Re: [Katastr] vytváření el. podpisů dle eIDAS

[Linda Poustkova <lin.p AT centrum.cz>]

Dekuji....vycerpavajici odpoved.

Linda Poustkova

Odesláno z iPhonu

12. 4. 2024 v 17:28, Večeře Michal <Michal.Vecere AT ageris.cz>:



Jo, a ještě jsem zapomněl – stávající certifikát, který máme nainstalovaný v PC (a máme z něho vyexportovanou zálohu) na token nainstalovat lze. Ovšem tímto způsobem nedojde k povýšení jeho bezpečnosti, a nadále bude fungovat v režimu starého certifikátu v PC (je to asi nejhorší kombinace – málo bezpečný certifikát na NeZcelaUživatelskyPřívětivém tokenu).

Proč to nejde je myslím z toho důvodu, že stávající certifikát má nižší důvěryhodnost, tak mu nejde důvěryhodnost zvýšit pouhým přenesením na token. Proto je nutné požádat o nový, který se generuje už pro konkrétní token.

(kdyby bylo v minulosti heslo k certifikátu prozrazeno/prolomeno, byl by tento zdiskreditovaný certifikát přenesen na token)

 

Návod v uživatelské příručce k TokenMe, kapitola 7.1: https://www.postsignum.cz/token_me.html :

“Upozorňujeme, že takto importovaný kvalifikovaný certifikát nebude považován za kvalifikovaný certifikát uložený na bezpečném prostředku QESCD a nebude obsahovat příznak QESCD. Totéž platí i v případě importovaného komerčního certifikátu a příznaku NCP+.“

 

 

Michal VEčeře

 

 

 

 

From: katastr-request AT fsv.cvut.cz <katastr-request AT fsv.cvut.cz> On Behalf Of Večeře Michal
Sent: Friday, April 12, 2024 4:31 PM
To: katastr AT fsv.cvut.cz
Subject: RE: [Katastr] vytváření el. podpisů dle eIDAS

 

Dobrý den (doufám, že reaguji na otázku, která je na mě),

snad má odpověď (kterou jsem odeslal 3.4. a doteď asi bloudila někde v hlubinách internetu) nenapáchala víc škody než užitku. Asi jsem to špatně formuloval, ale to zásadní sdělení bylo, že když mám platný certifikát (nainstalovaný v PC), tak ním mohu podepsat žádost o vydání následného (nového) certifikátu, aniž bych musel vážit cestu na poštu.

 

Zkusím vysvětlit rozdíl mezi certifikátem na tokenu a v PC tak, jak ho chápu já.

Certifikát samotný bude mít v prokazování totožnosti stejnou váhu na tokenu i v PC (dovozuji z toho, že můžu starým certifikátem podepsat žádost o certifikát na tokenu a nikdo po mě nechce další ověření totožnosti).

Zcela zásadní rozdíl ale vidím v bezpečnosti používání. Pokud bych se dostal k Vašemu PC a měl dost času, mohl bych se pokusit “hrubou silou“ (postupným zkoušením hesel) Vaše heslo k certifikátu prolomit (a asi bych na to nejprve šel přes uložený HASH a nějakou převodní tabulku HASHů, takže hesla typu “heslo“ a “1234“ by mi vyskočily po pár sekundách…). Jakmile mám heslo, mám zároveň Vaši identitu a už si píšu na katastr elektronicky podepsanou smlouvu, že mi darujete veškerý svůj nemovitý majetek…

Certifikát na tokenu nebo čipové kartě má to kouzlo, že pokusy k odhadnutí hesla mám 3, případně o málo víc. Token není flashdisk, ale zařízení, uvnitř kterého je certifikát dobře schovaný, a v bezpečí.

Přesně proto, si myslím, přecházíme na certifikát na tokenu. A stesky typu “kdo by chtěl ovládnout můj podpis“ jsou opodstatněné asi jako “proč bych měl dům/auto zamykat, vždyť tam nic nemám“…

 

A nebojte, já nebudu ten, kdo se pokusí Vás okrást o digitální podpis. Já jsem vděčný za to, že udělám geometrák, který mi katastr potvrdí napoprvé a o moc větší ambice nemám 😊

 

A o tom, jak funguje samotné podepisování certifikátem třeba někdy příště…

 

 

S pozdravem, Michal VEčeře

 

 

 

 

From: katastr-request AT fsv.cvut.cz <katastr-request AT fsv.cvut.cz> On Behalf Of Linda Poustkova
Sent: Friday, April 12, 2024 3:36 PM
To: katastr AT fsv.cvut.cz
Subject: Re: [Katastr] vytváření el. podpisů dle eIDAS

 

Dobry den, takze jste nepotreboval novy certifikat, jak tu vsichni psali. V tom vasem odkazu se tez pise, ze je mozne na token ulozit i stary certikat?

