Lze získat kvalifikovaný elektronický podpis levněji?

[Lojza]

a pritom nase statni organy by byly povinny jej prijimat (eIDAS) ?

https://www.ceskaposta.cz/sluzby/certifikacni-autorita-postsignum/kvalifikovane-certifikaty#2

[Reklama]

[Filip Jirsák]

České autority jsou momentálně tři: I. CA, PostSignum a e-Identity. Nebo teoreticky kterákoli kvalifikovaná autorita v EU, ale to by bylo komplikované.

[Martin Dráb]

Když tu cenu srovnám s nákupem certifikátu pro podpis kódu, tak mi nepřijde jako problém (je cca 5-10x nižší). Způsob oběření identity bude myslím stejný (doklad totožnosti).

Před lety bylo poměrně netriviální ten certifikát pak nainstalovat, ale to už se doufám změnilo.

[Ondrej Nemecek]

Když tu cenu srovnám s nákupem certifikátu pro podpis kódu, tak mi nepřijde jako problém (je cca 5-10x nižší). Způsob oběření identity bude myslím stejný (doklad totožnosti).

Před lety bylo poměrně netriviální ten certifikát pak nainstalovat, ale to už se doufám změnilo.

O jakém certifikátu mluvíte - pro podpis jakého kódu a kdo ho má pak akceptovat? A proč je o tolik dražší?

[Kkt2]

a pritom nase statni organy by byly povinny jej prijimat (eIDAS) ?

https://www.ceskaposta.cz/sluzby/certifikacni-autorita-postsignum/kvalifikovane-certifikaty#2

Pokud ti jde o komunikaci se statem, muzes pouzit kteroukoliv spravnou CA ze statu EU. Levnejsi to v celkovych nakladech rozhodne nebude a ocekaval bych komplikace. Bylo by fajn kdyby jsi napsal svuj usecase a proc uvazujes o jine CA. Argument o cene, ktera j v CR par stovek neobstoji.

[Reklama]

[Lojza]

mne jenom zajimalo jestli to nekde v EU neumeji levneji, use case by byl asi hodne malo pouzivany podpis (tak jednou do roka), proto bych si pral cenu konvertujici k nule

chapu ze kdo podepisuje tisice dokumentu rocne, tak mu cena v CR nevadi

[Karel]

Z principu veci je platba za epodpis pri komunikaci se statem spatne. Slovensko, Estonsko tam dostavate certifikaty k obcankam a neplati se za to nic navic. Jako uprimne nechapu za co tu chteji many, i muj mobil by za hodinu vygeneroval certifikaty pro kazdeho obcana v cr.

[Filip Jirsák]

mne jenom zajimalo jestli to nekde v EU neumeji levneji, use case by byl asi hodne malo pouzivany podpis (tak jednou do roka), proto bych si pral cenu konvertujici k nule

Výrazně levněji asi těžko, protože náklady jsou pořád stejné – technika, zabezpečení, lidé, akreditace. Navíc mi není jasné, jak byste se na nějaké registrační místo mimo ČR dopravil za výrazně méně než 400 Kč.

[Filip Jirsák]

Z principu veci je platba za epodpis pri komunikaci se statem spatne. Slovensko, Estonsko tam dostavate certifikaty k obcankam a neplati se za to nic navic. Jako uprimne nechapu za co tu chteji many, i muj mobil by za hodinu vygeneroval certifikaty pro kazdeho obcana v cr.

Za e-podpis při komunikaci se státem ani při jiné komunikaci neplatíte nic, podpis si vytváříte sám. Neplatí se za vytvoření certifikátu, ale za ověření osoby a za bezpečnost. Váš mobil by certifikáty vygeneroval, ale byly by úplně k ničemu, protože by tam chyběla podstata důvěryhodných certifikátů – ověření, že držitel privátního klíče je ten, kdo tvrdí, že je.

