Vlákno názorů k článku Proč dochází k omezení v Nahlížení do katastru nemovitostí od Filip Jirsák - Je toho víc. Z hlavy vím, že první...

Je toho víc. Z hlavy vím, že první přihlášení musí být přes webové rozhraní. V API nejsou služby pro vytváření uživatelů, změny způsobu přihlášení nebo vypnutí expirace hesla. Z počátku neexistovalo API ani na změnu hesla a získání informací o expiraci hesla, API pro vyhledávání schránek bylo odlišné od vyhledávání na webovém portálu.

Pravda, dík za upřesnění. Datovka tedy umí upozornit na končící platnost. Zprávu je pak nutné vyexportovat, ručně přerazítkovat přes web a naimportovat zpět.

Takže další věc co API neumí k autentizaci přes NIA. A asi toho bude víc. To snad dělají schválně.

To by se musela Datovka přihlásit do webového rozhraní datových schránek a tam přerazítkování „naklikat“. Protože tahle funkce není součástí API ISDS (podobně jako další důležité funkce).

Proč takto? Pokud máte uloženou datovou zprávu, tak ji stačí nahrát zpět do DS a nechat přerazítkovat. Aspoń dle nápovědy.
A např. Datovka od cz.nic by to měla hlídat a dělat sama.

Žádné státní časové razítko v ČR neexistuje. Úřady budou uznávat jakékoli kvalifikované časové razítko z celé EU. Jenom v ČR máme tři kvalifikované poskytovatele časových razítek.

Ty Kurde, tak to je šolich s tou Českou poštou. Takže doteď ti, co používali papírové dokumenty bezplatné, nezávislé na jakékoliv autoritě, neomezené a bezúdržbové, tak budou cálovat, záviset a starat se. Takový bonus musí každý s radostnou tváří vřele přivítat! Ať žijí jasné zítřky!

Pokud začně někdo platnost rozporovat, musíš prokázat, že dokument vznikl v daném čase
Nikoli, takhle to platilo v původním zákoně o elektronickém podpisu. Podle eIDASu už není žádná strana ve výhodě.

že by ten, kdo ho podepisoval, ho podepsal řádně a vědomě
To je předpoklad, který je u podpisů daný ze zákona.

Pokud mám řádný podpis a v čase potvrzovaný časovými razítky, držím kontiunitu, která se již těžko rozporuje.
Ano, to jsem psal – přidávání časových razítek je sázka na absolutní jistotu. Nicméně i pokud bude mít dokument časové razítko z okamžiku podpisu (což je u úředních dokumentů povinnost), můžu být v klidu do té doby, dokud bude algoritmus SHA-2 považován za bezpečný. Protože pořád bude triviální prokázat, že to časové razítko tam nemohl dát nikdo jiný než časová autorita a že tedy byl dokument podepsán před okamžikem uvedeným na časovém razítku.

U dlouhodobých smluv jako třeba ta hypoteční, nákup nemovitosti, majetková práva např. na knihu atd. to riziko může být ještě větší, bez kontiunity časový razítek může být i nemožné to prokázat a osobně raději volím bezpečnější metodu, která je v odborné veřejnosti pokládána za spolehlivou a jsem schopný doložit bezpečnost takového řešení, narozdíl od tvého přístup, který je vyloženě na hraně a slovíčkaříš.
Kolik máte elektronických smluv na hypotéku, na nákup nemovitosti nebo na knihu? Vlastnictví nemovitosti je evidováno v katastru. Navíc zápis do katastru vyžaduje ověřené podpisy obou stran, takže to zatím vyžaduje vlastnoruční podpis.
My se tu ovšem celou dobu bavíme o úředních dokumentech, které jsou zasílány do datové schránky. Ty mají časové razítko od původce dokumentu, dále je otisk datové zprávy evidován v ISDS, a spisová dokumentace včetně originálů rozhodnutí je na úřadě.
Takže ta tvrzení, která se tady neustále dokola opakují, že by si někdo musel dokumenty, které mu přišly datovou schránkou, nechat zkonvertovat do papírové podoby, nebo je pravidelně přerazítkovávat, nemají nic společného s realitou.

