Teď ještě nabídnout USB C variantu a dalo by se říct, že už jsou v přítomnosti.
Já třeba USB-C nepotřebuju. Mobil přes NFC, PC přes USB
To je fajn, ale teď už jsou noťasy, které mají jen USB C. I když můžeme být rádi, že nedodávají klíče do paralelního portu, což bych tak očekával od státní správy... 😀
To je možné. Já ntb nepoužívám, a co máme, vždy USB :).
Existuje řešení s FIDO2 l2 do USB C nebo pak u notebooků s čtečkou karet zvolit čipovou kartu, která za méně peněz přináší daleko více možností použití. Ale diskutujeme pod článkem na podporu Idem Key a jejího distributora...
Na videu v článku je jak klíč zprovoznit. Mě by více zajímalo jak ho používat. Do nedávna jsem měl za to, že klíč použiju kdekoliv, kde budu chtít něco elektronicky podepsat nebo se identifikovat. Prostě zasunu klíč do USB, přes moje ID se přihlásím a potvrdím to otiskem prstu na klíči. Ale z diskuze u nedávného článku ke stejnému tématu jsem pochopil, že to tak není.Na rovinu přiznávám, že v elektronických podpisech a jejich využití mám naprostý chaos.
Hw klíč se používá pouze pro přihlášení. Např. Přes to MojeID. Přihlásíš se, OS požádá o vložení klíče, vložíš klíč (u mobilu s NFC přiložíš k místům antény), a pokud vkládáš přes USB, dotkneš se dotykové plošky.
Dodám, že ten dotyk zařízení není otisk prstu, pouze se tím řeší, že někdo fyzicky u počítače chce ten klíč použít, pokud by ho třeba měl zastrčený v USB neustále. Takhle se zajistí, že se opravdu má použít, kdyby to někdo zkoušel vynutit vzdáleně.
Já obdržel idemkey od GoTrustID, takže je to fajn. Již v prosinci ☺️
Za mě je MojeID na nic. Člověk je tam ověřený jako nikde jinde tak by čekal že když se chce přihlásit na nějaké stránky podporující MojeID tak to bude otázka dvou kliknutí a ono ne. Vybafne na vás spáva že se prvně na stránkách musíte registrovat a až pak se můžete přihlásit přes MojeID. Při tom na ty stránky se dvěma kliknutími můžu přihlásit přes falešná Facebookový účet. To nevymyslíš.
Tak to mají na těch stránkách špatně implementované, protože normálně to funguje místo té registrace.
Už je to nějaký překombinovaný. Na portál veřejné zprávy se už já můžu přihlásit eObčankou, mojeID, klíčem Govermentu , pomoci Datové schránky a Bankopvní identitou. Kolikrát než si vyberu, zapomenu, co jsem tam vlastně chtěl. B-]
Stále mi nikdo neřekl jak to zprovoznit... založit si druhou datovku? Jejich podpora je příšerná...
Si přečti ještě jednou ten přiložený průvodní dopis a postupuj dle instrukcí. Vede to k cíli. Nebo co konkrétně ti na tom není jasné?
Poradili mi nakonec v diskusi pod minulým článkem... Failne mi ověření na tom, že to nesmí být podáno ze schránky právnické osoby. Já to ale podávám ze schránky Fyzické osoby, ale jsem OSVČ. Takže jedině si založit další datovku (i když tato mi na veškerou komunikaci s úřady vždy stačila)... nesmysl prostě... to je úděl toho, když je člověk QA :(
Jenže právně vaše identita fyzické podnikající osoby není to samé jako vaše identita fyzické nepodnikající osoby. Když se státem komunikujete jako OSVČ, jste pro ně jiný subjekt, než když s nimi komunikujete jako obyčejný občan. Ty identity prostě nejdou míchat dohromady.
Např. věci na katastru jsem řešil jako fyz. osoba z datovky OSVČ... vždy jsem to tak dělal... tak proč to najednou nejde?
