Vlákno názorů k článku
Obslužné aplikace eObčanky jsou k dispozici pro Linux
od Nstorm - Spis by me zajmalo, kdy daj přístup k...
-
randomnick (neregistrovaný)
A co tohle:
https://www.mvcr.cz/clanek/certifikaty-csca-cvca-ceska-narodni-certifikacni-autorita-eid-csca.aspx
Nebo je to neco jineho? -
Nstorm (neregistrovaný)
Řekl bych že to je jen otisk root klíče, ale já chci vidět pak veřejnou část klíče co mám na občance. Před nějakou dobou byl článek, že ČR je nepustí viz > https://www.lupa.cz/aktuality/stat-odmita-vydat-verejne-klice-k-elektronickym-obcanskym-prukazum/
-
Filip JirsákStříbrný podporovatelSmysl má, a naopak zveřejněním té veřejné části klíče byste nezískal nic užitečného.
-
Filip JirsákStříbrný podporovatel
Z toho, že něco může být veřejné, ovšem nijak neplyne, že to má být veřejné nebo že to nemá smysl, pokud to není veřejné.
-
Filip JirsákStříbrný podporovatel
Asi jste nikdy veřejné toalety neviděl. Bývá tam také napsáno „muži“ nebo „ženy“, „otevírací doba“ nebo „ceník“. A když některou z těch podmínek nesplníte, tak nemůžete. Navíc byste neměl jen tak přenášet jednu vlastnost z předmětu na předmět jenom proto, že mají v názvu stejné slovo. To, že po použití veřejné toalety pocítíte úlevu, neznamená (pro slušné lidi), že stejnou úlevu pocítíte po použití veřejné dopravy nebo veřejného klíče.
-
Nstorm (neregistrovaný)
Já bych řekl, že bych získal jen Jistotu, že daný certifikát, který je na OP je skutečně můj a patří k mému OP. Jak jinak se dá ověřit, zda ten klíč který je na OP je skutečně můj. Sem asi paranoidní, ale řekl bych, že v této době je to vcelku opodstatněné. To je jako kdyby tam nebyl ani můj klíč a já někde použil svůj OP a tam mi řekli, že to není moje OP.
Prostě chci mít jistotu, že to je moje.
Taky ověřuju když stáhnu novou verzi Fedora Workstation že to není upravená verze o něco navíc. -
Filip JirsákStříbrný podporovatel
Jenže ten identifikační certifikát na občance není váš, je to certifikát Ministerstva vnitra. Na té občance je nahraný jenom jako technická pomůcka pro Ministerstvo vnitra, která mu umožní ověřit vaší identitu i na dálku. Že je to tam uložené ve formě certifikátu je dané jenom technickými důvody – existují standardy a infrastruktura na používání certifikátů, takže nebylo potřeba vymýšlet nic nového. Ve skutečnosti by pro identifikaci úplně stačil veřejný a soukromý klíč, a MV by v databázi mělo vedle čísla vaší občanky ještě ten veřejný klíč.
Akorát dokazujete, že nezveřejňovat ten certifikát CA je rozumné, protože by se lidé (stejně jako vy) pokoušeli ty certifikáty používat k něčemu, k čemu se použít nedají, a spoléhali by na něco, co nikdo nezaručuje.
-
PKI (Public Key Infrastructure) je systém, který deklaruje, že je bezpečný a důvěryhodný, i když veřejnou část klíče může znát kdokoli. Jeho síla nespočívá v sdílení nějakého tajemství mezi komunikujícími stranami, ale v tom, že každá strana má svoji soukromou a veřejnou část klíče. Síla PKI spočívá hlavně v algoritmech, které může znát každý a přece je systém stále bezpečný, když strany udrží v tajnosti pouze soukromou část klíče. Utajování veřejných klíčů a nota bene certifikátů je podezřelé.
-
Filip JirsákStříbrný podporovatel
Tady se ale nebavíme o technologické stránce PKI, ale o její legislativní stránce. V čem je to utajování veřejných klíčů podezřelé? Ve nevěříte bezpečnosti používaných algoritmů? Nevím, proč by utajování certifikátů mělo být ještě podezřelejší, zvlášť, když žádný certifikát nemusí existovat.
-
Filip JirsákStříbrný podporovatel
Vy k podpisu certifikátu potřebujete privátní a veřejný klíč certifikační autority a její certifikát? Já k tomu tedy certifikát certifikační autority nepotřebuju, stačí mi privátní a veřejný klíč. A vám by měl stačit taky – zkuste si někdy vytvořit self-signed certifikát.
