Názory k článku
Elektronická část nových občanských průkazů zatím jen s Windows
-
frantaBronzový podporovatelJe to sice trosku mimo ... ale proc by to musela dodat firma? Mame tu celkem dost celkem dobrych vysokych skol ... co to zadat jako neco na zpusob reverzniho grantu (ten termin je asi blbost ale ctenari snad pochopi ... :)). Myslim, ze treba za dva az tri semestry by to studenti dali dohromady + by tim ziskali zkusenosti z praxe ... proste win win win :)
(Koukneme se treba na minix, ktery vladne svetu ... :D) -
Karel (neregistrovaný)
Školy ne, prosím.
1. Bývají strašně drahé. S argumentem "vždyť ty peníze zůstanou v akademické sféře" se tam propálí dost velké částky.
2. Výsledek je dost strašidelný. Já dvě aplikace vzniklé v rámci grantu na univerzitách musel přebrat. Bylo poznat, že to vznikalo několik let a psalo to mnoho lidí. Jeden všude psal INTEGER, aniž by věděl, co to v PL/SQL znamená. Druhý zase v každé vložené proceduře nacpal několikrát COMMIT. Největší koncentrace jich byla po příkazu SELECT. Pak tam byl nějaký grafoman, který místo aby použil proceduru/funkci s X nepovinnými parametry, tak napsal X procedur stejného jména, které se vzájemně volaly v kaskádě ( A(x) IS BEGIN A(x,0); END ). Pak tam byl kód od někoho, kdo nikdy neslyšel o normálních formách. Plus kód od někoho, kdo o nich slyšel naopak až moc. Aby si nelezli vzájemně do zelí, tak místo přidávání sloupců do stávajících tabulek přidávali tabulky. Takže místo aby z A(x) udělali A(x, y), tak ho nechali jak je, ale udělali B(x, y) kde x je primary key a zároveň foreign key na A. K některým entitám tak existovalo i 12 tabulek, které byly prakticky jen foreign key a jeden sloupeček navíc.
Ne ne, pokud to má být udržovatelné, tak univerzity ne. Ti lidé se teprve učí a experimentují. Co student, to názor. Navíc je vedou učitelé, kteří jsou až na výjimk k praktickým věcem vhodní ještě o chlup méně než studenti.
Viděl jsem i hodně dobrý kód od univerzit, ale to byly případy, kdy to dělali sami pro sebe - věděli co to má dělat a pracovali s tím. Což je přirozená motivace to udělat dobře a nepokoušet se to obhajovat slovy "já vím, že čekat na načtení comboboxu 30 minut je dlouho, ale já to mám správně".
-
unicode (neregistrovaný)
Chce to pravidelné code review a testování tak jak se to dneska dělá běžně a tímto odfiltrovat lidi, co na to nemají. Na druhou stranu je pravda, že někteří profesoři by měli jít na pár let do praxe, protože jejich dozor nad takovým projektem [bez praxe] pak stojí za prd.
Popravdě ani nevím, jak se to dneska u nás dělá. Mám takový divný pocit, že pár profesorů si rozebere grant a implementaci pak hodí na krk nějakému doktorandovi za pár drobných navíc. Rád bych se ale mýlil...
-
B2 (neregistrovaný)
Podle mě by to mělo být Open Source v každém případě a to z toho důvodu, odkud pochází prostředky do toho investované (daně). Takže když už stát naleje někam nekřesťanské prachy, měl by z toho být obecnější užitek, ne jen pro byrokracii a dotyčnou firmu ("stát" jen zastupuje občany). Samozřejmě, že by to muselo být jako podmínka už ve výběrku, takže firmy by věděly do čeho jdou a spousta by i tak ráda šla, na to dám krk. Za ty peníze co je stát schopen platit...
-
B3 (neregistrovaný)
Svizel je s tim, ze to reseni je zjednoduseny zpusob jak cerpaŤ statem uloupene penize.
Kdyby to bylo opensource
- zjistili bysme jak jednoduche to je =>nasli by se oponenti co by konfrontovali cenu, navrh, ..
- lide by to zacali forkovat a vylepsovat => zjistilo by se ze tak lze hodne veci delat from scratch
- firmy by na to zacali psat adaptery pro dalsi uziti => nedejboze, aby bylo snadne to pouzivat bez nutnosti placeneho supportu nebo licencnich poplatku, ze..Last but not least: Uz by se z toho nedalo cerpaŤ.
