Názory k článku
(Ne)veřejný klíč pro ověření eObčanky byl zveřejněn

Pokud 'právní stránka" elektronických podpisů odporuje technickému principu fungování
Neodporuje. Technická stránka a právní stránka stojí vedle sebe, a aby elektronický podpis fungoval, musí správně fungovat obojí. Je to úplně stejné, jako na papíře – když budete chtít podepsat smlouvu o prodeji Karlštejna, musíte tu smlouvu vlastnoručně podepsat (technická část) a musíte mít právo s Karlštejnem disponovat (právní část).

Spekulovat se dá hodně. Například že zveřejněný certifikát potvrzuje platnost dokladu, ale ne osoby. Nebo že podle něj ověříte pouze "měkce", protože se čipu nezeptáte správně. Můžeme se jen domnívat, ale to může bohatě stačit (stejně jako v případě bankovek nebo pravosti současných dokladů hodnocených pouhým pohledem). Jako hoteliér nebo prodejce bych například toto ověření mohl uvítat jako další (zajímavou) indícii pro plánovaný obchod/důvěru v zákazníka. A pokud v tomto ohledu ministerstvo mlčí nebo mlží, je to projev ignorance státu k podpoře skutečného e-govermentu.

A pokud v tomto ohledu ministerstvo mlčí nebo mlží, je to projev ignorance státu k podpoře skutečného e-govermentu.
Bohužel zprávičky jako tato, které opakovaně tvrdí, že znalost toho veřejného klíče stačí k tomu, aby bylo možné občanky ověřovat, dávají Ministerstvu vnitra zapravdu. To utajení nechránilo bezpečnost řešení, třeba před nějakými hackery – chránilo uživatele před vlastní blbostí.

Jestli je to správně nebo špatně je jedna věc, ale druhá věc je, že klacky pod nohy e-governmentu hází i někteří lidé z občanské společnosti, kteří se tváří, jak chtějí e-government podporovat  – ale bohužel jim k tomu chybí potřebné znalosti.

Ano, je jisté, že ty klíče se budou v čase obměňovat – když nic jiného, je potřeba kvůli vývoji techniky klíče postupně prodlužovat (nebo přecházet na algoritmy, které zajistí s kratší délkou stejnou bezpečnost). Ale to je právě ono, když máte certifikát od certifikační autority, existuje k tomu certifikační politika, která má desítky stran, a která přesně popisuje, co certifikační autorita zajišťuje. A tady si najednou někdo myslí, že celá certifikační politika je jen cár papíru a stačí mu znát veřejný klíč.

Viz např. § 132 o.s.ř., I. ÚS 173/13, I. ÚS 3253/13 nebo I. ÚS 668/15

Stejnou logikou byste pak mohl tvrdit, že svoji platnost mají i nekvalifikované, komerční digitální podpisy vystavené bůhví kým. Tak samozřejme, určitou hodnotu mají, ale jen do té míry, do jaké budete důvěřovat vystaviteli, jeho postupům a jeho zárukám, že slouží ke svému účelu. V praxi by komerční digitální podpis měl stejně bídnou hodnotu, jako podpis ověřený certifikátem, ke kterému se ČR oficiálně nehlásí.

Proto říkám, že podloudně získaný certifikát nepřináší nikomu nic navíc, žádná firma (a asi ani osoba) se nebude spoléhat na to, že na takto nejistém základu postaví ověření podpisu či dokumentu.

Jestli jste si mistře ještě nevšiml, o podpisování taky nikdo nemluví. Řeč je o ověření OP. Znovu - přestaň blábolit.

Když OP držíte v ruce, ověřujete totožnost samotným dokladem a ověřením podobenky s osobou.

Pokud Vám má být digitální ověření co k čemu, muselo by sloužit přinejmenším jako důkaz toho, že v daný okamžik jste OP držel v ruce a ověřil ho i digitálně. Řekněme, např. v zastavárnách, kde mají povinnost evidovat prodávající. Nyní to dělají tak, že opíší údaje z OP - tím se prokazuje, že pracovník zastavárny OP viděl a že zápis udělal do knihy v určitém pořadí.

Bohužel, ke stejnému účelu onen vykoumaný certifikát použít nemůžete.

Takže je zhola jedno, jestli mluvíme o podpisu nebo ověření či o čemkoliv jiném. Společným jmenovatelem je to, že zakládáte svoji důvěru v "něco" na řetězci certifikátů, ale jeden po cestě je takový, ke kterému se ČR oficiálně nehlásí.

