Názory k článku Elektronický podpis v kostce: klíče, certifikáty a časová platnost
-
Filip JirsákStříbrný podporovatelPřesněji jste si nepořídil elektronický podpis (ten vytváříte v okamžiku podepisování), ale certifikát pro vytváření elektronických podpisů.
-
Filip JirsákStříbrný podporovatel
Za podpis se obvykle považuje kombinace podpisu a certifikátu :-)
To, že technicky vzato je podpis samotný „zašifrovaný“ hash, bez certifikátu, je technický detail. Ale to, že od certifikační autority nezískáte (svůj) podpis, ale možnost podepisovat, je podle mne i pro laika podstatná informace. Např. proto, že s tím certifikátem pak můžete vytvořit podpisů kolik chcete. Popravdě nechápu, odkud se to pořád bere, že někdo říká, že „má od certifikační autority podpis“, místo aby říkal, že „má od certifikační autority certifikát“.
-
Filip JirsákStříbrný podporovatel
Faktury nemusí být podepsané, takže zrovna pro to certifikát pro elektronický podpis nepotřebujete. Nicméně může být levnější si ten certifikát pořídit než to vysvětlovat některým příjemcům faktury, že tam podpis být nemusí (na druhou stranu, všichni, kdo trvají na podepsané faktuře, se spokojí s naskenovaným podpisem, takže ani v takovém případě není ten certifikát pro uznávaný elektronický podpis potřeba).
-
To se obávam že jestli paní ûčetni vyžaduje podpis na papírové faktuře, tak to tím certifikátem vyřešit nemusí. . Tim se ověří pravost Vámi odeslaneho emailu s tím souborem faktury u ní elektronicky v počítači. Čili tam by si to mohla zkontrolovat, jestli to zvládne.
Ale jestli si tu fakturu u sebe tiskne tak tam už to vidět být nemusí.
No snad jste s ní ve spojení, tak Vám řekne jestli ji to takhle s elektronickým certifikátem stačí. -
Filip JirsákStříbrný podporovatel
Jestli je ten podpis na faktuře vlastnoruční podpis nebo sken podpisu ta účetní nepozná, když to vytisknete na barevné inkoustovce. Pokud po mně někdo chtěl vytištěnou fakturu s podpisem, elektronická faktura s elektronickým podpisem mu nestačila, dal jsem si vždycky záležet na tom, abych vytisknul to PDF s naskenovaným podpisem, které jsem předtím poslal elektronicky. Nikdo nikdy mi to nevrátil, že to přece není vlastnoruční podpis.
-
Filip JirsákStříbrný podporovatel
Vizualizace podpisu je v PDF volitelná. Když můžu, tak to vypínám, ať si lidi nezvykají, že je PDF elektronicky podepsané, když je to tam napsané. Napsat si to tam může kdokoli i bez podpisu – a přeci jen u elektronických podpisů chceme lepší úroveň zabezpečení, než je u vlastnoručních podpisů.
-
Bohužel jsem musel začít podepisovat v Okularu, který umožňuje vložit do toho vizuálního podpisu jako pozadí můj vlastnoruční podpis. Už jsem byl unavený z toho, že mi lidi psali, ať jim to skutečně podepíšu. On totiž ani ten vizuální podpis, kde je jméno podepisujícího, čas a datum podpisu, není pro většinu dost. Natož aby v tom dokumentu vizuálně nebylo vůbec nic! Jak tam není nadrápaný můj podpis, pro lidi to není dostatečně podepsané. :)
-
DannyStříbrný podporovatelPritom pozadavek na podpis na fakture je sam o sobe nesmysl. Nikde neni vyzadovany, pokud se bavime o podpisu toho, kdo danovy doklad vystavuje. Ostatne, urcite ta pani ucetni nevraci faktury mobilnim operatorum... treba :D
-
Bezproblemu zaridim, ze ucetni skonci a jeste si bude gratulovat, ze ne v base. Fakturu totiz musi "podepsat" prijemce. Nikoli vystavitel. Respektive ze zakona musi byt dolozitelne, kdo tu fakturu do ucetnistvi vlozil.
Faktura poslana mailem se taky nemusi dorucit, a faktura poslana do DS nepotrebuje zadny podpis.
-
Filip JirsákStříbrný podporovatel
faktura poslana do DS nepotrebuje zadny podpis
Faktura předaná jakýmkoli způsobem nepotřebuje podpis toho, kdo ji vystavil. Datové zprávy poslané datovou schránkou jsou považované za podepsané pouze v případě, že jde o podání vůči OVM. -
No řekl bych, že spíš moc. Poplatek by měl být symbolický i za cenu, že bude provoz nějakou formou dotovat stát a měl by vyjadřovat výhradně účelně vynaložené náklady. Levnější i praktičtější je pořídit certifikát na 3 roky. Taky je praktické přikoupit jednou za čas balíček časových razítek. Jinak jsou nesmyslně drahá. Soukromě jich tolik není třeba. Já jich spotřeboval za 10 let 150. Musí se na to myslet dopředu a koupit jako "balíček služeb". Nechápu, proč nemůže být certifikát vydaný třeba na 50 let? 10 let?
