Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: Radek Miček 04. 10. 2025, 14:28:47
-
Zdravím,
chtěl bych se zeptat, jak vlastně eDoklady, které na začátku voleb měly výpadky, fungují.
Myslel jsem, že to lidem funguje i offline? Nebo byl problém, že úředníci nebo
volební komise to nemůže offline ověřit?
Nebo co se vlastně stalo?
-
Fungují online. A to proto, že když někdo např. ztratí svéprávnost nebo se změní údaje o něm, tak aby ta aplikace na to reagovala a nedocházelo k tomu, že někdo bude v mobilu nosit X let staré údaje (což by sice teoreticky mohlo nastat i u papírové občanky, ale je tam menší pravděpodobnost).
-
Přesněji, je tam krátká offline platnost. Pokud si ráno tu aplikaci otevřeš, tak si aktualizuje otisk/podpis, který ti bude platit i odpoledne. Ale pokud sis tu aplikaci naposled pustil při minulých volbách půl roku zpátky a pak znovu až ve chvíli, kdy to potřebuješ před komisí, tak si to bude stahovat v ten okamžik. A když tohle udělá hromada lidí najednou a servery s tím nepočítají... bác.
-
Aha, chápu. Dík.
I když si říkám, že kdyby to offline platilo déle, tak by se to mohlo řešit revokacemi, kterých asi nebude tolik? Tj. každý, kdo to ověřuje by si jen aktualizoval seznam těch revokovaných dokladů.
-
Fungují tak, že si stáhnete do mobilu doklad, který má platnost omezenou dva dny. Během té doby se dá ověřit offline. Po dvou dnech se musí stáhnout novější verze dokladu s platností další dva dny. Resp. mělo by se to stahovat jednou denně, aby tam byla rezerva.
Druhá možnost by byla doklad s platností odpovídající originálu, ale pak by si zase ověřovatel musel pravidelně stahovat seznam odvolaných dokladů. A nebo třetí možnost validovat platnost online, což by ale vyžadovalo připojení k internetu v okamžiku ověřování.
Je to úplně to stejné, jako s webovými certifikáty – buď zjišťujete, zda nejsou zneplatněné, ze seznamu odvolaných certifikátů, který si jednou za čas stáhnete. Nebo to zjišťujete online. A nebo s vydávají s platností pár dnů, což teď testuje Let`s Encrypt. Protože se ukázalo, že ty první dva způsoby v praxi moc nefungují.
-
Je to úplně to stejné, jako s webovými certifikáty – buď zjišťujete, zda nejsou zneplatněné, ze seznamu odvolaných certifikátů, který si jednou za čas stáhnete. Nebo to zjišťujete online. A nebo s vydávají s platností pár dnů, což teď testuje Let`s Encrypt. Protože se ukázalo, že ty první dva způsoby v praxi moc nefungují.
Aha, díky moc za doplnění. To dává smysl.
-
Je to úplně to stejné, jako s webovými certifikáty – buď zjišťujete, zda nejsou zneplatněné, ze seznamu odvolaných certifikátů, který si jednou za čas stáhnete. Nebo to zjišťujete online. A nebo s vydávají s platností pár dnů, což teď testuje Let`s Encrypt. Protože se ukázalo, že ty první dva způsoby v praxi moc nefungují.
Ale na druhé straně tady stát více kontroluje ty aplikace a klidně si může říct, že pokud aplikace nemá stažený aktuální seznam zneplatněných dokladů, tak nemůže ověřovat. A asi by bylo pro server jednodušší, kdyby z něj klienti často stahovali jen seznam zneplatněných dokladů, než si často nechávali vystavovat nové a nové doklady (protože ten seznam zneplatněných je pro všechny klienty stejný a dá se čekat, že bude docela malý - do pár tisíc denně).
Nicméně je pravda, že kdyby nějaký den bylo z nějakého důvodu potřeba zneplatnit všechny doklady, tak stahovat jejich seznam není praktické - musely by se zneplatnit nějakým wildcardem.