Pro extra natvrdlé potřetí - řeč je o ověření občanky. Ne o ověření podpisu, a ne o ověření totožnosti. A potřetí - NEBLÁBOL!!!

Zkuste mi prosím popsat nějakou situaci, kdy mi tedy poslouží tento certifikát k ověření občanky a jakou formou mi to zvýší právní jistoty? Napadat umím taky, he.

Já ti fakt nevím, k čemu to je dobré vědět, že OP je pravý a ne padělek... to je divný, že třeba peníze taky lidi ověřují, že to není padělek.

A tedy:
1. Když ověření neprojde, máte jistotu, že se jedná o padělek? Nemohl stát začít mezitím používat další certifikát?
2. Když ověření projde, máte jistotu, že to není např. testovací certifikát?
3. Po ověření uděláte co? Někam si to uložíte, abyste to mohl prokázat? A dokážete to prokázat?

Takové ověření založené na neoficiálním certifikátu má méně než nulovou hodnotu. Méně než nulovou, protože může vzbuzovat falešný dojem něčeho, co není pravda a co si dovozujete jen na základě svých zkušeností a pravděpodobnosti.

Tady se už několik měsíců diskutuje to, že ty věc má být z principu veřejná.

Souhlasím. Ale o tom se zde nebavíme. Bavíme se o tom, že zveřejněný certifikát, který byl získán jinak než oficiálně, stejně má nulovou hodnotu.

blábolíte, že to je potřeba utajit

Cože? Prosím ocitujte, kde jsem to napsal?

Sice by k těm odkazovaným ani tisícům dalších podvodů realizovaným na onu falešnou občanku v tom případě vůbec nedošlo, ale jinak je to úplně k ničemu.
Už jsem vám vysvětloval, že by k nim došlo. Ten váš úžasný systém totiž jde hacknout magickou formulí: „Na občance nemám identifikační funkci aktivovanou.“

Naco vědět, že OP je padělek.
Jenže znalost toho veřejného klíče vám nijak nepomůže rozlišit, zda ten OP je nebo není padělek. Jak už tu bylo mnohokrát vysvětlováno.

No jistě, certifikát přece nelze ověřit. NE a NE a NE. Nejde to. U občanky NE! Prostě NE!!! Všude jinde jo, ale u eOP NE!!!!
Demagogu. Certifikát ověřit lze. Jenže vy jste chtěl zjistit, jestli občanka je padělek. A zatím jste nepředvedl postup, jakým od výroku „certifikát byl podepsán privátním klíčem příslušným k veřejnému klíči zveřejněnému v bitcoinové transakci, o které psali na Rootu“ (což je to vaše ověření certifikátu) přejdete k tvrzení „tento občanský průkaz je/není pravý“. Místo demagogických komentářů a urážek byste raději měl vysvětlit, jak spolu ta dvě výše uvedená tvrzení souvisí. Pro vás je možná ta souvislost triviální, já se přiznám bez mučení, že já ji tam nevidím a rád se od vás nechám poučit, kde se tam skrývá.

v normální bance nedávají peníze nikomu s doklady, o nichž vědí, že jsou falešné
Problém je v tom, že jste zatím ani nenaznačil, jakým způsobem banka na základě toho čipu zjistí, že jde o pravou občanku. Neustále se tomu vyhýbáte, místo abyste to napsal, tak si jen vymýšlíte hlouposti a urážíte ostatní.

Lol Phirae: Zase se jen vymlouváte. Měl jste napsat konkrétní postup, jak bude banka při ověřování platnosti občanky postupovat. „Klíče nesmí být tajné“ není popis postupu. Vy takový postup neznáte, proto pořád jen mlžíte a nadáváte.

Ale vis, ze ho podepsala nejaka autorita, a pokud mas jeji VEREJNEJ klic, tak si ten podepis muzes OVERIT, a tim padem vis, ze to poslal nekdo komu ten nekdo podepsal jeho klic. A ten nekdo ti pripadne i muze rict KDO.
Zapomněl jste na jeden takový detail. Potřebujete vědět to, jak certifikační autorita dotyčného ověřila a co přesně podepisuje v tom certifikátu. Pokud si budete údaje v certifikátu vykládat po svém, u toho soudu byste taky mohl velice rychle skončit s tím, že si soudce přečte certifikační politiku a oznámí vám, že tu položka certifikátu, na kterou se odvoláváte, certifikační autorita nijak kontroluje. K tomu veřejnému klíči, který byl teď zveřejněn, ale certifikační politiku neznáte, takže vůbec nevíte, co ten podpis znamená.

