Názor k článku Elektronická podání „nejedou“. Milý státe, tady jsou tipy, jak je zatraktivnit od BlahaK - Ale "Identifikátor MPSV" se přece nikdy nevyžadoval. Kdo...

Ale "Identifikátor MPSV" se přece nikdy nevyžadoval. Kdo jej nechtěl uvést, toho podpis "nebyl brán vážně". Je to volitelná věc, takto to může zůstat a úřady na to mohou dál v klidu spoléhat. Nevidím nejmenší problém. Kdo chce, ať si klidně do certifikátu napíše rodné číslo, barvu očí atp. Že naši (nejen) zákonodárci plodí nesmyly je známá věc, za to eIDAS nemůže.
Cituji z článku "... Nebrání sice jednoznačné identifikaci držitele (konkrétního Jana Nováka) přímo v certifikátu, ale bohužel trvá na tom, že nesmí být vyžadována jako povinnost." Takže můžu uvést "IK MPSV", ale k samotnému vydání kvalifikovaného certifikátu jej nutně nepotřebuji. To, že pak budou poskytované služby omezené, je jiná věc.
To ta další věta "Navíc požaduje, aby stejný efekt (jako certifikát s jednoznačnou identifikací) měl v praxi i certifikát bez jednoznačné identifikace." je větší mazec. V podstatě by aplikace tohoto pravidla tvrdila, že očekává stejnou rychlost projetí trasy od "Jana Nováka", který ji nikdy neprojel, jako od jiného "Jana Nováka", který zná mapu trasy nazpaměť.
Nemyslím, že to bylo takto myšleno. Naopak to podle mě směřuje k tomu, co jsem psal výše s GUID, čili že v kolonce "jméno" bude právě ten jednoznačný identifikátor. Protože vlastnoruční podpis samozřejmě unikátním identifikátorem je. Sporná může být spíš cesta "pořízení" a to zrovna tak u elektronického podpisu. Jestli v cerifikátu budou ještě jiné údaje, jako jméno, příjmení, stav, barva očí, šířka pozadí atd., je málo podstatné.
Spíš bych se v této souvislosti pozastavil nad něčím jiným a to nad tím, že pokud jsou v certifikátu osobní údaje, a to běžně jsou, stává se každý příjemce elektronického podpisu zpracovatelem osobních údajů (byť by tam bylo jen IK MPSV, což je osobní údaj prvotřídní kvality). Docela by mě zajímalo, jak tohle budou firmy ve spojitosti s GDPR řešit (nejen samotný podpis, ale např. to, že si někdo v certifikátu uvede údaje, které zpracovatel nepotřebuje a tedy jejich uchováním poruší nařízení uchovat minimum údajů). A to nemluvím o tom, když si do certifikátu někdo napíše vyznání a politickou orientaci (což bude patrné třeba z certifikátu člověka jako zaměstnance politické strany).
Zrovna tak je osobním údajem číslo certifikátu + identifikace autority, nebo číslo datové schránky.
Pozastavení nad tím, že autorita nesdělí k číslu certifikátu další údaje, znamená, a už jsem to psal, že mají být soukromé certifikační autority nahrazeny nadnárodním certifikačním institutem, který k identifikátoru sdělí údaje podle oprávnění tazatele. Něco podobného, jako je správa DNS. V opačném případě by nám vznikl pro praxi nepoužitelný blábol.

ROCA: myslím, že ten problém není v platnosti certifikátu ale v tom, že se do světa poslalo tisíce rádoby důvěryhodných zařízení, díky nimž (nebo se pletu?) mohou napadnutelné certifikáty dále vznikat do doby, do kdy je bude někdo ochotný akceptovat. A žádný "firmware" to neopraví. Variantou je takové vadné certifikáty odhalit při registraci. Ale, upřímně, podchytíme vždycky všechny (ne jen ROCA zranitelné)?

Takže návrat zpět: k dokumentu, který jsem elektronicky podepsal a povinně opatřil časovým razítkem (obojí díky nadnárodní certifikační autoritě) chci doklad v zabezpečeném, osobním a neprolomitelném elektronickém trezoru, kam jej odešle právě ta autorita jako nezávislé ověření aktu (na úrovni notářského ověření). To budiž důkazem mé vůle jak pro mě, tak pro ostatní strany.

Nepopírám, že soukromý sektor tlačí technologie vpřed. Na druihou stranu tohle spoléhání se na soukromníky je velmi problematické a v právý okamžik (u věci veřejného zájmu) by mělo skončit. Stačí si to vyzkoušet při objednání dálniční známky třeba do Maďarska (záměrně příklad, na kterém pochopí většina). Jakým způsobem se má běžný smrtelník dopátrat k prodejci té pravé dálniční známky? Má se snad dozvědět např. webovou adresu "https://ematri­ca.nemzetiutdij­.hu/" už na základní škole? A proč by měl věřit, že právě na tomhle webu koupí tu pravou? Protože to říkala učitelka? Nebo soused? Nebo cestovka? A bude si u toho muset pamatovat i údaje z certifikátu, aby se na "zeleném zámečku" mohl ujistit, že se jedná o stejný subjekt? A jak vůbec pozná, že je web funkční a ne jen černá díra na peníze?
Na Alza.cz nakupuji díky zkušenosti. Co ale s obchodem (subjektem), který je pro mě nový?
Takhle to, podle mě, nemůže dál pokračovat. Víra v Boha je proti té, kterou v posledních letech plýtváme v digitálním světě, takřka zanedbatelná.

Někde je chyba. Od technologie očekávám poskytnutí jistoty. Což se nedostavuje.