-
Filip JirsákStříbrný podporovatel
Proč by to měl dotovat stát? A proč si myslíte, že je poplatek byl vyšší, než účelně vynaložené náklady? Kdyby to tak bylo, začne tu službu nejspíš poskytovat někdo další, kdo by nabídl o něco nižší cenu.
Certifikát osvědčuje skutečnosti na tom certifikátu uvedené. Za deset nebo padesát let už dávno nemusí být pravdivé. Navíc byste tím pravděpodobně nic neušetřil, protože desetiletý certifikát by pravděpodobně stál desetkrát tolik. Certifikační autorita má převážně fixní náklady, takže kdyby certifikátů vydávala méně, byly by dražší.
-
No já jsem ten poslední, který by se o něco prosil státu. Vlastní infrastrukturu důvěry založenou na asymetrickém šifrování si může každý vybudovat sám. První certifikát jsem měl od KB v roce 2005, poslední 2019. Stačilo jen začít certifikát od banky všeobecně uznávat. Pak certifikát nahradili, to byl pokrok, SMS! Hlavně že teď má každý deset bankovních identit bez certifikátu.
Certifikační autority jsou autoritou státu vnuceny, ale málokterý úředník se umí podepsat natož aby email poslal šifrovaný.
Certifikát osvědčuje moji identitu. Nevím, proč bych měl svou identitu za svůj život měnit? Při obnově moji identitu nikdo neověřuje.
Uznávám, jaké mají komerční certifikační autority náklady, business model a jestli pracují se ziskem, nevím. Každopádně stát tu infrastrukturu potřebuje, svým způsobem asi taky nepřímo dotuje. Tady vycházím jen z jedné úvahy: kolik je úředníků nebo jen soudců? Každý musí mít certifikát uložený v kvalifikovaném prostředku, pravidelně obnovený, ale žádný soudce ho nepoužívá!!! Ještě jsem neměl "v ruce" jediný rozsudek podepsaný soudcem! Kolik je to ročně zbytečně obnovovaných certifikátů? Třeba má stát množstevní slevu. Pro občany, kteří by se to mohli po 20 letech konečně naučit používat, mi přijde 440 Kč ročně moc. -
> "Vlastní infrastrukturu důvěry založenou na asymetrickém šifrování si může každý vybudovat sám."
To je právě podle mne dost těžké udělat, aby to zůstalo ověřitelné i po dlouhé době a aby to nespoléhalo na jeden nahodilý centralizovaný bod (server, banku, úložiště veřejných certifikátů...)
Jinak taky nevím, zda je těch 440 korun moc nebo ne.
-
Filip JirsákStříbrný podporovatel
Certifikační autority jsou autoritou státu vnuceny
Jediné, co je státem vnuceno, je to, že uznávaný elektronický podpis (založený na certifikátu akreditované certifikační autority) má stejnou právní váhu, jako podpis vlastnoruční.Stačilo jen začít certifikát od banky všeobecně uznávat.
A to je přesně to, co stát (a později EU) udělal – řekl, které certifikáty se musí všeobecně uznávat. A zároveň pro ně nastavil podmínky, aby byly opravdu důvěryhodné.Certifikát osvědčuje moji identitu. Nevím, proč bych měl svou identitu za svůj život měnit? Při obnově moji identitu nikdo neověřuje.
V certifikátu ovšem není zapsaná přímo vaše identita, nýbrž identifikační údaje. A ty se v čase mohou měnit. Při obnově se vaše identita ověřuje – pokud obnovujete certifikát na dálku, musíte žádost podepsat svým platným certifikát.Každý musí mít certifikát uložený v kvalifikovaném prostředku, pravidelně obnovený, ale žádný soudce ho nepoužívá!!! Ještě jsem neměl "v ruce" jediný rozsudek podepsaný soudcem!
Na základě čeho si tedy myslíte, že každý soudce podpisový certifikát má?Třeba má stát množstevní slevu.
Stát ne, protože stát není žádný právní subjekt. Ale úřady mají množstevní slevu.Pro občany, kteří by se to mohli po 20 letech konečně naučit používat, mi přijde 440 Kč ročně moc.
Protože se místo toho vymýšlejí nesmysly jako datové schránky. Kdyby se běžně pro elektronickou komunikaci používaly elektronické podpisy, vyplatily by se daleko většímu množství lidí. -
No já myslím, že kdybychom měli větší prostor k diskusi, tak bychom se v mnohém shodli. Ve zkráceném formátu zabředneme do slovíčkaření. Svou identitu jsem od narození nezměnil a ani to neplánuji. Certifikát by mohl technicky platit prostě do odvolání ale dokážu se smířit s tím, že jsou nějaké důvody pro jeho výměnu, podobně jako třeba u ŘP nebo OP, jednou za 10 let. Nakonec by se mohly certifikáty vydávat zároveň s tímto kryptografickým prostředkem ve stejných desetiletých intervalech. Ostatně, co se stane se soukromým klíčem uloženým v eOP, když jeho platnost končí později než je lhůta pro výměnu OP? Zkoušel jsem se na úřadu ptát už několikrát. Je jasné, že přesunout nelze a nechat si prošlý OP také nelze.