[Lojza]

no asi by bylo nejlepsi kdyby u nas to bylo obdobne jako na Slovensku, Estonsku

ten nas https://cs.wikipedia.org/wiki/Elektronick%C3%BD_ob%C4%8Dansk%C3%BD_pr%C5%AFkaz

jednak neni zadarmo a hlavne nejak nechapu jak bych si vygeneroval sam elektronicky podpis (dalsi platba ?) a pak ho jak pouzival

http://www.mvcr.cz/clanek/obsluzna-aplikace-eop-middleware.aspx - to vypada ze bych si vlastne musel sam privatne zakoupit ten elektronicky podpis od jednoho z tech nasich 3 certifikacnich autorit a nahrat si jej na eOP a stejne mi neni jasne jak bych ho pak pouzival

[Filip Jirsák]

Žádný elektronický podpis nekupujete, kupujete kvalifikovaný certifikát pro vytváření elektronických podpisů. Pokud ho chcete na čipové kartě, je lepší použít to, co nabízejí příslušné certifikační autority – české občanky na to ještě nejsou moc připravené. Certifikát pro elektronický podpis byste používal tak, že byste jím prostě v aplikaci, která elektronický podpis umožňuje, něco podepsal – nejčastěji se takto podepisují e-maily nebo PDF dokumenty.

[Lojza]

no mne zajima kdyz certifikat nahraji do te eOP (musim ho nejdriv privatne na sve naklady koupit?) jak to fyzicky vypada - to je nejaka usb fleska (nebo kontaktni ci bezkontaktni cipova karta) kterou jak pripojim k PC ? taky se mi nelibi ukladat si klice na PC radeji bych byl kdyby bylo vse ulozeno jen na te klicence a ja to pri podpisu jen sparoval a podapsal (bezpecnost klicu na pc resp. odcizeni laptopu apod.)

[Lojza]

Žádný elektronický podpis nekupujete, kupujete kvalifikovaný certifikát pro vytváření elektronických podpisů. Pokud ho chcete na čipové kartě, je lepší použít to, co nabízejí příslušné certifikační autority – české občanky na to ještě nejsou moc připravené. Certifikát pro elektronický podpis byste používal tak, že byste jím prostě v aplikaci, která elektronický podpis umožňuje, něco podepsal – nejčastěji se takto podepisují e-maily nebo PDF dokumenty.

takze napr. Outlook (i jiny email klient ?) a Acrobat (i Reader ci jiny pdf reader ?)

[Filip Jirsák]

no mne zajima kdyz certifikat nahraji do te eOP (musim ho nejdriv privatne na sve naklady koupit?) jak to fyzicky vypada - to je nejaka usb fleska (nebo kontaktni ci bezkontaktni cipova karta) kterou jak pripojim k PC ? taky se mi nelibi ukladat si klice na PC radeji bych byl kdyby bylo vse ulozeno jen na te klicence a ja to pri podpisu jen sparoval a podapsal (bezpecnost klicu na pc resp. odcizeni laptopu apod.)

Elektronický občanský průkaz je klasická čipová karta s kontaktním čipem – podobně jako třeba platební karty s čipem. Musíte k němu mít ještě čtečku čipových karet. Certifikační autority mají podobná řešení, akorát to někdy není čtečka + čipová karta ale jen USB token (vypadá jako USB flash).

Generování vypadá tak, že se vygeneruje klíčová dvojice (privátní a veřejný klíč) přímo na USB tokenu nebo čipové kartě (případně eOP), k veřejnému klíči pak certifikační autorita připojí svůj certifikát a ten se nahraje zpět do USB tokenu nebo čipové karty. Privátní klíč tedy nikdy neopustí bezpečné úložiště v tokenu/kartě, a jednoduchými prostředky jej ani nejde dostat ven. V rámci EU se uznávají jen podpisy vytvořené tímto způsobem (tj. na zařízení, z nějž nelze privátní klíč získat), ČR má výjimku, že tady stát uznává i podpisy vytvořené na základě privátního klíče uloženého v počítači.

Třeba I.CA má různé balíčky – buď vám vydají jen kvalifikovaný certifikát (nebo za stejnou cenu kvalifikovaný i komerční, máte pak tedy kvalifikovaný certifikát pro uznávaný podpis a komerční certifikát pro šifrování a přihlašování, třeba do datových schránek). Nebo si můžete koupit certifikát i s čipovou kartou, případně certifikát s čipovou kartou a čtečkou čipových karet, a pak mají speciálně pro elektronické občanky balíček certifikát plus čtečka čipových karet (protože od státu „dostanete“ jen tu čipovou kartu, bez čtečky).

