Záznam virtuální konference
Nová pravidla pro elektronický podpis (eIDAS2)
Čtvrtek 25. 4. 2024 | 9:00 až 12:30
Kompletní videozáznam konference:
Organizace konference – kontakt pro dotazy a média: Ivo Vrána (Linkedin)
Prezentace ke stažení:
- Aktuální stav evropského nařízení a chystané změny (eWallet a eIDAS 2), Filip Bílek, DIA
- Audit a certifikace organizace pro el. podpis nejvyšší úrovně, Martin Dudek, Relsie
- Digitální způsoby podepisování a identifikace, Tomáš Rýdl, Kristýna Ročeň Dudková, Ernst&Young
- Architektura systému pro el. podpis a digitalizaci dokumentů, Jiří Kutálek, Monet+
- Autorizace, autentizace a moderní digitální identita uvnitř instituce, Zdeněk Huspenina, Monet+
- Dlouhodobý archiv a prokazatelnost elektronických podpisů, Petr Dolejší, Sefira
Vyplňte závěrečný dotazník, který nám pomůže vyhodnotit akci. Můžete si v něm také objednat osobní konzultaci k vybraným tématům.
Fotografie z akce
Řešíte zavedení elektronického podpisu formou vzdálené služby? Nechcete již používat tokeny či čipové karty? Podívejte se na náš certifikovaný systém eSign.
Odpovědi na dotazy z chatu
DOTAZ |
ODPOVĚĎ |
| chápu tedy správně, že eWallet může nahradit stávající eObčanku a také BankID? | Ano, přesně tak to může být. Nicméně, není nijak vyloučeno, že mohou existovat vedle sebe. |
| jaký má být vztah mezi peněženkou, bankovní identitou, případně – v ČR – portálem občana a podobnými identifikacemi? | Budou fungovat souběžně, nicméně eWallet je v budoucnu může nahradit. |
| Pokud budu generovat cer pro podpis bude čistě v peněžence a neexportovatelný (aka HSM)? A pro komunikaci se státem bude potřeba jej registrovat? | Tohle je trochu hypotetický scénář, takže odpověď je trochu obecná. V HSM se chrání soukromý klíč; ten je neexportovatelný. Certifikát, příslušný k soukromého klíči, je “veřejná listina”. Není třeba jej chránit, lze jej exportovat. Záleží na implementaci daného systému zda a jak umožní držiteli stáhnout/exportovat certifikát. Zda bude nutno certifikát importovat/registrovat do nějaké státní agendy, to je otázka. Již nyní se připouští použití kvalifikovaného certifikátu, který obsahuje identifikátor osobního dokladu, aby jej bylo možno používat pro komunikaci s některými agendami bez předchozí registrace. |
| Prosím, co se myslí tím, že bezplatné e-podpisy v evropské peněžence se používají pouze pro neprofesní účely? K čemu se tedy budou moci využívat? | K podpisu soukromé osoby (např. hypotéční smlouvy apod.). Právnické osoby (firmy) budou muset využívat k tomu určené služby, např. eSign od Monet+. Stejně tak fyzické osoby – podnikatelé (například advokáti či jiné OSVČ) při výkonu profese nebudou mít na e-podpis zdarma nárok. |
| Dobrý den, k čemu poté budou “české” eDoklady, když EU má řešení v podobě eWallet? Nebylo zbytečné je vyvíjet? Děkuji | Tohle není dotaz na techniky a na komerční společnosti. Jedna z užitečných vlastností eDokladu je, že si občané mohou vyzkoušet a osahat, jaké je to mít doklad v mobilu. Zvyknout si na takovou možnost. Pak budou snáze přecházet na eWallet podle specifikace eIDAS2. Mít možnost nenosit s sebou OP je celkem hezká schopnost. Mobil s sebou stejně nosíme, proč ho nevyužít jako doklad. Nemusíme vždy čekat, až nám EU něco přikáže – můžeme něco udělat i po svém – inociativně. |
| eDoklady budou pouze jednou z eWallet kompatibilních služeb. Již po technické stránce jsou stavěny na potřebných protokolech. A neplést eDoklady s eObčanka | |
| Dobrý den, jaký je rozdíl mezi identifikací a autentizací? Děkuji za odpověď | Identifikace = prokozání, že já jsem já. Autentizace = přihlášení se do nějaké služby. Autorizace = potvrzení konkrétního požadavku (např. el. podpisu). |
