Názory k článku Elektronický podpis a Linux v roce 2021

Ja uz dlho (na podania) pouzivam https://qesportal.sk/

Výborný prehladovy článok, s primeranou mierou frflania :)
Prešiel som si touto torturou asi pred dvoma rokmi a zda sa, ze nič sa medzitým nezmenilo. Kedze sme potrebovali kvalifikovaný certifikát, proces bol o máličko zložitejší a postu sme otočili asi 3x...

Když to lidi nechtějí a nepotřebují tak proč to chtít. A ještě za to platit roční výpalné. A co je jim co chce pár pošuků(nadšenců do technologií), kteří jsou ještě navíc tak hloupí a blbý, že pro to nedokáží vytvořit skutečnou užitečnost ( přidanou hodnotu) ?

Všechno je to jenom důsledek extrémního marketingu a reklam, které z každé debility dělají "techologii budoucnosti" ale pak se stejně ukáže, že to jenom trend nebo slepá ulička(z toho mají mylný dojem, že v IT se pořád něco mění ale nemění skoro nic). Pro normalní lidi se IT stala přítež a jsou z toho už otrávení.

Kvalifikovaný podpis potřebujete leckde - i v místech, kde máte jistou svobodu použití OS. Např. vysoká škola. Občanka není použitelný nosič certifikátu, protože podpis je úřední, občanka soukromá.
Potřebujete kvalifikovaný prostředek, který podporují vydavatelé (a to přesně ten, se kterým má váš zaměstnavatel smlouvu).
Nevím, jak právě teď, ale před velmi nedávnem byl k dispozici jeden tokem s podporou Libuxu, ovšem jen elementární, pokročilejší jen za peníze od výrobce. Podepisovat to v Linuxu bylo ochotno, ovšem každý podpis vyžadoval PIN. Skvělé pro někoho s pověřením okolo studia, když má podepsat desítky až stovky dokumentů a měl by opakovaně zadávat PIN.
macOS byl, tuším, zcela bez šancí a Linux dnes už taky - tedy. z hlediska nabídky tokenů.
A zrovna tohle může být docela problém ve virtualizovaných Windows.
Nezkoušel někdo tohle s nějakými pozitivními výsledky?
Ještě dodám, eObčanku jsem naposled do NIA použil k aktivaci tokenu mojeID - a to mám čtečku, dokonce přímo v notebooku.

27. 7. 2021, 16:09 editováno autorem komentáře

Tokenů funkčních v Linuxu je spousta, ale bohužel se ta množina moc nepřekrývá s množinou těch, které se líbí státem certifikovaným poskytovatelům. :-(

Co se týká virtualizace, tak by melo byť jedno o jaké usb zařízení se jedná, prostě se udělá usb passthrough.
Svého času existovaly i usb huby poskytující usb over ethernet, využívalo se to právě k virtualizaci, kdy bylo třeba do virtuálního desktopu dostat něco z usb, typicky hw licenční klíče, takže si myslím, že by to šlo použít i na tohle.

No s tím jsme měli tolik zkušeností, že jsem se naučil tolik nových sprostých slov od kolegů, co to zkoušeli... Jinými slovy, ty krabičky usb->ethernet byly naprosto nepoužitelné.

Nerozumiem, prečo by to ľudia nemali chcieť ? Problém nevidím v tom, že by to nebolo užitočné, ale že je náročné skĺbiť požiadavky na zabezpečenie, legislatívu, flexibilitu a jednoduchosť používania. Čo pri kryptografii nie je úplne jednoduché. Ale už to, že nemusím tlačiť papiere a potom ich nosiť na úrady je veľké plus. A na to mi stačí úplne občiansky preukaz.
Už roky podpisujem PDF dokumenty pod Linuxom práve QES bez problémov. Keďže to robím len jednotlivo, vystačil som si zatiaľ s online web signerom ( od Disigu ). Ak by som chcel riešiť citlivejšie dokumenty alebo hromadné podpisovanie, nie je problém mať aplikáciu lokálne, alebo priamo server.
Pre QES sa zjavne nevyhneme špecializovanému zariadeniu - tokenu, pretože to vyžaduje priamo definícia tejto úrovne certifikácie. Ale AES je o dosť felxibilnejšia. Aj keď slovenská legislatíva voči úradom štátnej správy použítie tohoto certifikátu neumožnuje, stále je možné aby si firmy po vzájomnej dohode akceptovali aj tento stredný certfikát pre medzifiremnú komunikáciu, podpisovanie atď. Pre firmy, ktorým nevadí podpisovanie mimo vlastnú infraštruktúru a platenie subscription je tu DocuSign, Microsoft Dynamics 365 a podobne, kde je podpisovanie naozaj triviálne a užívateľ sa len musí naučiť používať web aplikáciu. Naviac, už aj na Slovensku ponúkajú podpisovanie cez mobil, čo by mohlo byť prístupnejšie pre mladších.

