[Katastr] vytváření el. podpisů dle eIDAS

Večeře Michal Michal.Vecere na ageris.cz
Pátek Duben 12 17:28:10 CEST 2024 

Jo, a ještě jsem zapomněl – stávající certifikát, který máme nainstalovaný v PC (a máme z něho vyexportovanou zálohu) na token nainstalovat lze. Ovšem tímto způsobem nedojde k povýšení jeho bezpečnosti, a nadále bude fungovat v režimu starého certifikátu v PC (je to asi nejhorší kombinace – málo bezpečný certifikát na NeZcelaUživatelskyPřívětivém tokenu).
Proč to nejde je myslím z toho důvodu, že stávající certifikát má nižší důvěryhodnost, tak mu nejde důvěryhodnost zvýšit pouhým přenesením na token. Proto je nutné požádat o nový, který se generuje už pro konkrétní token.
(kdyby bylo v minulosti heslo k certifikátu prozrazeno/prolomeno, byl by tento zdiskreditovaný certifikát přenesen na token)

Návod v uživatelské příručce k TokenMe, kapitola 7.1: https://www.postsignum.cz/token_me.html :
“Upozorňujeme, že takto importovaný kvalifikovaný certifikát nebude považován za kvalifikovaný certifikát uložený na bezpečném prostředku QESCD a nebude obsahovat příznak QESCD. Totéž platí i v případě importovaného komerčního certifikátu a příznaku NCP+.“


Michal VEčeře




From: katastr-request na fsv.cvut.cz <katastr-request na fsv.cvut.cz> On Behalf Of Večeře Michal
Sent: Friday, April 12, 2024 4:31 PM
To: katastr na fsv.cvut.cz
Subject: RE: [Katastr] vytváření el. podpisů dle eIDAS

Dobrý den (doufám, že reaguji na otázku, která je na mě),
snad má odpověď (kterou jsem odeslal 3.4. a doteď asi bloudila někde v hlubinách internetu) nenapáchala víc škody než užitku. Asi jsem to špatně formuloval, ale to zásadní sdělení bylo, že když mám platný certifikát (nainstalovaný v PC), tak ním mohu podepsat žádost o vydání následného (nového) certifikátu, aniž bych musel vážit cestu na poštu.

Zkusím vysvětlit rozdíl mezi certifikátem na tokenu a v PC tak, jak ho chápu já.
Certifikát samotný bude mít v prokazování totožnosti stejnou váhu na tokenu i v PC (dovozuji z toho, že můžu starým certifikátem podepsat žádost o certifikát na tokenu a nikdo po mě nechce další ověření totožnosti).
Zcela zásadní rozdíl ale vidím v bezpečnosti používání. Pokud bych se dostal k Vašemu PC a měl dost času, mohl bych se pokusit “hrubou silou“ (postupným zkoušením hesel) Vaše heslo k certifikátu prolomit (a asi bych na to nejprve šel přes uložený HASH a nějakou převodní tabulku HASHů, takže hesla typu “heslo“ a “1234“ by mi vyskočily po pár sekundách…). Jakmile mám heslo, mám zároveň Vaši identitu a už si píšu na katastr elektronicky podepsanou smlouvu, že mi darujete veškerý svůj nemovitý majetek…
Certifikát na tokenu nebo čipové kartě má to kouzlo, že pokusy k odhadnutí hesla mám 3, případně o málo víc. Token není flashdisk, ale zařízení, uvnitř kterého je certifikát dobře schovaný, a v bezpečí.
Přesně proto, si myslím, přecházíme na certifikát na tokenu. A stesky typu “kdo by chtěl ovládnout můj podpis“ jsou opodstatněné asi jako “proč bych měl dům/auto zamykat, vždyť tam nic nemám“…

A nebojte, já nebudu ten, kdo se pokusí Vás okrást o digitální podpis. Já jsem vděčný za to, že udělám geometrák, který mi katastr potvrdí napoprvé a o moc větší ambice nemám 😊

A o tom, jak funguje samotné podepisování certifikátem třeba někdy příště…


S pozdravem, Michal VEčeře




From: katastr-request na fsv.cvut.cz<mailto:katastr-request na fsv.cvut.cz> <katastr-request na fsv.cvut.cz<mailto:katastr-request na fsv.cvut.cz>> On Behalf Of Linda Poustkova
Sent: Friday, April 12, 2024 3:36 PM
To: katastr na fsv.cvut.cz<mailto:katastr na fsv.cvut.cz>
Subject: Re: [Katastr] vytváření el. podpisů dle eIDAS