Na druhé straně vždycky sedí jen člověk, takže možné je všechno. Sami v tom často mají hokej. Nicméně je to asi, jako byste posílal k soudu podklady ke svému osobnímu sporu z datovky firmy. Akorát tady to není pro laika tak viditelné, protože jsou oba subjekty na vaše jméno.Neříkám, že je to tak nutně správně. Ale dokud nezmění zákon, že jedna identita může zastupovat druhou, nebo je prostě sjednotí, tak ten software prostě nemůže fungovat jinak.
Právně se to dělí jen na FYZICKÉ osoby a PRÁVNICKÉ osoby. Identitu máte jen jako fyzická osoba a IČO značí, že jen máte státem povoleno podnikání a přiřazeno "identifikační číslo obchodníka".Pro úkony bez datovky máte jen jednu občanku a jeden podpis a nerozlišuje se, zda ji máte jako "fyzická osoba" nebo "podnikající fyzická osoba", protože fyzická osoba má identitu jen JEDNU.Pokud cokoliv podepíšete, tak to má právní platnost a to jak do "podnikání", tak "soukromě". U podnikajících fyzických osob totiž zákon téměř nerozlišuje "soukromí" a "podnikání". Například i pokud uděláte zakázku, další už nechcete, ukončíte živnost a zákazník ji bude reklamovat klidně i za dlouhou dobu krátce před koncem reklamační lhůty, tak to MÁTE POVINNOST řešit nebo vrátit peníze, přestože "už nepodnikáte". Protože jste právě jedna fyzická osoba a u ní končí její závazky až smrtí... Stejně tak se nerozlišují "soukromé dluhy" a "dluhy z podnikání", za vše ručíte celým majetkem až do své smrti a je jedno zda pak dál podnikáte nebo ne.Dělení datových schránek na FO a PFO je pak jen technikálie, ale všechna podání ze schránky FO (fyzické osoby) jsou právně platná i pro záležitosti týkající se "podnikání" a stejně tak všechna podání týkající se "soukromí" jsou právně platná i podaná ze schránky PFO (podnikající fyzické osoby).Akorát co se týče doručování, tak úřady vyhledávají podnikatele podle IČO, takže mohou "najít" schránku FO podnikatele nebo mají interní pokyny do ní nezasílat bez písemného souhlasu.Proto je nejlepší řešení založit si jak schránku FO, tak schránku PFO a abyste se z toho nezbláznil, tak použít nějaký software pro jejich správu - například Datovka od CZ.NIC, která je zdarma. 🙂
Díky, o Datovce jsem nevěděl, je super, že to je i na Linux! Vyzkouším a snad tam budu moct sjednotit všechny 3 datovky - FO, FPO, PO. Já jen, že do té doby, než jsme to začali řešit tady, nikdo nikde neřekl, že takto datovky fungují... A zatím na jednu fungoval katastr, finančák apod... 😃
Já jim sice fandím, ale řekl bych, že do toho skočili pozdě. Přijít s tím před pár lety, tak by to bylo super, ale teď, když tu je bankovní identita, tak je to jen víceméně alternativní způsob. Zatím to ověření "vysoké" oproti "značné" nepřináší žádnou výhodu a pokud za pár let bude, tak se v mezičase dokončí kolečko výměn občanek a stejně to zase už budou mít všichni a bude to zase jen alternativa.
Kolik bank že to poskytuje bankovní identitu? Dvě?
Když mi i čtečku eObcanek dají zdarma, jako idemkey, tak je mi to fuk. Takto jsem za toto prohlášení nedal ani korunu
Službě MojeID založené na OpenID fandím. Je to pěkně provedená integrace open sourcového řešení. Líbí se mi i nápad použít FIDO2 úroveň2 jako aktuálně nejvyšší stupeň FIDO Alliance. FIDO 3+ bude opravdu pro fanjšmekry.Poslední dobou mě ale zaráží komercializace projektu. Již delší dobu jsou certifikované FIDO2 l2 produkty Goldengate 500, Goldengate G320 a eFPA a cz.nic o nich mlčí. Nyní se stanou distributorem Idem Key a hned je výhod FIDO2 l2 plný web. Navíc mi přijde čistě pro autentizaci skrz NIA značně předražený.A proč platit? Když chci autentizaci skrz NIA v úrovni značná např. pro přístup mobilem, použiji ověření přes Datovku, pokud chci úroveň vysoká např. pro komunikaci se ČSSZ, použiju v PC Občanku. Vše zdarma a zaručené státem a ještě mohu prostředky využít pro podpis.Nevím, kde se bere v popisech Idem Key, že je FIPS 140-2 úroveň 3 certifikovaný. Nikdy o takovou certifikaci nežádal ani nedostal. To že jsou certifikované některé algoritmy nebo Java Card Platform není ještě bezpečnostní certifikací produktu.