Koukám, že jsi si na to odpověděl sám. Pokud začně někdo platnost rozporovat, musíš prokázat, že dokument vznikl v daném čase a že by ten, kdo ho podepisoval, ho podepsal řádně a vědomě. A to vůbec nemusí být snadná úloha. Pokud mám řádný podpis a v čase potvrzovaný časovými razítky, držím kontiunitu, která se již těžko rozporuje.

Ignorováním data platnosti certifikátu se vystavuješ obrovskému riziku, že důkazní břemeno bude na tobě jinak může dojít k anulování dokumentu nebo jeho právních účinků. U některých věcí ti to samozřejmě nemusí vadit, ale je bláznoství na to spoléhat.

U dlouhodobých smluv jako třeba ta hypoteční, nákup nemovitosti, majetková práva např. na knihu atd. to riziko může být ještě větší, bez kontiunity časový razítek může být i nemožné to prokázat a osobně raději volím bezpečnější metodu, která je v odborné veřejnosti pokládána za spolehlivou a jsem schopný doložit bezpečnost takového řešení, narozdíl od tvého přístup, který je vyloženě na hraně a slovíčkaříš.

Bych to orazítkoval přes https://en.wikipedia.org/wiki/OpenTimestamps, ale samozřejmě kdo ví jak by se pak tvářily úřady a soudy. Kolik vlastně stojí „státní“ časové razítko?

Edit: https://www.ceskaposta.cz/sluzby/certifikacni-autorita-postsignum/casova-razitka a hlavně s tím asi budou obstrukce na rozdíl od ots které prostě tak nějak funguje…

13. 5. 2021, 20:37 editováno autorem komentáře

No preci predpoklad, ze mohu tomu podpisu duverovat.
Už jsem tu odkazoval § 565 a 568 zákona č. 89/2012 Sb.

"Jaky predpoklad?"
No preci predpoklad, ze mohu tomu podpisu duverovat. Technicke moznosti se vyviji, takze je nekde potreba udelat tlustou caru. A tou tlustou carou jsou prave ty definovane doby platnosti. Dokumentu, ktery byl podepsany certifikatem, kteremu vcera skoncila platnost asi verit budete. Co ale s 20 let starym dokumentem, podepsanym zastaralou prolomenou sifrou a certifikatem od zanikle autority?

Stejne tak nenajdete v zakone presny navod, jak overit vlastnorucni podpis.
Ale v eIDASu ten návod na ověření kvalifikovaného elektronického podpisu je. A ten návod je zkopírovaný i ve vámi odkazovaném metodickém pokynu.

K jakému okamžiku se posuzuje platnost podpisu je v tom metodickém pokynu řešeno hned na straně 5. Pokud bylo k podpisu připojeno časové razítko, posuzuje se to k datu na časovém razítku. Platnost časového razítka ten pokyn nijak neřeší. Logicky – u certifikátu časové autority se vůbec nepředpokládá, že by mohl privátní klíč uniknout, byť po skončení platnosti certifikátu. Takže jediné nebezpečí, které hrozí, je prolomení algoritmů používaných pro elektronický podpis (resp. tady časové razítko).

Kdyby takovy predpoklad neexistoval, tak by cele digitalni podepisovani ztratilo smysl.
Jaký předpoklad? Celé elektronické podepisování by ztratilo smysl, pokud by se u elektronických podpisů dokazovala pravost, když se u vlastnoručních podpisů dokazuje nepravost.

Zakon resi kdo muze certifikaty vydavat a podobne administrativni veci, ale ne uz technicke detaily. Stejne tak nenajdete v zakone presny navod, jak overit vlastnorucni podpis.