"Pre QES sa zjavne nevyhneme špecializovanému zariadeniu - tokenu, pretože to vyžaduje priamo definícia tejto úrovne certifikácie"
- Kvalifikovaný certifikát musí být na kvalifikovaném prostředku, což jsou krom čipových občanek a klíčenek i HSM servery*. HSM se dají koupit jako železo (dosti drahé) nebo v rámci služeb.

* https://www.postsignum.cz/files/politiky/QESealCD_v1_0.pdf?v=1626431923 str. 7 dole.

Jednoducho, pre bežných ľudí je digitálne podpisovanie príliš ťažká téma.
Slovenská legislatíva síce jasne digitálny podpis uznáva ako plnohodnotnú alternatívu k podpisu rukou, ale firmy na to nie sú pripravené.
Ledva sme sa dostali k tomu, aby štátne úrady takéto podpisy akceptovali. Aj to len niektoré. Ostatné firmy na to stále pripravené nie sú.
Moj kolega by mohol rozprávať, ako poslal dokument podpísaný QES (u nás ZEP - zaručený elektronický podpis) a pani mu potom po telefóne hovorila, že ona žiadny podpis nevidí. :)

Jo, před několika lety jsem posílal soudu jistý ouřední "papír" - bylo to PDF, s vloženým obrázkem podpisu, elektronicky podepsané (tenkrát "kvalifikovaným podpisem"), e-mailem též elektronicky podepsaným (stejným podpisem). Následovala krátká, zhruba měsíční komunikace, že to potřebují podepsané, že si mám zřídit datovou schránku, ale ta dokument stejně nepodepisuje, takže to mám přinést na papíře podepsané.. A když jsem rezignoval a poslal to doporučeným dopisem s ručním podpisem, byl jsem e-mailem upozorněn, že to potřebují podepsané (můj podpis je snadné přehlédnout, chápu.) a mám radši použít datovou schránku, ale to lejstro pak potřebují na papíře, protože elektronický podpis PDF neumí zkontrolovat.
Dotřetice vyřízeno - podpis učiněn na papíře před soudní úřednicí.
Digitalizace státní správy reálně začala až s koronavirovými homeofficy - a i tak spíš překotně než systematicky.

Vďaka za článok.

Pred nejakým časom som si tiež prešiel podobnými problémami, keď som chcel komunikovať so slovensko.sk pomocou môjho občianskeho s čipom. Na prvý pohľad všetko fungovalo dobre, ale len do určitého momentu. Vstavaná čítačka v TP450s pekne načítala občiansky, dalo sa nim prihlasit, ale pri zápise certifikátu naň to ostávalo visieť. Dlho som skúmal prečo, na helpdesku mi tiež nevedeli pomôcť. Potom som len tak pre srandu vyskúšal starú externú USB čítačku Gemalto (ktorú som dostal spolu s občianskym) a - všetko išlo ako po masle, certifikát bol za chvíľku nahratý do čipu.

Podobne sa to chovalo aj pri pokuse o podanie daňového priznania elektronicky. Všetko fungovalo aj cez vstavanú čítačku (teda prihlásenie sa na portál a tak), ale len do momentu pokusu o výber certifikátu na podpis - ukazovalo, že na čipe žiadny nie je. Keď som celý proces zopakoval s externou čítačkou Gemalto, tak ho našlo a pomocou neho podanie podpísalo.