Dobry den, takze jste nepotreboval novy certifikat, jak tu vsichni psali. V tom vasem odkazu se tez pise, ze je mozne na token ulozit i stary certikat?
A porad tedy nerozumim v cem je token jiny nez flashdisc?
Dekuji
Linda Poustkova
Odesláno z iPhonu

12. 4. 2024 v 13:56, jelinkova.milada na seznam.cz<mailto:jelinkova.milada na seznam.cz>:
Dobrý den.
Podle návodu se mi podařilo obnovit certifikát a uložit ho na token bez návštěvy pošty.
Dokonce ani nebyl potřeba elektronicky podepsaný mail (jak je uvedeno v návodu), stačil el. podpis na příloze.
M. Jelínková

---------- Původní e-mail ----------
Od: Michal VEčeře <michal.vecere na gmail.com<mailto:michal.vecere na gmail.com>>
Komu: katastr na fsv.cvut.cz<mailto:katastr na fsv.cvut.cz> <katastr na fsv.cvut.cz<mailto:katastr na fsv.cvut.cz>>
Datum: 12. 4. 2024 12:15:14
Předmět: Re: [Katastr] vytváření el. podpisů dle eIDAS
Dobrý den,
na stránkách PodtSignum https://www.postsignum.cz/media_usb_tokeny_cip_karty.html#f90 píší "návštěva pobočky nebo elektronická obnova".
Přes sw iSignum jsem s pomocí stávajícího certifikátu přešel bez problémů pouze elektronicky na certifikát na TokenME.

Michal VEčeře


________________________________
Od: katastr-request na fsv.cvut.cz<mailto:katastr-request na fsv.cvut.cz> <katastr-request na fsv.cvut.cz<mailto:katastr-request na fsv.cvut.cz>> za uživatele Václav Čada <cada na kgm.zcu.cz<mailto:cada na kgm.zcu.cz>>
Odesláno: středa, dubna 3, 2024 3:17:47 odp.
Komu: katastr na fsv.cvut.cz<mailto:katastr na fsv.cvut.cz> <katastr na fsv.cvut.cz<mailto:katastr na fsv.cvut.cz>>
Předmět: [Katastr] vytváření el. podpisů dle eIDAS


    Dobrý den,

dovolil bych se dotázat vás znalých, kteří jste již úspěšně pořídili kvalifikovaný prostředek pro vytváření el. podpisů a el. pečetí v souladu s nařízením eIDAS (mimochodem příšerný název...😉), proč poté, co je mi serverem PostSignum vygenerováno ID žádosti o certifikát, musím se fyzicky (podle uživatelské příručky České pošty ProID+Q a ProID+Q(gen.2)) dostavit na pobočku České pošty a tam toto ID předložit spolu s "dalšími náležitostmi" blíže nespecifikovanými?
<hmT0CpOOJ8VZZjpY.png>

Platnou smlouvu s Českou poštou už mám minimálně od roku 2015, a žádost o vydání certifikátu pomocí podepsaného e-mailu (včetně všech změn a oprav s přechodem UOZI na AZI) již vyřízené úspěšně mám "vzdáleně" také. Jestliže neustále slyšíme, jak digitalizace agend veřejné správy úspěšně pokračuje, tak nechápu, co na mě paní u přepážky na poště uvidí...🙂

Můžete mi toto někdo nějak logicky vysvětlit? Předem děkuji. Václav Čada

-----------------------------------------------------------------------

    Doc. Ing. Václav Čada, CSc.

    katedra geomatiky                      www.kgm.zcu.cz/vcada<http://www.kgm.zcu.cz/vcada>

    Fakulta aplikovaných věd                E-mail:cada na kgm.zcu.cz<mailto:E-mail:cada na kgm.zcu.cz>

    Zapadoceska univerzita                      Tel:    +420-377639205

    Univerzitni 8

    306 14 Plzeň

-----------------------------------------------------------------------
____________________________________________________
https://sympa.fsv.cvut.cz/wws/info/katastr/

____________________________________________________
https://sympa.fsv.cvut.cz/wws/info/katastr/
____________________________________________________
https://sympa.fsv.cvut.cz/wws/info/katastr/
<hmT0CpOOJ8VZZjpY.png>
____________________________________________________
https://sympa.fsv.cvut.cz/wws/info/katastr/
____________________________________________________
https://sympa.fsv.cvut.cz/wws/info/katastr/
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <https://katastr.zememeric.cz/pipermail/katastr/attachments/20240412/212a2d89/attachment.htm>

Další informace o konferenci Katastr