-
Filip JirsákStříbrný podporovatelZákazníci neutíkají, protože jsou to soukromé firmy a mohou si vybrat kvalitního zpracovatele. Stát si vybrat nemůže, prakticky musí vybrat nejnižší cenu. Takže od vás by „utekl“ a příště by vybral firmu, která udělá dokumentaci minimální, tak aby prošla akceptačním řízením, to samé by platilo o kvalitě kódu. Samozřejmě by nedělali nějaký refaktoring a pročišťování kódu, to přinese užitek až za několik let, a to už by to zase měla vysoutěžené jiná ještě levnější firma, tak proč si zvyšovat náklady na něco, co přinese užitek někomu jinému.
Pak také samozřejmě stát provozuje i dost komplexní systémy, kde není ani tak důležitý samotný kód, jako znalosti, jak to celé funguje. To nejsou znalosti, které by někdo získal tak, že si jednou přečte dokumentaci.
-
frantaBronzový podporovatel
Podminka aby software dodany pro stat byl uvolneni jako open source by podle meho mela byt soucasti zadani.
BTW mame rok 2018 a budem si porizovat ctecky na karty s cipem? Jako fakt? Neslo to udelat se stenym rozhranim jako maji treba ... pasy s biometrickymi udaji, ktere se vydavaji tusim od roku 2012 a jdou nacist treba na kazdem trosku lepsim telefonu?
Chci videt jak ta obcanka vydrzi 10 let ... ikdyz v nasem pripade, kdy se sice karty s cipem vydavat zacnou, ale pouzitelnost bude po X let temer nulova mozna vydrzi ... :) -
frantaBronzový podporovatel
+ teda cekaj, ze k telefonu budou lidi nosit kabl a ctecku ... ? Really???:)
-
Ogar (neregistrovaný)
Nevim, kde to porad berete, ale obcanka MA POUZE KONTAKTNI CIP - bezkontakni tam neni!
Takze se nejedna o zadne NFC, ale fyzicke rozhranni k cipu je 'stary dobry half-duplex seriovy port' alias ISO 7816, ktere je firmwarem ctecky zabaleno do PCSC rozhranni.
Ano, pokud mate treba Raspberry PI ci Arduino s dodstatkem volnych GPIO, muzete si celou ISO 7816 naimplementovat sam a nepotrrebujete ani tu ctecku ...... -
frantaBronzový podporovatel
Ehm ... prijde mi celkem jasny, ze se bavime o ctecce pro tu obcanku ...
-
Ondřej CaletkaZlatý podporovatelObávám se, že použítí bezkontaktní technologie by mělo zase za následek ohromnou vlnu negativních reakcí na možnost přečíst osobní údaje na dálku (bez ohledu na realitu), případně zaručených návodů, jak tomu zabránit provrtáváním antény.
I když je pravda, že třeba německé OP bezkontaktní technologii používají, a to přitom zrovna němci jsou snad Největší „privateroristi.“ Ostatně i česká povolení k přechodnému pobytu, která nahrazují OP pro cizince, používají bezkontaktní technologii stejnou jako cestovní pasy.
-
Filip JirsákStříbrný podporovatel
A umožňují ty německé OP ukládat také šifrovací a autentizančí certifikáty? Aby pak ten čip napájený bezdrátově nepočítal tu asymetrickou kryptografii týden…
-
Ondřej CaletkaZlatý podporovatel
Netuším, nejspíš ne – to je samozřejmě validní připomínka.
Na druhou stranu, umožňují podobně jako pasy ukládat libovolné údaje, které jsou pak dostupné offline. Což mi pro občanský průkaz připadá jako mnohem zajímavější případ použití, než ho mít jen jako autentizační token pro jakousi státní on-line službu.
-
Filip JirsákStříbrný podporovatel
Na tom kontaktním čipu jsou také identifikančí údaje, dostupné offline. Řešením by samozřejmě byla kombinovaná karta s kontaktním i bezkontaktním čipem, která je předpokládám dražší (a ty bezkontaktní antény náchylnější na zničení). Ale hlavně si dovedu představit ten řev, že se to dá číst na dálku a slouží to jen ke špehování.
Navíc mi není úplně jasné, k čemu by bylo dobré číst si z vlastní občanky identifikančí údaje mobilem. Připadá mi mnohem jednodušší to jméno, příjmení a trvalé bydliště si přečíst přímo na plastové kartičce.
-
frantaBronzový podporovatel
Na telefonu zajdete na stranky treba evidence ridicu, prilozite obcanku k telefonu a vyridite co potrebujete?
