Názory k článku Kvalifikovaný elektronický podpis? Už jde i s novou elektronickou občankou

To je správný český bordel. Na podpis potřebujete dva měsíce studovat obskurní systémy.

Pokud jde o to, kdo bude kvalifikovaný podpis potřebovat, tak bych hádal lidi, kteří potřebují podepisovat něco pro cizinu.

Podle eIDAS je možné, aby při vydání kvalifikovaného certifikátu, byla identita ověřena pomocí elektronické identifikace úrovně vysoká.

Pokud to tak máte, tak bych se, být vámi, nad sebou zamyslel. Neberte to jako urážku, prostě to žádná raketová věda není, jen to chce zvednou zadek a jít si to vyzkoušet, hodnotit to podle toho, že je tu článek s mnoha obrázky, nic o reálném procesu neříká. Když jsem kdysi zařizoval elektronický podpis, byla to otázka snad dvaceti minut a to jsem většinu toho času strávil cestou na blízkou poštu. Doufám, že eObčanka v budoucnosti umožní eliminovat i tuto nutnost.

A proč by tam ty CA měly být? Jejich produkt směřuje do úplně jiného segmentu, jeho vlastnosti jsou dané českou legislativou a těžko lze očekávat, že by se třeba Česká Pošta někdy zabývala masovým prodejem certifikátů pro weby. Ostatně, když se do toho seznamu podíváte, je tam těch CA (z pohledu počtu potenciálních ve světovém měřítku) opravdu minimum.

Pokud bysme to rozebrali az na tech. fundamenty, spise nez lobying CA nam z toho vyjde pravdepodobnejsi lobying firem dodavajicich tech. biometrickych podpisu.

Kazdopadne v pripade Ceska je vtipne, ze ani jedna z tech CA nedosahla standartu duveryhodnosti nutneho pro zaclenenni do beznych prohlizecu. Takze nejen https://policie.cz neni zabezpecena, tak i dve statem deklarovane duveryhodne CA jsou pro zbytek sveta nezabezpecene https://www.postsignum.cz/isignum.html nebo https://s.ica.cz/cgi-bin/zadosti/eicQC.cgi .

Problém prohlížečů je, že je produkují pouze US firmy, které nějaký eIDAS vůbec nezajímá a mají stanovevé své podmínky v Mozilla Root programu.
Neuznávají (s výjimkou Microsoftu) žádné jiné hodnocení shody např. audit podle EN norem, pouze svoje podmínky.
Hodnocení podle Mozilla Root programu je natolik rigidní a proces zpracování a vyhodnocení žádisti natolik dlouhý (více než dva roky), že je opravdu třeba zvažovat, zda se něco takového vyplatí absolvovat.
Dále existuje i spousta dalších "Root" programů - např. Apple - každý s trochu jinými požadavky a podmínkami; něco takového není v podstatě možné ani skloubit.

Když už se tady žehrá na to, že američtí výrobci kašlou na nějaký eIDAS (což je pravda a ani se jim v současné fázi moc nedivím), nedá mně to nepřipomenout, jak se eIDAS-ovsky instaluje obslužná aplikace eObčanka na takovém MacOS. Hezky postaru si stáhnete DMG-éčko (původ webu si ověřit lze, hash už ne), přihlásíte se jako administrátor, hezky postaru rozbalíte PKG a začnete instalaci. Pokud chcete ověřit její podpis, zjistíte v něm, že Developer ID MINISTERSTVO VNITRA (6UDP4A9V2U) je ze země "US". Vše podepsáno kořenovou autoritou Apple. České MV zřejmě samo zahájilo cestu směrem "blíže k americkým výrobcům" :)

Já teda podepisování založeném na certifikátech nevěřím. Sice je to skoro tech. a legal mainstream, ale nehorázně komplikované oproti vlastnoručnímu podpisu na papír a nechápu, proč mám platit CA za certifikáty a jejich obnovu, když se chci podepsat. Nesmysl, abyste tomu porozuměli, máte mít skoro doktorát. To je mi bližší biometrický podpis.
Podezřívám legislativce z podlehnutí lobyingu CA, které na tom postavily byznys. (-:

Zkoušel jsem vygenerovat testovací certifikát u PostSignum a šlo to i z webu uložit na eOP.

A uvedomujete si, ze je tu rec o veci, kterou by mel zvladat kazdy, kdo nema omezenu svepravnost? Nemusim ten clanek ani cist, staci kdyz vidim vic nez jeden obrazek postupu ... pokud by to nestacilo, staci se pres rameno podivat na to, jak uz nejmene 20let funguji ta jednotna mista, na kterych muzete preci vyriti uplne vse.

eOP nemůže sloužit jako žádná jednoznačná identifikace, protože certifikáty jsou přísně tajné a MV je prostě ne a ne a nezveřejní => nikdo podle toho nemůže nic ověřovat.