Názory k článku Jak to je nyní s elektronickým podpisem v ČR?
-
Článek je starý, nové názory již nelze přidávat.
- Podle hodnocení
- Podle vláken
- Nejnovější
-
Dan Lukes (neregistrovaný)Ale znovu opakuji: strany se mohou dohodnout, že budou používat, alespoň pro přechodné období, "obyčejný" certifikát
To ovsem mohli i pred platnosti tohoto zakona a mnozi tak take skutecne cinili. A tak v soucasnosti je hlavnim a snad i jedinnym prinosem tohoto zakona, ze se v podstate poprve v ceskem zakonodarstvi objevil pojem "el. podpis". Z praktickeho hlediska se vsak stale nezmenilo nic a z praktickeho hlediska je tedy prinos noveho zakona nulovy.
Jinak je potreba pochvalit, ze jiz sedmy navrh vyhlasky je natolik kvalitni, ze z nej alespon vymizely veci v primem rozporu se zakonem ...
Ostatne, ostatnim doporucuji se na e-podpisy podivat - volne cituji
- kamenem úrazu je stále vyhláška, kterou má vydat ÚOOÚ. Minulý týden jsme se dozvěděli, že to zřejmě dříve než v červenci nebude
- ÚOOÚ nemůže vydat vyhlášku, kterou podle ZoEP má vydat
To, co muzeme delat dnes - pouzivat obecne certifikaty, to prakticky slo i bez zakona. To co ma zakon prinest hlavniho je zavisle na vyhlasce, kterou organ, ktery ji ma a musi vydat neni vubec opravnen vydat.
A to se zatim ve vyhlasce resi jen situace jak zajistit, ze podpis VUBEC pujde vydat a nebude zneuzit primo vydavatelem, respektive nedojde k uniku primo od nej. O mnoha dalsich probleme se vsak vyhlaska zatim jen zminuje v priloze 3, kde je zmineno (nekdy jen ve velmi jemnych naznacich) spousta problemu k reseni, ale z reseni tam neni ani carka. Zustava napriklad nevyreseno zneplatneni.Kdyz dojde ke kompromitaci podpisu muze nalezce, pres jeho zneplatneni, nadale podepisovat jakekoliv dokumenty antedatovane. Bud' je takovy podpis zpochybnitelny - ale pak jsou od okamziku zneplatneni zpochybnitelne VSECHNY podpisy provedene zneplatnenym klicem a zakon ponechava prijemce podepsanych dokumentu v pekne nejistote, nebo se na nej da spolehnout - pak je ale ve velkem nebezpeci kazdy, kdo si podpis necha vystavit - protoze ho ale opravdu nesmi nikdy ztratit. Resenim mozna jsou casove znamky, o kterych se, ale spise mimochodem, jeden bod prilohy take zminuje. Dale vyhlaska nijak neresi jakym zpusobem bude kvalifikovany certifikat jednoznacne vztazen ke konkretni osobe (coz souvisi s problemem jak poznam, jestli je podpis na dokumentu skutecne podpis toho, v koho doufam) - a bez toho je prijemce znovu ponechan ve znacne nejistote, protoze se muze ukazat, ze podepsany dokument je bezcenny car, protoze dokument je ve skutecnosti podepsan nekym, koho se vubec netyka - ano, vyhlaska snad nekdy popise vlastnosti komponenty SHI, ale ta poskytuje jmeno, nikoli jednoznacnou identifikaci. Mozna to ale vyresi CCV, pokud ale bude DOBRE definovan format vystupu. A tak dale, a tak dale. K praktickemu pouziti (myslim tim pouziti, kdy se nejprve kazde dve strany nebudou muset smluvne dohodnout na vsem moznem) ma zakon dokonce i s vyhlaskou pekne daleko a jeste si s nimi budeme pekne dlouho uzivat
-
Milan Berka (neregistrovaný)Tak za prvé - pokud smluvní strany uzavřely smlouvu o uznávání elektronického podpisu před vlastním zákonem (čemuž nikdy nic nebránilo), tak jim zákon nepřinesl vůbec nic.
Za druhé - tak zvaní odborníci přes počítače by měli nejdříve vyprodukovat software, který bude podepisování dokumentů podporovat dříve než se vrhnou do prosazování zákonů - nějak nevidím např. v MS WORDU tlačítko PODEPSAT DOKUMENT, nějak mi chybí v Exploreru možnost PODEPSAT formulář objednávky a také mi chybí možnosti pro podpis a ověření HTLM stránky stažené ze serveru. Jediné, co lze je podepsat mail a to je celkem skoro k ničemu.
Za třetí - vhodné místo pro práci pro počítačové odborníky vidím i třeba v oblasti doplnění protokolu SSL o podepisování a ověřování bloků přenášených informací ...
