Re: [Katastr] Certifikát AZI

[Jiri Libal <jiri.libal AT seznam.cz>]

Dobrý den,

pokud něko víte -- můžete upřesnit konkrétní ustanovení v příslušných 
zákonech, ze kterého plyne, že je potřeba nově mít tzv. podpis na 
kvalifikovaném úložišti? Vím, že to dřív legislativa upravovala pro použití 
el. podpisů ve státní správě (myslím že cca od r. 2018, ze zákona z r. 2016), 
ale přepokládám, že s "vývojem"  jsou tyto požadavky buď zrušeny nebo alespoň 
modifikovány.

Jinak se počítalo s tím, že kvalifikované úložiště může být i občanka (s 
čipem, vydáváná od r. 2018) a nejsem si jistý jestli se jako kvalifikované z 
hlediska legistlativy považuje (nebo brzy bude považovat) i tzv. vzdálené 
úložiště.

Co se týká principu, tak na token/čip se certifikát nenahrává, ale na 
tokenu/čipu nebo i jinde se tzv. generuje soukromý klíč. Z tokenu/čipu tento  
klíč nelze následně exportovat (což u systémových klíčů lze). Tozn. že nelze 
ten samý soukromý klíč použít nikde jinde, než na kterém byl vygenerován. 
Pokud by končila platnost tokenu (dříve než certifikátu) většina autorit 
poskytuje při koupi nového tokenu vytvoření nového klíče bezplatně. Je možné, 
že některé autority umožňují vygenerovat bezplatně klíč nový na tokenu, a po 
té zneplatnily klíč předchozí generovaný na počítači.

Pokud pošta uvedla nějaké informace do druhotných položek špatně, dá se to  
jednoduše reklamovat. Nám vždy vyšli vstříc, a generovali jsme bezplatně nový 
klíč a původní potom zneplatnili. Stačilo zavolat na infolinku.

S pozdravem,

Jiří Líbal

On Sun, 4 Feb 2024 20:11:12 +0100
<machan.antonin AT gmail.com> wrote:

