přehled témat http://bajecnysvet.cz/phorum/index.php Sat, 19 May 2012 13:06:06 +0200 Phorum 5.2.15a http://bajecnysvet.cz/phorum/read.php?14,50,53#msg-53 http://bajecnysvet.cz/phorum/read.php?14,50,53#msg-53 obecně platí (a je to tak asi správné), že zákon nestanovuje technická kritéria, ale jen obecné požadavky. Ty se pak upřesňují předpisy nižších úrovní, které se aktualizují snáze a rychleji (např. prováděcí vyhlášky).

Zdravím
J.Peterka]]> Jiří Peterka Poradna: dotazy a odpovědi Mon, 27 Feb 2012 23:54:22 +0100 http://bajecnysvet.cz/phorum/read.php?14,51,52#msg-52 http://bajecnysvet.cz/phorum/read.php?14,51,52#msg-52 možné jsou všechny tři eventuality: pokud nejsou nadřazené certifikáty na certifikační cestě "přibaleny" přímo k podpisu, hledají se v právě používaném úložišti, a pokud nejsou ani v něm, dohledávají se pomocí mechanismů, které aktualizují obsah tohoto úložiště (což funguje u systémového úložiště v MS Windows). Dokonce je možné, že se najde více certifikačních cest.]]> Jiří Peterka Poradna: dotazy a odpovědi Mon, 27 Feb 2012 23:51:44 +0100 http://bajecnysvet.cz/phorum/read.php?14,51,51#msg-51 http://bajecnysvet.cz/phorum/read.php?14,51,51#msg-51 Kniha se mi líbí, spoustu věcí mi objasnila, ale není mi jasná následující věc:
Jakým způsobem a kde se nalézají event. automaticky instalují u certifikátu jeho nadřízené certifikáty až ke kořenovému? Jsou v podřízeném certifikátu obsažené nebo se stahují z internetu nebo musí být už někde v systému?
díky
Jirka]]> jirka Poradna: dotazy a odpovědi Mon, 27 Feb 2012 23:35:32 +0100 http://bajecnysvet.cz/phorum/read.php?14,50,50#msg-50 http://bajecnysvet.cz/phorum/read.php?14,50,50#msg-50
Chtěla bych se zeptat, jestli český zákon o el. podpisu stanovuje i nějak technické kritéria a jaké?. Myslím tím použití v praxi jako jak se vybírají prvočísla atd.
Děkuji]]> caduwek Poradna: dotazy a odpovědi Mon, 23 Jan 2012 16:29:44 +0100 http://bajecnysvet.cz/phorum/read.php?14,48,49#msg-49 http://bajecnysvet.cz/phorum/read.php?14,48,49#msg-49 to vypadá na špatné nastavení posuzovaného okamžiku: nikoli do doby uvedené na časovém razítku, ale na aktuální čas.
Proč Adobe Acrobat nevzal v úvahu čas na časovém razítku může mít více příčin. U LTV se může jednat o dokumentové razítko, a tady (podle mých zkušeností) ho Acrobat ani Reader vůbec neberou v úvahu (při ověřování podpisu), ačkoli by správně měli. Pokud jde o podpisové časové razítko, pak ho Acrobat /Reader nebere v úvahu, pokud se mu nepodaří ověřit ho jako platné.
Můžete se prosím podívat o jaký druh časového razítka jde a zda se ověřilo jako platné?

Zdravím
J.Peterka]]> Jiří Peterka Poradna: dotazy a odpovědi Fri, 20 Jan 2012 13:37:09 +0100 http://bajecnysvet.cz/phorum/read.php?14,48,48#msg-48 http://bajecnysvet.cz/phorum/read.php?14,48,48#msg-48
zajímalo by mě, zda někdo má zkušenosti s chováním Acrobatu při validování dokumentu, který je celý orazítkován časovým razítkem podle normy pades ltv. Razítko bylo vytvořeno v době, kdy byly podpisy uvnitř platné. Po vypršení jejich platnosti je u podpisů zobrazeno, že je nelze ověřit, protože platnost certifikátu vypršela. Nevím, zda je toto chování správné, nebo je podepisování špatně implementováno (open source IText). Případně, jestli na Czechpointu umí ověřit dokumenty podepsané dle pades ltv.

