Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: Lojza 09. 06. 2018, 19:26:12
-
a pritom nase statni organy by byly povinny jej prijimat (eIDAS) ?
https://www.ceskaposta.cz/sluzby/certifikacni-autorita-postsignum/kvalifikovane-certifikaty#2
-
České autority jsou momentálně tři: I. CA (http://www.ica.cz/), PostSignum (http://www.postsignum.cz/)a e-Identity (http://www.eidentity.cz/). Nebo teoreticky kterákoli kvalifikovaná autorita v EU, ale to by bylo komplikované.
-
Když tu cenu srovnám s nákupem certifikátu pro podpis kódu, tak mi nepřijde jako problém (je cca 5-10x nižší). Způsob oběření identity bude myslím stejný (doklad totožnosti).
Před lety bylo poměrně netriviální ten certifikát pak nainstalovat, ale to už se doufám změnilo.
-
Když tu cenu srovnám s nákupem certifikátu pro podpis kódu, tak mi nepřijde jako problém (je cca 5-10x nižší). Způsob oběření identity bude myslím stejný (doklad totožnosti).
Před lety bylo poměrně netriviální ten certifikát pak nainstalovat, ale to už se doufám změnilo.
O jakém certifikátu mluvíte - pro podpis jakého kódu a kdo ho má pak akceptovat? A proč je o tolik dražší?
-
a pritom nase statni organy by byly povinny jej prijimat (eIDAS) ?
https://www.ceskaposta.cz/sluzby/certifikacni-autorita-postsignum/kvalifikovane-certifikaty#2
Pokud ti jde o komunikaci se statem, muzes pouzit kteroukoliv spravnou CA ze statu EU. Levnejsi to v celkovych nakladech rozhodne nebude a ocekaval bych komplikace. Bylo by fajn kdyby jsi napsal svuj usecase a proc uvazujes o jine CA. Argument o cene, ktera j v CR par stovek neobstoji.
-
mne jenom zajimalo jestli to nekde v EU neumeji levneji, use case by byl asi hodne malo pouzivany podpis (tak jednou do roka), proto bych si pral cenu konvertujici k nule
chapu ze kdo podepisuje tisice dokumentu rocne, tak mu cena v CR nevadi
-
Z principu veci je platba za epodpis pri komunikaci se statem spatne. Slovensko, Estonsko tam dostavate certifikaty k obcankam a neplati se za to nic navic. Jako uprimne nechapu za co tu chteji many, i muj mobil by za hodinu vygeneroval certifikaty pro kazdeho obcana v cr.
-
mne jenom zajimalo jestli to nekde v EU neumeji levneji, use case by byl asi hodne malo pouzivany podpis (tak jednou do roka), proto bych si pral cenu konvertujici k nule
Výrazně levněji asi těžko, protože náklady jsou pořád stejné – technika, zabezpečení, lidé, akreditace. Navíc mi není jasné, jak byste se na nějaké registrační místo mimo ČR dopravil za výrazně méně než 400 Kč.
-
Z principu veci je platba za epodpis pri komunikaci se statem spatne. Slovensko, Estonsko tam dostavate certifikaty k obcankam a neplati se za to nic navic. Jako uprimne nechapu za co tu chteji many, i muj mobil by za hodinu vygeneroval certifikaty pro kazdeho obcana v cr.
Za e-podpis při komunikaci se státem ani při jiné komunikaci neplatíte nic, podpis si vytváříte sám. Neplatí se za vytvoření certifikátu, ale za ověření osoby a za bezpečnost. Váš mobil by certifikáty vygeneroval, ale byly by úplně k ničemu, protože by tam chyběla podstata důvěryhodných certifikátů – ověření, že držitel privátního klíče je ten, kdo tvrdí, že je.