-
Filip JirsákStříbrný podporovatel
Jak už jsem psal, otázka je, zda bezkontaktní čip může být tak výkonný, aby tu asymterickou kryptografii ušifroval v rozumném čase. Jiným způsobem, než asymetrickou kryptografií, to přihlášení přes nedůvěryhodné zařízení podle mne bezpečně udělat nejde.
-
Ogar (neregistrovaný)
Ohledne nemeckych obcanek - nemci si elektronicke obcanky vyrobili tak, ze vice-mene 1:1 obslehli navrh epasu (stejne byl tlacen hlavne jejich BSI) a pouze ho jemne 'modifikovali'.
Vyhoda je ta, ze ted policajt bez problemu dokaze jednim SW precist cizi pas i lokalni obcanku.Samozrejmne, pokud chce vycist i biometricke udaje (prst, oko, ...) musi se vuci dokladu autentizovat platnym certifikatem, jeho overovaci chain vede k CA certifikatu daneho statu. Tento chain je priblizne tri-stupnovy, pricemz CA certifikat je ulozen v cipu (da se pres chain-certifikat updatovat) a ty 'finalni' certifikaty pro konkretni inspekcni mista se vydavaji s platnosti +- 7 dni.
A nemoznost cteni obsahu pasu na dalku je vyresena tak, ze pro cteni udaju je nutne se overit tajemstvim, ktere je vytvoreno ze strojove citelnych udaju vytisknutych na pasu (takzvana MRZ zona - ty dva spodni radky textu) - ty nejdrive inspekcni misto naskenuje, pres OCR prevede na text a nasledne pouzije ke cteni cipu.
Zde se pouzivaji dve ruzne techniky - starsi BAC a novejsi PACE. -
frantaBronzový podporovatel
Lidi uz si celkem zvykli na bezkontaktni platby a problem s tim, zda se, nemaji ... chapu, ze to je trosku neco jineho, ale na druhou stranu ty pasy taky prosly.
-
Filip JirsákStříbrný podporovatel
Pas je jenom předání údajů, bezkontaktní platby myslím také – maximálně je tam nějaké jednoduché symetrické šifrování. Nevím o tom, že by někde bylo asymetrické šifrování na bezkontaktním čipu. Je možné, že už to tak někde mají – spotřeba čipů se pořád snižuje, vznikají nové energeticky málo náročné šifry, takže jednou to nejspíš půjde realizovat. Ale pokud už to tak někdo má v produkční kvalitě, rád bych se o tom dozvěděl víc.
-
Ogar (neregistrovaný)
No a svete div se, i na NFC platebnich kartach i na ePasech je asymetricka kryptografie :-)
Protoze pouze asymetricka kryptografie je jedina moznost, jak overit pravost nosice (at uz karty nebo ePasu) offline - nosic neco zasifruje privatnim klicem v nem ulozenym a terminal/inspekcni misto tento podpis overi pres chain certifikatu z nosice az k CA certifikatu bud asociaci(VISA,MC,..) a nebo Ministerstva vnitra.
Symetricke sifrovani je na platebnich kartach taky, ale to je pro to, aby tu transakci mohl overit issuer, nebo karta sdili symetricky klice s issuerem a timto klicem udela MAC (=podpis) vybranych udaju z transakce (datum, castka, mena, ....)
Je pravda, ze cela asymetricka kryptografie (u bankovnich karet se to nazyva offline autentizace - DDA, CDA, fDDA) je postavena na SHA1 a RSA max 1984 (ne, to neni odkaz na Orwela ale je to maximalni delka dat co se da prenest v jednom APDU prikazu), ale vzhledem k dobe platnosti karty (3 roku), tim ze ten podpis neni urceny na dlouhodobe pouziti (ma platnost pouze pro jednu transakci) a snadnosti 'revokace' karty to asi neni problem :-)
-
Filip JirsákStříbrný podporovatel
Aha, překvapuje mne, že je možné bezkontaktně platit i offline. Ale vysvětlují to ty slabé algoritmy, tím bych žádné dokumenty podepisovat nechtěl…
-
null null (neregistrovaný)
@Filip Jirsák
Platit offline lze díky tomu, že platební zařízení prostě převezmou údaje z karty, zaúčtují a do několika dnů umí transakci zaúčtovat u banky (říkali že 3 dny). Stejně jako EET. - takto mi bylo v bance vysvětleno, proč některé částky mají nesprávný datum - tedy dle toho to nemá se sílou algoritmu co dělat ...
