Lze získat kvalifikovaný elektronický podpis levněji?

[Filip Jirsák]

Všechny aplikace nebudou připravené nikdy, protože většina aplikací nepotřebuje nic podepisovat. A ty, které to potřebují, umí většinou spolupracovat s operačním systémem, takže USB tokeny podporují.

Postup vydání certifikátu je na jednu stránku – vizte třeba Získání Twins certifikátu.

[Reklama]

[Jose D]

Zkoušel jste někdo openSC (https://github.com/OpenSC/OpenSC) s PKI CZ občankou?

[Kkt2]

no mne zajima kdyz certifikat nahraji do te eOP (musim ho nejdriv privatne na sve naklady koupit?) jak to fyzicky vypada - to je nejaka usb fleska (nebo kontaktni ci bezkontaktni cipova karta) kterou jak pripojim k PC ? taky se mi nelibi ukladat si klice na PC radeji bych byl kdyby bylo vse ulozeno jen na te klicence a ja to pri podpisu jen sparoval a podapsal (bezpecnost klicu na pc resp. odcizeni laptopu apod.)

Elektronický občanský průkaz je klasická čipová karta s kontaktním čipem – podobně jako třeba platební karty s čipem. Musíte k němu mít ještě čtečku čipových karet. Certifikační autority mají podobná řešení, akorát to někdy není čtečka + čipová karta ale jen USB token (vypadá jako USB flash).

Generování vypadá tak, že se vygeneruje klíčová dvojice (privátní a veřejný klíč) přímo na USB tokenu nebo čipové kartě (případně eOP), k veřejnému klíči pak certifikační autorita připojí svůj certifikát a ten se nahraje zpět do USB tokenu nebo čipové karty. Privátní klíč tedy nikdy neopustí bezpečné úložiště v tokenu/kartě, a jednoduchými prostředky jej ani nejde dostat ven. V rámci EU se uznávají jen podpisy vytvořené tímto způsobem (tj. na zařízení, z nějž nelze privátní klíč získat), ČR má výjimku, že tady stát uznává i podpisy vytvořené na základě privátního klíče uloženého v počítači.

Třeba I.CA má různé balíčky – buď vám vydají jen kvalifikovaný certifikát (nebo za stejnou cenu kvalifikovaný i komerční, máte pak tedy kvalifikovaný certifikát pro uznávaný podpis a komerční certifikát pro šifrování a přihlašování, třeba do datových schránek). Nebo si můžete koupit certifikát i s čipovou kartou, případně certifikát s čipovou kartou a čtečkou čipových karet, a pak mají speciálně pro elektronické občanky balíček certifikát plus čtečka čipových karet (protože od státu „dostanete“ jen tu čipovou kartu, bez čtečky).

E-maily umí podepisovat Outlook, Thunderbird i jiní klienti. Problém je s webovými klienty, tam je k tomu potřeba nějaký doplněk do prohlížeče. „Velký“ Acrobat umí podepsat PDF, Adobe Reader to dříve neuměl, mám pocit, že poslední verze Readeru už elektronický podpis umí, ale ruku do ohně bych za to nedal. Já pro podepisování PDF používám JSignPDF. Exportované PDF umí myslím elektronicky podepsat i OpenOffice/LibreOffice a myslím že i MS Office.

diky za vysvetleni, ale ja si asi fakt pockam az to bude jen zasunout token do usb a o vic se nestarat (vsechny aplikace uz pripravene na pouziti certifikatu v tokenu, jen kliknu podepsat a odeslat)

kdyz si tak ctu to martyrium na str. 50 a nasl.

https://is.ambis.cz/th/af1kz/Bakalarska_Prace_-_Elektronicky_podpis_v_praxi__Kvech_Miroslav.pdf

tak jsem motivaci i vzhledem k tomu ze to neni zadarmo uplne ztratil

Jenomze mit zdarma znamena ze se vsichni slozi na to, ze Lojza nechce na postu ale chce si komunikovat se statem pres elektronickou schranku. Vygenerovani certifikatu stoji hovno, ty prachy stoji overeni, sprava, logistika,.. 400 za rok mi prijde jako nula, kdyz pujdu jednou za rok na postu abych neco podal, tak je 30 minut v zadely a tudiz utratim vice nez za podpis rocne. Pokud vydelavas 5Kc za den, nema smysl to resit, jinak pokud akceptujes jiste nevyhody, tak tech 400 je proste nic. Levnejc dostanes certifikaty v nekterych statech, ale treba musis splnit podminku pobytu atd a uz jenom cesta te bude stat vic nez tech 400. Tudiz imho resis uplnou pitchovinu.

