Vlákno názorů k článku Nenápadný půvab datových schránek od Jason - Návrh vyhlášky o provádění konverze (http://www.mvcr.cz/soubor/konverzni-vyhlaska3-pdf.aspx) připouští (pro...
-
Jason (neregistrovaný)Návrh vyhlášky o provádění konverze (http://www.mvcr.cz/soubor/konverzni-vyhlaska3-pdf.aspx) připouští (pro konverzi do listinné podoby) pouze daný formát, a to PDF 1.3 a vyšší nebo PDF/A.
Je mimochodem trochu zvláštní, že v tomto návrhu vyhlášky se nikde neoperuje s el.podpisem, časovým razítkem a jejich způsobem ověření, ani s onou ověřovací doložkou .... -
MB (neregistrovaný)Zpoplatnění tisk - tedy konverze. Ale tam je háček, zda ten kdo konverzi provádí je vůbec schopen převést dokument tak jak jsem ho podepsal a viděl já jako původce dokumentu! To může být v nějakém sporu docela problém, zvlášť když ani není definováno, které formáty vlastně konvertovat prokazatelně lze. Určitě jsou formáty závislé na sw, třeba prosté html. Po konverzi na papír budu těžko prokazovat, že v dokumentu zmizel sloupec tabulky či obrázek, ale ještě jednodušeji prohlásím, že takový dokument už není "můj".
-
kumpan (neregistrovaný)Jeste to trochu upresnim. Je jiste, ze soucasne metody podepisovani a sifrovani pouzivane certifikacnimi autoritami pujdou v pomerne blizke budoucnosti (rozhodne do 100 let, ale treba take za rok) prolomit. V okamziku, kdy se tak stane, bude vyroba "praveho" dokumentu z obdobi pred prolomenim stejne trivialni jako dnes zkopirovani dvd (kdezto zfalsovat papir z rakouska-uherska tak snadno nejde). Takze otazka na tvurce zakona zni: premysleli jste vubec nad otazkou archivace, nebo jste proste mlcky prepokladali zpoplatneny tisk?
-
Jason (neregistrovaný)A další komplikace myslím je, že v seznamu revokovaných certifikátů nemusí být uváděny certifikáty, jejichž platnost již tak jako tak vypršela. Tj. pokud budu chtít za 2 roky zjistit, zda v okamžiku podpisu (dnes) byl daný certifikát platný a zda jsem ho korektně ověřil, nebude mi stačit v té době aktuální CRL - musel bych mít schovaná staré (dnešní) CRL.
Patrně i proto je na podobné téma v novele zákona o archivnictví mj. toto:
"Zvláštní ustanovení o dokumentech v digitální podobě
Není-li doručený dokument v digitální podobě opatřen uznávaným elektronickým podpisem, elektronickou značkou nebo kvalifikovaným časovým razítkem, určený původce jej opatří kvalifikovaným časovým razítkem.
Je-li doručený dokument v digitální podobě opatřen uznávaným elektronickým podpisem, elektronickou značkou nebo kvalifikovaným časovým razítkem, určený původce
ověří platnost uznávaného elektronického podpisu, elektronické značky nebo kvalifikovaného časového razítka a platnost kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu,
zaznamená údaje o výsledku ověření podle písmene a) a uchová je spolu s doručeným dokumentem v digitální podobě.
" -
Majklík (neregistrovaný)Certifikát má omezenou dobu živtonosti cca na 1 rok proto, že je to doba, která se očekává jako bezpečná z pohledu než dojde k prozrazení tajného klíče nebo výpočtu tajného klíče z veřejného hrubou silou. A už dnes v ČR má několik firem hardware, který ten 1024 bitový klíč je v řádu několika let rozložit (ale ty firmy ten HW obvkyle používají k něčemu jinému). Proto se nedá důvěřovbat starému el. podpisu, pokud nemá kontinuitu v opakovaném přerazítkování. Zkrátka pokud půjde o hodně, tak můžu pár let věnovat lámání tajného klíče a když ho budu mít, tak si podepíšu co chci jménem někoho jiného zpětně tak, jak mi bude vyhovovat.
Jak pak bude postupovat soud, když budou před ním ležet dva zcela protichůdné dokumnety, které budou podepsány stejným certifikátem ke své době platnosti, který bude dle vašich kritérií vykazovat že je vše v pořádku a dvě strany budou řvát, že zrovna tne jejich je ten pravý a druhý je falzifikát?
Toto právě řeší opakované podepisování pomocí časových razítek před vypršením platnosti předchozího podpisu. Vylučuje mi prakticky šanci, abych se dopočítal právě platného klíče v době, než bude nahrazen jiným. -
Jiří PeterkaPodporovatelproblém je v určení okamžiku, kdy byl dokument skutečně podepsán. To vám samotný epodpis nezaručuje. Sice vám bude nějaký údaj o čase nabízet, ale na ten se spolehnout nemůžete - to je lokální datum a čas na počítači, kde byl podpis vytvořen. A tyto hodnoty si můžete nastavit dle libosti.
Jistotu o čase podepsání dává až časové razítko. Pokud ale na dokumentu chybí, po expirování certifikátu máte smůlu .... -
Petr Špaček (neregistrovaný)Vážení,
často se v různých variacích v diskusi objevuje, že nastává problém s ověřením platnosti podepsaného dokumentu, když vyprší platnost použitého el. podpisu či certifikátu zastřešující CA.
Ale - pokud jsem nic nepřehlédl - soud bude zajímat, jestli *byl* dokument podepsán platným el. podpisem, který vydala státem uznaná CA.
Př.: Řešíme, zda byla smlouva podepsána Pepou 1.1.2010. SW, který bude ověřovat zda jsou dokumenty podepsané a zda jejich obsah souhlasí proto musí operovat se zadaným datem - řekněme 1.1.2010, bez ohledu na aktuální.
1) Zkontroluje se obsah dokumentu (zda sedí hash, to může představovat problém - ale ten teď ignoruji)
2) Zjistí se, zda nebyl Pepův podpis v okamžiku podepisování na seznamu odvolaných
3) Jakou CA byl vydán Pepův podpis
4) Zkontrolují se meze platnosti všech použitých certifikátů vzhledem k zadanému datu.
Výsledek - (pokud vše sedí) soudní znalec může prohlásit, že 1.1.2010 Pepa podepsal danou smlouvu.
Pokud jde o různá bezpečnostní upozornění generovaná dnešním SW, která mluví o neplatném el. podpisu, tak ty (podle mého soudu) je třeba chápat tak, že daný certifikát/podpis není platný teď - v tomto okamžiku.
Snad se mi podařilo vysvětlit hlavní myšlenku. Pokud se zde ztrapňuji, opravte mne prosím!
ČLÁNKY DO MAILU