Děkuji]]> ota.chasak Poradna: dotazy a odpovědi Fri, 20 Jan 2012 13:14:52 +0100 http://bajecnysvet.cz/phorum/read.php?14,45,47#msg-47 http://bajecnysvet.cz/phorum/read.php?14,45,47#msg-47 janbouchal Poradna: dotazy a odpovědi Fri, 16 Sep 2011 06:20:54 +0200 http://bajecnysvet.cz/phorum/read.php?14,45,46#msg-46 http://bajecnysvet.cz/phorum/read.php?14,45,46#msg-46 Také zkontrolujte, zda nemáte ve Wordu zapnuté podepisování s využitím SHA-2, viz zde, zda to také nemá nějaký vliv.
Zkontrolujte i to, zda máte správně nainstalované všechny nadřízené certifikáty CA PostSignum (které by ale měly být nainstalované automaticky, díky MRCP).
Držím palce :)]]> Jiří Peterka Poradna: dotazy a odpovědi Thu, 25 Aug 2011 22:10:04 +0200 http://bajecnysvet.cz/phorum/read.php?14,45,45#msg-45 http://bajecnysvet.cz/phorum/read.php?14,45,45#msg-45 janbouchal Poradna: dotazy a odpovědi Thu, 25 Aug 2011 16:43:27 +0200 http://bajecnysvet.cz/phorum/read.php?14,24,44#msg-44 http://bajecnysvet.cz/phorum/read.php?14,24,44#msg-44 možnost zjistit všechny změny (a zobrazit je) poskytuje Acrobat: v panelu s podpisem stačí kliknout na certifikační podpis pravým tlačítkem a nechal si porovnat stávající a podepsanou verzi (položka Compare Signed Version To Current Version v menu). Pak ukáže výčet změn i přímo jejich umístění/polohu v dokumentu. Reader jen stručně řekne, že nějaké povolené změny byly provedeny, nebo nebyly.]]> Jiří Peterka Poradna: dotazy a odpovědi Wed, 13 Apr 2011 14:22:17 +0200 http://bajecnysvet.cz/phorum/read.php?14,35,43#msg-43 http://bajecnysvet.cz/phorum/read.php?14,35,43#msg-43 zákon hovoří jen o "označení, že je vydán jako kvalifikovaný certifikát podle tohoto zákona", ale nepředepisuje text označení. Takže to se může lišit. Nicméně pozor na to, že je to podmínka nutná, ale ne postačující: stejný text si může do svého certifikátu dát kdokoli. Takže musíte ještě kontrolovat kdo certifikát vydal (přes nadřazený certifikát), a správně i přes certifikační politiku, podle které byl vydán - protože jedna CA teoreticky může vydávat různé (zákaznické) certifikáty pomocí stejného svého certifikátu. U nás (v ČR) tomu tak není, a tak se stačí dívat jen na příslušný nadřazený certifikát. Ale u evropských CA to může být jinak.]]> Jiří Peterka Poradna: dotazy a odpovědi Wed, 13 Apr 2011 13:56:33 +0200 http://bajecnysvet.cz/phorum/read.php?14,37,42#msg-42 http://bajecnysvet.cz/phorum/read.php?14,37,42#msg-42 existovat aplikace schopné exportovat i to, co je označeno jako neexportovatelné. Další důvod proč pro certifikáty i s klíči používat externí odnímatelná úložiště.]]> Jiří Peterka Poradna: dotazy a odpovědi Wed, 13 Apr 2011 13:44:37 +0200 http://bajecnysvet.cz/phorum/read.php?14,38,41#msg-41 http://bajecnysvet.cz/phorum/read.php?14,38,41#msg-41 v principu to musí jít i pomocí aplikací třetích stran. Jsou takové, které tvrdí že to umí (například Nitro PDF Professional, srovnání s Acrobatem), ale neověřoval jsem to.]]> Jiří Peterka Poradna: dotazy a odpovědi Wed, 13 Apr 2011 13:20:33 +0200 http://bajecnysvet.cz/phorum/read.php?14,40,40#msg-40 http://bajecnysvet.cz/phorum/read.php?14,40,40#msg-40

Snazil jsem se toto implementovat, ale neuspesne. Pokud jsem vse spravne pochopil, tak formular je v pripraven v nejakem formatu zalozenem na XML + na JavaScriptu, ktery muze dynamicky pridavat dalsi pole podle toho co zadavame. Pri vyplneni a podepsani v Adobe Readeru se pak krome XML podoby formulare ulozi i jeho "renderovana" podoba - tzn bude to videt i v pdf ctecce, ktera formulare neumi. Toto uz ale pomoci zadne volne dostupne knihovny neudelam - to renderovani je (asi) prilis slozite, aby ho implementoval jeste nekdo jiny nez Adobe.