> Děkuju za všechny informace, 
> 
> a co se pošty týká, tak opravdu doporučuji nějakou větší poštu, tady to 
> sice zvládli také, ale půlhodinový rozhovor s centrálou nikomu nepřeju, a 
> nakonec jsem zjistil, že mi větu o AZI paní špatně opsala z formuláře, kde 
> to bylo v pořádku, což zjistíte až po instalaci nového certifikátu. Bránit 
> se nemá cenu, jen ztrácíte další čas. Kdybych si to mohl do toho poštovního 
> PC vepsat sám, bylo by to nejrychlejší a bez chyby. Takže nový certifikát 
> už nahraji rovnou do tokenu. 
> 
> Máte někdo zkušenosti s jinou certifikační autoritou? Třeba bude jejich 
> přístup lepší.
> 
>  
> 
> A.M.
> 
>  
> 
> From: katastr-request AT fsv.cvut.cz <katastr-request AT fsv.cvut.cz> On Behalf 
> Of Martin Kmínek
> Sent: Sunday, February 4, 2024 7:05 PM
> To: katastr AT fsv.cvut.cz
> Subject: Re: [Katastr] Certifikát AZI
> 
>  
> 
> Dobrý den,
> 
> mám již podpis na tokenu (ten předešlý mi končí v těchto dnech). Jak v 
> KDirSign (nepoužívám, ale testoval jsem) tak ve zpracovatelském SW se token 
> hlásí jako podpis "ze systémového úložiště", tedy nikoliv jako "ze 
> souboru". Pokud token není zasunut, není v těchto nabídkách k dispozici.
> 
> --
> 
> Postup, jaký jsem zvolil (opakované návštěvy pošty z důvodu 
> nekompetentnosti některých zaměstnanců vynechávám):
> 
> 1 )
> objednat token z postshop.cz
> https://www.postsignum.cz/tokenme
> - zkoušel jsem hledat i jinde a tokeny vychází +- stejně,
> - tento má nejdelší certifikaci do roku 2030
> 
> 2)
> OPRAVDU PROČÍST UŽIVATELSKOU PŘÍRUČKU!!!
> 
> https://www.postsignum.cz/files/tokenme/TokenME_CryptoJava-manual_v3_4.pdf?v=1707068921
> 
> je tam popsaný celý postup, vč. spuštění programu iSignum a generování 
> žádosti - řekl bych, že toto je návod krok za krokem " i pro blbce " - i já 
> to z toho zvládnul
> 
> poznamenat si ID žádosti - první dvě písmena toho ID jsou jiná pro 
> certifikáty na token a ostatní, takže na poště pak ví, že to půjde na token
> 
> 3) 
> návštěva kontaktního místa certifikační autority
> - je lepší takové najít a nespoléhat na místní poštu - zkušenost
> 
> 4)
> POZOR!!! pokud neprovedete tento krok, na certifikátu bude v položce jiné 
> jméno pořád ÚOZI ->jde to řešit následně, ale proč, že ...
> 
> takže je potřeba před tím, než zpracují žádost, provést změnu údajů - mají 
> na to formulář, kde se vyplní staré (ÚOZI++) a nové (AZI++) údaje
> 
> - ty formuláře jsou jiné pro FO a PFO
> 
> - ta věta o AZI je taky v obou případech v jiném poli
> -- pro FO je to v poli "Jiné jméno", pro PFO se to pole jmenuje jinak - kdo 
> máte i stávající certifikát vydaný pro PFO, koukněte a případně doplňte, já 
> si to už nepamatuju.
> 
> 5) 
> vystaví nový certifikát podle ID žádosti, který pošlou na e-mail
> 
> 6)
> a pak už zase postupovat podle návodu, kde je nahrání certifikátu přes 
> iSignum na token
> 
> --
> 
> a odpověď na 5): v certifikátu je tato informace obsažena
> 
>  
> 
> Martin Kmínek
> 
>  
> 
>  
> 
> Dne 04.02.2024 v 18:34 machan.antonin AT gmail.com 
> <mailto:machan.antonin AT gmail.com>  napsal(a):
> 
> Dobrý večer, také jsem si včera objednal USB token, a k tomu, co jste 
> napsal pane Ing. Pěčonko, + Vaše video na Youtube, mně vrtá hlavou pár 
> věcí, na které jsem hledal odpověď na internetu, ale nenašel:
> 
> 1.    Pro ověření ZPMZ v KDir Sign je potřeba zadat cestu k souboru s 
> certifikátem, předpokládám, že se bude dát odkázat na USB úložiště v tokenu?
> 2.    Ověřování GP v JSignPDF se využívá nainstalovaný certifikát, který je 
