Vlákno názorů k článku Zprávy z Depa (3): Automaticky zřizovaným datovým schránkám se nevyhnou ani podnikatelé od Filip Jirsák - Ten přechod na silnější algoritmus se právě musí...

Ten přechod na silnější algoritmus se právě musí řešit s celou původní zprávou, musí se nový silnější hash udělat jak z té původní zprávy tak z posloupnosti razítek. Ale to se bude muset úplně stejně řešit i u časových razítek. To byl ten případ, o kterém jsem psal – uživatel by musel ještě v době, kdy je starý hash důvěryhodný, nechat zprávu přerazítkovat, ISDS by si k současnému SHA2 hashi uložil i nový SHA-3 a pak můžete zase vesele dál pokračovat s SHA-3. Protože to nové časové razítko pokrývající původní dokument i sérii dalších časových razítek zajistí, že nikdo nemůže podstrčit falešný dokument (musel by vyrobit kolizi SHA-3, a to je v tu chvíli ještě považována za nemožné), ani nikdo nemůže podstrčit falešná časová razítka (protože SHA-3 hash zaručuje, že ta SHA-2 časová razítka vznikla ještě v době, kdy SHA-2 bylo bezpečné).

Na durhou stranu, kolik máte elektronických dokumentů, které potřebujete archivovat tak dlouho, že mezi tím přestane být hashovací funkce považována za důvěryhodnou?

Vůbec bych se nedivil, kdyby dřív skončil ISDS než bude SHA-2 považováno za slabý hash… Možná je to přání otcem myšlenky, ale ISDS už přesluhuje, typická životnost těchhle systémů je v ČR 10 let. Ostatně už je vidět, jak se ISDS do dnešní doby nehodí, na některé systémy se pracně roubují (NIA), něco se zase pracně roubuje na ně (Portál občana).

Dík za info, nevěděl jsem, že se to takhle eviduje.
S tím prokazováním si teda nejsem jistej.

Pokud mi zpráva prošla systémem s podpisem SHA2 a za 10 let udělám kolizní zprávu se stejným hashem, tak neověřím nic. Samozřejmě bych čekal, že se předtím přejde třeba na SHA3 a přerazítkuji.

Ono ale i když se nezmění hash, může se časem přejít na silnější algortimus podpisu (např. RSA2048 na 4096 apod.) a i to může být důležitý pro prokazování.
Ale pokud nevím detaily co a jak se dělá, tak mi prostě vychází radši si těch pár zpráv přerazítkovat.

Ano, zkoušeli jsme to (celou zprávu, ZFO), je to zde ve vlákně: https://twitter.com/KamilZm/status/1296382138246467586

Ano, já tu nápovědu chápu stejně – pokud mám zprávu s pečetí a nestihnu ji přerazítkovat před koncem platnosti certifikátu časové autority (zkráceně „před koncem platnosti razítka“), už nemůžu použít funkci přerazítkování na portálu. Ovšem stále budu schopen prokázat, že ta datová zpráva opravdu přesně v této podobě prošla ISDS – tou samou funkcí na portálu, která nejprve ověří, zda takovou datovou zprávu opravdu eviduje. Akorát mi v takovém případě po ověření, že je to opravdu nepozměněná datová zpráva, nedá (z nepochopitelných důvodů) časové razítko.

Mimochodem, nemusíte přerazítkovávat sám, může za vás přerazítkovávat certifikační autorita. Tedy pokud jste ochoten investovat do archivního časového razítka.

Před tím, než bude reálně možné generovat kolizní dokumenty, bude SHA-2 označeno za slabé a přestane s používat. Před tím, než k tomu dojde, bude potřeba z původního dokumentu a série časových razítek vypočítat silnější hash (třeba SHA-3) a na něm založit nové časové razítko. Tohle bude také jediný okamžik, kdy by uživatel opravdu musel prodloužit archivaci v datových schránkách, aby si ISDS mohl vypočítat nový hash celé zprávy (předpokládám, že ještě SHA3 neukládají).

Asi chápu jak to myslíte.

Víceméně jestli to chápu dobře v tý nápovědě, tak je potřeba zprávu přerazítkovat před koncem platnosti aktuálního časového razítka, jinak už to nepůjde a bude chyba. A zpětně už to neudělám.

Takže pokud mi platnost razítka vyprší, mohu mít horší pozici pro prokazování validity zprávy (např. se časem najde možnost generovat kolizní dokumenty).

Takže pro mne osobně to znamená přerazítkovat, pokud mi na dokumentu opravdu záleží.

Ale podpis je platný do té doby, dokud někdo jeho platnost nezpochybní. Časové razítko se přidává, aby bylo snazší prokázat platnost podpisu, ale není podmínkou platnosti podpisu.

Toto chování máte vyzkoušeno? DS nepoužívám tak s tím nemám zkušenost, ale ...

Poučení: Autorizovanou konverzi dokumentu z elektronické do listinné podoby lze provést pro dokument PDF s platným kvalifikovaným elektronickým podpisem nebo značkou, případně pro datovou zprávu obsahující přílohu typu PDF i bez elektronického podpisu nebo značky.

Nebo
Pokud je váš dokument vhodný ke konverzi, zobrazí se vám informace o platném elektronickém podpisu / elektronických podpisech, případně o časovém razítku, kterými je dokument opatřen ...

viz. https://www.ceskaposta.cz/sluzby/egovernment/czechpoint/autorizovana-konverze-dokumentu

Většinou se píše o pdf dokumentu a někde i o zfo zprávě. Tak pak fakt nevím.
Jinak se dá dokument/zpráva ověřit a mělo by to říct, jestli lze konvertovat či ne:
https://www.czechpoint.cz/uschovna/

Možná by to stálo za zkoušku pokud máte starou zprávu.