Ale možná tu chodí někdo od platebních terminálů, tak by to mohl když nic víc aspoň potrvdit nebo vyvrátit ... -
Ogar (neregistrovaný)
Aby terminal mohl akceptovat transakce v offline modu, musi prave pres asymetrickou kryptografii overit 'pravost' karty - coz samozrejmne pres magneticky pruh nejde. Specialni vyjimkou jsou embosovane karty na cerpackach (a podobne), kde je jeste obcas mozno v offline modu platit pres 'zehlicku' - ale to jsou pouze specialni pripady a zavisi na dohode provozovatele a banky vlastnici 'terminal' ....
A ze overeni pouziva pouze SHA1 a RSA<2K? Neni problem, protoze cele overeni je viceme postavene na tom, ze terminal vygeneruje bud random data (DDA) a nebo vezme data z transakce (CDA, fDDA), ty posle do karty a ta to privatnim klicem podepise a terminal overi pres certifikat karty (ulozeny podepsany na karte), ktery overi pres certifikat banky (ulozeny podepsany na karte) a ten overi pres CA certifikat asociace (nahrany v terminalu). A finito - tyto podepsane data hned terminal zahodi - uz je na nic nepotrebuje, uz pravost karty overil :-)
No, a jinak on ten terminal spise funguje v batch-modu - offline transakce i overene online si terminal 'uschova', a az nekdy na konci smeny/dne provede uzaverku - +1D.
Banka sama v ramci sveho systemu jednou denne generuje sumar transakci ze vsech terminalu/bankomatu a ten posila procesorovi k zauctovani - +1D.
No a processor z toho vygeneruje seznam prikazu k prevodu z uctu na ucet a ty posle bankam drzitelu karet ke zpracovani - +1D.
A nedej boze, kdyz to jde jeste pres CNB a nebo se to trefi do vikendu/svatku .....Samozrejmne, celou tu dobu se 'autorizovane' penize na uctu drzitele karty tvari jako 'blokovane'/'cekaji k zauctovani', ale fakticky prejdou na ucet obchodnika az v monente, kdy banka drzitele karty dostane prikaz k prevodu z uctu na ucet a ten provede.
-
null null (neregistrovaný)
@Ogar
Přesto jsem tam na té kartě zaznamenal, že transakce nebyla zaúčtována , nebyla blokována a skutečně zaúčtována byla u banky (dle mého bankovnictví) až o dva dny později - a to jsem tam byl řešit - myslel jsem že je to nějaká chyba. Toto jsem zaznamenal několikrát. Tuto možnost o které mluvím v tom textu nepopisuješ, pokud jsem četl správně ...
-
Ogar (neregistrovaný)
Predpokladam, ze to tedy byl plny offline - tedy castka pod floor limit (500 u contactless, 2000? u contact).
Zde se terminal dohodl s kartou na zaklade svych risk-managementu a tudiz transakce probehla uplne offline a issuerska banka o ni tedy vubec nevi, az do nasledneho zauctovani pres prikaz k prevodu, ktery dostane od procesora acquirerske banky ......
To je proste dan za rychle offline transakce :-( -
Ondřej CaletkaZlatý podporovatel
Prosím, mohl byste o smart kartách a věcech s tím souvisejících napsat nějaký článek, nebo i víc? V komentářích vždycky fundovaně odpovídáte, myslím, že by bylo fajn dát těmto vysvětlením formu článku.
-
Ogar (neregistrovaný)
Ono, ja uz jsem mel kdysi neco i rozepsane/pripravene pro root o ePasech - ale vzdy to skoncilo na me zdechlosti :-(
Je pravda, ze o techto vecech dost vim (holt kdyz s tim clovek denne dela), ale problemem u mne je spise to, ze jsem 'odbornik' (=vim skoro vse o skoro nicem) praktik a ne akademik, neboli je pro mne jednodussi vzdy odpovedet na nejakou danou konkretni vec, nez o tom dlouze sepisovat obecny clanek :-)
-
neregistrovany (neregistrovaný)
Spravil, ale iba pre Firefox: OpenSC PKCS11. Ostatne browsery na to bohuzial nemaju API, takze univerzalne riesenie nie je z toho dovodu.
Na Slovensku je ta aplikacia "uzasna": http server na localhoste. Aj KeepassXC takyto system kedysi pouzival a dnes ho oznacuje ako nebezpecny a odporuca userom prejst na Native Messaging.
-
ja (neregistrovaný)
Tak, ako to robi spominany Keepass: Native messaging - https://developer.mozilla.org/en-US/Add-ons/WebExtensions/Native_messaging
Resp. v pripade browserov, ktore to podporuju, pouzivat nativnu podporu PKCS11.
