Vlákno názorů k článku
Ministerstvo vnitra ČR považuje vydání veřejných klíčů k občankám za bezpečnostní riziko
od Filip Jirsák - V celé kauze jde pouze o možnost strojově...
-
Filip JirsákStříbrný podporovatelV celé kauze jde pouze o možnost strojově ověřit autenticitu takto přečtených údajů za pomocí veřejného klíče.
Jenže ke strojovému ověření autenticity nestačí znát veřejný klíč, je potřeba také vědět, za co vlastník té dvojice klíčů ručí. Předpokládám, že MV nebude chtít ručit za nic, protože je to jen pro jejich interní potřebu. Nevydání veřejných klíčů je tedy efektivní způsob, jak zabránit tomu, aby někdo (třeba autor zprávičky) chybně nedůvěřoval informacím tímto klíčem podepsaných.Takže na MV možná neznají technický význam veřejného klíče, Karel Kyovský ale zase nezná jeho právní význam.
-
j (neregistrovaný)
Jirsak, zase blabolis o vecech o kteryh vis kulovy? Pokud ministerstvo za nic neriuci, tak si informaci overit nemuze ani byrokrat v horni dolni, jednoduse proto, ze netusi co se by to vlastne overit mel. A stejna kokotina je to "nezverejnoveani" klicu, protoze ten klic musi kazdej jeden byrokrat mit. Coz sou v CR stovky tisic lidi.
Tudiz JEDINEJ zaver je, ze na ministertvu delaj totalni imbecilove.
-
Filip JirsákStříbrný podporovatel
Ano, zase blábolíte o věcech, o kterých víte kulové. Byrokrat si ty informace neověřuje z občanky, ale ze systémů Ministerstva vnitra. Kterým důvěřovat musí ze zákona. Ty informace na občance jsou totiž podepsané jenom proto, aby si je mohlo na dálku ověřit Ministerstvo vnitra – a jenom to ví, který údaj co znamená a jak je důvěryhodný.
Představte si, že by na té občance v jednom atributu bylo uloženo rodné číslo, pokud ho má dotyčný občan přidělen. A pokud ho nemá, byl by tam nějaký příznak, ale v kolonce pro rodné číslo by bylo náhodně vygenerované číslo strukturou odpovídající rodnému číslo. Systém Ministerstva vnitra s tím počítá a zobrazí správně rodné číslo nebo údaj „rodné číslo nepřiděleno“, ale když s těmi údaji bude pracovat někdo, kdo tahle pravidla nezná, bude to náhodné číslo považovat za rodné číslo a bude se rozčilovat, že Ministerstvo vnitra podepsalo chybné údaje.
-
j (neregistrovaný)
A tusis ty vubec ... jasne ze netusis, jak bys moh... ze tou OP muzes PODEPSAT trebas zadost smerovanou na libovolne URAD a ten URAD si tudiz MUSI overit, ze ten PODPIS je ... PRAVY? A jak jinak by to asi moh udelat, nez se MA ten VEREJNEJ klic?
Stejne jako dement Jirsak (a ty a dalsi) neumis cist ani to, ze jde o klice podespisujici CERTIFIKAT, ne o klice podepisujicu UDAJE... ale to by taky clovek od negramotnych cekal ze?
-
Filip JirsákStříbrný podporovatel
Kentan z Montargi: Mně to připadá strašně jednoduché. Veřejný klíč mého podpisového certifikátu je veřejný. Já mohou odpovídajícím privátním klíčem podepsat údaje, které jsou uvedené na občance. Bude ten můj podpis údajů z vaší občanky zaručovat autenticitu údajů? Nebude. A bude takovou autenticitu údajů zaručovat jakýkoli jiný podpis, když o něm budete vědět jenom to, že veřejný klíč patří Ministerstvu vnitra?
-
null null (neregistrovaný)
@Filip Jirsák
IMO ale pisatel zprávičky neřeší jak identifikovat osobu pomocí certifikátu na občance, ale jak ověřit pomocí privátního a veřejného klíče platnost toho certifikátu - nikoliv identifikaci osoby jako takové. A nemá k dispozici ten veřejný klíč. A potvrdit, že ty údaje patří k tomu certu (a tedy i že cert je platný) si osobuje MV.
-
Filip JirsákStříbrný podporovatel
jak ověřit pomocí privátního a veřejného klíče platnost toho certifikátu
Ano, ale k čemu mu ten certifikát bude? Bude vědět, že podpis na tom certifikátu je platný, ale pořád nebude vědět vůbec nic o tom certifikátu. Jak už jsem psal, certifikát může vydat naprosto kdokoli, můžete ověřit, že certifikát byl podepsán privátním klíčem odpovídajícím nějakému veřejnému klíči, ale to vám je pořád k ničemu, když nevíte, co ten certifikát potvrzuje.Napíšu to jinak. Dejme tomu, že byste ten veřejný klíč znal. Ověříte si, že certifikát na občance byl podepsán odpovídajícím soukromým klíčem, a z certifikátu si vyčtete položku Subject/Surname a zjistíte, že je tam hodnota „Novák“. Znamená to pro vás, že dotyčná občanka byla vydána člověku s příjmením Novák? Kdo vám to zaručuje? Jaký je rozdíl oproti tomu, když vám to budu tvrdit já, že dotyčný je určitě Novák?
