Elektonický podpis

me na tom vadi jina vec - zabezpeceni elektronickeho certifikatu napriklad ve Windows je na hodne slabe urovni, respektive uchovavat a pouzivat ho s primerenou bezpecnosti vyzaduje znalosti, ktere drtiva vetsina naroda nema. Pritom dokument podepsany timto certifikatem ma absolutni platnost a tu (oproti fyzickemu podpisu) nejde nijak zpochybnit. Proste pokud mi nekdo certifikat zneuzije, nikdo nedokaze rozeznat, ktery dokument jsem podepsal ja a ktery utocnik.

V podstate se jen ceka na exemplarni pripad zneuziti.

Priklad:
- ziskat soukromy klic je ve windows otazka ziskani pristupu k jeho (obecne znamemu) ulozisti
- ziskat heslo k nemu je otazka obycejneho keyloggeru
Troufam si tvrdit, ze ziskat oboje z prakticky jakehokoliv pocitace je pro duvtipneho ctenare Lupy otazka par dni studia dostupneho skodliveho software a jednoho mailu obeti se zarucene pravymi fotkami nahe celebrity.

Dost dobre nechapu, proc stat nepouzije osvedcenou a jednoduchou metodu login/heslo, ktera se pomerne uspesne pouziva i v bankovnictvi. Sice to neni bezpecne, ale zase jednoduche a pri zneuziti za mne maximalne nekdo poda podvrzene danove priznani. S elektronickym podpisem muze behem 5-ti minut sepsat nezpochybnitelny dopis, ve kterem vsechen svuj majetek prevadim na utocnika.

Pokud uz by chtel stat nejake zabezpeceni, pak by mohl vydavat po vzoru napr. tusim Estonska cipove karty, o ktere alespon mohu vedet, ze mi ji nekdo zcizil (a zkopirovat se neda)

Máte nějakou představu, jak by stát mohl zdarma nějakou CA provozovat? To jako že by mu nějaký sponzor dodal infrastrukturu, ČEZ by zasponzoroval energii, a na vydávání certifikátu by pracovali neplacení dobrovolníci? Nebo „zdarma“ u vás znamená „dráž, než komerční poskytovatelé, ale z daní, takže to není na první pohled vidět“?

[9] Podívejte se na § 13 zákona o elektronickém podpisu, je to tam řešeno. Jinak pokud je kořenový certifikát zneplatněn (a je tedy považován za nedůvěryhodný), nemůžete při správném postupu ověřování považovat za důvěryhodný ani jím podepsaný certifikát. S rozumně navrženou aplikací se o tom podepisující dozví přiměřeně včas (po té, co mohou proběhnout příslušné kontroly). Pro ověření podpisu je ale důležitý datum a čas podpisu – k tomu okamžiku musí být certifikát platný.

Zkusil si někdo požádat o vydání certifikátu prostřednictvím webových stránek České pošty? Nic tak nepoužitelného jsem už dlouho nezažil. Mají to zbytečně složité. Potom se nesmíte divit, že o certifikát nebudou usilovat normální občané, když to bylo komplikované i na poměrně pokročilého uživatele internetu.

Já vidím problém hlavně v nedostatečné počítačové gramotnosti mnoha lidí + složité postupy, když se k tomu přidá obava ze zneužití tak se současné situaci vůbec nedivím. Zrovna nedávno si potřebovala známá vystavit el. podpis kvůli podáním na ČSSZ (dělá účetní ve firmě), sama si na to vůbec netroufá, je z toho jen zmatená a když požádala lidi z IT oddělení (samozřejmě v té firmě kde pracuje a kvůli které si to chce nechat vystavit) tak jí odvětili že oni tomu nerozumí, že si to má udělat sama !
Jinak cena by sice mohla být menší a je jasné, že asi málokdo si bude vyřizovat el.podpis kvůli tomu, že jednou za rok něco elektronicky podepíše.
Co se týče zabezpečení ve Windows, nemyslím si, že by to bylo tak špatné, pokud se soukromý klíč označí jako neexportovatelný + potvrzovací dialog, když se klíč použije (případně ještě chráněný heslem) tak je podle mě poměrně malá šance jej zneužít.

Elektronicky podpis je fajn, ale na to abych mohl treba podat elektronicky danove priznani bez cekani u prepazky ho vubec nepotrebuju!

Vyplnit a odeslat elektronicky jde priznani i bez podpisu, ale musi se jim pak jedna stranka vytisknout a poslat klasickou postou. Takze naklady = jedna znamka na normalni dopis hozeny do schranky pripadne jeden doporuceny dopis odeslany na poste. To neni az tak strasne.