Za čtvrté - certifikační autorita se nestane autoritou tím, že se za ni prohlásí nebo ji vyhlásí stát, spíše naopak...
Bez skutečné práce v této oblasti jsou to pořád jenom řeči a řeči... -
Ales Prokop (neregistrovaný)Zcela jasny souhlas
pokud nebude standard pro format formulare a pripojeni podpisu k datum je to o nicem.
poslat danove priznani mailem jako doc a ten mail elektronicky podepsat je uplne k nicemu, protoze jakmile se data z mailu ulozi jsou bez podpisu a dohledavat data vzdy z mailu je nesmysl.
Pokud vim zatim zadny podobny format, ktery by pouziti dokumentu a podpisu soucasne neexistuje (napr. .doc a s podpisem na konci .sdoc)
Ales -
vIp (neregistrovaný)A neumi to nejak Adobe Acrobat? Kazdopadne je to bida, jak se bude pouzivat el. klic pri nakupech skutecne nevim. A ze bychom diktovali zakaznikum "bezte si k CA vygenerovat svuj podpis"? Hmm... K cemu to je dobre nevim (vlastne ano = k nicemu!), ach ti teoretici. Tak na pristi 3 roky k sifrovani dat, a to je asi tak vsechno.
-
Dan Lukes (neregistrovaný)Tlacitko "PODEPSAT" ve Wordu byt pravdepodobne vubec nemuze. Wordovsky dokument je nepodepsatelny, pokud nebude verejne publikovan naprosto jednoznacny zpusob, jak takovy dokument interpretovat. V soucasne dobe je Wordovsky dokument plny nejruznejsich fragmentu predchozich verzi a ruznych neplatnych kousku textu - pokud takovy dokument podepisu a nekdo pro jeho prohlednuti pouzije nejaky jiny program nez M$ Word, mohlo by se ukazat, ze jsem podepsal dokument uplne jineho zneni, nez se domnivam ...
A podobny problem je i s jinymi formaty, bohuzel, XML (bez konkretni definice) z toho zcela nevyjimaje. Pro podepisovany dokument musi byt naprosto jednoznacne urcena jeho interpretace. Nejednodussi samozrejme je, pokud je dokument v US-ASCII (tedy bez diakritiky) nebo plain-text s diakritikou v jednoznacne urcenem kodovani.
-
Luděk Rašek (neregistrovaný)S DOCem je opravdu při podepisování problém. XML však bude poskytovat velice dobré prostředky pro podepisování (viz odkaz v komentáři Jiřího Koska). Součástí vznikajícího doporučení XML Signature je tzv. Canonical XML, což je přesně to, co požadujete - přesně specifikovaný formát (proud bajtů), na který se převádí libovolný XML dokument (část) před provedením podpisu. Je přesně definováno , jak každý konkrétní dokument převést na kanonickou formu (kódování, zpracování mezer, konců řádkú apod.)
-
Yenya (neregistrovaný)[...]platí, že použití zaručeného elektronického podpisu zaručuje, že dojde-li k porušení obsahu datové zprávy od okamžiku, kdy byla podepsána, toto porušení bude možno zjistit.
Vyplývá z toho, že potřebujeme kvalifikovaný certifikát, [...]
Ne, to z toho opravdu nevyplývá. Existují i jiné metody, než použití certifikátu, které umožní detekci změny zprávy (ať už použití jiné formy podpisu jako je GnuPG, nebo třeba to, že adresátovi sdělím jiným kanálem - například telefonem - MD5 hash zprávy).
Někdy mám dojem, že právníci by měli studovat elementární logiku daleko intenzivněji, než třeba matematici. Nic ve zlém.
-Yenya
-
Pavel Janda (neregistrovaný)Nevim jestli to bylo na Lupe, ale pred par dny vysel nekde clanek o el. podpisu. Odbornik na soudni pre v nem popisuje, jak probehne prvni soud ohledne pravoplatnosti el. podpisu na nejakem dulezite obchodni smlouve.
Zalovany totiz prohlasi, ze sice jeho odpurce-odpurce doklada pred senatem soudu nejaky dig. podepsany dokument, ktery ma byt sice podepsan jeho dig. podpisem na dokonce na jeho pocitaci, ale ze on ho osobne nikdy nepodepsal a zcela urcite nesedel v dobe, case a miste, ktere uvadi zalujici soudu jak dukazy u sveho pocitace, na kterem byla smlouva dig. podepsana.
Podle tohoto clanku nemuze soud nikdy rozhodnout v neprospech tohoto zalovaneho, protoze nemuze v zadnem pripade se 100% jistotu tvrdit, ze zalovany skutecne nebyl nekym pri vlozeni dig. podpisu at umyslne ci neumyslne zastoupen. (tedy, ze je dig. podpis nebyl zneuzit).