Jestli soudci certifikát pro výkon své funkce nemají, když jim zákon ukládá rozsudky vyhotovené v elektronické podobě elektronicky podepsat, mě nenapadlo. Dobrý nápad to prověřit. Děkuji.
S poznámkou na adresu datových schránek naprosto souhlasím. Rozsáhlá kapitola absurdit sama pro sebe.
Stát má nebo by měl mít zájem na elektronické komunikaci s občany a chce v tom hrát určující roli, tak asi musí počítat s náklady. Zatím jsou s tím náklady jen pro občany. -
> Certifikát by mohl technicky platit prostě do odvolání ale dokážu se smířit s tím, že jsou nějaké důvody pro jeho výměnu, podobně jako třeba u ŘP nebo OP, jednou za 10 let.
Nie naozaj nemohol.
Tie doby platnosti maju z velkej casti technologicke dovody. Viete, pred par rokmi este sa povazovali 1K RSA kluce za bezpecne a MD5 tiez. Dnes na kvalifikovany podpis su odporucane uz len 3K RSA kluce.
Plus je tu ta vec, ze niekto moze skusal lamat vas verejny kluc. Za rok to nezvladne, ale za 10-20, navyse ked sa ukaze nejaka chyba na vasom kvalifikovanom prostredku, alebo implementacie? To by uz slo.
-
Filip JirsákStříbrný podporovatel
Ne, MD5 nebylo před pár roky považováno za bezpečné. MD5 je považováno za slabé už hodně dlouho, upouštělo se od něj na začátku tisíciletí. Pro kvalifikovaný podpis stačí 2K RSA klíče; 3K RSA klíč jsem nikdy neviděl, větší než 2K se používá 4K. Pokud se nenajde nějaká závažná slabina v používaném algoritmu nebo nedojde k přelomovému objevu třeba na poli kvantových počítačů, opravdu nikdo nezíská privátní RSA klíč za 10–20 let.
-
Filip JirsákStříbrný podporovatel
Svou identitu jsem od narození nezměnil a ani to neplánuji.
Jenže vaše identita ani nikde není uvedena. Ostatně, co je vaše identita – DNA? Všude jste evidován na základě nějakých identifikátorů, které na vaši identitu odkazují. A ty identifikátory se v čase mohou měnit.Certifikát by mohl technicky platit prostě do odvolání
Technicky ano, ale:- Až by začal být některý z použitých algoritmů považovaný za málo bezpečný, musela by certifikát odvolat autorita. Jistě by vám o tom poslala několik e-mailů, bylo by to v médiích – a stejně by byla ohromná spousta lidí, kteří by byli strašně překvapení, že jejich certifikát už neplatí.
- Kontrolovat, zda certifikát nebyl odvolán, je krok navíc, který se ne vždycky dělá.
- Vše by záviselo na vaší povinnosti hlásit certifikační autoritě změny – a kolik lidí to doopravdy dělá, když takovou povinnost někde mají? Takhle je prostě zaručené, že se na ty údaje aspoň jednou za rok podíváte a případně je opravíte.
A k čemu by to celé bylo dobré? Stejně byste ve výsledku zaplatil za certifikáty stejně, akorát by to celé bylo složitější a méně spolehlivé.
Ostatně, co se stane se soukromým klíčem uloženým v eOP, když jeho platnost končí později než je lhůta pro výměnu OP? Zkoušel jsem se na úřadu ptát už několikrát. Je jasné, že přesunout nelze a nechat si prošlý OP také nelze.
Nechat si prošlý občanský průkaz lze. Úřad jej znehodnotí (na několika místech jej proděraví), ale ponechá vám ho. Samozřejmě si o to musíte při výměně průkazu říct.Stát má nebo by měl mít zájem na elektronické komunikaci s občany a chce v tom hrát určující roli, tak asi musí počítat s náklady. Zatím jsou s tím náklady jen pro občany.
Ve skutečnosti s tím má větší náklady stát (právě provoz ISDS). Stát nemá mít zájem na elektronické komunikaci – stát má nabídnout možnosti, zpoplatnit je podle toho, jaké s nimi má náklady, a občan ať si vybere, co mu vyhovuje.
Kdyby stát neprovozoval ISDS, měli by lidé daleko větší motivaci používat elektronické podpisy. Certifikátů by se vydalo víc, byly by levnější. A komunikace s elektronicky podepsanými dokumenty by byla kompatibilní s celým světem, nebo minimálně s celou EU. A mohlo by se používat i to šifrování. -
Díky za seriál. Je opravdu vynikající - srozumitelní, přehledný, čtivý a aktuální. To téma není příliš intuitivní ani pro ajťáka, takže osvěta je určitě potřeba. Ostatně je zajímavé, že něco, co je intuitivní, srozumitelné, funkční a ověřitelné v tradičním hmotném světe (fyzický podpis, fyzické razítko) je složité a neintuitivní v digitálním světě. Otázka spíš pro filozofy nebo teoretiky poznání.
ČLÁNKY DO MAILU