Tady je treba nejaka metodicka prirucka MVCR: https://www.mvcr.cz/clanek/metodicky-navod-pro-overovani-platnosti-uznavanych-elektronickych-podpisu-a-elektronickych-peceti.aspx

"Ověřování platnosti elektronického časového razítka zahrnuje:
...
Ověření platnosti certifikátu, na kterém je založen elektronický „instrument“ z bodu b"

Kdyby takovy predpoklad neexistoval, tak by cele digitalni podepisovani ztratilo smysl.

Ještě doplním, že náš původní zákon o elektronickém podpisu 227/2000 SB. byl přísnější a podpis se ověřoval k okamžiku, kdy dokument s podpisem prokazatelně existoval. eIDAS je benevolentnější a platnost certifikátu se ověřuje k datu podpisu. Takže v případě sporu by to byl spor rovnocenných stran o tom, kdy podpis vznikl. Což by zrovna v případě úředních dokumentů byl docela banální spor, protože na úřadě by k tomu dokumentu musela existovat spisová dokumentace.

dle mě je to hodně na vodě
Já jsem odkázal přímo článek 32 nařízení eIDAS, který určuje, jak se posuzuje platnost elektronického podpisu. Nikdo neukázal žádný jiný zákon nebo nařízení. Nemyslím si, že by na vodě byly moje argumenty.

Přerazítkováním se samozřejmě nic nezkazí. Pokud máte nějaké datové zprávy, které jsou opravdu tak důležité, že je budete potřebovat ještě za pět nebo deset let, je myslím maličkost dát si do kalendáře jednou za 3 roky upomínku a věnovat deset minut času jejich přerazítkování.

To je starý zákon, který už neplatí. V něm se platnost podpisu také neřešila. Řešila se ve vyhlášce 212/2012 Sb. A i tam se platnost certifikátu posuzuje vzhledem k okamžiku, kdy už dokument prokazatelně existoval. Takže expirace certifikátu v takovém případě neznamenala neplatnost podpisu, pouze to znamenalo, že bylo obtížnější dokázat, že dokument existoval už v době platnosti toho certifikátu.

Prijde mi tedy celkem logicke, ze napriklad dokument podepsany proslym certifikatem je neplatny, i kdyz v dobe podpisu platny byl
Já na tom nic logického nevidím. U dokumentů se rozlišuje, zda byl podepsán tím, za koho se podpis vydává. Tedy zda podpis je či není pravý. Pravost podpisu se v průběhu času nemění. Nemůže se stát, že byste ten dokument podepsal vy, a za rok by se z toho stal podpis někoho jiného.

proc by tam ta platnost jinak byla?
Protože certifikát svazuje identitu osoby s dvojicí klíčů. Certifikační autorita, která ten certifikát vydává, se nemůže zaručit za mou identitu na deset let dopředu. Neví nic o tom, jestli si během deseti let nezměním jméno. Neví, jestli za deset let ještě bude SHA-2 dostatečně silný algoritmus. Proto se vydává certifikát s omezenou platností – za rozumný kompromis u osobních certifikátů bývá považováno rok, případně někdy i dva nebo tři roky. Případný špatný certifikát se pak bude používat několik měsíců, nanejvýš pár let.

z pravniho hlediska podle me ten podpis neni platny
Zase tu chybí odkaz na konkrétní ustanovení zákona. Pro to, aby byl podpis označen za nepravý, musí být vážný důvod. Opravdu není možné, aby vám úředník napařil pokutu, že jste nepodal daňové přiznání, jenom pro to, že se rozhodne, že se mu nelíbí váš podpis na něm.

tam by asi soudni znalec mohl urcit, ze je dokument sice pravne neplatny
Nikoli, ten dokument je právně platný. Není nic, co by jej zneplatnilo.