-
AJAX je to uz roky a preto localhost https server je siroko kompatibilne a bezpecne riesenie.
Nativne PKCS11 ma podla mozilly tragickukompatibilitu https://developer.mozilla.org/en-US/Add-ons/WebExtensions/API/pkcs11 a preto je to pre siroke masy uplne nevhodne riesenie.
-
ja (neregistrovaný)
Password managery sa zbavuju localhostu ako horuceho zemiaka. S http na localhoste sa moze bavit lubovolny proces a oni chcu iba pouzivatelov browser (a ano, maju autentifikaciu). Preto je tu native messaging, kde nativnu aplikaciu spusta browser, bavi sa s nou cez stdin/stdout a ostatne aplikacie nemaju sancu ani len zacat komunikovat. Toto podporuju Firefox, Chrome, Edge.
V dlhodobejsej perspektive by som nepocital s tym, ze browsery nepritvrdia origin policy a nezakazu javascriptu z remote originu pripajat sa na localhost. Niektore blockery to robia uz dnes.
Ano, PKCS nativne nepodporuje vela browserov, preto som napisal "tam kde je to mozne". Vyhodou je, ze netreba ziadny extra software, pretoze pkcs11 pluginy su standardny software, netreba ich vyvijat specialne pre konkretne pouzitie (a pouzivatelia nebudu nadavat, ze je dostupny iba pre davno obsolete verzie systemu, vid eid klient a podporovane verzie macos a linuxu) a vsetko co treba urobit je, aby stranka, na ktorej sa pouzivatel autentifikuje, toto podporovala. Pokial browser nepodporuje pkcs11, vzdy je mozne urobit fallback na nainstalovany sw, tak ako dnes.
-
Peter FodrekZlatý podporovatel
Ono to "funguje" podľa podmienok
A) Firma nakúpila čítačku za 3,50 EUR/kus , nahrala do nej vlastný firmware, ktorý menil len vendorID a zabránil fungovaní originálnym ovládačom/ktoré sú default v každom distre a predal to štátu za 20 EUR/kus
B) SW je pre MS Windows, a deb balíček (pôvodne bez závislostí v ňom), ktorý sa inštaloval cez shell skript bez práv
na spustenie. Dnes je časť závislostí v balíčku a časť inštalovaná skriptom cez gdebi v ubuntu (prečo nejde o apt/apt-get).C) Plugin,aby to šlo funguje vo Firefoxe a Chrome/Chromium, ale nie v Opera-e.
D) Čuduj sa svete, deb ide prekonveretovať cez alien do rpm a treba ešte upraviť ten skript
a ide aj pod OpenSUSE..E) Aplikácie na niektoré služby štátu sú Microsoft only resp. ak sú v Java, tak sú v JRE6 s propietárnyimi doplnkami od výrobcu aplikácie.......
-
Ondřej CaletkaZlatý podporovatel
Čipová karta je malý více-méně univerzální počítač, ve kterém běží nějaký software. S kartou se dá komunikovat pomocí standardizovaných příkazů – ty umí z (velkého) počítače posílat třeba právě PCSC knihovna a payload těchto příkazů přistane v tom softwaru, co běží uvnitř. Takže na straně počítače je potřeba přidat tzv. middleware, software, který na jedné straně implementuje standardní rozhraní pro čipové karty, třeba PKCS#11, a na straně druhé posílá rozhraním PCSC počítači ve smart kartě příkazy, kterým rozumí software, který v čipové kartě běží.
-
KamK (neregistrovaný)
Na Slovensku v pohodě celá trojka: Win, Mac a Linux - https://www.slovensko.sk/sk/na-stiahnutie
-
podla http://www.dsl.sk/article.php?article=21303&title= nove certifikaty so starym (<2.0) softom nefunguju, novy soft (>2.0) je len pre windows.
-
Ondřej CaletkaZlatý podporovatel
Jsou to binární aplikace pro Ubuntu, Mint a Debian, takže třeba uživatelé Fedory mají nejspíš smůlu. Navíc je to jen amd64, takže uživatelé Raspberry Pi mají opět smůlu.