-
Kdo se baví o podepisování certifikátu? Bavíme se o tom, že naše (strana naštěstí už ne) vláda vyrobila bastl, jehož důvěryhodnost nelze ověřit. Navíc ty čtečky, co k tomu tady někdo inzeroval, nemají pinpad, takže lze snadno zaútočit proti PINu. A pak - děj se vůle páně. A jestli si někdo myslí, že nás proti tomu ochrání utajování veřejného klíče, je dost bláhový. Jen to prudí lidi, kteří nemají dost znalostí a technických prostředků. S čímž útočníci většinou problém nemají.
-
JKU (neregistrovaný)
Podle https://info.eidentita.cz/eop/CteckyKaret.aspx lze s aplikací eObčanka používat Secure PIN Entry čtečky s klávesnicí. Je na uživateli, zda investuje do ochrany svých přístupových kódů.
-
JKU (neregistrovaný)
V diskusi se začínají mísit dvě odlišné a samostatné funkce elektronického občanského průkazu: funkce identifikační a funkce pro podporu elektronického podepisování. Přitom obě funkce jsou svým charakterem dost odlišné a je třeba je posuzovat odděleně.
Identifikační funkce občanského průkazu je implementována na neveřejných certifikátech. (viz také https://www.mvcr.cz/clanek/podminky-pouziti-obcanskeho-prukazu-se-strojove-citelnymi-udaji-a-s-kontaktnim-elektronickym-cipem-pro-ucely-elektronicke-identifikace-a-doporucena-bezpecnostni-opatreni.aspx?q=Y2hudW09Mw%3d%3d )
Je třeba připomenout, že občanský průkaz je "jen" součástí systému pro elektronickou identifikaci, který je pro volající aplikace reprezentován Národním bodem ( https://www.eidentita.cz ) Národní bod je vystavěn na principech federované identity. Z pohledu aplikace (Service Providera), která využívá službu identifikace, je celkem (a záměrně) irelevantní, jaký konkrétní identifikační prostředek uživatel použil. Podstatné je, zda použil prostředek dostatečné "síly" či "kvality".
Občanský průkaz ČR je identifikačním prostředkem s úrovní záruky "vysoká", což je nejvyšší kategorie podle Nařízení Evropského parlamentu a Rady č.910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (eIDAS). Pro dosažení této kategorie záruk je třeba splnit řadu požadavků, viz např. https://ec.europa.eu/cefdigital/wiki/download/attachments/40044784/Guidance%20on%20Levels%20of%20Assurance.docx
Přestože koncový uživatel nemá možnost ověřit identifikační certifikát, stát - jako provozovatel identifikačního systému - tuto možnost má. Občan by měl věřit státu a jeho zárukám. Poskytovatelé služeb (Service Provideři) pak důvěřují Národnímu bodu a úrovni záruk jednotlivých podporovaných identifikačních prostředků.Funkce pro elektronické podepisování je reprezentována tím, že je občanský průkaz kvalifikovaným prostředkem pro vytváření elektronických podpisů. (Viz také https://www.mvcr.cz/clanek/obcansky-prukaz-vydavany-od-1-7-2018-splnuje-pozadavky-na-kvalifikovany-prostredek-pro-vytvareni-elektronickych-podpisu.aspx )
Také pro dosažení tohoto "titulu" musel občanský průkaz splnit řadu požadavků, především musí pro podepisování používat certifikovanou aplikaci - jak je uvedeno v předchozím linku .
Certifikáty, které "obhospodařuje" podpisová aplikace, a k nimž se dá dostat pomocí knihovny PKCS#11, jsou plně v moci držitele občanského průkazu. Lze je ověřit, vyčíst apod...Nesměšujme v diskusi identifikační certifikáty s certifikáty, určenými pro elektronické podepisování. Mají jiný charakter, účel a jiné "závislé" strany.
-
JKU (neregistrovaný)
Omlouvám se za nepřesnou formulaci.
Pod pojmem "podpisová aplikace" jsem měl na mysli podpisový applet v čipu občanského průkazu.
Nejde tedy o aplikaci v PC, ani ovladače karty v PC.Čip občanského průkazu je podle https://www.mvcr.cz/clanek/obcansky-prukaz-vydavany-od-1-7-2018-splnuje-pozadavky-na-kvalifikovany-prostredek-pro-vytvareni-elektronickych-podpisu.aspx postaven na technologii "IAS Classic V4.4 with MOC Server 1.1 on MultiApp V4".