Nasel jsem par zakonu tykajicich se digitalnich podpisu a vsude je uvedene, ze cerifikat(se kterym se podepisuje) musi mit zacatek a konec platnosti. Viz napr. https://www.zakonyprolidi.cz/cs/2000-227

Prijde mi tedy celkem logicke, ze napriklad dokument podepsany proslym certifikatem je neplatny, i kdyz v dobe podpisu platny byl(proc by tam ta platnost jinak byla?). Ja samozrejme rozumim tomu, ze kdyz ma neco dva dny prosly podpis, tak to neznamena, ze to klidne muze byt padelek, ale z pravniho hlediska podle me ten podpis neni platny a nikde vam ten dokument nevezmou. Jina vec by samozrejme byla, pokud byste takovy dokument potreboval treba pri obhajobe v trestnim rizeni - tam by asi soudni znalec mohl urcit, ze je dokument sice pravne neplatny, ale s takrka stoprocentni jistotou neni zmanipulovany.

Souhlasím. Chápu jak to Filip myslí, ale dle mě je to hodně na vodě.
Rozhodne to až nějaký spor u soudu.
Osobně bych na tuto interpretaci nespoléhal a doporučoval přerazítkovat zprávu před koncem platnosti.

Každá zpráva by měla mít plastnost a ta by při stažení měla být v názvu souboru.
Pak ji stačí nahrát zpět a přerazítkovat.
A protože přerazítkovat lze jen platnou zprávu, je potřeba to ohlídat.

Radší bych tuto Filipovu variantu vůbec nešířil a všem doporučoval přerazítkovávat. Tento postup by takz mohl dostat někoho do problémů následně.

Současná legislativa (zejména eIDAS) staví na roveň vlastnoruční a elektronické podpisy. Takže nemůžete k podpisům přistupovat tak, že vlastnoruční podpis je a priori platný (dokud se neprokáže opak) a elektronický podpis je a priory neplatný (dokud se neprokáže opak). Leda byste našel nějaké ustanovení, které by něco takového říkalo.

Přičemž platí, že podpis je považován za pravý, pokud někdo jeho pravost nerozporuje – § 565 a § 568 zákona č. 89/2012 Sb.

Zákon č. 297/2016 Sb. se ohledně platnosti pouze odvolává na eIDAS, konkrétně na článek 32. Článek 32 (jakož i celý eIDAS) neříká nic o expiraci certifikátu.

U elektronických podpisů neplatí neodmítnutelnost vlastního podpisu.
Vlastnoruční a elektronické podpisy jsou si rovny. Pokud chcete tvrdit, že pro elektronický podpis platí něco jinak, budete muset doložit, které ustanovení zákona nebo nařízení ten rozdíl zavádí.

prošlý certifikát mi brání ty úkony provést
Který úkon konkrétně vám to brání provést? Ty úkony jsou v článku 32 hezky očíslované, takže stačí uvést číslo úkonu.

nemohu se tedy spolehnout na pravost takového dokumentu, který chci podepsat a tím se vystavuji určité právní nejistotě
V případě vlastnoručního podpisu se vystavujete mnohem větší právní nejistotě, protože laik nemá vůbec šanci poznat, zda je podpis pravý, a i znalec to určí jen s nějakou pravděpodobností.

Omezená časová platnost u elektronický podpisu je dána obranou proti hledání kolizního dokumentu, které je časově náročné, ale nikoliv nekonečné.
Jenže ta časová náročnost je známá. Pokud by vytvoření takového kolizního dokumentu dnešními prostředky trvalo tisíc let, můžete být docela v klidu, protože za tisíc let vám bude jedno, že někdo vytvořil dokument s vaším falešným podpisem.

Pokud bych běžně dovolil používat dokumenty bez platného podpisu/razítka, porušil bych tenhle princip, na kterém celé PKI stojí.
To je buď demagogie nebo neznalost. PKI rozhodně není založené na tom, že by vytvoření kolize zabralo 14 dní a tak dlouho se nikomu nechce čekat. PKI je založené na tom, že by vytvoření kolize se současnými prostředky trvalo třeba tisíce let, nebo by to také trvalo déle, než je stáří vesmíru.