Nebo ještě jinak. Certifikát znamená potvrzení, a to i ten elektronický ve světě PKI. Je to tedy nějaký dokument, kterým někdo potvrzuje pravdivost nějakých tvrzení. Můžete dostat papírový certifikát, kde bude napsáno: „Já níže podepsaný Franta Vomáčka, školitel, potvrzuji, že Jiřina Nováková úspěšně absolvovala kurz háčkování. Franta Vomáčka v. r.“ Úplně stejně fungují i certifikáty ve světě PKI. Tam máte třeba certifikát, který říká: „Níže podepsaná certifikační autorita ověřila na základě občanského průkazu, že držitelem privátního klíče příslušného k veřejnému klíči ABF4l6== je paní Evženie Kabrhelová. Držitelka privátního klíče si dále přála do certifikátu uvést e-mail evza@example.com, který nebyl certifikační autoritou nijak zkontrolován. Podepsána certifikační autorita“ Jenže takovýhle text by se těžko strojově zpracovával, navíc by se v každém certifikátu opakoval, takže co ta certifikační autorita se vytkne do certifikační politiky, a v certifikátu pak už máte jenom seznam těch údajů – a v certifikační politice se dočtete, zda a jak byl který údaj ověřen. Takže když máte jen podepsaný „certifikát“ ale nemáte tu certifikační politiku, nevíte nic. Dozvíte se akorát: „Já, níže podepsaná certifikační autorita potvrzuji, že: nic. Certifikační autorita.“

Mohl byste blíže popsat, jak jste přišel na to, že je pravdivá implikace „pravý certifikát na čipu pravá občanka, ve které je ten čip vložen“? Ponechme teď stranou to, jestli dokážete ověřit to, že certifikát na čipu byl opravdu vydán pro nějaký občanský průkaz. Prostě by mne jenom zajímalo, když někdo dokáže vyrobit tak kvalitní občanský průkaz, že ho banka neodhalí jako padělek, co mu brání vložit do té padělané občanky čip třeba z vlastní občanky. A taky jste pořád neodpověděl, jak banka ověří certifikát na kartě, když si občan neaktivoval identifikační funkci občanky a tudíž tam ten identifikační certifikát vůbec není.

Čéče, no to je geniální myšlenka, dát tam čip z vlastní občanky s certifikátem, podle kterého si pro tebe rovnou přijdou policajti domů.
Vy jste ovšem psal pouze o ověření podpisu certifikátu. O nějakém zjišťování údajů z certifikátu jste nepsal. To je právě ten problém, že vůbec netušíte, jak by to ověření mělo vypadat, akorát si myslíte, že by to určitě nějak šlo.

Ano, samotná tato možnost zcela jasně dokumentuje, že věci by neměl navrhovat Jirsák a podobní dementi, jinak to dopadne tak, jak to dopadlo.
Dopadlo to tak, že je to funkční. Vy, když máte popsat svůj systém, začnete kolem sebe jenom chrlit nadávky a demagogické příspěvky. Vy totiž nemáte vůbec žádnou představu, jak by to mohlo fungovat jinak.

Lol Phirae: Ty certifikáty, které tam jsou, ale jsou k něčemu dobré. Umožní Ministerstvu vnitra na dálku ověřit danou osobu – takže se bude moci přihlásit například k různým informačním systémům veřejné správy. Například k datovým schránkám. Je to bezpečnější způsob, než se přihlašovat jménem a heslem, a ten způsob může využít každý, kdo má novou občanku – a nemusí kvůli tomu chodit někam na poštu, aby si tam zřídil účet do datové schránky, a na další úřad, aby si tam zřídil přístup do dalšího systému atd.

Pro ověření na místě se (žádné) certifikáty nepoužívají, protože to technicky není možné udělat bezpečně. Pro další ověření občanky na místě slouží BOK, a jeho ověření samozřejmě mohou požadovat jen důvěryhodné subjekty veřejné správy, protože je to prostě číslo, které někam naťukáte – a asi to číslo nebudete chtít naťukat do zařízení nějakého zastavárníka, u kterého budete očekávat, že se okamžitě někam to číslo zaznamenává.