| Pokud poskytovatel EUDIW (např. v HU) nebude dostupný, má jiný poskytovatel např. v CZ odbavil ověření, nebo prostě v tu chvíli nebudou HU EUDIW vůbec funkční ? | EUDIW bude umět provádět část operací offline; tyto operace nebudou nedostupností centrálních systémů provozovatele omezeny. U online operací si budeme muset počkat na prováděcí předpisy a normy, a také na konkrétní implementace. Zatím se asi budeme muset spokojit s několika obecnými tvrzeními. Pokud bude nějaká forma ověření využívat centrální systém, a ten systém nepojede, tak nebude (pomocí tohoto systému) provádět ani ověření atp… Peněženka bude zřejmě schopna poskytovat podepsané “atributy”, které možná půjdou ověřit i v peer-to-peer režimu. Pokud bude nějaká operace (ověření) vyžadovat přístup do “registrů” nějakého státu (např. HU), pak nelze očekávat, že jiný stát (např. CZ) tuto schopnost nahradí. |
| Nechápu proč se tomu říká peněženka, když tam zatím vidím jen ukládání dat o osobě. Nikoliv peníze. Peněženka = peníze. Nebo se mýlím? | Jedná se o doslovný překlad názvu z angličtiny, který se používá v EU. V angličtině má toto slovo i význam “náprsní taška”. Ta se historicky používala pro přenos dokumentů a dokladů, což už je bližší. Hlavně však se slovem Wallet označuje služba pro uchování kreditních karet v mobilních telefonech. |
| dobrý den , jak službu zajistíte proti útokům a zneužitím AI? Kdo a jak bude kontrolovat bezpečnost a kde budou uložena daná data? | Tohle je určitě hodně zajímavé téma k diskusi, ale nejspíš bez nějakého jednoznačného výsledku. AI zřejmě časem bude umět leccos napodobit, možná najít slabiny v systémech. Obecně je třeba stavět systémy tak, aby neměly bezpečnostní slabiny. Provádět analýzy rizik, penetrační testy. Využívat 2-faktorovou autentizaci a autorizaci, kterou zatím AI neumí napodobit/ohrozit. Pokud už se chceme bát něčeho, co může ohrozit informační systémy založené na kryptografii, bojme se raději kvantových počítačů a hloupých/nepozorných lidí. |
| Zaujal mě termín “Doporučené doručování”. Je to u nás systém datových schránek? | V prezentaci bylo řečeno, že systém datových schránek nesplňuje parametry kvalifikované služby elektronického doporučeného doručování, jak ji definuje eIDAS2 v článku 44. Obecně lze datové schránky označit za službu elektronického doručování (která je navíc “podepřena” legislativou ČR). Ale bez “evropského” přesahu – alespoň prozatím. |
| Můžeme si vypnout zaznamenávání do el. knihy záznamů, bude to pro uživatele volitelné? | |
| Je někde určeno, na kterých dokumentech má OVM povinnost použít podpis dle eIDAS? Protože např. pro hromadné podpisy smluv to nelze použít. | Podle mne je má OVM použít dle § 5 zákona č. 297/2016 Sb. vždy, pokud právně jedná nebo jedná navenek jako OVM. |
| Dobrý den, jak ovlivní eWallet a její elektronická identifikace používání rodného čísla, které zůstalo novelizací zákona o občanských průkazech zachováno? | Na tohle je těžké odpovědět. Rodné číslo už mělo být několikrát zrušeno (opuštěno), a stále s námi je. Je silně “prorostlé” do systémů státní správy. eWallet může pomoci k rychlejšímu opuštění používání rodných čísel. Ale rozhodně nelze očekávat změnu ostrým střihem, typu: “ode dneška máme eWallet, tak od zítřka můžeme zrušit RČ”. Pamatujme, že eWallet je dobrovolný a že bude řada občanů, kteří si peněženku nezřídí. |
| Dál má platit, že pro kvalifikovaný podpis je nutný i kval. prostředek. Jak to bude u peněženky? Bude to pak vzdálené podepisování? Díky! | Zatím je jasné, že peněženka bude prostředkem pro identifikaci, resp. autentizaci. Také k vytváření kvalifikovaných podpisů a pečetí. Píše se také o “schvalování online transakcí”, což ale nemusí být nutně autorizace vzdáleného podpisu. Dokud nebudou vydána prováděcí nařízení a normy pro certifikaci peněženek, nelze s jistotou odhadnout, které funkce peněženky se v praxi prosadí. Vzhledem k poptávce “trhu” po bezpečných elektronických transakcích lze očekávat, že některé (soukromé) subjekty nabídnou systém vzdáleného podepisování, využívajících funkcí peněženky. Bude asi záležet na uživatelské přívětivosti řešení “státní” peněženky, zda ji občané budou masově využívat k podepisování anebo dají přednost komerčním řešením… |