[5] ano, ale ten klic je na tom systemu stale nekde ulozen. To ze nepouziji exportni funkci Windows neznamena, ze se k nemu nemohu dostat. Jedine teoreticky bezpecne reseni tohoto porblemu je podle mne v soucasnosti pouze ulozeni na cipove karte - pokud mi ji nekdo odcizi, mam moznost to zjistit a cert zneplatnit. Krome toho karta muze obsahovat i veskerou logiku potrebnou k autentizaci a napriklad soukromy klic smazat po 5 neuspesnych heslech. Pokud si mohu soukromy klic zkopirovat, vystacim si s dostatecnym casem na bruteforce.

[6] Do tech nakladu je ale potreba si zapocitat, ze kvuli tomu musim na postu. :(

Podle mě je ta omezenost certifikátu (a nutnost obnovy) dána "pojistkou", že ta data jsou stále aktuální (viz třeba u žen, které si pořád mění jméno při svatbě atd.)

co se týče poplatku, nejsem si jist, ale neplatí se náhodou i nějaký kolek za vystavení nové občanky?

[11] Ano zdarma, jako z daní. Ono by to bylo levnější než současný systém. Pokud zvážíte množství lidí, kteří by to využili a uspořené zdroje na úřadech, zjistíte, že by na tomto "zdarma" vydělal jak stát, tak uživatel.

Jen tak mimichodem. Česká pošta je plně vlastněna státem, takže náklady na infrastrukturu by nebyli nijak velké. A energie? Na úřadech také musíte svítit, topit, platit vrátné...

> Nebo „zdarma“ u vás znamená „dráž, než komerční poskytovatelé, ale z daní, takže to není na první pohled vidět“?

Spis levneji, protoze by se to mohlo prilepit k existujici obdobne agende (treba vydavani obcanskych prukazu). Kdyz uz stejne musim na urad pro obcansky prukaz, proc k tomu rovnou nedostat i kvalifikovany certifikat, kdyz stejne ma smysl zejmena pro komunikaci se statem?

Co se tyce eGovernmentu, tak nejlepsi by me prislo, kdyby se navrhly jednoduche komunikacni protokoly (treba na bazi plaintextu a e-mail jako transportni vrstva), ktere by umoznily resit agendu s urady. Takove reseni by bylo jiste levnejsi, nez vecne se menici (a uzivatelsky zamerena) webova rozhrani. Soukrome firmy by pak mohly nabidnout ruzne komercni aplikace (s uzivatelskym rozhranim) optimalizovane pro konkretni typ uzivatelu, nebo by uzivatel mohl pouzit takove rozhrani primo (podobne, jako se treba upravuji WHOIS zaznamy ci prihlasuje do mailovych konferenci). Vyhoda takoveho rozhrani by byla napriklad v tom, ze by bylo dobre dokumentovane (coz webove aplikace obvykle nebyvaji) a ze by sla vyuzit stavajici infrastruktura pro digitalni podpisy (coz s webovymi aplikacemi moc nejde, nebo uz snad existuje standard pro digitalni podepisovani vyplnenych dat ve webovych formularich?).

[2] Úřad ti je povinen to potvrdit.
Okamžitě by ti měla přijít elektronická časová značka, která ti stvrdí, že to je technicky v pořádku a že to bylo zaneseno do jejich systému. To není povinné.
A následně by ti to měl potvrdit úředník elektronicky podepsané. To je dáno zákonem č. 496/2004 Sb, §2 (5) a). Pokud ti to nepotvrdí elektronicky podepsané, můžeš si na ně stěžovat.

[9] Jestli je faktura elektronicky podepsaná nebo ne, je naprosto nepodstatné.

[12], [13] Máte pocit, že se někde na úřadech flákají, a že by bylo možné jim přidat práci aniž by bylo nutné přijmout další lidi? Navíc CA musí mít docela drahou infrastrukturu, ta se asi taky na žádném úřadě jen tak neválí. Zvláštní, že vás nenapadlo, že by to mohla dělat třeba nějaká banka zdarma jako reklamní akci – tam už vidíte, že jen tak bez nákladů to přilepit k nějaké současné agendě nejde.

[13] Kvalifikovaný certifikát má stejný smysl i v komerční sféře – sice se můžou každé dvě firmy domluvit, že si navzájem budou uznávat i certifikáty vydané nějakým jiným poskytovatelem, ale to je přeci jen poněkud nepraktické. Kvalifikované certifikáty uznávat musejí, takže jejich použití je daleko jednodušší.