-
Nastastie to slo upravit aj pre RPM based distro. Balicek pre openSUSE: https://build.opensuse.org/package/show/home:hlavki/eidclient-slovak
-
Link na slovenske eID Fedora repo.
https://www.develart.sk/blog/eid-klient-fedora-linux-repozitar/235.htm -
Ondřej CaletkaZlatý podporovatel
Občanské průkazy s NFC ani jinou bezkontaktní technologií v ČR nikdy nebyly. Až do teď byla volitelná varianta s kontaktním čipem za 500 Kč, který sloužil pouze jako token pro ukládání kvalifikovaného certifikátu (a privátního klíče). Nový čip je jiný asi zejména tím, že jsou do něj od výroby nahrána nějaká data.
-
A ktery genius zase vybral tak zhovadile reseni? Proc banky muzou pouzivat ctecky, ktere jsou uplne off-line, strci se do nich bankovni karta a pak se udela chalenge-response autentikace, ale na obcanky musi byt ctecka pripojena k PC??? A proc, kurva, neni na tyhle veci standardni ctecka fungujici s nejakymi standardnimi protokoly, aby jich clovek nemusel mit i nekolik?
-
Ondřej CaletkaZlatý podporovatel
Ta čtečka je standardní, podporující standard PCSC. Bude fungovat v podstatě jakákoli USB čtečka, případně i jakákoli čtečka vestavěná v počítačích.
-
Ondřej CaletkaZlatý podporovatel
Jakákoli smart karta vyžaduje specifický middleware, to opět není nic nestandardního. Jen jsou middlewary open sourcové a ty ostatní.
-
Filip JirsákStříbrný podporovatel
ak nieco podpsujes u seba musis byt online kvoli Trust listom, OCSP a podpisovym politikam, ci casovym peciatkam
Nic z toho pro podpis nepotřebujete. Politiky jsou zapsané přímo v certifikátu, seznamy důvěryhodných autorit pro podpis nepotřebujete (jsou potřeba pro ověření) a máte je stažené v počítači, OCSP pro podpis nepotřebujete. Časové razítko se po podpisu použít může, pak je potřeba pro to získání časového razítka být online. Ale jinak samotný podpis je čistě offline záležitost. -
harrison314 (neregistrovaný)
Hej a potom sa stava, ze ludia podpisuju neplatnymi certifikatmi alebo vyrabaju neplatne podpisy...
Na Slovensku este podla starej legislativy sa k ZEP podpsiom pridavali aktualne zoznamy revokovanych certifkatov, takisto v Estonsku.
Podpisat offline nie je problem, ale je lepsie byt online. -
Filip JirsákStříbrný podporovatel
Aby se nepodepisovalo expirovaným certifikátem, na to stačí, aby šly na počítači správně hodiny. A pokud byl certifikát revokován, měl by o tom jeho majitel snad vědět. Celé seznamy revokovaných certifikátů se asi nepřidávaly, ony mohou být docela velké. Přidat se případně může OCSP potvrzení, že ten jeden konkrétní certifikát nebyl revokován. Akorát to u podpisů nedává moc smysl – u online komunikace (např. HTTPS) se tím mohou získat ty nejaktuálnější údaje a ušetří se případný dotaz na nejaktuálnější CRL. Ale při ověřování podpisu je naopak rozumné ještě nějakou dobu počkat, protože pokud budu mít elektronicky podepsaný dokument a certifikát byl za hodinu po podpisu odvolán, dával bych si na ten podpis setsakramentský pozor. Česká legislativa dokonce vyžadovala čekání 24 hodin (i když to bylo pravděpodobně kvůli chybné interpretaci toho, že kvalifikované CA měly povinnost vydávat CRL aspoň jednou za 24 hodin).
-
JKU (neregistrovaný)
Pěkný článek o nové občance je na Lupě: https://www.lupa.cz/clanky/jake-jsou-a-jak-funguji-nove-elektronicke-obcanky/
-
Ogar (neregistrovaný)
Bohuzel, nemohli :-(
a) kdyby tam primo dali certifikat jedne vybrane autority - ostatni by stat u EU zalovaly za nekalou soutez - podporu pouze jednoho
b) kdyby si stat urobil vlastni certifikacni autoritu a dal tam tento svuj certifikat - vsechny autority by si zacaly u EU stezovat, ze jim stat leze do zeliTakze nakonec vyslo nejjednoduseji tam nenahrat zadny certifikat, at si kazdy zaridi svuj o 'svoji' CA ....
-
Peter (neregistrovaný)
Otazka je, naco si kazdy stat vymysla vlastne koleso. Malo by to byt open source (lebo je to platene z verejnych zdrojov) a akykolvek iny stat by to mohol (po zaplateni casti ceny vyvoja) prevziat/prirobit cast pre svoje specificke potreby. A bolo by lacnejsie pre vsetkych a nezalockovane na jedneho dementneho developera, ktory pouziva este active-x (Slovensky pripad doby nedavno minulej).