Pre elektronické podpisovanie PDF používam zamestnaneckú čipovú kartu a JSignPdf - funguje aj so vstavanou čítačkou v ThinkPade. Síce zobrazovanie samotnej aplikácie má trochu problém s veľkosťou fontu (zobrazenie je trošku osekané, pretože použitý font je väčší ako je priestor v okienku preň) a som lenivý hľadať, kde by sa to dalo nastaviť, ale funguje. Pokúšal som sa aj najskôr použiť Foxit Reader, Okular a LibreOffice, ale vždy to na niečom haprovalo, tak používam JsignPdf.

Toho času v Estonsku netřeba kupovat cert, k podepisování a verifikaci máme SW jménem DigiDoc (iOS, Android, Win, OS X a samozrejme Linux) Stačí podepisovat ve formátu asice a měl by byt uznávaný po celé EU. Cele je to navázané na estonskou národní auth službu (TARA) takže člověk podepisuje A) pomocí Obcanky B) Mobile-ID (sim toolkit navázány na ID) nebo C) Smart-ID mobilní app navázána na ID. Samozřejmě je k dispozici i CPP knihovna, pokud ný někdo chtěl integrovat. A samozřejmě to je cele opensource https://github.com/open-eid

Mimochodem TARA (Information System Authority’s authentication service ) muže zdarma používat kdokoli, takže se člověk normálně takto prohlašuje do e-shopu (například Euronics ee), do bank a státních portálů. Máme tady všehovšudy 2 PINy, PIN1 ověření identity, PIN2 slouží k podepisování dokumentu (což například v reálném světě požíváme k potvrzení bankovního převodu - jeho podpisu a PIN1 pro přihlášení do IB)

Zatímco ČR s velkou slávou zvedla autentifikaci pomoci banky, Estonsko to letos zrušilo, protože s tím jsou problémy a ještě ke všemu to nezískalo stejný level důvěry jako 3 výše zmíněné způsoby. Ergo to by měl stát garantovat identitu člověka bance, ne banka státu už z logiky věci.

Tolik s české digitalizaci, která je už od základu odsouzena k neuspechu.

Jenže ono to má v ČR jeden dobrý důvod: stát se tak nějak neumí rozhodnout, jak tu digitalizaci uchopit, aby úředníci nic nemuseli, za nic neručili - a občani komunikovali digitálně z povinnosti a jen předem schváleným způsobem pro ten kterej ouřad. Takže: zaplať Pámbu za ty banky! (A taky za MojeID, což je ještě o level vejš!)

Zni to jako pohadka. A pripomnelo mi to reportaz pred covidem, kdy nas nejlepsi premier Babis jel do Estonska okouknout jak na tu digitalizaci. Asi to neokoukal moc dobre.

Jo, taky jsem e-Resident :-D
Dokumenty vyrobené v DigiDoc jsou opatřeny časovým razítkem a dle eIDAS by to stát měl uznávat jako kvalifikovaný elektronický podpis s časovým razítkem. S radostí to používám pro různá řízení, kde je potřeba je protáhnout na co nejdelší dobu. Jako bonus je to zdarma vč. toho razítka.

Díky za pěkný, čtivý a srozumitelný přehledový článek. Řešil jsem nedávno rozcházení elektronického podpisu mailu a pdf certifikátem od pošťáků, tak mě to o to víc zaujalo.

Akorát s tou svoji "láskou" k javě by se měl jít autor léčit :-), ale jinak velmi chválím.

Akorát s tou svoji "láskou" k javě by se měl jít autor léčit :-), ale jinak velmi chválím.

Já nemám s Javou problém, v mnoha oblastech to je výborná volba, ale na desktopu se to nikdy příliš neujalo. Ty aplikace nezapadají do zbytku systému, rozhraní ve Swingu vypadá jak z roku 2000, dialog pro výběr souboru se nemůže ani zdaleka rovnat tomu, co má GTK nebo Qt. Popravdě neznám nikoho, kdo by rád používal desktopové aplikace napsané v Javě, někoho, kdo by si u GTK nebo Qt aplikace řekl: kéž by byla napsaná ve Swingu nebo JavaFX.