FIPS 140-2 není certifikace produktu, ale právě jen krypta a toho, jak se používá. Snahou je mít tohle co nejvíce oddělené bokem v crypto boundary, aby s každou změnou produktu nebylo třeba recertifikovat. A ta se dělá jen při změně v crypto boundary. Common Criteria jsou blíž certifikaci produktů z pohledu bezpečnosti (a třeba ty algoritmy řeší u NIAPu využitím algoritmových FIPS certifikátů - neplést s modulovým FIPS certifikátem).
Ale FIPS 140-2 je právě certifikát modulů/produktů. Je spousta produktů, které například použijí symetrický AES, který má svůj specifický FIPS PUB 197 přidělený NISTem. To ale ještě neznamená, že jsou certifikovaní dle FIPS 140-2, pouze jsou v souladu.Pokud někdo prohlásí, že produkt je certifikovaný dle FIPS 140-2 úroveň 1-4, musí být uveden na tomto seznamu https://csrc.nist.gov/Projects/cryptographic-mo...
No, ale oni říkají, že používají "FIPS 140-2 Level 3 certified secure element", ne že samotný klíč je 140-2 certifikovaný. To je rozdíl. Ano, takový produkt je pak FIPS compliant (pokud tedy nedělají nějaké krypto bokem). Ten seznam znám moc dobře, mám tam pár desítek certifikátů B-].
Jen bych upřesnil, že fakt, že se např. na Portál občana dá přihlásit i s LoA "značná" neznamená, že tam nejsou nějaké služby, které by vyžadovaly LoA "vysoká" (a minimálně z počátku tam rozdíly byly, ale jak je to teď nevím, já mám eObčanku takže vidím vše). Poskytoval služeb (tam, kde se hlásíte) pouze posílá požadavek na minimální úroveň LoA a klidně se lze přihlásit s úrovní vyšší a zpřístupnit si tak více služeb. Ten požadavek se posílá při každém požadavku přihlášení, není to konfigurační věc na straně NIA, takže neexistuje seznam, kdo jakou úroveň požaduje (jde to zjistit pouze zkoušením, ale není to na 100 %). Klidně to může být i tak, že se přihlásíte s LoA "značná" a pro provedení kritické akce vás to vyzve na nové přihlášení a bude to požadovat LoA "vysoká".
Které služby požadují vysokou úroveň? Osobně jsem zatím na žádnou nenarazil (eObčanku ani tu čipovou kartu nemám) a Ondřej filip také včera říkal, že tuhle úroveň zatím nic nevyžaduje. https://twitter.com/ondrejfilip/status/136898...
Jak jsem psal - nevím, zda to tak teď ještě je (možná ne) a nemám jak to zjistit (jsem líný si dělat NIA ID 😀 ). Akorát jsem si teď vzpomněl, že na PO byla nižší nabídka služeb po přihlášení datovkou. Ale šlo mi spíš o to, že nelze z principu říct, že pokud nějaká služba dnes nabídne přihlášení i s úrovní "značná" (nebo nízká), tak to neznamená, že tam uvnitř není něco dostupné pouze po přihlášení s "vysoká". Tzn. se nabídka činností i v rámci jedné služby může měnit podle přihlášení a nejde říct "když mě to do služby XY nabídne úroveň 'značná' tak 'vysoká' není potřeba".Úroveň "vysoká" značně být hodně zajímavá po 1.7.2022, kdy pouze při přihlášení s "vysoká" půjde nahradit úředně ověřený podpis a skutečně odpadne (musím ale říci, že z mého pohledu bohužel) nutnost mít kvalifikovaný certifikát: https://www.zakonyprolidi.cz/cs/2020-12Pak bude mít LoA 'vysoká' hodně navrch.