-
no asi by bylo nejlepsi kdyby u nas to bylo obdobne jako na Slovensku, Estonsku
ten nas https://cs.wikipedia.org/wiki/Elektronick%C3%BD_ob%C4%8Dansk%C3%BD_pr%C5%AFkaz
jednak neni zadarmo a hlavne nejak nechapu jak bych si vygeneroval sam elektronicky podpis (dalsi platba ?) a pak ho jak pouzival
http://www.mvcr.cz/clanek/obsluzna-aplikace-eop-middleware.aspx - to vypada ze bych si vlastne musel sam privatne zakoupit ten elektronicky podpis od jednoho z tech nasich 3 certifikacnich autorit a nahrat si jej na eOP a stejne mi neni jasne jak bych ho pak pouzival
-
Žádný elektronický podpis nekupujete, kupujete kvalifikovaný certifikát pro vytváření elektronických podpisů. Pokud ho chcete na čipové kartě, je lepší použít to, co nabízejí příslušné certifikační autority – české občanky na to ještě nejsou moc připravené. Certifikát pro elektronický podpis byste používal tak, že byste jím prostě v aplikaci, která elektronický podpis umožňuje, něco podepsal – nejčastěji se takto podepisují e-maily nebo PDF dokumenty.
-
no mne zajima kdyz certifikat nahraji do te eOP (musim ho nejdriv privatne na sve naklady koupit?) jak to fyzicky vypada - to je nejaka usb fleska (nebo kontaktni ci bezkontaktni cipova karta) kterou jak pripojim k PC ? taky se mi nelibi ukladat si klice na PC radeji bych byl kdyby bylo vse ulozeno jen na te klicence a ja to pri podpisu jen sparoval a podapsal (bezpecnost klicu na pc resp. odcizeni laptopu apod.)
-
Žádný elektronický podpis nekupujete, kupujete kvalifikovaný certifikát pro vytváření elektronických podpisů. Pokud ho chcete na čipové kartě, je lepší použít to, co nabízejí příslušné certifikační autority – české občanky na to ještě nejsou moc připravené. Certifikát pro elektronický podpis byste používal tak, že byste jím prostě v aplikaci, která elektronický podpis umožňuje, něco podepsal – nejčastěji se takto podepisují e-maily nebo PDF dokumenty.
takze napr. Outlook (i jiny email klient ?) a Acrobat (i Reader ci jiny pdf reader ?)
-
no mne zajima kdyz certifikat nahraji do te eOP (musim ho nejdriv privatne na sve naklady koupit?) jak to fyzicky vypada - to je nejaka usb fleska (nebo kontaktni ci bezkontaktni cipova karta) kterou jak pripojim k PC ? taky se mi nelibi ukladat si klice na PC radeji bych byl kdyby bylo vse ulozeno jen na te klicence a ja to pri podpisu jen sparoval a podapsal (bezpecnost klicu na pc resp. odcizeni laptopu apod.)
Elektronický občanský průkaz je klasická čipová karta s kontaktním čipem – podobně jako třeba platební karty s čipem. Musíte k němu mít ještě čtečku čipových karet. Certifikační autority mají podobná řešení, akorát to někdy není čtečka + čipová karta ale jen USB token (vypadá jako USB flash).
Generování vypadá tak, že se vygeneruje klíčová dvojice (privátní a veřejný klíč) přímo na USB tokenu nebo čipové kartě (případně eOP), k veřejnému klíči pak certifikační autorita připojí svůj certifikát a ten se nahraje zpět do USB tokenu nebo čipové karty. Privátní klíč tedy nikdy neopustí bezpečné úložiště v tokenu/kartě, a jednoduchými prostředky jej ani nejde dostat ven. V rámci EU se uznávají jen podpisy vytvořené tímto způsobem (tj. na zařízení, z nějž nelze privátní klíč získat), ČR má výjimku, že tady stát uznává i podpisy vytvořené na základě privátního klíče uloženého v počítači.
Třeba I.CA má různé balíčky – buď vám vydají jen kvalifikovaný certifikát (nebo za stejnou cenu kvalifikovaný i komerční, máte pak tedy kvalifikovaný certifikát pro uznávaný podpis a komerční certifikát pro šifrování a přihlašování, třeba do datových schránek). Nebo si můžete koupit certifikát i s čipovou kartou, případně certifikát s čipovou kartou a čtečkou čipových karet, a pak mají speciálně pro elektronické občanky balíček certifikát plus čtečka čipových karet (protože od státu „dostanete“ jen tu čipovou kartu, bez čtečky).
E-maily umí podepisovat Outlook, Thunderbird i jiní klienti. Problém je s webovými klienty, tam je k tomu potřeba nějaký doplněk do prohlížeče. „Velký“ Acrobat umí podepsat PDF, Adobe Reader to dříve neuměl, mám pocit, že poslední verze Readeru už elektronický podpis umí, ale ruku do ohně bych za to nedal. Já pro podepisování PDF používám JSignPDF (http://jsignpdf.sourceforge.net/). Exportované PDF umí myslím elektronicky podepsat i OpenOffice/LibreOffice a myslím že i MS Office.