Popravdě neznám nikoho, kdo by rád používal desktopové aplikace napsané v Javě
Vývojáři a produkty JetBrains.

Já nemám s Javou problém
Možná to je problém s rozhraním Swing. Já jsem měl tu smůlu, že jsem kdysi dávno něco tvořil v Delphi a zvykl jsem si na ně jako na standard. Pak jsem měl něco tvořit v Javě, tuším že také s rozhraním Swing a připadalo mi, že všechno co již bylo v Delphi vyřešené začali řešit od začátku a hodně jsem s tím bojoval. Nutnost instalace JVM a pomalejší běh aplikací tomu také nepřidal. Byl jsem zvyklý, že aplikace vytvořené v Delphi fungovaly svižně na všech desktopových systémech od Windows 95 bez nutnosti instalace čehokoliv dalšího (pokud nepotřebovaly nějaké speciální knihovny nebo nebyly špatně napsané).

Nějaký čas jsem používal Unifi Controller na PC a často byl problém to vůbec spustit, něco nefungovalo, muselo se aktualizovat JVM, pak zase nefungovalo něco jiného... jsem rád, že zavedli CloudKey Controller, kde tyhle problémy nejsou.

Delphi byly také ve své době absolutní špička. Swing podle mne nebyl špatně navržený, převzal důležité věci s Delphi, inspiroval se v dalších nástrojích. Podle mne Swing tak trochu předběhl svou dobu dvěma různými způsoby. Ten zajímavější byl, že byl založen na MVC, počítal s multiplatformností a s různými výstupními zařízeními (žádná pevné DPI a pevná velikost fontu). Tím byl ale zároveň komplikovanější. Druhý problém byl, že chyběla dobrá infrastruktura okolo. JVM ještě nebyla tak dobré a počítače byly méně výkonné, takže Java aplikace z počátku dostaly nálepku, že jsou pomalé, a pak už se toho nedokázaly zbavit. Chyběl GUI návrhář, aby návrh GUI aplikací byl tak snadný, jako v Delphi. Když pak doba dospěla do okamžiku, kdy by ocenila přednosti Swingu oproti Delphi, a zároveň už infrastruktura Javy kolem byla dostatečně vyspělá, měla Java za prvé na desktopu špatnou pověst, za druhé si Sun s Javou na desktopu vůbec nevěděl rady. Takže zvítězil web, který je za Delphi asi tak dvacet let pozadu.

trochu offtopic - jedna z veci co mne delsi dobu trapi je sjednocene opendialogy. nektere programy co pouzivam jedou v gtk, jine v qt, a je dost matouci mit pokazde jiny open dialog s dost rozdilnym stylem pouzivani. jde to nejak resit?

Rieši to xdg-desktop-portal: je to sada dbus služieb, ktoré implementuje desktop a aplikácia ich volá.

Z toho samozrejme vyplýva, že to nie je transparentné nahradenie týchto dialógov, aplikácia to musí explicitne podporovať. Ak má pevne zadrátované gtk alebo qt dialógy, tak bude používať gtk alebo qt dialógy.

Tohle asi funguje jen pro veci ve flatpaku, ze?

Na desktop již několik let používám Master PDF Editor (https://code-industry.net/free-pdf-editor/). Dokumenty podepisuji často (PostSignum podpisem) a zatím jsem s tím neměl problém. Má docela pěkné uživatelské rozhraní a umožňuje třeba i vyplňování formulářů (s čímž si ostatní prohlížeče/editory občas neví rady). Plná verze bez vodotisku je ale bohužel placená.

Tak bohužel zrovna ten např formuláře návrhu na vydání EPR případně přihlášky do insolvence pozmění tak, že podepsání a odeslání už prostě neprojde.

Xournal sa už nevyvíja,... náhrada je Xournal++

Pro ověřování podpisu v PDF jsem zkoušel PDF Studio (https://www.qoppa.com/pdfstudio/). Mělo by to umět i podpisy vytvářet, ale to jsem nezkoušel. Je to také napsané v Javě a je to komerční, tj. placené.