A porad tedy nerozumim v cem je token jiny nez flashdisc?

Dekuji 

Linda Poustkova

Odesláno z iPhonu

 

12. 4. 2024 v 13:56, jelinkova.milada AT seznam.cz:

Dobrý den.

Podle návodu se mi podařilo obnovit certifikát a uložit ho na token bez návštěvy pošty.

Dokonce ani nebyl potřeba elektronicky podepsaný mail (jak je uvedeno v návodu), stačil el. podpis na příloze.

M. Jelínková

---------- Původní e-mail ----------
Od: Michal VEčeře <michal.vecere AT gmail.com>
Komu: katastr AT fsv.cvut.cz <katastr AT fsv.cvut.cz>
Datum: 12. 4. 2024 12:15:14
Předmět: Re: [Katastr] vytváření el. podpisů dle eIDAS

Dobrý den,

na stránkách PodtSignum https://www.postsignum.cz/media_usb_tokeny_cip_karty.html#f90 píší "návštěva pobočky nebo elektronická obnova".

Přes sw iSignum jsem s pomocí stávajícího certifikátu přešel bez problémů pouze elektronicky na certifikát na TokenME.

 

Michal VEčeře 

 

 

---

Od: katastr-request AT fsv.cvut.cz <katastr-request AT fsv.cvut.cz> za uživatele Václav Čada <cada AT kgm.zcu.cz>
Odesláno: středa, dubna 3, 2024 3:17:47 odp.
Komu: katastr AT fsv.cvut.cz <katastr AT fsv.cvut.cz>
Předmět: [Katastr] vytváření el. podpisů dle eIDAS

 

    Dobrý den,

dovolil bych se dotázat vás znalých, kteří jste již úspěšně pořídili kvalifikovaný prostředek pro vytváření el. podpisů a el. pečetí v souladu s nařízením eIDAS (mimochodem příšerný název...😉), proč poté, co je mi serverem PostSignum vygenerováno ID žádosti o certifikát, musím se fyzicky (podle uživatelské příručky České pošty ProID+Q a ProID+Q(gen.2)) dostavit na pobočku České pošty a tam toto ID předložit spolu s "dalšími náležitostmi" blíže nespecifikovanými? 

<hmT0CpOOJ8VZZjpY.png>

Platnou smlouvu s Českou poštou už mám minimálně od roku 2015, a žádost o vydání certifikátu pomocí podepsaného e-mailu (včetně všech změn a oprav s přechodem UOZI na AZI) již vyřízené úspěšně mám "vzdáleně" také. Jestliže neustále slyšíme, jak digitalizace agend veřejné správy úspěšně pokračuje, tak nechápu, co na mě paní u přepážky na poště uvidí...🙂

Můžete mi toto někdo nějak logicky vysvětlit? Předem děkuji. Václav Čada

-----------------------------------------------------------------------  

    Doc. Ing. Václav Čada, CSc.  

    katedra geomatiky                      www.kgm.zcu.cz/vcada  

    Fakulta aplikovaných věd                E-mail:cada AT kgm.zcu.cz  

    Zapadoceska univerzita                      Tel:    +420-377639205   

    Univerzitni 8                                    

    306 14 Plzeň                                  

-----------------------------------------------------------------------  

____________________________________________________
https://sympa.fsv.cvut.cz/wws/info/katastr/

 

____________________________________________________
https://sympa.fsv.cvut.cz/wws/info/katastr/

____________________________________________________
https://sympa.fsv.cvut.cz/wws/info/katastr/

<hmT0CpOOJ8VZZjpY.png>

____________________________________________________
https://sympa.fsv.cvut.cz/wws/info/katastr/

____________________________________________________
https://sympa.fsv.cvut.cz/wws/info/katastr/

____________________________________________________
https://sympa.fsv.cvut.cz/wws/info/katastr/