-
no mne zajima kdyz certifikat nahraji do te eOP (musim ho nejdriv privatne na sve naklady koupit?) jak to fyzicky vypada - to je nejaka usb fleska (nebo kontaktni ci bezkontaktni cipova karta) kterou jak pripojim k PC ? taky se mi nelibi ukladat si klice na PC radeji bych byl kdyby bylo vse ulozeno jen na te klicence a ja to pri podpisu jen sparoval a podapsal (bezpecnost klicu na pc resp. odcizeni laptopu apod.)
Elektronický občanský průkaz je klasická čipová karta s kontaktním čipem – podobně jako třeba platební karty s čipem. Musíte k němu mít ještě čtečku čipových karet. Certifikační autority mají podobná řešení, akorát to někdy není čtečka + čipová karta ale jen USB token (vypadá jako USB flash).
Generování vypadá tak, že se vygeneruje klíčová dvojice (privátní a veřejný klíč) přímo na USB tokenu nebo čipové kartě (případně eOP), k veřejnému klíči pak certifikační autorita připojí svůj certifikát a ten se nahraje zpět do USB tokenu nebo čipové karty. Privátní klíč tedy nikdy neopustí bezpečné úložiště v tokenu/kartě, a jednoduchými prostředky jej ani nejde dostat ven. V rámci EU se uznávají jen podpisy vytvořené tímto způsobem (tj. na zařízení, z nějž nelze privátní klíč získat), ČR má výjimku, že tady stát uznává i podpisy vytvořené na základě privátního klíče uloženého v počítači.
Třeba I.CA má různé balíčky – buď vám vydají jen kvalifikovaný certifikát (nebo za stejnou cenu kvalifikovaný i komerční, máte pak tedy kvalifikovaný certifikát pro uznávaný podpis a komerční certifikát pro šifrování a přihlašování, třeba do datových schránek). Nebo si můžete koupit certifikát i s čipovou kartou, případně certifikát s čipovou kartou a čtečkou čipových karet, a pak mají speciálně pro elektronické občanky balíček certifikát plus čtečka čipových karet (protože od státu „dostanete“ jen tu čipovou kartu, bez čtečky).
E-maily umí podepisovat Outlook, Thunderbird i jiní klienti. Problém je s webovými klienty, tam je k tomu potřeba nějaký doplněk do prohlížeče. „Velký“ Acrobat umí podepsat PDF, Adobe Reader to dříve neuměl, mám pocit, že poslední verze Readeru už elektronický podpis umí, ale ruku do ohně bych za to nedal. Já pro podepisování PDF používám JSignPDF (http://jsignpdf.sourceforge.net/). Exportované PDF umí myslím elektronicky podepsat i OpenOffice/LibreOffice a myslím že i MS Office.
diky za vysvetleni, ale ja si asi fakt pockam az to bude jen zasunout token do usb a o vic se nestarat (vsechny aplikace uz pripravene na pouziti certifikatu v tokenu, jen kliknu podepsat a odeslat)
kdyz si tak ctu to martyrium na str. 50 a nasl.
https://is.ambis.cz/th/af1kz/Bakalarska_Prace_-_Elektronicky_podpis_v_praxi__Kvech_Miroslav.pdf
tak jsem motivaci i vzhledem k tomu ze to neni zadarmo uplne ztratil
-
Všechny aplikace nebudou připravené nikdy, protože většina aplikací nepotřebuje nic podepisovat. A ty, které to potřebují, umí většinou spolupracovat s operačním systémem, takže USB tokeny podporují.
Postup vydání certifikátu je na jednu stránku – vizte třeba Získání Twins certifikátu (http://www.ica.cz/Ziskat-Twins-certifikat).
-
Zkoušel jste někdo openSC (https://github.com/OpenSC/OpenSC) s PKI CZ občankou?
-
no mne zajima kdyz certifikat nahraji do te eOP (musim ho nejdriv privatne na sve naklady koupit?) jak to fyzicky vypada - to je nejaka usb fleska (nebo kontaktni ci bezkontaktni cipova karta) kterou jak pripojim k PC ? taky se mi nelibi ukladat si klice na PC radeji bych byl kdyby bylo vse ulozeno jen na te klicence a ja to pri podpisu jen sparoval a podapsal (bezpecnost klicu na pc resp. odcizeni laptopu apod.)