-
harrison314 (neregistrovaný)
To nie je vymslanie kolesa, podpis funguje vsade rovnako cez PKCS#11, ale kazdy stat do svojho obciankeho okrem europskeho standardu pridava aj ine veci, ako certifikaty na prihlasnie, ine nepovinne attributy a extensny, plus kazdy stat ma ine refencie na podpisove poliky.
Vies podpisat dokument akymkolvek privatnym klucom, ale na to aby bol legislativne platny podpisovy certifikat musi splnat aj ine nalzeitosti. -
Peter (neregistrovaný)
Pokial viem, staty EU si musia vzajomne akceptovat elektronicky podpisane dokumenty (aj ked rad by som videl v praxi, co by sa dialo, keby sa niekto tejto funkcionality domahal na Slovensku [zrejme len sudnou cestou, lebo ked som to posledne zistoval nic sa neuznavalo = statne organy veselo porusuju zakon]). Ak aj existuju specifika, aspon spolocny zaklad (ktory tvori gro funkcionality) netreba vyvijat a platit n krat.
-
Ravise (neregistrovaný)
- Android používá odhadem stejně nebo víc lidí než windows. Klient je kde?
- Mám být závislý na jediné implementaci, u které nedokážu ani říct, co to vlastně všechno umí? Jednoho dne přijde aktualizace a hned jsi na seznamu...
- Kdybych to chtěl používat dávkově, tak (hádám) bych musel nahackovat pozici okna a posílat události kliknutí a kláves. To je houby automatizace.
- Nakonec čí peníze to nakonec zaplatily? Tohle zaplatila veřejnost (celá). Tak by z toho měla mít užitek celá veřejnost.
- Ostrý provoz nových OP už běží, kdyby to tak bylo v testovacím provozu, budiž. Ale když to běží na ostro, tak by to mělo běžet pro všechny, no ne?
- Funkce základních prvků státu by neměla být závislá na jediné platformě.
-
Jenda (neregistrovaný)
Mně teda mnohem víc než že je to Win-only (což plánují opravit poskytnutím linuxových binárek…) děsí, že je to closed-source. A tedy veškerá práva související s elektronickou občankou (bude jich časem stále víc - přepisy v katastru? volby?) bude dělat kód, u kterého v podstatě nelze auditovat, co doopravdy dělá.
-
nobody (neregistrovaný)
btw: "Softwarový produkt eObčanka (dále jen „Software“) pro
Ministerstvo vnitra ČR, v rámci projektu CDBP, realizovaného STÁTNÍ TISKÁRNOU
CENIN, státním podnikem, vyvinula společnost MONET+, a.s na základě technologie
ProID. Termín Software zahrnuje i veškeré vyšší či modifikované verze,
aktualizace, dodatky a kopie produktu, jakož i příslušnou dokumentaci.
Společnost MONET+, a.s. je vykonavatelem autorských práv k Software." -
harrison314 (neregistrovaný)
Mně teda mnohem víc než že je to Win-only (což plánují opravit poskytnutím linuxových binárek…) děsí, že je to closed-source. A tedy veškerá práva související s elektronickou občankou (bude jich časem stále víc - přepisy v katastru? volby?) bude dělat kód, u kterého v podstatě nelze auditovat, co doopravdy dělá.
Kludne si mozes spravit vlastnu implementaciu a podpisuj nou, na zakladne operacie ti staci PKCS#11
-
Ondřej CaletkaZlatý podporovatel
Bez middlewaru se k rozhraní PKSC#11 nedostaneš, skončíš na rozhraní PC/SC.
-
Filip JirsákStříbrný podporovatel
Ten software ovšem slouží jenom ke správě dat na tom čipu, tedy abyste si tam mohl nahrát vlastní certifikáty, změnit PIN atd. Jinak je to všechno, pokud vím, standardní PKC#11.
-
harrison314 (neregistrovaný)
Android používá odhadem stejně nebo víc lidí než windows. Klient je kde?
- kam donho strcis citacku?Mám být závislý na jediné implementaci, u které nedokážu ani říct, co to vlastně všechno umí? Jednoho dne přijde aktualizace a hned jsi na seznamu
- ked ti nepride aktualizacia tak budes mat starsiu verziu a tvoje podpisy nemusia byt podla novsej legislativy platne (paranoja?).-Kdybych to chtěl používat dávkově, tak (hádám) bych musel nahackovat pozici okna a posílat události kliknutí a kláves. To je houby automatizace.