Nevite o nejake knihovne/aplikaci/..., ktera by toto umoznovala?

Dekuji za info]]> juzna Poradna: dotazy a odpovědi Wed, 13 Apr 2011 13:10:53 +0200 http://bajecnysvet.cz/phorum/read.php?14,34,39#msg-39 http://bajecnysvet.cz/phorum/read.php?14,34,39#msg-39 tady by asi záleželo ještě na tom, jak je to konkrétně realizováno. Zda systém sestaví dávku souborů k podepsání a pak čeká na reakci úředníka. Pokud pak on dává podnět k podpisu (a má možnost se podívat, co se podepisuje - bez ohledu na to zda se skutečně podívá), pak bych viděl jako správné použití el. podpisu (založeného na kvalifikovaném certifikátu úředníka). Pokud to ale bude naopak, tj. dávku dokumentů připraví systém a sám také rozhodne o tom, kdy přesně budou podepsány, pak bych považoval za správné použití el. značky (založené na systémovém certifikátu podatelny, resp. firmy, úřadu - nebo třeba také na systémovém certifkátu, který je vystaven příslušnému úředníkovi, což je možné také).]]> Jiří Peterka Poradna: dotazy a odpovědi Wed, 13 Apr 2011 13:07:25 +0200 http://bajecnysvet.cz/phorum/read.php?14,38,38#msg-38 http://bajecnysvet.cz/phorum/read.php?14,38,38#msg-38
Je to opravdu nejak omezene pouze na Acrobat, nebo lze (principielne) certifikace delat i v aplikacich tretich stran? Pokud aplikace tretich stran pouzit nelze, jak je to technicky zabezpecene?]]> juzna Poradna: dotazy a odpovědi Wed, 13 Apr 2011 13:02:49 +0200 http://bajecnysvet.cz/phorum/read.php?14,37,37#msg-37 http://bajecnysvet.cz/phorum/read.php?14,37,37#msg-37
Myslim tim, zda ten soukromy klic nemuze vytahnout nejaka jina aplikace bezici na prislusnych windows.

A verim, ze pokud clovek spusti jiny OS, tak ziskat neexportovatelny soukromy klic z disku uz musi byt (relativne) snadne.


Diky za info]]> juzna Poradna: dotazy a odpovědi Wed, 13 Apr 2011 12:58:16 +0200 http://bajecnysvet.cz/phorum/read.php?14,35,36#msg-36 http://bajecnysvet.cz/phorum/read.php?14,35,36#msg-36 juzna Poradna: dotazy a odpovědi Wed, 13 Apr 2011 12:50:58 +0200 http://bajecnysvet.cz/phorum/read.php?14,35,35#msg-35 http://bajecnysvet.cz/phorum/read.php?14,35,35#msg-35
Nevite napr. o existenci nejake webove sluzby, ktera by toto umoznovala automatizovat? (napr pres REST, SOAP,...)

Diky]]> juzna Poradna: dotazy a odpovědi Wed, 13 Apr 2011 12:49:52 +0200 http://bajecnysvet.cz/phorum/read.php?14,34,34#msg-34 http://bajecnysvet.cz/phorum/read.php?14,34,34#msg-34
Cely proces by ale sel automatizovat, protoze zasah cloveka ani neni potreba. Pri pridani noveho spisu do systemu by tak system mohl zcela automaticky vygenerovat cca 10 pdf souboru, podepsat je digitalnim podpisem prave prihlaseneho urednika a odeslat pres ISDS preddefinovanym prijemcum. Prijde mi ale, ze to neni v souladu se zakonem, protoze urednik ty pdfka pred podepsanim nevidi. Nebo je to takto v poradku?

