003. Akreditaci měla I.CA od března 2002 od ÚOOÚ. Takže "soudruzi z MIČR" to dostali jak už to bylo.

Jinak, že má I.CA postupy občas kostrbaté bych souhlasil, ale zase byla skutečně první, kdo tomu zde razil cestu. To, že nikdo nenásleduje je spíš indikace toho, že zde není dostatečná poptávka.

Ale vzdyt muzete se svoji ideou navstivit nejakou banku a tam se stat sefem tymu, ktery ten system zavede :-) Ja budu prvni, kdo Vam bude v pripade, ze to zavedete, blahoprat.

No a kdyz uz nemusime mit zakon, nebylo by lepsi postupovat zdravym rozumem misto vyhlaskami?

Pokud se tyce tech efektivnich a levnych firem, nepovazuju 800 Kc za rok za zadnou drahotu. Co je skutecny problem, je nedostatek aplikaci. Pokud ten certifikat k necemu bude, pak si ho poridim.

Proc si firmy vystavuji certifikaty samy? Protoze uvnitr mohou mit libovolne sflikovanou aplikaci - asi tak 30% elektronicky podepisovanych dokumentu mi chodi s podpisem vystavenym "Snake Oil". A duverujte tomu.

Jinak mate asi trosku gulas v terminologii. Neznam pojem verejna CA, nicmene existuje nejmene jedna spolecnost, ktera Vam vystavi nekvalifikovany certifikat, kdyz od nich cerpate nejake dalsi sluzby (a vystavi ho zadarmo) :-)

Ale mozna se pletu a stat by si mel vsechno delat sam a co si nedokaze vytvorit sam, by mel znarodnit ...

Mam pocit, ze "krmeni" systemu probihalo po jeho oficialnim spusteni (rok 1999), takze mozna vase zkusenosti jsou starsi nez me 2 roky, a proto o nich nevim. O tom, ze se nekomu ztratila znamka, jsem cetl jednou dvakrat na newsech, ale vzdy to bylo takove jedna pani povidala. Nikdy jsem nevidel/neslysel konkretni problem.

Je-li IS skutecne nespolehlivy, pak je jiste rozumne vezt papirovou verzi. To ale vede k tomu, ze je IS bran jako pritez a ne efektivni nastroj. Proto jesli mate podezreni, ze v systemu je chyba, nenechavjte si to pro sebe a informujte prislusna mista.

Zrovna tak jestlize vyzadujete davkovy zapis dat do ISu, navrhnete jej vyvojovemu tymu. Dokazete-li dostatecne oduvodnit sve pozadavky, vase vysnena aplikace se bude implementovat. V pripade, ze isna@fi.muni.cz odmita komunikovat, stezujte si na vyssich mistech.

Me si IS libi a velmi mi usnadnuje bezne studentske povinnosti (zapisy, registrace, prihlasovani na zkousky...). Bylo by mi lito, kdyby IS zkoncil pro neschopnost domluvit se navzajem, jaky IS chceme (mysleno obecne mezi vsemi uzivateli a vyvojari).

Jsem si naprosto jist, že ne. 70 Kč je cena operace asi tak za 2-3 výběry z bankomatu, které jsou plně automatizované a to být certifikace vašeho soukromého klíče nemůže (kvalifikovaný certifikát od akreditované CA).

Jenom investice do zabezpečení CA by vás přišly na několik desítek milionů korun.

Pak byste musel mít peníze na provoz desítek ba spíše stovek poboček, zaškolení a údržbu kvalifikovaných pracovníků v nich (RA) atd.

Cena za kvalifikovaný certifikát by mohla a měla klesnout, můj odhad je na polovinu až třetinu, ale při vydání 3000ks za rok to je celé pořád jen pilotní provoz sponzorovaný z jiných činností.

Pokud by certifikáty vydával stát, pak byste pouze měli případně nižší cenu skrytu ve státním rozpočtu a daních, takto je to více průhledné, víte co to stojí.

Jinak naprosto nic Vám v tom, abyste poskytoval onu službu, nebrání!

To je blbost !