Argumentovat možností vytvoření kolize má smysl tehdy, až začnou být současné algoritmy považovány za slabé. Nejprve bude vyhlášeno, že se jejich životnost blíží ke konci a začnou se místo nich používat nové algoritmy. V tuto chvíli bude (konečně) čas pro přerazítkování, aby existoval důkaz, že dokument byl podepsán ještě v době, kdy podpis nikdo prolomit neuměl. Teprve pak přestanou být současné algoritmy považovány za bezpečné – a teprve od toho okamžiku začne platit, že by někdo mohl účinně argumentovat tím, že daný podpis bylo možné zfalšovat. Nicméně i pak uběhne nejspíš ještě několik let, než to zfalšování bude reálně možné. V ČR přestaly být podpisy založené na SHA-1 považovány za bezpečné v roce 2010. Máme rok 2021 a stále nikdo neumí vyrobit kolizní podepsaný dokument. Takže i dnes byste bez problémů obhájil platnost podpisu založeného na SHA-1.

A co naopak? Nechceš ty ukázat ustanovení, které tvrdí, že elektronický podpis je platný i pokud certifikát, na kterém je založený má již prošlou platnost? Např. Zákon č. 297/2016 Sb. mluví o platnosti a neřeší vůbec situaci, kdy certifikát již není platný.

U elektronických podpisů neplatí neodmítnutelnost vlastního podpisu. Pro ověřování platnosti a pravosti podepsaného dokumentu se musí uskutečnit řada úkonů a prošlý certifikát mi brání ty úkony provést, nemohu se tedy spolehnout na pravost takového dokumentu, který chci podepsat a tím se vystavuji určité právní nejistotě.

Omezená časová platnost u elektronický podpisu je dána obranou proti hledání kolizního dokumentu, které je časově náročné, ale nikoliv nekonečné. Pokud bych běžně dovolil používat dokumenty bez platného podpisu/razítka, porušil bych tenhle princip, na kterém celé PKI stojí.

Nějak jste zapomněl uvést ten odkaz na paragraf.

Nikdo neveri, ze DS jsou tak bezpecne, aby tam mohli skladovat tolik dat o obcanech. Druhy duvod je, aby posta mohla vydelavat na extra sluzbach.

Presne tak Datova schranka je skvela myslenka ovsem v kombinaci s fixi doruceni je to mega HNUS. Imho nechapu proc uredni dokumenty po 90 dnech mizi, smysl digitalizace by prave melo kdyby tam zustali garantovane NAVZDY dokud dana DS nezanikne. A i po 10 letech bych se mohl prokazat pravne platnym dokumentem co mi na DS prisel... Fakt nechapu projekt za tolik miliard a nezbylo par tisic na HDD

pro zajimavost co se vejde na 1GB /nekomprimovane/ a kolik by stal tisk:

1 normostrana = 1800 znaků na straně = 1800 bytů na stránku, 1 GB = 230 (bytů). Počet stránek = 230/1800 = 596 524 stránek.

Hmotnost papíru 80g tak 2 982 620g = 3 t, což je např. hmotnost slona. K vytištění 596 524 stránek je zapotřebí inkoust za 397 683 Kč (při zmiňovaném 5% pokrytí stránky) a papír by stál 143 166 Kč. Celkové náklady by se tak vyšplhaly na 540 549 Kč.

Takže stat usetri 1GB mista a obcane si musi vytisknout kopie za pul milionu...

To je jak u blbejch na dvorku... Kdekoliv tam, kde chtějí ověřený podpis, tak tě (celkem logicky) s dokumentem podepsaným certifikátem, jehož platnost už nelze ověřit, můžou poslat k šípku. Tímto fatálním nedostatkem ten papír s notářským/úřed­nickým štemplem, že to podepsal Franta Vomáčka, holt netrpí.