Názor byl 1× upraven, naposled 9. 3. 2021 14:14
V čem je podle tebe výhoda kvalifikovaného certifikátu. Podepisovat s ním umí snad jen jednotky tisíc lidí. Pro běžného občana je peklo to používat a ještě za to platit. S tímhle bychom ten eGovernment daleko nedotáhli. :)
Výhoda je, že pak je vše naprosto jasné. Bez kval. cert je to celkem peklo. Plevelíme si legislativu různými kravinami typu fikce podpisu, uznání podpisu, konverzemi, doložkami atd. Lidé se v tom nemohou vyznat a je v tom strašný bordel. Uvedu Ti příklad na nás - vysvětluj lidem, že např. podle legislativy můžeš datovkou podat nepodepsaný návrh na vklad (platí fice podpisu), ale vlastní listinu (smlouvu) už musíš mít podepsanou kval. podpisem, protože tam fikce neplatí. Nebo že datovkou musíš poslat elektronickou listinu a ne nascanovaný podepsaný dokument (pak nelze říct, zda platí fikce nebo podpis na papíře). A že když pošlet datovkou scan, tak to musí být ofiko zkonvertované na CzechPOINTu (protože pak platí ověření CzechPOINTu). Mkrni zde, zda se v tom rozumně vyznáš https://www.cuzk.cz/Katastr-nemovitosti/Zapis... (a není to náš výmysl, plyne to z legislativy).Lidé jsou zblbnutí tím, že se říká, že pokud máš datovku, tak to nemusíš podepisovat...Navíc je dokument s podpisem "samonosný" a nepotřebuješ k tomu nic jiného. Když něco pošleš datovkou, co se stane, když to z datovky uložíš? Je z toho obyčené nepodepsané PDF. Pokud by měli "všichi" podpisy a jednoduchý nástroj na podepisování, všechno tohle by odpadlo. Žádné fikce, žádné zmatky atd. Tohle považuji za jeden z největších nedostatnů našeho eGov - nedokážeme jednoduše (a ideálně zadara) lidem distribuovat kval. certifikáty pro podpisy (a to ani na nových občankách) a nedali jsme jim nástroje, aby mohli jim jednoduše podepisovat. Například Slováci pochopili. Tam neplatí fikce a musíš podepisovat i dokumenty zasílané datovkou. Jenže mají tam certifikáty online a zadara (u nás nejsou ani online (musíš pro něj naklusat osobně i když máš eObčanku s LoA vysoká) ani zadara) a jejich datovka jimi umí na kliknutí přímo jednoduše dokument podepsat. A jako prémii umí zajistit i podpis více lidí (jednoduše řekneš, ještě to podepíše osoba X a Y a datovka jim to k podpisu předá a pak odešle). Poměrně jednoduché řešení, bez našich paskvilů (oni jsou obecně v tomhle Slováci před námi). No a u nás vymýšlíme komplikované příšernosti, ve kterých se občas mají problém vyznat i namakaní právníci namísto toho, abychom dostali ty podpisy k lidem a naučili je používat a měli tak čisté a elegantní řešení.
Názor byl 1× upraven, naposled 9. 3. 2021 14:57
Za mě je kvalifikovaný podpis také nejčistší řešení. Bohužel i zde se najdou divočiny.Mám aktivovaný eOP, je to moje identita s LoA vysoká a jedná se o QSCD. V současné době nikam nesmíme, máme komunikovat s úřady elektronicky. Ale ani jeden z kvalifikovaných poskytovatelů vytvářejících důvěru mi neumožní vygenerování el. certifikátu pro kvalifikovaný podpis ověřený právě eOP nebo dalším faktorem, např. datovou schránkou. ALE, 1.CA mi cert vygeneruje, když jim přes webkameru ukážu obličej a alespoň 2 průkazy.Nebo je tu společnost eIDAS Platform, která provozuje se svou aplikací na starším HSM umístěném v Azure vzdálené podepisování s vytvářením kvalifikovaných podpisů. Nechybí zde náhodou certifikace HSM CC PP 419 221-5 a certifikace celého řešení jako QSCD EN 419 241-2: Trustworthy Systems Supporting Server Signing Part 2, Protection Profile for QSCD for Server Signing? Tohle opravdu není budování důvěry...