-
null null (neregistrovaný)
@Filip Jirsák
Souhlasím, ale o tom zprávička a jeho snažení není. Ta je o tom, že si chce ověřit privátní klíč. Až pak se dostane k tomu ověření certifikátu s identitou, ale to zase nemá kdo potvrdit kromě MV, protože MV bude mít IMO možnost zkontrolovat i to, který priv klíč, případně cert byl komu vydán k jakému jménu apod.
-
Filip JirsákStříbrný podporovatel
Kentan z Montargi: K tomu není potřeba se dostávat až pak, to je jasné už teď, že ten podpis je jiným subjektům, než je MV, k ničemu. Proto mi poněkud uniká smysl snahy ten podpis ověřovat. Jediné rozumné vysvětlení, které mne napadá, je to, že autor zprávičky není dostatečně erudovaný, nerozumí tomu, co jsou to certifikáty a myslí si, že mu ověření podpisu na certifikátu k něčemu bude.
-
Filip JirsákStříbrný podporovatel
Minimálně může být velmi užitečné, být schopen ověřit, že se jedná o občanský průkaz.
To ovšem nijak neověříte z elektronické části, naopak se to vždy ověřuje z fyzického průkazu. -
Filip JirsákStříbrný podporovatel
Ale chápete to, že ten občanský průkaz je elektronický, že?
Není. Občanský průkaz je plastová kartička s vytištěnými údaji. Ta v sobě navíc obsahuje kontaktní čip, který může obsahovat kvalifikované podpisové certifikáty, kvalifikované autentizační certifikáty, a Ministerstvo vnitra si tam umisťuje svoje data, která může použít pro vzdálené ověření identifikace toho konkrétního čipu – a shodou okolností i tahle data mají podobu podepsaného certifikátu s privátním klíčem. -
Filip JirsákStříbrný podporovatel
Nepovažoval jsem za nutné uvádět, že čip je elektronický – znáte snad nějaký jiný čip?
-
Cohen (neregistrovaný)
To jsem rád, moc to tak nevypadalo. Jen pro Vaší informaci, aktuální e-OP splňuje požadavky na eIDAS, což z něho z pohledu evropské legislativy činí elektronický doklad. Za elektronický ho označuje např. Wikipedia, ale třeba i Ministerstvo vnitra:
http://www.mvcr.cz/clanek/elektronicke-obcanske-prukazy-umozni-pristup-k-online-sluzbam-v-cele-eu.aspx
https://cs.wikipedia.org/wiki/Elektronick%C3%BD_ob%C4%8Dansk%C3%BD_pr%C5%AFkaz
http://www.postsignum.cz/elektronicky_obcansky_prukaz.htmlTo, že je tak zákon výslovně neoznačuje, na věci nic nemění.
-
Filip JirsákStříbrný podporovatel
Doporučuju nežonglovat s pojmy, jak vás napadne – a když už to děláte, nedělejte z toho žonglování dalekosáhlé závěry. Psal jste o ověření občanského průkazu. Občanský průkaz je ta plastová kartička, která má mimochodem nějaké ochranné prvky – ale žádná digitální data vám tedy samozřejmě k ověření té fyzické plastové kartičky nepomohou. Vedle toho ta plastová kartička také obsahuje (elektronický) čip, který může obsahovat určitá data – což ale neznamená, že ta data jsou občanským průkazem. „Elektronický občanský průkaz“ je jenom lidové vyjádření, jak krátce označit to, že myslíte občanský průkaz, který v sobě má ten (elektronický) čip. Asi vás to zkrácené označení zmátlo, ale neznamená to, že by ta elektronická část sloužila (přímo) k nějaké identifikaci, že bychom měli dva druhy občanských průkazů – fyzické (plastové) a virtuální (elektronické). Zatím máme stále jen fyzické plastové občanské průkazy.
Ten čip v občanském průkazu je kvalifikovaným prostředkem pro vytváření elektronických podpisů dle eIDAS (definice 23 Článku 3), může obsahovat kryptografické klíče pro vytváření elektronických podpisů na základě kvalifikovaného certifikátu pro elektronický podpis dle eIDAS (definice 15 Článku 3) a může obsahovat kryptografické klíče pro autentizaci na základě autentizačního certifikátu vydaného kvalifikovaným poskytovatelem služeb vytvářejících důvěru (autentizační certifikáty jdou nad rámec eIDAS). Zároveň tento čip obsahuje identifikační certifikát občanského průkazu, který sám o sobě nemá žádný význam, ale slouží pro Ministerstvo vnitra jako jeden ze způsobů přístupu k NIA, což je elektronická identifikace dle Kapitoly II eIDAS. Nelze vyloučit, že MV ten identifikační certifikát bude využívat i jiným způsobem (protože jinak by nemělo smysl dávat do něj osobní údaje, stačilo by mít v něm číslo občanského průkazu).