Diky za info]]> juzna Poradna: dotazy a odpovědi Wed, 13 Apr 2011 12:45:30 +0200 http://bajecnysvet.cz/phorum/read.php?14,24,33#msg-33 http://bajecnysvet.cz/phorum/read.php?14,24,33#msg-33 juzna Poradna: dotazy a odpovědi Wed, 13 Apr 2011 12:30:21 +0200 http://bajecnysvet.cz/phorum/read.php?16,32,32#msg-32 http://bajecnysvet.cz/phorum/read.php?16,32,32#msg-32
Pokud nekdy bude druhe vydani, primlouval bych se za vysvetleni takovych pojmu v knize. A napriklad to nejak graficky oddelit, aby to technicky zdatny clovek mohl preskakovat.]]> juzna Hodnocení Wed, 13 Apr 2011 12:27:37 +0200 http://bajecnysvet.cz/phorum/read.php?11,26,31#msg-31 http://bajecnysvet.cz/phorum/read.php?11,26,31#msg-31
Ja jsem mel za to, ze klasicke PDF je dostatecne jednoznacne pro vizualizaci, a kdyz obsahuje nejake dynamicke prvky, tak je na to clovek nejdriv upozornen, nez to podepise (viz kapitola knihy o podpisech v PDF). Takze by clovek snad nemel podepsat neco, co nehce.]]> juzna Náměty, rozšíření, doporučení Wed, 13 Apr 2011 12:17:52 +0200 http://bajecnysvet.cz/phorum/read.php?11,26,30#msg-30 http://bajecnysvet.cz/phorum/read.php?11,26,30#msg-30
Otázka "čo sa má podpisovať" súvisí s otázkou "na čo podpis slúži". No, asi sa zhodneme že to nie je overiteľná ochrana integrity určitých bajtov (to je iba nástroj - a navyše dnes riešený dosť ťažkopádnym PKI). Cieľ totiž leží na "vyššej" úrovni: je určený pre používateľov, [dnes najmä] ľudí. Ak sme dôslední, musíme skúmať úmysel podpisovateľa. A to sme už na veľmi tenkom ľade, preto robíme zjednodušenia, napr: podpisom vyjadrujem súhlas s tým čo vidím. Používateľa skrátka nezaujíma či/ako je to čo vidí na obrazovke reprezentované (akou postupnosťou bitov), veď spravidla ani nemá šancu to zistiť.

Takže podpísaná HTML stránka, ktorá sa v rôzne širokom okne zobrazí natoľko ináč, že sa nedá (bez dodatočnej informácie - ktorá však musí byť dostupná s rovnakým stupňom spoľahlivosti ako samotná stránka) zistiť pôvodný úmysel toho kto ju podpísal, je nanič, resp. jej hodnota a dôveryhodnosť je výrazne limitovaná. Nemali by byť na to minimálne prijímatelia podpísaných dokumentov upozornení?

Keď Vy nepožadujete od podpísaného dokumentu rovnakú vizualizáciu, prezraďte mi prosím na čo podpísané dokumenty používate a za akým účelom ich podpisujete?
(Ja si skôr myslím že vy v skutočnosti rovnakú sémantiku požadujete a veľkú časť tohoto nároku si zodpovedáte implicitne - vierou že všetko je OK.)

Ku PDF-A: áno, pre tento formát bola veľmi pracne riešená jednoznačnosť (avšak aj tam sú muchy) - nie je práve to dôkazom že vizualizácia je dôležitá a súčasne zložitá vec? Znamená to že sa nemá podpisovať nič iné ako PDF-A? Ešte ste nevideli súbor ktorý je zároveň valídnym PDF a súčasne windows-executable? Keď Vám príde podpísaný súbor viete si otestovať či je to valídne PDF-A a robíte to?

Súhlasím s Vami, že toto sú zaujímavé otázky a je podľa mňa škoda že diskusia na túto tému je podvýživená a škoda že sa pre ňu nenašla aspoň kapitolka vo Vašej knihe.]]> lubux Náměty, rozšíření, doporučení Fri, 11 Mar 2011 10:25:16 +0100 http://bajecnysvet.cz/phorum/read.php?11,26,29#msg-29 http://bajecnysvet.cz/phorum/read.php?11,26,29#msg-29
Ale jinak je zajímavou otázkou, co by vlastně mělo být od el. podpisu požadováno: aby se jednalo o stejný dokument (ve smyslu stejné množiny bitů/bytů, což řeší integrita), nebo zda má mít také přesně stejnou vizualizaci. Pokud by bylo požadováno i to druhé, pak by nemělo smysl/nedalo se podepisovat nic, co není statickým obrázkem, který je vždy vykreslen stejně. Protože třeba textový dokument či spreadsheet si vždy mohu zobrazit např. do užšího či širšího okna, a podle toho se mi jinak zalomí atd. Mohu také elektronicky podepsat kus kódu, který žádnou vizualizaci ani nemá.