> v systému windows – dívám se do menu a dá se také přepnout na odkaz na 
> úložiště na USB, musím vyzkoušet.
> 3.    MS Outlook také využívá k podpisu mailu odkaz na systémové úložiště a 
> tam si nejsem jistý, zda jde certifikát zadat ručně z libovolného úložiště? 
> Díval jsem se do nastavení a jde to buď z úložitě windows nebo 
> naimportováním do Outlooku ze souboru – pokud by to token nedovolil, nelze 
> zasílat na KP gp k potvrzení – už bychom museli využívat jen datové 
> schránky.
> 4.    Geodetický software také využívá ke komunikaci s KP, pokud chci GP 
> odeslat přímo ze software, kopii certifikátu, na níž potřebuje odkaz.
> 5.    A pak asi nejdůležitější dotaz: jak KP pozná, že nepoužívám k 
> potvrzování kvalifikovaný prostředek? Případně jak to kdokoliv pozná? Je 
> tam jiná šifra, nebo poznámka o použijí druhu software/hardware k vytvoření 
> klíče?
> 6.     
> 
> Pokud vím, tak na KP již dávno používají tyto tokeny pro potvrzování plánů 
> místo systémového úložiště v PC, tak to snad nebude problém ani pro nás. 
> Vyzkouším a o „zážitky“ se podělím.
> 
>  
> 
> Za případné nalezení odpovědí všem děkuji
> 
>  
> 
> A.M.
> 
>  
> 
> From: katastr-request AT fsv.cvut.cz <mailto:katastr-request AT fsv.cvut.cz>   
> <mailto:katastr-request AT fsv.cvut.cz> <katastr-request AT fsv.cvut.cz> On 
> Behalf Of Jan Pěčonka
> Sent: Sunday, February 4, 2024 3:58 PM
> To: katastr AT fsv.cvut.cz <mailto:katastr AT fsv.cvut.cz> 
> Subject: Re: [Katastr] Certifikát AZI
> 
>  
> 
> Dobry den, z mych informaci vyplyva, ze mateli certifikat pouzivay jinde 
> nez na prave jednom urcitem tokenu, tak tento cerifikat jiz nelze na tokenu 
> vyutit. Na tokenu muze byt jen takovy kvalifikovany certifikat, ktery neni 
> nikde jinde. Jak si ro eystem hlida nevim. Byli mi t takto receno, mohu se 
> to pokusit zjistit. Stejne tak, smoncili platnost tokenu, tak nainstalovany 
> certifikat nelze prenest jinam. Take jestli zadate na tokenu soatne 3x 
> heslo a 3x PUK kod (znateli ho), pak se token znehodnoti. Certifikat 
> instalunste jen na token. Jeki neco jinak, nevim. Peconka
> 
>  
> 
> Zasláno z Outlooku pro Android <https://aka.ms/AAb9ysg> 
> 
>   _____  
> 
> From: katastr-request AT fsv.cvut.cz <mailto:katastr-request AT fsv.cvut.cz>  
> <katastr-request AT fsv.cvut.cz <mailto:katastr-request AT fsv.cvut.cz> > on 
> behalf of Linda Poustková <lin.p AT centrum.cz <mailto:lin.p AT centrum.cz> >
> Sent: Sunday, February 4, 2024 11:40:32 AM
> To: katastr AT fsv.cvut.cz <mailto:katastr AT fsv.cvut.cz>  <katastr AT fsv.cvut.cz 
> <mailto:katastr AT fsv.cvut.cz> >
> Subject: Re: [Katastr] Certifikát AZI 
> 
>  
> 
> Dobry den, 
> 
> ja jsem zmeny na certifikatu z UOZI na AZI pomoci uvedenych formularu 
> uspesne  provedla, dotazovala jsem se tu na to v lednu, o tokenu taehy 
> nepadlo ani slovo....
> 
> z toho videa nechapu, jestli je mozne pripojit tento muj novy certikat k 
> tokenu, ktery zakoupim az nyni???
> 
>  
> 
>  
> 
> Dekuji Linda Poustkova 
> 
> ______________________________________________________________
> > Od: "Petr Plichta" <info AT petrplichta.cz <mailto:info AT petrplichta.cz> >
> > Komu: katastr AT fsv.cvut.cz <mailto:katastr AT fsv.cvut.cz> 
> > Datum: 03.02.2024 20:26
> > Předmět: Re: [Katastr] Certifikát AZI
> >
> 
> Dobrý den,
> už to tady v příspěvcích zaznělo. Pan Pěčonka udělal už před časem 
> instruktážní video na pořízení a zprovoznění tokenu:
> https://www.youtube.com/watch?v=_B4G_JArKMM
> 