Váš soukromý klíč si můžete (dokonce musíte) vytvořit sám. I.CA přijímá žádosti v protokolech podle standardů popsaných v jejich certifikační politice a vydává je opět v jasně daných standardních formátech. Na disketě k nim nenesete svůj soukromý klíč, ale žádost o vystavení certifikátu, kterou pouze podepisujete svým soukromým klíčem. Protože v žádosti je uveden váš veřejný klíč, je CA schopna ověřit, že odpovídající soukromý klíč skutečně máte. Žádost můžete vytvořit hexa editorem, když na to přijde.

Mimochodem, přimlouval bych se za to, abyste všichni měli a používali soukromý klíč pouze z čipové karty, nejlépe s papírem ověřujícím, že má určitou úroveň zaručení bezpečnosti.

Informace o funkcionalitě RA z praxe je ale zajímavá a I.CA by si z toho měla vzít ponaučení. Těmto nuancím nemůže normální člověk nikdy rozumět a šíří se o firmě pak bludy. Chybí jí user-friendliness, prostě asi nejsou peníze.

Tak to pozor. Soukromy klic nevytvarite vy, ale vytvari jej aplikace, kterou poskytuje CA. Ta aplikace neni ani nahodou pripravena na to, ze si udelam klic pres openssl genrsa -des3 2048 a v aplikaci vyrobim potom CSR.

To ze si to muzete udelat hexa editorem je pravda, budete muset znat syntaxi nekolika privatnich OID, ktere do certifikatu vklada jejich aplikace, aby to nepoznali. Oni samozrejme popiraji moznost, ze by podporovali certifikaty, resp. zadosti o ne, vytvorene mimo jejich aplikace. No to jsem se specialne ptal a kolega zjevne take.

S tim, ze by bylo vhodne, aby se pouzivaly certifkaty vyhradne na cipovych kartach lze jen souhlasit. Snad bych jen upresnil, ze pro domaciho uzivatele je jiste stravitelnejsi pouzivat USB tokeny, ktere interne obsahuji cipove karty, ale jsou levnejsi nez ctecka a karta zvlast. Tady ale opet narazime na to, ze I.CA takove tokeny nepodporuje a ne kazdy si v takove situaci umi poradit.

Bezny uzivatel, ktery nema potrebne znalosti nema sanci svuj privatni klic ochranit dostatecne, zvlaste kdyz nektere nejmenovane firmy si predstavuji zabezpeceni tak, ze uzivateli poslou nejaky program a ten si ve vlastni rezii nacte certifikat a privatni klic, pricemz obejde alespon zakladni bezpecnostni mechanizmy uloziste certifikatu v prohlizeci/OS, ktere to jeste mohly zachranit.

Snad bych jen upresnil, ze pro domaciho uzivatele je jiste stravitelnejsi pouzivat USB tokeny, ktere interne obsahuji cipove karty, ale jsou levnejsi nez ctecka a karta zvlast.

Nejen domaci uzivatel. Predstava, ze s sebou taham na sluzebni cestu krome notebooku i ctecku karet, se mi docela zajida. A to radeji nezminuju investicni a provozni naklady v organizaci, ktera ma nekolik stovek PC.

Rozhodně nemám takové znalosti technologického pozadí věci tak, abych mohl být nějakým šéfem týmu, co to bude zavádět. Navíc jsem se svými současnými aktivitami spokojen ;-). Nicméně vidíte na mé úvaze nějaký zásadní nedostatek?

Ad poslední věta - to je stejně inteligentní rada jako když na větu "Velezloděj Klaus se za levárny pod hlavičkou ODS stal prezidentem, KDU jsou slizáci, US je mrtvá, ČSSD lumpové" člověk dostane odpověď "založte si politickou stranu, vyhrajte volby a změňte to". To je nesmysl a každý, kdo podobné rady dává, to moc dobře ví.

Všechny Vaše argumenty totiž vychází z toho, že se rozhodnu na zelené louce postavit firmu pro poskytování certifikátů. Ano, náklady na vytvoření sítě poboček, zabezpečení apod. poleze do desítek/stovek milionů.
Jenže ono existuje podstatně jednodušší řešení - využít již existující infrastrukturu. Např. zmíněné banky mají zabezpečení dávno vyřešeno, národní síť poboček taktéž, takže investice pro zprovoznění se ihned rapidně zmenšují na případné dovybavení poboček, doškolení personálu a samozřejmě "mozek" toho všeho.