Zrovna ta část, co jste citoval, je špatně, protože píše o podpisu místo o pečeti. Jinak ale máte pravdu, že podle toho textu v nápovědě nejde přerazítkovat zprávu, pokud nemá platné časové razítko. V tom případě je to v textu přímo v aplikaci napsané špatně. A také je to nesmyslné – když ISDS eviduje zprávy, které systémem prošly, nemusí se spoléhat na externí časová razítka a mohl by zprávu přerazítkovat kdykoli – potřebné údaje pro to má. Ostatně u starých datových zpráv se ta re-autorizace provádí.

Ono je tam paradoxní, že prošla zpráva skutečně už nelze přerazítkovat, ale lze pořád provést její autorizovanou konverzi na papír (takže papír to opět "zachraňuje" :-) )

Asi ne úplně šťastná formulace v jedné části.

V nápovědě je toto:
Pokud Vás zajímá, do kdy je podpis platný, musíte si najít v dolní části poslední časové razítko a v něm nalézt údaj Platnost do: - do této doby musíte provést Přerazítkování na Portálu ISDS nebo obdobnou operaci v externí archivní aplikaci.

Je tam i popis stavů podpisů a razítka, a pokud je razítko prošlé tak je to chyba.
https://www.mojedatovaschranka.cz/static/ISDS/help/page7.html

Pokud razítku projde platnost, už to nejde přerazítkovat a mít validní dokument.

27. 4. 2021, 21:32 editováno autorem komentáře

To byste měl vysvětlit Ministerstvu vnitra. To na to má jiný názor.

Přihlaste se do datové schránky, zvolte „Otevřít .ZFO“ a tam najdete tento text:

Zde můžete načíst soubor s příponou ZFO - tedy datovou zprávu nebo doručenku, kterou jste si dříve stáhli ve formě ZFO souboru.

Aplikace ověří, zda byla konkrétní datová zpráva v minulosti dodána datovými schránkami a zda je v neporušeném stavu. Pokud ano, můžete důvěřovat celému obsahu takové zprávy.

Dále zkontroluje, zda konkrétní datová zpráva splňuje podmínky dlouhodobé průkaznosti. Pokud ne, nebo pokud chcete prodloužit průkaznost, můžete si stáhnout upravený soubor ZFO, doplněný novou, rozšířenou elektronickou pečetí MV.

Zpráva se musí přerazítkovat před koncem platnosti posledního časového razítka. Čili pravidelně jednou za X let.

Já mluvil o samotných dokumentech a nikoliv o celé Datové zprávě. Ano, pokud si uložím celou datovou zprávu (tj. obálku, podpisy a k tomu časová razítka), k prokázání platnosti obsažených dokumentů zpětně to stačí.

Prakticky se ale řada elektronických dokumentů dostává do rukou i jinou cestou než přes DS. Jsou to třeba různé smlouvy, zadávácí dokumentace či jiné spousty materiálů, s kterými běžně firmy a živnostníci pracují. Nezřídka kdy příjde v datové zprávě pouze návod/odkaz jak daný dokument získat a nikoliv samotný dokument. Pak je nutné zajistit vlastní způsob dlouhodobé archivace elektronických dokumentů.

Spolehlivost, průkaznost i životnost elektronického dokumentu je podstatně vyšší, než u papírových dokumentů. Nevím, co vám na tom vadí.

Žeby proto, že elektronický dokument mi stát neumí vystavit s takovou mírou spolehlivosti/prů­kaznosti/život­nosti, abych s ním mohl v klidu počítat?

Datovou zprávu nemusíte přerazítkovávat pravidelně, stačí si ji nechat přerazítkovat před tím, než jí budete něco prokazovat. Datové zprávy z ISDS se nepřerazítkovávají na základě předchozího razítka, ale na základě metadat uložených v ISDS.

Nechápu, proč pořád tolik lidí touží po tom mít něco papírově, když to dostanou elektronicky. Já bych byl vděčný za pravý opak – kdyby všechno to, co dostávám papírově, chodilo elektronicky. Proč mám platit za ověřené kopie, za zasílání poštou, když můžu elektronický dokument jednoduše zkopírovat a poslat e-mailem?

Toto je akorát buzerace státu a negativní motivace.
Asi by jim měl někdo z business-u vysvětlit, že aby služba měla úspěch, tak potřebuje být jednoduchá, funkční a bez skrytých háčků.

Podle mě stát tlačí DS, aby ušetřil a pošta vydělala. Tady máš zprávu do DS (nemusíme posílat poštou) a chceš-li dokument papírově, tak 30 Kč za stránku.
Je to přenos nákladů na jednotlivce.

Ne vše je třeba převádět do papíru, ale ukládat to taky jednoduše nejde:
- přečtená zpráva zmizí za 90 dní
- pokud ji chcete uchovat, tak ji lze stáhnout na PC. ALE pak se musí pravidelně přerazítkovávat, tj. nahrát do DS, přerazítkovat a stáhnout novou!

Opravdu toto normální ne IT lidi vědí?

- ano, lze si koupit trezor od pošty, ale to stojí ročně nějaký peníz. Opět záměr na výdělek poště? Nemělo by to být standart aspoň pro FO/PFO?
- Portál občana má pouze archiv 500MB, ale ten nepřerazítkovává
- další možností je datovka od cz.nic, která to údajně umí automaticky. Ale s tou zase nefungují autentizace přes NIA, takže si musítě zřídit speciální přihlašovací údaje jen pro DS, i když máte např. bankovní identitu.

Typická ukázka, jak se to nemá dělat.