Obciansky preukaz nemas co pouzivat dialkovo, respktyve nechces, ma to hondotu tvojho podpisu, takisto nechces aby nieco za teba podpsiovalo automaticky.
Ak sa bavime o tom podpisat dokument napriklad v Cloude, na to sa pouziva dvojfazovy podpis (ty si dokument pozries, na serveri sa predpripravi, vypocita sa hash, ten sa posle k tebe do obsluzneho softveru, ten na karte hash podpise a posle naspet na server, kde sa vlozi s tvojim certifikatom do podpisoveho kontaineru).
Ak sa bavime o automatizovanom podpsisovani vo firmach a na uradoch, tam sa nepouzivaju obcianske, ale QSCD zariadenia, HSM-ka,... a iny SW, co to umozni. -
Ravise (neregistrovaný)
> kam donho strcis citacku?
Třeba připojením přes kabel nebo bluetooth. Ale nemůžu. Respektive můžu, ale bude mi to k ničemu.
> ked ti nepride aktualizacia tak budes mat starsiu verziu a tvoje podpisy nemusia byt podla novsej legislativy platne (paranoja?).
U světla, vadí mi, že nevidím dovnitř a nemůžu říct, v čem všem se ten software hrabe. Soft, který je spravovaný státem a díky EOP se bude vyskytovat na spoustě počítačů, to je naprosto ideální prostředek pro hrabání se v cizích počítačích. Jednoho dne mi tam něco podstrčí a já s tím nemůžu nic udělat.
> Obciansky preukaz nemas co pouzivat dialkovo,
U světla podruhé, nauč se číst, dálkově není dávkově.
-
Ad "nevidím dovnitř a nemůžu říct, v čem všem se ten software hrabe" - Ono je to vždycky o důvěře. Když si stáhnete balíček pro vaše distro Linuxu, tak věříte tomu, že ho opravdu podepsali autoři distra, tomu že je balíček opravdu postavený na zdrojácích té aplikace, tomu že do zdrojáku aplikace nikdo nevložil zákeřný kód, atd.
Navíc na každé platformě můžete koukat, co ten SW opravu dělá. Na úrovni admina se můžete kouknout třeba pomocí utility Sysinternals Process Monitor od MS, na Linuxu jistě existují obdobné nástroje postavené na ftrace, DTrace apod.
-
null null (neregistrovaný)
Jenomže to "oni" nemusí být ty samé osoby. Pokud by to ale pořád nebylo jasné, tak si to přestav tak, že prvnímu dávali mínusy lidé s množiny A a druhému dávali mínusy lidé z množiny B, přestože členové množin A, B a možná pak i C či D jsou všichni z množiny návštěvníků diskuze.*
Nebo to vem tak, že jednomu davaly mínusy třeba jablíčka a druhému hruštičky, přestože všichni patří pod ovoce, ale nejsou stejné a nejsou to jediné druhy ovoce.* nebudu to komplilkovat tím, že možná někteří z A a B dali pravdu oběma kvůli jinému důvodu něž si myslíš - třeba jim to připadne offtopic apod.
Nebo třeba:
IDiskutér {}
MinusyProPrveho implements IDiskuter {}
MinusyProDruheho implements IDiskuter {}
MinusyProOba implements IDiskuter {} -
X! (neregistrovaný)
No a nekdo by zase chtel verzi pro (free/open/pc/...)-BSD protoze ho taky pouziva na desktopu... sice k teto skupine uz chvili nepatrim, ale porad tu jsou i jine systemy ktere desktopovy trh nejakym zpusobem atakuji... tim jsem chtel rict jen to ze by si ta implementace opravdu zaslouzila opensource reseni.
Btw neda se statem vybrane reseni treba napadnout u ustavniho soudu nebo tak? Kricet na firmu co to vyrobila je podle me spatne, opensource mel pozadovat uz stat v zadani...
-
Ogar (neregistrovaný)
Melo by, ale s jednim malym ALE:
ta ctecka je default v biosu nastavena tak, ze se objevi az v okamziku, kdy do ni vsunes kartu a po vytazeni karty zase zmizi :-(
Nevim jak presne tento konkretni SW, ale vetsina programu testuje pritomnost ctecky na zacatku, pokud neni zadna tak rve, a pak uz testuje pouze pritomnost karty.
Tudiz mne se (i vzhledem k dualbootu) osvedcilo prestavit to v biosu naopak - tj. ctecka je videt porad a meni se pouze stav karty ....