E-maily umí podepisovat Outlook, Thunderbird i jiní klienti. Problém je s webovými klienty, tam je k tomu potřeba nějaký doplněk do prohlížeče. „Velký“ Acrobat umí podepsat PDF, Adobe Reader to dříve neuměl, mám pocit, že poslední verze Readeru už elektronický podpis umí, ale ruku do ohně bych za to nedal. Já pro podepisování PDF používám JSignPDF. Exportované PDF umí myslím elektronicky podepsat i OpenOffice/LibreOffice a myslím že i MS Office.

[Lojza]

no mne zajima kdyz certifikat nahraji do te eOP (musim ho nejdriv privatne na sve naklady koupit?) jak to fyzicky vypada - to je nejaka usb fleska (nebo kontaktni ci bezkontaktni cipova karta) kterou jak pripojim k PC ? taky se mi nelibi ukladat si klice na PC radeji bych byl kdyby bylo vse ulozeno jen na te klicence a ja to pri podpisu jen sparoval a podapsal (bezpecnost klicu na pc resp. odcizeni laptopu apod.)

Elektronický občanský průkaz je klasická čipová karta s kontaktním čipem – podobně jako třeba platební karty s čipem. Musíte k němu mít ještě čtečku čipových karet. Certifikační autority mají podobná řešení, akorát to někdy není čtečka + čipová karta ale jen USB token (vypadá jako USB flash).

Generování vypadá tak, že se vygeneruje klíčová dvojice (privátní a veřejný klíč) přímo na USB tokenu nebo čipové kartě (případně eOP), k veřejnému klíči pak certifikační autorita připojí svůj certifikát a ten se nahraje zpět do USB tokenu nebo čipové karty. Privátní klíč tedy nikdy neopustí bezpečné úložiště v tokenu/kartě, a jednoduchými prostředky jej ani nejde dostat ven. V rámci EU se uznávají jen podpisy vytvořené tímto způsobem (tj. na zařízení, z nějž nelze privátní klíč získat), ČR má výjimku, že tady stát uznává i podpisy vytvořené na základě privátního klíče uloženého v počítači.

Třeba I.CA má různé balíčky – buď vám vydají jen kvalifikovaný certifikát (nebo za stejnou cenu kvalifikovaný i komerční, máte pak tedy kvalifikovaný certifikát pro uznávaný podpis a komerční certifikát pro šifrování a přihlašování, třeba do datových schránek). Nebo si můžete koupit certifikát i s čipovou kartou, případně certifikát s čipovou kartou a čtečkou čipových karet, a pak mají speciálně pro elektronické občanky balíček certifikát plus čtečka čipových karet (protože od státu „dostanete“ jen tu čipovou kartu, bez čtečky).

E-maily umí podepisovat Outlook, Thunderbird i jiní klienti. Problém je s webovými klienty, tam je k tomu potřeba nějaký doplněk do prohlížeče. „Velký“ Acrobat umí podepsat PDF, Adobe Reader to dříve neuměl, mám pocit, že poslední verze Readeru už elektronický podpis umí, ale ruku do ohně bych za to nedal. Já pro podepisování PDF používám JSignPDF. Exportované PDF umí myslím elektronicky podepsat i OpenOffice/LibreOffice a myslím že i MS Office.

diky za vysvetleni, ale ja si asi fakt pockam az to bude jen zasunout token do usb a o vic se nestarat (vsechny aplikace uz pripravene na pouziti certifikatu v tokenu, jen kliknu podepsat a odeslat)

kdyz si tak ctu to martyrium na str. 50 a nasl.

https://is.ambis.cz/th/af1kz/Bakalarska_Prace_-_Elektronicky_podpis_v_praxi__Kvech_Miroslav.pdf

tak jsem motivaci i vzhledem k tomu ze to neni zadarmo uplne ztratil