A dostanete se bez občanky na portál ČSSZ? Jestli se nic nezměnilo, zrovna tam je nastavena úroveň vysoká.
Na ČSSZ stačí NIA nebo MojeID.
Ano, zrovna v neděli jsem tak podával přehled příjmů.
Mně třeba pobavilo, že dle Tiskové zprávy MPSV lze elektronicky podat žádost v rámci MOPCov o příspěvek na nákup respirátorů, a to i bez ověřeného podpisu. Pokud však o to někdo požádá, tak zpravidla nedostane nic, jelikož je to protizákonné. MOP se nesmí použít na nákup léků a jiného zdravotnického materiálu. Zkrátka ČSSD si se zákony moc hlavu neláme. Jenže odpovědnost jde pak na jednotlivé sociální pracovnice a ty se pochopitelně bojí z takovéhoto důvodu dávku přiznat.
Mea maxima culpa, jsem matlák a smotal jsem si to v hlavě s portálem občana😝
U jiného obdobného článku jsem popisoval, že podat žalobu k soudu lze: osobním podáním, doporučeným dopisem a emailem, který je podepsaný certifikovaným elektronickým podpisem. Veškeré jiné eIdentity, včetně datové schránky, jsou brány jako nedůvěryhodné. Viz Justice.cz
Jak se pozná ten "správný" USB klíč? Je to ten na ilustračním obrázku? Možná by bylo fajn přidat fotky všech s popiskou. Mně jeden přišel, ale už jsem vyhodil obal a nevím, který typ to je.
Ano, ten na obrázku je GoTrust Idem Key. Ty od Yubica mají trochu jiný design a na tom kapacitním tlačítku mají symbol klíče (řada Security Key) nebo znak Y (řada Yubikey).
$ dmesg...132376.352875] usb 2-3: New USB device found, idVendor=32a3, idProduct=3201, bcdDevice= 1.11[132376.352881] usb 2-3: New USB device strings: Mfr=1, Product=2, SerialNumber=5[132376.352884] usb 2-3: Product: Idem Key[132376.352887] usb 2-3: Manufacturer: GoTrust...
nebo přes lsusb#~$ lsusbBus 001 Device 008: ID 32a3:3201 GoTrust Idem Key#
jj, jen mě konkrétně, nevím proč, tam můj Mint nevypíše ten název (tj v přehledu usb mám jen něco takového: "Bus 001 Device 008: ID 32a3:3201 " - ale id vendor a product sedí (32a3:3201).
Tak ještě, že mě od CZ.NIC přišel ten správnej. :) je to zajímavý a doufám, že se to uchytí časem na více místech.
Nápodobně ☺️ je to fajn.
a ta vyhoda oproti obcance je v tom, ze to umi nfc nebo v cem?
eObčanku ještě nemají všichni. A ti, co ji mají, tak ji nemusí mít aktivovanou nebo nemají čtečku. S používáním se navíc váže nutnost pamatovat si spoustu kódů. MojeID je s tím USB/NFC klíčem subjektivně pohodlnější a klíč lze využít i pro ochranu účtů komerčních služeb (FB, Google, Microsoft atd.).
Další velká výhoda je rychlost - přihlášení přes eObčanku je aktuálně na 40+ sekund a to fakt chceš počítač prohodit oknem, obzvláště, pokud to děláš častěji. MojeID jezdí řádově do 5-10 sekund.