Lol Phirae – omylem jste uvedl příklady, kdy je ten, jehož občanku chcete ověřit, fyzicky na místě, takže se ověřuje občanka jako taková. Údaje na čipu slouží ke komunikaci na dálku. Pokud byste chtěl občanku na místě ověřovat podle údajů na čipu, celý ten váš proces vám rozbourá zlý zákeřný hacker, který vám odpoví „identifikační funkci nemám aktivovanou“. Navíc málokdo s sebou bude u té občanky nosit i čtečku čipových karet, a pokud byste mu ochotně poskytl svou a dotyčný tam zadal IPIN, poruší tím zákon.

@Lol Phirae

To, o čem mluvíte je ale zejména ověření totožnosti, co potřebujete. Samozřejmě, chcete, aby průkaz nebyl padělán. Ale zde už jste papežštější, než papež. Osobní doklady ČR jsou mimo občanského průkazu např. řidičský průkaz, cestovní pas nebo dokonce i zbrojní průkaz (všechny mají zákonné údaje dokladu + podobenku). Jak orgány, tak i další osoby se musejí spokojit s identifikací prostřednictvím jakéhokoliv z těchto dokladů (např. pošta, notáři, soud). To, že jeden z nich na sobě nese prvek navíc je určitě dobře, ale zatím to zdaleka nebude sloužit k tomu, co byste si přál.

A znovu se ptám, jakou hodnotu má ověření pravosti dokladu, když:
1) ČR se k certifikátu nehlásí,
2) nejsou známa pravidla, jak je s ním zacházeno (např. jestli neexistují šarže občanek s nějakým testovacím),
3) a co uděláte, když ověření neprojde? Stát zatím negarantuje, že každý OP bude digitálně vybavený (ikdyž se o to dobrovolně, nad rámec povinností stanovených zákonem snaží).

Co to meleš, přece veřejný klíč sedí ne?

Jo, jak prdel na hrnec :).
A jakmile nebude veřejný klíč sedět, okamžitě volám zásahovou jednotku, aby si přijela pro padělanou občanku i s tím gaunerem, co ji drží v ruce :).

#imbecilita

No a protože teď jsou všude ty počítače, tak už je i na ní i takový malý brouček, říká se tomu čip. No, a v tom broučkovi jsou nahrané údaje o vás. Takže se s tím průkazem můžete přihlašovat na dálku a nemusíte s tou kartičkou nikam běhat. Ale přihlásit si nemůžete jen tak někam.

Aha, takže už nejsme u toho, že by se tím ověřovala platnost občanského průkazu, ale údajů na něm - tedy ztotožnění.

OK, takže jak byste si to představoval? Že naprogramujete aplikaci na web. Uživatel doma zasune občanku a Vám se předají osobní údaje a ČR (Ministerstvo) Vám je ještě posvětí, že jsou v pořádku? Sakra, jestli to myslíte takto, tak je vidět, že vůbec nerozumíte ochraně osobních údajů. Stát zde není od toho, aby zasahoval do soukromých vztahů a dělal "notáře" pro každé přihlášení do nějaké okrajové aplikace.

Dále, ověření vstupu je obdobou podpisu. Podpisem stvrzujete listinu, přístupovým ověřením stvrzujete, že jste to Vy. Obě činnosti jsou právní jednání a vzniká tím závazek z právního jednání. Takže jsme zpět u el. podpisu, nikoliv u ověření pravosti dokladu, o kterém jste zde vícekrát psal.

Zkuste prosím méně nadávat a shazovat (se), možná by stačilo lidsky a česky napsat, jak si myslíte, že by to mělo fungovat v praxi.

to je divný, že třeba peníze taky lidi ověřují, že to není padělek. K čemu jim to sakra je? Jsou to asi magoři, no...
U peněz lidé ověřují, zda to není padělek, z toho důvodu, protože jimi budou chtít dál zaplatit – a padělkem by se jim to nemuselo podařit, protože příjemce je odmítne, pokud padělek pozná (navíc pokud by se někdo pokusil padělkem zaplatit vědomě, je to trestné).

Vy občanským průkazem platíte? Nebo v čem spočívá ta podobnost občanského průkazu s penězi, které se dovoláváte?

Jaký konkrétně problém mají? Do teď jim předpokládám Ministerstvo vnitra dokázalo zajistit vydání falešných dokladů, a tak to bude pokračovat i nadále. Nemyslím si, že by v případě potřeby krycích dokladů do teď tajné služby bez spolupráce Ministerstva vnitra na koleně falšovaly občanky a modlily se, aby někdo (policajt, úředník) dotyčnou osobu nehledal v evidenci obyvatel.