Pokud vydání certifikátu znamená kontrola dokladů a něco jako "další, další, dokončit", pak si dovoluji vyslovit hypotézu, že by to nemělo být náročnější než založení účtu v bance. To je u bank zdarma s tím, že náklady na založení si dovyberou při rušení. Jestliže průměrná cena za zrušení účtu u českých bank je 300Kč a obsahuje náklady na založení i zrušení, pak se dostávám na cenu takovéto operace na 150Kč. A to vše s vědomím, že poplatky českých bank jsou nehorázně vysoké a s podezřením, že vystavení certifikátu nezabere hodinu a půl jako založení účtu v bance, čili bude ještě levnější.

Další věcí je uměle vyvolaná nutnost obnovy. Proč certifikát platí jen rok? Občanku také dostanu na deset let. Ten rok je jen proto, aby si vydavatel mohl dobře nahrabat. O ničem jiném to IMHO není. Kdyby stál certifikát 700Kč a platil 10 let, tak si ho teoreticky udělat nechám. Nicméně v praxi nikoliv, protože jak znám náš Kocourkov, hned příští rok by se něco změnilo a musely by se dělat certifikáty nové a ten, kdo by měl starý, by měl smůlu (stejně jako když se zavedly povinné registrace SPZek, pak se to zrušilo, nicméně kdo si to nechal udělat a zaplatil si to, tak zpátky nedostal ani korunu).

A jsme u toho. Prosim nezamenovat pojmy "standard" a "zakon". Kdyz stanovite standard, musite mit efektivni nastroje, jak ho vymahat.

BOhuzel MI nedokazalo najit dostatek kvalifikovanych lidi, aby mohl jeho standardizacni utvar prezit. Sveho casu jsem se trosku zabyval tim, co dotycny utvar delal a vysledky byly ... ehm ...

Tak napriklad byste mohl davat pokutu. Date (jako MI) pokutu MF za to, ze nedodrzuje standardy. Tato pokuta ovsem nezustane vam, jako MI, ale je to prijem statniho rozpoctu, ktery se ocitne v rozpoctove rezerve. Nad ni sice bdi cela vlada, nicmene faktickou kontrolu drzi MF :-(

Podotykam, ze tim nerikam, ze soucasny stav je spravny. Jen bohuzel nevidim to svetlo na konci tunelu.

Nejsem si jist, ze sef tymu musi mit technologicke znalosti :-) Obcas je to dokonce na skodu.

Na Vasi uvaze vidim jeden zasadni nedostatek. A tim je konfrontace s realitou. Nedelejte si iluze, vetsina lidi nejsou uplni pitomci. Fakt, ze do toho zatim krome ICA jde jen Ceska Posta, ukazuje, ze problem neni tak jednoduchy.

> Jenom investice do zabezpečení CA by vás přišly na několik desítek milionů korun.

Nerozumim. Jedine co je treba zabezpecit je PC kde je privatni klic od CA, aby I) jej nikdo nezjistil II) jej nikdo neautorizovane nepouzil. To jde zajistit beznym tamper-proof hardware a auditovanim kazdeho podpisu.

Domnivam se ze dat jednoduche, vysoce bezpecne PC s jednoucelovou aplikaci, bootovane z flashky do trezoru, a zezadu vyvrtat malou diru pro kroutak NEBUDE stat desitky milionu. ICA snad postavila betonovej protiatomovej bunkr?

> pak byste musel mít peníze na provoz desítek ba spíše stovek poboček, zaškolení a údržbu kvalifikovaných pracovníků v nich (RA) atd.

Pobocky jsou zbytecne (resp staci jen jedna, centralni, kde se fyzicky kazdy CSR podepisuje). Staci vyskolit pracovniky (jedno nebo dve odpoledne by mohly stacit), a kazdemu priradit napr nejblizsi verejnou knihovnu. Kazdy kdo ma zajem o vydani certifikatu posle mailem CSR, na kus papiru si napise svuj fingerprint, a domluvi si schuzku. Ja jako CA kazdy den rano vytisknu vsechny pending CSRka na archy podle lokalit, a rozdam je pracovnikum. Pokud se oni s zadatelem o certifikat setkaji, overi jeho totoznost, doklady, a shodu fingerprintu, jenom si do archu poznaci datum a cas overeni, a skrabnou pod to svuj podpis.