IMHO by to měla být záležitost konkrétního datového formátu (jsme zpět u PDF-A), od kterého mohu požadovat vždy stejnou vizualizaci - ale neměl bych to požadovat od elektronického podpisu jako takového.]]> Jiří Peterka Náměty, rozšíření, doporučení Fri, 11 Mar 2011 00:59:24 +0100 http://bajecnysvet.cz/phorum/read.php?11,26,28#msg-28 http://bajecnysvet.cz/phorum/read.php?11,26,28#msg-28 Videl som napr. platne podpísaný dokument, ktorého zobrazenie rovnakou aplikáciou na overovanie podpisov na rôznych počítačoch bolo natoľko rôzne, že sa zásadne zmenil význam textu.
Rozdiel bol "iba" v tom, že jedno PC bolo s Win XP a druhé s Win 7 - a tie majú rozdielne sady default fontov... ktorý z tých textov je ten pravý?

Problémov tohto typu (jednoznačnosť vizualizácie) je celá sada. Vlastne vedieť toto poriadne vyriešiť je dnes oveľa ťažšie ako celá kryptografia okolo - to je dobre zvládnutá hra.]]> lubux Náměty, rozšíření, doporučení Fri, 11 Mar 2011 00:18:30 +0100 http://bajecnysvet.cz/phorum/read.php?11,26,27#msg-27 http://bajecnysvet.cz/phorum/read.php?11,26,27#msg-27 to, zda ověřující/spoléhající osoba má v ruce stejný dokument, řeší zajištění integrity, které je jednou ze základních vlastností el. podpisu. Pokud je neporušena, jde o tentýž dokument, ve kterém nedošlo k žádné změně. Je-li porušena, došlo k nějaké změně, kterou může být i změna celého dokumentu.
Problémem bude potenciální existence kolizních dokumentů, protože ty nezpůsobí porušení integrity.
Jiná věc je aktivní obsah, například v PDF dokumentech. To řeší např. PDF-A, které je v knížce popisované. Závislost na externím obsahu zase řeší koncept LTV (Long Term Validation), který je v knižce také popisován.]]> Jiří Peterka Náměty, rozšíření, doporučení Thu, 10 Mar 2011 19:39:39 +0100 http://bajecnysvet.cz/phorum/read.php?11,26,26#msg-26 http://bajecnysvet.cz/phorum/read.php?11,26,26#msg-26
Podľa obsahu v nej však nie je riešená jedna zásadná oblasť - ako sa zabezpečí že overovateľ podpisu vidí rovnaký dokument ako podpisovateľ? Resp. na základe čoho overovateľ dôveruje tomu čo vidí, že je to rovnaké ako to čo bolo podpísané?

Obvykle sa táto vec rieši dvoma spôsobmi:
-stanovenie presného formátu dokumentu a validácia či ho podpisovaný dokument naozaj spĺňa
-zobrazenie dokumentu pred podpísaním a presný predpis pre túto vizualizáciu

S tým súvisia otázky ako: závislosť na externých objektoch, aktívny kód v dokumente, predpoklady na podpisovacie prostredie, zastarávanie formátov/aplikácií a pod.

Alebo je táto téma vynechaná naschvál, tak ako sa o nej všeobecne v ČR taktne mlčí? (napr. v zákone/vyhláške)

Ľubor]]> lubux Náměty, rozšíření, doporučení Thu, 10 Mar 2011 15:02:33 +0100 http://bajecnysvet.cz/phorum/read.php?14,24,25#msg-25 http://bajecnysvet.cz/phorum/read.php?14,24,25#msg-25 certifikační podpis je zamýšlen hlavně pro formuláře: aby ten, kdo ho navrhnul, mohl stvrdit že je skutečně od něj, že se nezměnil atd. - a současně bylo možné vyplňovat pole tohoto formuláře. Kdyby autor ke stejnému účelu použil "normální" podpis, už by nebylo možné formulář měnit (vyplnit), protože by okamžitě došlo k porušení integrity.
Po formální stránce (viz stanovisko MV ČR, citované v knize) platí, že dokud nedojde k nějaké skutečné změně (například vyplněním nějaké části formuláře), lze certifikační podpis považovat za zaručený el. podpis.]]> Jiří Peterka Poradna: dotazy a odpovědi Thu, 24 Feb 2011 17:38:16 +0100 http://bajecnysvet.cz/phorum/read.php?14,24,24#msg-24 http://bajecnysvet.cz/phorum/read.php?14,24,24#msg-24 Ceedur Poradna: dotazy a odpovědi Wed, 23 Feb 2011 14:28:17 +0100