-
Do toho pak vstupuje otázka, co je potenciálně zneužitelnější, jestli by ten seznam neprozrazoval něco, jestli by byl větši problém, když si ověřovatelé nemůžou aktualizovat revokace, nebo ověřovaní se aktualizovat, plus velikost toho seznamu by rostla s tím, čím déle jednotlivé doklady platí. Pokud má každý možnost ověřovat platnost edokladu (což je jedna z důležitých myšlenek té implementace, že v obchodě můžeš prokázat věk, aniž bys musel prodavačce ukazovat trvalé bydliště), tak velikost revokčního seznamu hraje velkou roli - nechceš zabrat 2 GB paměti na každém mobilu. A je spousta lidí, co fakt žijí s tím, že konstantně bojují o megabajty.
-
Ale na druhé straně tady stát více kontroluje ty aplikace a klidně si může říct, že pokud aplikace nemá stažený aktuální seznam zneplatněných dokladů, tak nemůže ověřovat. A asi by bylo pro server jednodušší, kdyby z něj klienti často stahovali jen seznam zneplatněných dokladů, než si často nechávali vystavovat nové a nové doklady (protože ten seznam zneplatněných je pro všechny klienty stejný a dá se čekat, že bude docela malý - do pár tisíc denně).
Důležité jsou dvě věci týkající se použitelnosti. Za prvé, spousta ověřovacích míst bude stále na jednom místě, a když tam připojení k internetu není dnes, nebude tam ani zítra ani za týden. Třeba nějaká horská chata, stánek s občerstvením někde na turisticky exponovaném místě v lese apod. Zatímco u mobilního telefonu osoby je pravděpodobné, že se spolu s uživatelem pohybuje v různých místech, a že pokud se dostane do místa bez internetového připojení, nezůstane tam věčně.
Druhý aspekt je ještě podstatnější. Ten, kdo prokazuje totožnost, má možnost volby. Když někam vyrážím a chci si vzít e-Doklad, zkontroluju si, zda je platný – a když ne, vezmu si plastovou občanku. Ověřovatel tuhle možnost nemá, musí vždy umět ověřit i e-Doklad. A když to umět nebude, zkomplikuje tím situaci všem, kteří na použití e-Dokladu spoléhali.
Tj. varianta „aspoň občas online musí být ověřovaný“ je bezpečnější, protože je možné zjistit problém tehdy a tam, kdy je ještě šance ho vyřešit.
-
Za prvé, spousta ověřovacích míst bude stále na jednom místě, a když tam připojení k internetu není dnes, nebude tam ani zítra ani za týden. Třeba nějaká horská chata, stánek s občerstvením někde na turisticky exponovaném místě v lese apod.
Zajímavý scénář, že si objednám panáka v lese a obsluha mne vyzve k prokázání věku a řeknu - „pardon nepočítal jsem s tím, počkejte mi chvilku, beru auto a jedu hledat signál a aktualizovat eDoklad”
To samé, když mě třeba v polích zastaví policista...
Ten, kdo prokazuje totožnost, má možnost volby. Když někam vyrážím a chci si vzít e-Doklad, zkontroluju si, zda je platný – a když ne, vezmu si plastovou občanku.
Zajímavý přístup k uživatelské přivětivosti. Místo jednoho dokladu se starat o dva... hmm. Ale nepřekvapuje mě to. Už jsme to spolu jednou celkem dlouho řešili ;-)
-
Za prvé, spousta ověřovacích míst bude stále na jednom místě, a když tam připojení k internetu není dnes, nebude tam ani zítra ani za týden. Třeba nějaká horská chata, stánek s občerstvením někde na turisticky exponovaném místě v lese apod.
Zajímavý scénář, že si objednám panáka v lese a obsluha mne vyzve k prokázání věku a řeknu - „pardon nepočítal jsem s tím, počkejte mi chvilku, beru auto a jedu hledat signál a aktualizovat eDoklad”
To samé, když mě třeba v polích zastaví policista...
Ten, kdo prokazuje totožnost, má možnost volby. Když někam vyrážím a chci si vzít e-Doklad, zkontroluju si, zda je platný – a když ne, vezmu si plastovou občanku.
Zajímavý přístup k uživatelské přivětivosti. Místo jednoho dokladu se starat o dva... hmm. Ale nepřekvapuje mě to. Už jsme to spolu jednou celkem dlouho řešili ;-)
Zvolil jste poněkud zvláštní způsob, jak potvrdit, že mám pravdu, ale nešť.