Můžete si uložit celou datovou zprávu. Když certifikát podpisu vyprší, na pravosti podpisu to nic nemění.

Problém vlastnoručních i elektronických podpisů je, že se může někdo pokusit vytvořit falešný podpis. A celé ověřování podpisů je jenom o tom, jak se vypořádáte s tím, když někdo namítne, že ten podpis není jeho. V případě vlastnoručního podpisu to dáte soudnímu znalci, který řekne, že s pravděpodobností třeba 80 % jde o podpis dotyčného. V případě elektronického podpisu by buď musel uniknout privátní klíč, nebo by muselo dojít k prolomení používaných algoritmů. Privátní klíč z kvalifikovaného prostředku nejde s vynaložením rozumného úsilí získat. A algoritmy používané teď k podpisu jsou považovány za bezpečné a ještě to tak nějakou dobu zůstane. Takže se nemusíte bát, že by někdo v nejbližší době byl schopen úspěšně rozporovat, že jím vytvořený podpis může být falešný.

Časové razítko se k podpisu přidává jen proto, že pak můžete případnou námitku o tom, že je podpis falešný, vyvrátit snáz. V podstatě by to jen usnadnilo práci soudnímu znalci. Ale legislativně je to pořád stejné, legislativa nerozlišuje podpisy s časovým razítkem nebo bez něj.

Zrovna v případě těch datových schránek je uchován hash datové zprávy v systému datových schránek, takže v případě soudního sporu by se dalo opřít i o to. Bohužel k tomu není veřejné rozhraní.

Tak mi ukažte nějaké legislativní ustanovení, které omezuje platnost elektronických podpisů.

máš na platnost a ověřitelnost elektronických dokumentů z DS dost osamocený názor, nesouhlasím s tím, že expirace podpisu není problém a klidně mohu být v klidu. Zatím čekáme na ustálení soudů a těch sporů bylo zatím minimum.

Každopádně už mi úřad odmítnul příjmout dokument s expirovaným razítkem.

To mě zajímá. Takže když mi přijde do DS dokument, který po 90 dnech ze schránky mizí, tak mám jaké možnosti? Vytisknout nemá smysl, jedině konverze EL -> PAP (placená), nebo (pokud je zároveň podepsaná certifikátem) si ji uschovat lokálně. A když certifikát vyprší, je stále platná? Lze třeba za 5 let ověřit, že dokument (uložený lokálně) je platný a lze jej např. v kopii dát jinému úřadu?

To samé platí i pro elektronický dokument.

ale když nic takového neděláte s papírem, proč to dělat s elektronickým dokumentem?

Nojo, když von ten papír jaksi po pár letech nepřestane platit, no...

Datovou schránku snad půjde po jejím vytvoření po přihlášení přes NIA zase deaktivovat.

Nechápu tu touhu zaplatit si, abych měl něco na papíře a mohl zase znovu platit, když to budu potřebovat někomu doložit.

Datové zprávy přerazítkovávat nemusíte. Stejně jako neověřujete pravidelně podpisy na papíře. Přerazítkování je možnost, jak můžete zjednodušit případné ověření podpisů v budoucnosti – ale když nic takového neděláte s papírem, proč to dělat s elektronickým dokumentem?

Mi to zatím v zásadě nevadí, ale do budoucna mám s NIA celkem problém, jelikož stát vyhrožuje, že každému, kdo to bude používat, zřídí Datovou schránku. Datovou schránku nechci právě třeba kvůli katastru nemovitostí. Takhle mi od nich přijde dopis s hromadou papírů s razítkem a podpisem. Když mi to přijde do Datové schránky, tak mě čeká další ověřování na Czechpointu, nebo neustálé přerazítkování datových zpráv a běda, když se něco pokazí.

A pak by mě zajímalo, jaký to bude mít dopad na mobilní aplikace. Tohle občas používám při toulkách krajinou, abych se podíval, jestli někomu nechodím po neoplocené zahradě.