[Lojza]

kdyz to slovensko estonsko umi zadarmo nepovazuji muj pozadavek za premrsteny, jde o princip

ostatne ted od 1.7.2018 uz se budou vydavat zdarma nove eOP ktere uz umozni komunikaci se statni spravou ... staci jednorazove koupit ctecku, eOP je na 10 let

https://www.irozhlas.cz/zpravy-domov/elektronicky-obcansky-prukaz-cip_1804052022_pj

[pepa]

Z principu veci je platba za epodpis pri komunikaci se statem spatne. Slovensko, Estonsko tam dostavate certifikaty k obcankam a neplati se za to nic navic. Jako uprimne nechapu za co tu chteji many, i muj mobil by za hodinu vygeneroval certifikaty pro kazdeho obcana v cr.

Za e-podpis při komunikaci se státem ani při jiné komunikaci neplatíte nic, podpis si vytváříte sám. Neplatí se za vytvoření certifikátu, ale za ověření osoby a za bezpečnost. Váš mobil by certifikáty vygeneroval, ale byly by úplně k ničemu, protože by tam chyběla podstata důvěryhodných certifikátů – ověření, že držitel privátního klíče je ten, kdo tvrdí, že je.

Ano proto se to prave v nekterych zemich dava do obcanky nebo pri jejim vystaveni, protoze kdyz si jdete vyzvednout obcanku tak je logicke ze si vas stat musi overit ze ji predava spravnemu obcanovi. Ale tu v cechach se snazime vytriskat penize i tam kde je to vlastne nesmysl, ba dokonce kontraproduktivni.

[Reklama]

[Martin Dráb]

O jakém certifikátu mluvíte - pro podpis jakého kódu a kdo ho má pak akceptovat? A proč je o tolik dražší?

Oficiální název je "code signing certificate" a dají se tím podepisova binárky pro Windows (EXE/DLL/SYS/CAB...), Javovské věci, Androidí věci, myslím, že dnes i Apple. Může záležet na knkrétní CA.

Takové certifikáty (resp. podpisy) pak akceptují příslušné operační systémy, takže software je považován za důvěryhodný (což je zrovna u ovladačí Win dosti kruciální).

Cena může být také způsobena tím, že nemám srovnání s tuzemskou CA, protože snad žádná takové certifikáty sama o sobě nevydává (nejblíže mám zkušenosti s Certum v Polsku a ty mi přijdou dosti levné oproti konkurenci a i přátelské k OSS).

[Filip Jirsák]

kdyz to slovensko estonsko umi zadarmo nepovazuji muj pozadavek za premrsteny, jde o princip

Oni to ale neumí zadarmo, platí to z daní.

O jaký princip jde? Že vám stát má něco platit? Já tady nevidím žádný důvod, proč by to měl stát platit – je možné to nabízet jako komerční službu, poskytovatelé si v tom můžou konkurovat, pořídí si ji jenom ten, kdo o to má zájem. To mi připadá jako ideální podmínky pro to poskytovat to komerčně a netahat do toho stát.

ostatne ted od 1.7.2018 uz se budou vydavat zdarma nove eOP ktere uz umozni komunikaci se statni spravou ... staci jednorazove koupit ctecku, eOP je na 10 let

Pokud budete chtít něco elektronicky podepsat, pořád si budete muset na tu občanku pořídit od nějaké certifikační autority kvalifikovaný certifikát. Ta občanka samotná bude sloužit jen jako identifikátor, takže se s ní jen přihlásíte do systémů, které to budou podporovat. A to bude od 1. 7. 2018 možná nějaký jeden pilotní systém, na kterém se to bude testovat.

[Filip Jirsák]

Ano proto se to prave v nekterych zemich dava do obcanky nebo pri jejim vystaveni, protoze kdyz si jdete vyzvednout obcanku tak je logicke ze si vas stat musi overit ze ji predava spravnemu obcanovi. Ale tu v cechach se snazime vytriskat penize i tam kde je to vlastne nesmysl, ba dokonce kontraproduktivni.

Komerční certifikační autority opravdu nejsou český vynález. A opravdu pochybuju o tom, že je státní certifikační autorita levnější, než autority komerční.

[Ondrej Nemecek]

O jakém certifikátu mluvíte - pro podpis jakého kódu a kdo ho má pak akceptovat? A proč je o tolik dražší?

Oficiální název je "code signing certificate" a dají se tím podepisova binárky pro Windows (EXE/DLL/SYS/CAB...), Javovské věci, Androidí věci, myslím, že dnes i Apple. Může záležet na knkrétní CA.

Takové certifikáty (resp. podpisy) pak akceptují příslušné operační systémy, takže software je považován za důvěryhodný (což je zrovna u ovladačí Win dosti kruciální).

Cena může být také způsobena tím, že nemám srovnání s tuzemskou CA, protože snad žádná takové certifikáty sama o sobě nevydává (nejblíže mám zkušenosti s Certum v Polsku a ty mi přijdou dosti levné oproti konkurenci a i přátelské k OSS).

Jasně, dík.