Elektronický občanský průkaz je klasická čipová karta s kontaktním čipem – podobně jako třeba platební karty s čipem. Musíte k němu mít ještě čtečku čipových karet. Certifikační autority mají podobná řešení, akorát to někdy není čtečka + čipová karta ale jen USB token (vypadá jako USB flash).
Generování vypadá tak, že se vygeneruje klíčová dvojice (privátní a veřejný klíč) přímo na USB tokenu nebo čipové kartě (případně eOP), k veřejnému klíči pak certifikační autorita připojí svůj certifikát a ten se nahraje zpět do USB tokenu nebo čipové karty. Privátní klíč tedy nikdy neopustí bezpečné úložiště v tokenu/kartě, a jednoduchými prostředky jej ani nejde dostat ven. V rámci EU se uznávají jen podpisy vytvořené tímto způsobem (tj. na zařízení, z nějž nelze privátní klíč získat), ČR má výjimku, že tady stát uznává i podpisy vytvořené na základě privátního klíče uloženého v počítači.
Třeba I.CA má různé balíčky – buď vám vydají jen kvalifikovaný certifikát (nebo za stejnou cenu kvalifikovaný i komerční, máte pak tedy kvalifikovaný certifikát pro uznávaný podpis a komerční certifikát pro šifrování a přihlašování, třeba do datových schránek). Nebo si můžete koupit certifikát i s čipovou kartou, případně certifikát s čipovou kartou a čtečkou čipových karet, a pak mají speciálně pro elektronické občanky balíček certifikát plus čtečka čipových karet (protože od státu „dostanete“ jen tu čipovou kartu, bez čtečky).
E-maily umí podepisovat Outlook, Thunderbird i jiní klienti. Problém je s webovými klienty, tam je k tomu potřeba nějaký doplněk do prohlížeče. „Velký“ Acrobat umí podepsat PDF, Adobe Reader to dříve neuměl, mám pocit, že poslední verze Readeru už elektronický podpis umí, ale ruku do ohně bych za to nedal. Já pro podepisování PDF používám JSignPDF (http://jsignpdf.sourceforge.net/). Exportované PDF umí myslím elektronicky podepsat i OpenOffice/LibreOffice a myslím že i MS Office.
diky za vysvetleni, ale ja si asi fakt pockam az to bude jen zasunout token do usb a o vic se nestarat (vsechny aplikace uz pripravene na pouziti certifikatu v tokenu, jen kliknu podepsat a odeslat)
kdyz si tak ctu to martyrium na str. 50 a nasl.
https://is.ambis.cz/th/af1kz/Bakalarska_Prace_-_Elektronicky_podpis_v_praxi__Kvech_Miroslav.pdf
tak jsem motivaci i vzhledem k tomu ze to neni zadarmo uplne ztratil
Jenomze mit zdarma znamena ze se vsichni slozi na to, ze Lojza nechce na postu ale chce si komunikovat se statem pres elektronickou schranku. Vygenerovani certifikatu stoji hovno, ty prachy stoji overeni, sprava, logistika,.. 400 za rok mi prijde jako nula, kdyz pujdu jednou za rok na postu abych neco podal, tak je 30 minut v zadely a tudiz utratim vice nez za podpis rocne. Pokud vydelavas 5Kc za den, nema smysl to resit, jinak pokud akceptujes jiste nevyhody, tak tech 400 je proste nic. Levnejc dostanes certifikaty v nekterych statech, ale treba musis splnit podminku pobytu atd a uz jenom cesta te bude stat vic nez tech 400. Tudiz imho resis uplnou pitchovinu.
-
kdyz to slovensko estonsko umi zadarmo nepovazuji muj pozadavek za premrsteny, jde o princip
ostatne ted od 1.7.2018 uz se budou vydavat zdarma nove eOP ktere uz umozni komunikaci se statni spravou ... staci jednorazove koupit ctecku, eOP je na 10 let
https://www.irozhlas.cz/zpravy-domov/elektronicky-obcansky-prukaz-cip_1804052022_pj
-
Z principu veci je platba za epodpis pri komunikaci se statem spatne. Slovensko, Estonsko tam dostavate certifikaty k obcankam a neplati se za to nic navic. Jako uprimne nechapu za co tu chteji many, i muj mobil by za hodinu vygeneroval certifikaty pro kazdeho obcana v cr.