A právě IAS Classic je podpisvý applet v čipu. Zajišťuje správu a ochranu klíčů, PINů a realizuje PKI kryptografické operace s klíči. (ve spolupráci s nižšími vrstvami). Applet je "garantem bezpečnosti" PKI karty.
Proto je certifikovaný nezávislou laboratoří, aby se tomu řešení "dalo věřit". -
Filip JirsákStříbrný podporovatel
Také pro dosažení tohoto "titulu" musel občanský průkaz splnit řadu požadavků, především musí pro podepisování používat certifikovanou aplikaci - jak je uvedeno v předchozím linku.
Tohle jste trochu zamotal. Kvalifikovaný prostředek musí splňovat určité podmínky, aby dostal certifikaci, že je kvalifikovaný – především musí umět nějak věrohodně informovat, že příslušná klíčová dvojice byla vygenerována na daném prostředku, a pak musí garantovat, že běžnými prostředky nepůjde takto vytvořený privátní klíč z toho prostředku získat.Když už ale takový prostředek máte, můžete s jeho pomocí podepisovat v jakékoli aplikaci, která ho umí používat. Tedy pokud má ten prostředek např. minidriver pro Windows, půjde s jeho pomocí vytvářet kvalifikované podpisy založené na kvalifikovaném prostředku v libovolné aplikaci, která umí používat systémové úložiště certifikátů Windows.
Má to ještě jeden háček – to, že byl podpis vytvořen s pomocí kvalifikovaného prostředku, je uloženo jako příznak podpisového certifikátu. Je to logické – privátní klíč nejde z daného zařízení vyexportovat, tedy každý podpis, který byl s pomocí daného privátního klíče (a jemu příslušnému certifikátu) vytvořen, tedy musel být vytvořen kvalifikovaným prostředkem. Do toho certifikátu ten údaj ovšem může dát jen certifikační autorita, protože ona za ten certifikát ručí. Aby to mohla udělat, musí příslušný kvalifikovaný prostředek znát – musí vědět, že je kvalifikovaný (což není problém, to zjistí z příslušného registru), a také musí vědět, jak pozná, že privátní klíč byl vytvořen v tom kvalifikovaném prostředku a nejde z něj vyexportovat ven. Proto se i české certifikační autority musely naučit, jak poznají, že privátní klíč byl vytvořen na české občance – I. CA a PostSignum už to umí, jak je na tom eIdentity nevím. Je pravděpodobné, že jiné certifikační autority, které necílí na český trh, nebudou toto umět rozpoznat, takže i kdybyste si od nich nechal vystavit kvalifikovaný certifikát, bude to obyčejný kvalifikovaný certifikát, bude mu chybět ten příznak, že podpis spojený s daným certifikátem byl vytvořen kvalifikovaným prostředkem.
-
ja. (neregistrovaný)
Sice s Lol Phirae zvycajne nesuhlasim, ale v tomto ano.
Doverovat mozno iba vtedy, ked existuje historia, na ktorej sa ta dovera zaklada, co v tomto pripade nie je. Statu sa nedoveruje, stat sa kontroluje, teda by mal byt k dispozicii prostriedok, ako si overit, ze to, co stat tvrdi je aj pravda.
-
Filip JirsákStříbrný podporovatel
Jenže v tomto případě to, co stát tvrdí, tím tvrzením vytváří. Není tedy vůči čemu byste to kontroloval, protože stát je ta autorita. Je to jako kdybyste chtěl kontrolovat registr domén, že obsahuje správné domény.
Navíc ten identifikační certifikát na té občance patří Ministerstvu vnitra, je to malý kousek jejich databáze uložený ve vaší občance, který spolu s tím privátním klíčem umožňuje na dálku ověřit, že je to opravdu od nich a ne od někoho cizího. K čemu ten certifikát slouží a jaké informace nese ví ale jen MV.
Kontrolovat stát je správné, ale v tomto případě není na konkrétní občance co kontrolovat.
-
LOL (neregistrovaný)
Nikdo Vás přece nenutí tuto funkci používat. Nikdo Vám nebrání chodit na úřady. BTW po cestách, které Vám postavil stát, po mostech, které taky postavil stát, do budov, které postavil stát. Když mu nevěříte, zůstaňte doma v baráku, který jste si postavil sám a u kterého máte dle Vašeho pohledu jistotu, že Vám nespadne na hlavu :-). Zdar a sílu!
-
Filip JirsákStříbrný podporovatel
Nemohl byste si to ověřit. Ale to byste musel aspoň tušit, co znamená certifikát.