Vyrok soudu tedy bude znit - zalobce ma sice pravdu, ze na nim predlozenem el. dokumentu je el. podpis zalovaneho, ale neni mozno s urcitosti rici, zda-li ho skutecne podepsal zalovany a pro nedostatek dukazu se tedy rizeni zastavuje.
Tedy je zde uvaden zakladni rozdil mezi vahou obycejneho vlastnorucniho podpisu a nesrovnatelne mensi vahou dig. podpisu.
Tedy shrnuto : ve skutecnosti v praxy je el. podpis prakticky k nicemu a prava vznikla na zaklade jeho pouziti jsou prakticky nevymahatelna.
Na co tedy je tento zakon, tento el. podpis a cely tyatr kolem?
Odpovi mi pan Smejkal? -
Jiří Rybář (neregistrovaný)Nejsem rozhodně odborník na právo, ale přijde mi to úplně stejné, jako když by mi někdo ukradnul občanku a na ni si pak půjčil v půjčovně automobil, který by následně taky ukradnul.
Nevím, jak takový případ řeší soud, ale jestliže dotyčný okradený nenahlásí, že byl okraden, pak se nesmí divit, že bude vyšetřován. V praxi pro mě vyplývá, že pokud budu chtít používat elektronický podpis, budu muset provést taková opatření, aby ho někdo nemohl zneužít.
Nejsem ovšem právník, třeba se pletu... -
marek (neregistrovaný)Nesmysl.
Ja, jako BFU si objednam u nejake firmy
produkt "digitalni podpis", a budu platit
pausal za to ze :
*) muzu "klikanim" digitalne podepisovat
*) kazdy mesic dostanu podrobny ucet,
co jsem (si) kde podepsal.
A pokud najdu na svem vypisu nejakou nepravost,
udelam bugr ;) a pujdu si hned stezovat (na lamparnu)
Je to stejne jako s telefonem. Pokud me nekdo
napichne MOJI dvojlinku, tak MAM sanci na
soud a reklamaci.
Tedy konkretne :
Prijde ke me domu technik z "firmy", otestuje jak
mam zabezpeceny pocitac/ jake mam bezpecnostni
znalosti a nabidne konkretni portfolio :
*) 10000.- Kc mesicne pro uzivatele Windows
*) 5000.- Kc mesicne pro nezabezpecene *NIXy
*) 1000.- Kc pro zabezpecene masiny.
A je logicke, ze v cene bude zapocitano i pojisteni
proti zneuziti do nejake vyse.
Staci, aby nejaka E-banka nabidla "tuhle sluzbu"
a nebylo by co resit. Je to jedinej zpusob, jak
PRAKTICKY zprovoznit E-podpis. Ale chce to hodne
penez :
* zaplatit techniky co obejdou a budou kvalifikovat
jednotliva PC
* pravidelne po X mesicich kontrolovat jednotliva
PC nedoslo li k "pruniku hackeru".
Teoreticky by to mohla delat $oftwarova policie
zaroven s kontrolou legalniho softwaru <genialne ze>
coz by sice usetrilo penize (soft. policii uz mame)
ale moc lidem by se to asi nelibilo ....... -
Michal Bulant (neregistrovaný)Mně vůbec připadá logika zákona poněkud podivná: Např. v paragrafu 2, odst. b) je podmínka, že zaručený el. podpis musí být (mj.) "vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou."
Znamená to tedy např., že pokud došlo ke zneužití mého podpisu, ať již nějakým trojským koněm nebo třeba jiným uživatelem, nešlo o zaručený el. podpis, protože zřejmě nebyl vytvořen pomocí prostředků, které mám pod svou výhradní kontrolou?
A je vůbec počítač s OS a jiným softwarem obsahujícím množství známých i neznámých bezpečnostních děr prostředkem, který mám pod svou výhradní kontrolou? Nebo je to čipová karta, na které mám umístěný svůj soukromý klíč a jejíž firmware umožní inteligentnímu útočníkovi tento klíč odhadnout?
Otázka: jmenujte mi, prosím, prostředek, který jsem schopen podle uvedeného paragrafu udržet pod svou výhradní kontrolou.
Co když se po dvaceti letech ukáže, že v softwaru, kterým jsem podepsal svatební smlouvu, a který se zdál býti pod mou výhradní kontrolou, byla bezp. díra a nešlo tedy zřejmě o zaručený elektronický podpis?
-
Yenya (neregistrovaný)Aha, tak už jsem to pochopil: autoři zákona vyžadují, aby ke zpracování zaručeného podpisu byl použit výhradně Open Source software (zřejmě je vyžadován jako podmínka nutná, nikoli snad dostatečná). Jen Open Source software může člověk (pokud je dostatečně dobrý ve čtení cizího kódu :-) mít pod svojí kontrolou.
Taková podpora Open Source přímo v zákoně mě jen těší :-)
-Yenya
ČLÁNKY DO MAILU