| Musí OVM použít kvalifikovaný podpis pro všechny činnosti, které dělá v rámci zákonných povinností? Např. pokud uzavírání určitých smluv ukládá zákon. | V zákoně je “pokud právně jedná”, což nepochybně znamená i soukromoprávně jedná (jednání je pojem soukromého práva). Takže, i když mi to nepřijde praktické, výkladem bych spíše dovodil odpověď “Ano, vždy”. |
| Jak se stavíte k elektronického podpisu pomocí odkazu do emailu+kód v SMS+log? Nyní je hojně využíváno. Co donutí společnosti využívat tato složitější řešení? | U řešení, u kterých nehrozí riziko ztráty velké finanční částky, ztráty reputace apod…, nejspíš uvedené řešení může zůstat. U řešení s výšší úrovní záruk může provozovavatel donutit prohraný soudní spor, ve kterém nebude schopen prokázat, že daný uživatel chtěl podepsat zrovna daný / konkrétní dokument, anebo že nějaký útočník nemohl zneužít slabiny daného řešení. Některé společnosti, které mají hodně klientů, odrazují i poplatky za SMS. |
| Bude EUDIW v mobilu přímo QSCD zařízení a chystá Monet něco takového ? | Software EUDIW bude zřejmě “opensource”, a bude k dispozici pro celou EU bezplatně. Takže Monet+ nechystá svoji implementaci EUDIW. Chystá ale aplikace, které využívají existenci EUDIW. Část EUDIW bude v mobilu – mobilní aplikace pro elektronickou identifikaci, uložení “atributů” , atd… Viz také https://ec.europa.eu/commission/presscorner/detail/cs/qanda_21_2664 Systém peněženky digitální identity bude mít také svoji serverovou část. “Státní” peněženka v ČR bude nejspíše na centrální straně provozována v DIA/NAKIT. |
| Je nyní možné získat kvalifikovaný certifikát na dálku, nebo je nutné čekat až na EUDIW? Děkuji. | Legislativně by bylo možné získat kvalifikovaný certifikát na základě vzdáleného ověření pomocí eObčanky (občanský průkaz s čipem, a aktivovanou identifikační funkcí). V praxi ale asi podobný mechanismus zatím žádná kvalifikovaná certifikační autorita nenabízí. Podobně to může být i nějakou dobu po vstoupení EUDIW v platnost: legislativně bude vydání q-certifikátu možné, ale pokud tuto možnost nebude podporovat alespoň jeden poskytovatel, tak vydání q-certifikátu na dálku nebude možné. |
| Dobry den,dotaz.Je nutne,aby v el. certifikatu (dle eIDAS)osoby,ktera podepisuje jako statutarni zastupce urcite spolecnosti,byl uvedeny nazev dane spolecnosti? | Ne |
| Jak řešit Pseudonymy, které eIDAS připouští, u vzdáleného podepisování? Data klienta jsou obvykle načtena z BankiD, bez možnosti volby Pseudonymu. | Jednou z možností je zvolit jinou formu registračního procesu, než je vydání certifikátu na dálku. Žadatel o certifikát se např. dostaví osobně na registrační místo, prokáže svoji tootžnost a také prokáže “držení” daného pseudonymu. U vydávání certifikátů na dálku to může být obtížnější. Nezapomínejme, že žadatel musí vhodným způsobem prokázat, že je oprávněným nositelem údajů zapisovaných do certifikátů. Podmínky pro vydání certifikátu v zásadě definuje certifikační autorita (a popisuje je v certifikační politice). Pokud daná CA podporuje pseudonymy, pak to popíše v CP a klienti pak mohou příslušným způsobem žádat. Celá problematika je jednodušší u nekvalifikovaných certifikátů, kde je větší volnost. U kvalifikovaných certifikátů se CA do vydávání certifikátů s pseudonymy moc “nehrnou”, přestože to eIDAS připouští. Použití pseudonymů u vzdáleného podepisování není příliš odlišné od lokálního podepisování. (Rozlišujme proces vydání certifikátu a proces vytvoření podpisu!) |