Za e-podpis při komunikaci se státem ani při jiné komunikaci neplatíte nic, podpis si vytváříte sám. Neplatí se za vytvoření certifikátu, ale za ověření osoby a za bezpečnost. Váš mobil by certifikáty vygeneroval, ale byly by úplně k ničemu, protože by tam chyběla podstata důvěryhodných certifikátů – ověření, že držitel privátního klíče je ten, kdo tvrdí, že je.
Ano proto se to prave v nekterych zemich dava do obcanky nebo pri jejim vystaveni, protoze kdyz si jdete vyzvednout obcanku tak je logicke ze si vas stat musi overit ze ji predava spravnemu obcanovi. Ale tu v cechach se snazime vytriskat penize i tam kde je to vlastne nesmysl, ba dokonce kontraproduktivni.
-
O jakém certifikátu mluvíte - pro podpis jakého kódu a kdo ho má pak akceptovat? A proč je o tolik dražší?
Oficiální název je "code signing certificate" a dají se tím podepisova binárky pro Windows (EXE/DLL/SYS/CAB...), Javovské věci, Androidí věci, myslím, že dnes i Apple. Může záležet na knkrétní CA.
Takové certifikáty (resp. podpisy) pak akceptují příslušné operační systémy, takže software je považován za důvěryhodný (což je zrovna u ovladačí Win dosti kruciální).
Cena může být také způsobena tím, že nemám srovnání s tuzemskou CA, protože snad žádná takové certifikáty sama o sobě nevydává (nejblíže mám zkušenosti s Certum v Polsku a ty mi přijdou dosti levné oproti konkurenci a i přátelské k OSS).
-
kdyz to slovensko estonsko umi zadarmo nepovazuji muj pozadavek za premrsteny, jde o princip
Oni to ale neumí zadarmo, platí to z daní.
O jaký princip jde? Že vám stát má něco platit? Já tady nevidím žádný důvod, proč by to měl stát platit – je možné to nabízet jako komerční službu, poskytovatelé si v tom můžou konkurovat, pořídí si ji jenom ten, kdo o to má zájem. To mi připadá jako ideální podmínky pro to poskytovat to komerčně a netahat do toho stát.
ostatne ted od 1.7.2018 uz se budou vydavat zdarma nove eOP ktere uz umozni komunikaci se statni spravou ... staci jednorazove koupit ctecku, eOP je na 10 let
Pokud budete chtít něco elektronicky podepsat, pořád si budete muset na tu občanku pořídit od nějaké certifikační autority kvalifikovaný certifikát. Ta občanka samotná bude sloužit jen jako identifikátor, takže se s ní jen přihlásíte do systémů, které to budou podporovat. A to bude od 1. 7. 2018 možná nějaký jeden pilotní systém, na kterém se to bude testovat.
-
Ano proto se to prave v nekterych zemich dava do obcanky nebo pri jejim vystaveni, protoze kdyz si jdete vyzvednout obcanku tak je logicke ze si vas stat musi overit ze ji predava spravnemu obcanovi. Ale tu v cechach se snazime vytriskat penize i tam kde je to vlastne nesmysl, ba dokonce kontraproduktivni.
Komerční certifikační autority opravdu nejsou český vynález. A opravdu pochybuju o tom, že je státní certifikační autorita levnější, než autority komerční.
-
O jakém certifikátu mluvíte - pro podpis jakého kódu a kdo ho má pak akceptovat? A proč je o tolik dražší?
Oficiální název je "code signing certificate" a dají se tím podepisova binárky pro Windows (EXE/DLL/SYS/CAB...), Javovské věci, Androidí věci, myslím, že dnes i Apple. Může záležet na knkrétní CA.
Takové certifikáty (resp. podpisy) pak akceptují příslušné operační systémy, takže software je považován za důvěryhodný (což je zrovna u ovladačí Win dosti kruciální).
Cena může být také způsobena tím, že nemám srovnání s tuzemskou CA, protože snad žádná takové certifikáty sama o sobě nevydává (nejblíže mám zkušenosti s Certum v Polsku a ty mi přijdou dosti levné oproti konkurenci a i přátelské k OSS).
Jasně, dík.