Vlákno názorů k článku Úředníci nově musí uznávat i zahraniční podpisové certifikáty od MB - Na úřad chodí 10000 datových zpráv měsíčně....

Na úřad chodí 10000 datových zpráv měsíčně. Kontrola musí probíhat automaticky. To aplikace CertIQ nesplňuje. Co se týká využití aplikace Acrobat Reader na vyhodnocení, tak pak se předpokládá korektní nastavení důvěryhodných certifikačních autorit. Kolik úřádů na to má odborníky? Nastavení je potřeba provádět kontinuálně, nejde to dělat třeba 1x měsíčně. Referent na úřadě nemá šanci často porozumět ani základům problematiky. Přesto je jeho rozhodnutí pravomocné a zavisí na často špatně nastavených systémech.

To jeste bude veselo. Kdyby byli EU-aparatcici co k cemu, tak by k tomu nabidli sami nejaky udelatko. Asi by to chtelo zavest nejaky zjednoduseni, treba centralni CA ktera by certifikovala certifikaty vsech CA co vydavaji kvalifikovane certifikaty (proste zavest dalsi level). Pak by stacilo naimportovat pouze jeden korenovy certifikat a vsechny ostatni odstranit. Nejspis si to predstavuju moc jednoduse, ale mohlo by to vyresit i problem s CRL.

Naopak, Vaše řešení by bylo nejelegantnější. Sice by se musely vydat nové kořenové certifikáty pro všechny certifikační společnosti v EU, takže by zavládl chvíli zmatek, ale pak by to bylo všechno komfortní. Teda pokud by kořenový CA EU byl kvalitně odolný vůči vytvoření kolizí.

V rámci Slovenska to tak myslím řeší - cert. agentury jsou akreditovány tak, že NBÚ (Národní bezpečnostní úřad) má svou CA a ta certifikuje jednotlivé certifikáty akreditovaných poskytovatelů. Takže pak jde si nainstalovat jen certifikát NBÚ SK, a akreditovanost CA se dá vyhodnotit platností certifikátu. Takže kdyby to takhle fungovalo v rámci EU, bylo by to super.

Myslím, že by stačilo aby nějaká Extra Evropská Certifikační Autorita podepsala všechny základní certifikáty vyhovující daným podmínkám.

Aplikace by pak ověřovaly jen tento podpis, platnost vlastního certifikátu a revokace jednotlivých certifikátů.

Tato "Extra EU CA" by vyhodnocovala i změny certifikačních politik jednotlivých CA. Musela by však mít přinejmenším moc, vynutit si při zásadní změně podmínek pro udělení certifikátu, změnu základního certifikátu. Musí být rozlišitelné certifikáty vydané za jedněch podmínek od certifikátů vydaných za jiných podmínek a to jinak než datumem vydání certifikátu - to by každá aplikace musela pracovat s nějakou sadou pravidel pro vyhodnocování (nedobrá cesta).


Jde o to, že certifikátů od "důveryhodných CA" je mnoho, ale ne všechny jsou vydávány za stejným účelem. Vůbec už není jisté, zda by certifikační politika platná pro jejich vydání obstála pro účely které EU tímto nařízením sleduje. To ostatně zmiňuje i článek.

Proto se do certifikátů zapisuje identifikátor certifikační politiky. A programy, které je berou v úvahu, existují.

Širší souvoslosti vidím například v ehealth.
Všichni zdravotníci-profesionálové mají obdržet kartu (s certifikátem?) pro indentifikaci pracovníka a ověření oprávněnosti pracovat s daty pacienta.
Cílem ehealth v EU poté je, když se vám cokoli stane ve Finsku, aby se lékař dostal k pacientským datům a přečetl ve své řeči. Zákrok popíše a český lékař poté získá následně záznam v češtině.
Základní předpokladem bude jednotné strukturování dat, slovník převoditelný v rámci EU a společná politika cerifikátů. Datové schránky budou jen čajíček :-)

Strojová kontrola prozatím nutná není. Jsem na dvou úřadech, kde každý z nich přijme cca. 5000 DZ měsíčně a do dnešního dne nepřišel jediný dokument, který by nebyl podepsán českou CA.
Těch pár případů do roka (pokud vůbec něco takového přijde) bez problémů explicitně ošetřím ručně.

Obsluha neumí ručně nic vyhodnotit. V podatelnách nepracují IT inženýři. SW jim automaticky vyhodnotí pouze ANO nebo NE. Pokud by se všechna NE měla ručně přehodnocovat, tak je to nesprávné řešení. Vždyť ani "českých" CA není triviálně málo.

A pokud to budu řešit, že nám z ciziny skoro nic nechodí, takže se nic neděje, tak to tedy nevím. Nejhoší pro obsluhu jsou právě velmi málo frekventované situace, které není zvyklá řešit.