Hlavní problém eObčanky je, že málokdo ji má aktivovanou a kdo má, tak už si nepamatuje přihlašovací údaje. Kdo by si taky pamatoval něco, co musel z fleku vymyslet když ho o to požádal úředník.Druhý problém je, že málokdo má čtečku čipových karet a/nebo ji nemá po ruce.Oboje je spíš než problém eObčanky problém toho, že se používá málo. Pokud ji člověk na přihlášení používá jednou za 6 měsíců, tak to je rovnou jako by ji neměl.
Tak lidi by to asi pouzivali, kdyby bylo k cemu
Já ji používám dost často. Mám na ni totiž i elektronický podpis.
To, že lidé málo páchají trestnou činnost bych opravdu jako problém neviděl. : )
Přesně můj problém. Vůbec si nepamatuju její PIN 😃 Někde jsem ho měl napsaný, ale to už je asi v koši nebo spálené za ty roky
Tak k eObcance mam 5 ruznych pinu, nazvy pinu tak podobne ze v tom je birdel. To s moje ID odpada
Již psal u obdobného článku, že nechápu, proč anonymní doporučený dopis má vysokou důvěryhodnost a eIdentita jen značnou. A napadlo mne, nebylo za vlády Národní fronty při odesílání a přijímaní doporučeného dopisu nutný občanský průkaz? Zkrátka, státní orgány, např. Ministerstvo spravedlnosti, si nestačilo všimnout, že již pár desítek let u nás Národní fronta nevládne. Hm, ono možná nejen státní orgány. B-]
Souhlas, je to paradox. Papír a dopisy se točí jen kolem mýtu jménem podpisový vzor. Přičemž podpis je snadno padělatelný a já sám se dvakrát za sebou neumím podepsat stejně, protože na to nemám vytrénovanou motorickou paměť. Ručně píšu jen zřídka. :)
Podle mě stát a celý právnický svět má strach, co by ze zjištění, že podpis je na nic, plynulo pro veškeré právní systémy dneška, tak se raději tváří, že podpis je nejlepší způsob autentifikace
Tak podpis je stejně spíš jen formalita. Na úřadech po vás budou chtít občanku.
Ještě je moc pěkné si přečíst něco o písmoznalectví. Jaká je to pavěda. A jaké nesmysly běžně padají ze soudních znalců.
Tak o tomhle zrovna něco trochu vím. Oslovil jsem několik písmoznalců, zda by mi nepomohli rozluštit zdravotní dokumentaci. Všichni odmítli, aniž by tu dokumentaci vůbec viděli. Jeden dokonce prohlásil, že je to čiré hadačství.😀
Tak podpis u notare je o tom, ze vas notar vidi, jak urcity dokument podepisujete a razitkem tak potvrdi svoje svedectvi.Je to na podobne urovni jako, kdyz policie nekoho odposlouchava, zaznam sam o sobe nema vypovidajici hodnotu, pokud neni doplnen svedectvim odpovedne osoby, jak byl presne porizen.
Mýlíte se. Vlastnoruční podpis padělat nejde a je na tom celosvětově založeno právo. Padělaný podpis písmoznalec vždy pozná. Platnost smlouvy s padělaným podpisem se dá velmi úspěšně napadnout.
Budoucnost bude nejspíš taková (tedy nenapadá mě lepší autentizace), že se každému člověku po narození okamžitě odebere vzorek DNA, ten se uloží do x-násobně jištěné databáze. Takový záznam pak bude sloužit jako poslední instance autentizace, pokud selžou nebo budou zpochybněny všechny ostatní (digitální podpisy, ruční podpis),... :)
Vycházíš z předpokladu, že sekvence DNA je během života neměnná. To však úplně neplatí a zvláště s ohledem na genové inženýrství platit asi nebude.
Tak u doporučeného dopisu je občanka nutná i dnes. Myslím. Ale je pravda, že poslední dobou je to už odfláknuté, kdy chtějí jen podpis a je jedno od koho. Někdy se ani nenamáhají a jen to hodí do schránky.
Zrovna mi ten klic dorazil a stacil jakykoliv klikyhak. Nikdo neoveroval, kdo vlastne jsem.
Při odesílání doporučeného dopisu fakt za vlády Národní fronty žádný občanský průkaz potřebný nebyl.
spolecenska poptavka
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.