Archy s podpisy zapecetim a poslu do centraly, tam se overena CSRka podepisou, a vydane certifikaty se mailem poslou zadatelum zpatky. Tot vse, zadna rocket science. Overeni zadosti o certifikat se klidne muze odehravat na lavecce v parku, a trvat 5-10 minut. Proto se domnivam ze poplatek 70,- je naprosto dostacujici.

> Cena za kvalifikovaný certifikát by mohla a měla klesnout, můj odhad je na polovinu až třetinu, ale při vydání 3000ks za rok to je celé pořád jen pilotní provoz sponzorovaný z jiných činností.

Souhlasim ze pri soucasne nesmirne neefektivni realizaci, navrzene zcela nekompetentnimi lidmi, cena odpovida nakladum. Souhlasim take ze cena NENI hlavni duvod, proc si certifikat lide neporizuji- tim hlavnim duvodem je jeho nepouzitelnost.

> Pokud by certifikáty vydával stát, pak byste pouze měli případně nižší cenu skrytu ve státním rozpočtu a daních, takto je to více průhledné, víte co to stojí. Jinak naprosto nic Vám v tom, abyste poskytoval onu službu, nebrání!

Aha, takze staci abych si zalozil CA, panu Mlynarovi poslal svuj pubkey, oni moje neortodoxni procedury zaudituji, a hned pote zacnou akceptovat certifikaty, ktere budu vydavat? Jste si jisty, ze vite o cem mluvite? Ano, v normalni zemi a normalnim ministerstvu by to tak mohlo fungovat, ale o panu Mlynarovi vim sve uz od jeho role ve sporu s CME.

IMHO by je mít měl, protože pak by se struktura týmu musela docela dost rozrůstat směrem dolů a to si nemyslím, že je ideální.

Ohledně lidí a pitomců jste docela optimista. Měl jsem co do činění s dvěma bankovními ústavy u nás (myšleno směrem zevnitř jako externí dodavatel) a když jsem viděl, jak to v jejich IT infrastruktuře funguje, tak jsem myslel, že mě normálně omejou. Ono stačí, když je pitomec šéf (právě třeba proto, že tomu prd rozumí, ale není schopen si sehnat někoho, kdo ano). Ostatní (řadoví) do toho moc kecat nemůžou a když to jakž takž funguje, tak s ten chytrák nemá seshora problémy.

Oni samozrejme popiraji moznost, ze by podporovali certifikaty, resp. zadosti o ne, vytvorene mimo jejich aplikace. No to jsem se specialne ptal a kolega zjevne take.

Pokud je toto tvrzeni overitelne, je naprosto neuveritelne a troufam si rict SKANDALNI ze vubec dostali od ministerstva licenci.

No, rekl bych, ze sefu takovychto tymu (s tak dlouhymi prsty, ze mohou takto zasadne ovlivnovat v bankach portfolio sluzeb) je zhruba tolik, kolik je ministru. Pokud neuvazuji vazne o tom, ze se zitra stanu ministrem, nemohu vazne uvazovat ani o tom, ze se zitra stanu takovym sefem.

Takze to je dalsi z irrelevantnich rad typu "kdyz ti vadi, ze jsem hajzl, tak to pojd delat misto me". ;-)

Osobně se domnívám, že celý humbuk s bezvýznamovým identifikátorem je jen způsob jak tahat z lidí peníze do kapes 1.CA - marketingový tah, a navíc IMHO krátkozraký.
V opačném případě, kdy by se řeklo, že všechny certifikáty vystavené oprávněnou agenturou budou "kvalifikované" - tedy doplněné bezvýznamovým identifikátorem - a za cenu nekvalifikovaného (nějak nevidím rozdíl v užitné hodnotě tak proč v ceně?) - by totiž najednou bylo vlastníků kvalifikovaných certifikátů jak naseto.. které všechny banky mají certifikace přes 1.CA, kupříkladu?