-
Cohen (neregistrovaný)
Je mi líto, ale diskurs na téma, co je to elektronická občanka, jste začal Vy. A nijak jste to neobhájil, jen si tu hrajete se slovíčky a plníte diskuzi slohovými cvičeními, o která Vás nikdo nežádal. Tudíž žonglování pojmy je zcela na Vaší straně.
A k ověření občanského průkazu - věřím, že jste si někdy po roce 2006 všiml, že jsou občanské průkazy vydávány se strojově čitelnou částí. Tato část je poměrně často využívána pro nejrůznější _bezobslužná_ ověření, kde nehrozí zásadní riziko zneužití, neboť je samozřejmě takové ověření poměrně snadno napadnutelné.
K tomuto mířil můj původní komentář, konstatující, že by třetí strana mohla být schopna aspoň ověřit, že má co do činění s eOP. Míra jistoty by se při jeho využití v takovýchto případech výrazně zvýšila, ipso facto by byla _velmi užitečná_.
-
Filip JirsákStříbrný podporovatel
Je mi líto, ale diskurs na téma, co je to elektronická občanka, jste začal Vy.
To jste si nějak popletl. Já jsem o elektronické občance nepsal nic, protože vím, že žádnou skutečnou elektronickou občanku nemáme, máme jen klasickou fyzickou občanku v podobě plastové karty, a součástí té plastové karty je shodou okolností čip (elektronický).Tato část je poměrně často využívána pro nejrůznější _bezobslužná_ ověření
Nikoli, tato část se nepoužívá pro ověření, pouze pro strojové načtení údajů. Že se jedná o občanku musí ověřit ručně člověk na základě ochranných prvků občanky. Že patří příslušné osobě musí ověřit na základě fotky. To vaše „ověření“ by totiž ošálil každý, kdo by si vytiskl libovolné údaje do příslušné části papírové kartičky a následně by jí zatavil do plastu. Ani by tam nemusel mít fotku a klidně by to mohla být jinak bílá kartička.K tomuto mířil můj původní komentář, konstatující, že by třetí strana mohla být schopna aspoň ověřit, že má co do činění s eOP.
Chytáte se do vlastní pasti používání nepřesných pojmů. Tímto způsobem byste dokázal ověřit pouze to, že máte co do činění s čipem z občanského průkazu. Ale kdyby ten čip někdo z občanky vyjmul a přendal ho do jiného nosiče, nepoznáte to. Takže k čemu by vám takové ověření bylo? Na údaje na tom plastovém nosiči byste se spolehnout nemohl, a o údajích z toho čipu byste zase nevěděl, co znamenají. Nějak netuším, k čemu by to tedy bylo velmi užitečné, mně připadá, že k ničemu. -
Filip JirsákStříbrný podporovatel
Jenom se snažím přijít na to, kdy by ten váš požadavek na ověření čipu byl k něčemu dobrý. Že jsou to šílené konstrukce vím, proto vám taky celou dobu vysvětluju, že chcete nesmysl. Pokud máte nějaký rozumný příklad na použití ověření toho, že ten čip byl vydán jako čip k občance, sem s ním. Celou dobu na takový příklad čekám.
V případě, že bude ten čip použit k autentizaci k NIA, to nepotřebuju poznávat nijak, protože tam se občan neprokazuje občankou, ale identifikačním certifikátem chráněným PINem. Klidně se tam může přihlásit přes banku nebo MojeID, až to bude podporováno. Občanka v tom nehraje vůbec žádnou roli, jeom ta plastová kartička tvořící občanku je shodou okolností využita jako držák na čip, který je jedním z možných autentizačním prostředků.
-
ted (neregistrovaný)
A pak je jeste jeden diskuzni level o stupinek vyse nad rozumnou diskuzi. Ten se Petre nazyva asertivni komunikace. Vyrazy jako "Jirsaku zas meles hovna" jednoduse cteme jako "Nesouhlasim s vami pane Jirsaku" a pokracujeme ve fakticke diskuzi jako by se nechumelilo. Chapeme nastvani z komentu pana Jirsaka ale soustredime se stale na fakta.
-
ted (neregistrovaný)
Vase pojeti a vase reakce na vyraziva nekterych ctenaru skutecne nema s asertivitou nic spolecneho, to mate pravdu. Nechat se vyprovokovat uz tak brzo, hm. Vy jste se dnes evidentne spatne vyspal Petre. Predpokladam ze vy jste urcite za vsech okolnosti korektni a slusny, ze ano :)