> Myslím, že je to srozumitelné. Vzhledem k tomu, že mi začátkem dubna končí 
> současný certifikát, tak do té doby už musím zprovoznit nový dle nových 
> pravidel. Token jsem už včera objednal, upřesňující dotazy na postsignum 
> jsem poslal a dokonce mám i odpovědi.
> Jak se tím prokoušu, tak sem můžu napsat nějaké rady.
> 
> S pozdravem,
> 
> Petr Plichta
> 
> 
> 
> 
> 
> Dne 3.2.2024 v 16:24 Ing. Jan Habal napsal(a):
> 
> Dobrý den, 
> 
> téma změny textu UOZI-AZI v certifikátu je mi z posledního newsletteru CKZ 
> víceméně jasné a je to tam dobře popsané v bodech, takže za toto děkuji. 
> Ale vrátím se zpět k tokenu či čipové kartě. Vůbec s těmito prostředky 
> nemám zkušenosti, takže bych velmi ocenil ze strany CKZ nějaký návod jak 
> takový prostředek zprovoznit a používat. Ideální by to bylo napsat tak, aby 
> to (promiňte ten výraz) "pochopil i blbec". Pamatuji si po získání 
> oprávnění, že jsem řešil poprvé v životě jak zprovoznit elektronický 
> podpis, co jsou to časová razítka, kde získám certifikát apod. a zabralo mi 
> to hodně času. Myslím, že komora by tu měla být přesně pro tyhle věci aby 
> nové AZI provedla krok za krokem vším co musí udělat poté co získali "novou 
> životní roli". ČUZK nás v tomto dříve hodil do vody a vše jsme si museli 
> zjišťovat po známých. Zde bych tedy očekával, že členstvím v komoře (a 
> placením příspěvků) se přesn
 ě tohle zlepší.
> 
> Tedy námět pro činnost komory na svých stránkách třeba udělat kategorii 
> životní situace a tam opravdu bod po bodu popsat uvedené věci, které každý 
> AZI musí mít, aby mohl fungovat. Samozřejmě tím, že to napíšu zde do 
> konference se to asi někam k členům vedení komory nedostane, tak pokud 
> někdo poradí kam takový požadavek či nápad zaslat budu rád. Přeji hezký 
> zbytek víkendu.
> 
> -- 
> S pozdravem Ing. Jan Habal
> 
> ---------- Původní e-mail ----------
> Od: Jan Pěčonka  <mailto:peconka AT hdgeo.cz> <peconka AT hdgeo.cz>
> Komu: katastr AT fsv.cvut.cz <mailto:katastr AT fsv.cvut.cz>   
> <mailto:katastr AT fsv.cvut.cz> <katastr AT fsv.cvut.cz>
> Datum: 2. 2. 2024 18:10:35
> Předmět: RE: [Katastr] Certifikát AZI 
> 
> Pane kolego dobrý den,
> 
>  
> 
> Chystám se jít z práce domů, ale na toto téma o certifikátu dnes padlo v 
> konferenci několik emailů, prosím o jejich dohledání.
> 
>  
> 
> Jan Pěčonka
> 
>  
> 
> From: katastr-request AT fsv.cvut.cz <mailto:katastr-request AT fsv.cvut.cz>   
> <mailto:katastr-request AT fsv.cvut.cz> <katastr-request AT fsv.cvut.cz> On 
> Behalf Of Ing. Arnošt Prášek
> Sent: Friday, February 2, 2024 6:03 PM
> To: katastr AT fsv.cvut.cz <mailto:katastr AT fsv.cvut.cz> 
> Subject: [Katastr] Certifikát AZI
> 
>  
> 
> Dobrý večer,
> 
> dle dnešních aktualit na stránkách CKZ - článek Certifikáty CKZ = může mi 
> někdo vysvětlit o co se jedná ???
> 
> Na komoru je asi dotaz bezpředmětný, snad jedině kolega Pěčonka ?!
> 
> Děkuji
> 
> Prášek
> 
>  
> 
> ____________________________________________________
> https://sympa.fsv.cvut.cz/wws/info/katastr/
> 
> ____________________________________________________
> https://sympa.fsv.cvut.cz/wws/info/katastr/
> 
> ____________________________________________________
> https://sympa.fsv.cvut.cz/wws/info/katastr/
> 
>  
> 
> ____________________________________________________
> https://sympa.fsv.cvut.cz/wws/info/katastr/
> 
> ____________________________________________________
> https://sympa.fsv.cvut.cz/wws/info/katastr/
> 
> ____________________________________________________
> https://sympa.fsv.cvut.cz/wws/info/katastr/
>