Jinymi slovy: proc bych neco delal, kdyz si muzu na LUPE postezovat, jak mi ublizujou, a budu spokojenej.

Nehledejte umysl tam, kde to jde vysvetlit nekompetenci. Treba ocekavaji ze polocas leaknuti/zlomeni klice, kterym certifikaty podepisuji, je mirne pres jeden rok. Docela chvalyhodna sebekritika, nemyslite? :) :) :)

Nádheráááá ! já málem padl ze židle...
počkejte, ono se Vám fakt podařilo získat kvalifikovaný certifikát od 1CA přes ČSOB odkazem na VZP zadačo?
to by byl skutečný průlom "Českou cestou" ;-)

S VZP to nemá nic společného. Na www.portalzp.zp probíhala akce, kdy prvních 1000 zájemců dostalo certifikát zdarma.

CSOB. Ale neni to "kvalifikovany" certifikat. I.CA provozuje, krome kvalifikovane CA jeste "komercni" CA (nekvalifikovanou). CSOB pouziva tyto certifikaty. Podle meho totiz nemuze a nechce pouzivat pro sve klienty "bezny" kvalifikovany certifikat - nechce samozrejme proto, ze je pro jeji klienty zbytecne drahy. No a nemuze - duvody jsem popsal v prispevku nahore. Z kvalifikovaneho certifikatu nelze ani nahodou poznat, jestli ucet X.Y., na jehoz stav se chcete prave podivat je vas nebo nikoli ...

Ja tedy 800Kc povazuji za hodne vysokou a hodne premrstenou castku. Za vygenerovani jednoho cisla a zverejneni prislusne casti behem 5ti minut prace (vcetne overeni totoznosti) by i 1/10 bylo dost.

To je prave ono, pokutu by mel dostat ministr osobne, protoze on je za to odpovedny. A pripadne v jeho pravomoci je pokutovat sve podrizene.

To bud musite zmenit zakony nebo se odstehovat do nejake zeme, kde je to tak, jak Vam to vyhovuje :-)

Jejda, takovy skvely byznys, proc do toho nejdete? A proc do toho nejde vubec nikdo? Sakra sakra, jestli on tam neni nakej hacek ...

I.CA. nevydala, podle vseho, nikdy zadny certifikat serioveho cisla "9". Pokud vidim, tvuj certifikat:

 Data:
 Version: 3 (0x2)
 Serial Number: 10004604 (0x98a87c)
 Signature Algorithm: sha1WithRSAEncryption
 Issuer: CN=I.CA - Qualified root certificate 
 (kvalifikovaný certifikát poskytovatele) 
 - PSEUDONYM,
 C=CZ, 
 L=Podvinný mlýn 2178/6, 190 00 Praha 9,
 O=První certifikační autorita a.s.,
 OU=Akreditovaný poskytovatel certifikačních služeb
 Validity
 Not Before: Apr 14 14:55:02 2004 GMT
 Not After : Apr 14 14:55:02 2005 GMT
 Subject: C=CZ, CN=Dan Ohnesorg, 
 L=Rudná u Prahy, Jinočanská 367/7/Email=dan@ohnesorg.cz, 
 G=Dan, I=DO/name=Dan Ohnesorg, 
 S=Ohnesorg, SN=ICA - 10008174
 ....
 X509v3 Certificate Policies: 
 Policy: 1.3.6.1.4.1.6625.1.1.4.4
 CPS: http://www.ica.cz/qcp/cpqpica02.pdf
 User Notice:
 Explicit Text: Tento certifikat je vydan 
 jako Kvalifikovany certifikat 
 v souladu se zakonem 227/2000 Sb.

... ma seriove cislo 10004604. To jen pro poradek.

Kdyz uz jsem tak brouzdal po databazi - celkem bylo dosud vydano (do tohoto okamziku) 5063 kvalifikovanych certifikatu. Z nichz 1345 bylo vydano (zatim) tento rok, Loni to bylo 2944 a rok predtim (to sluzba zacinala - prvni certifikat byl vydan 29.3.2002) 773.