» »

AJPES-ova alternativna dejstva

1
2
»

matijadmin ::

Pa še to, rezultat je bil tale podzakonski akt, ki ga ne potrebujemo (ali pa lahko situacijo, da ga, dojamemo kot žalostno, ker težimo k prenormiranosti, ki se kaže v hipertrofiji predpisov, ki jih na koncu še ne zmoremo izvajati): http://www.pisrs.si/Pis.web/pregledPred...

Medtem in ves čas pa ZBS skrbi samo za stroške (beri: zaslužek bankirjev) ob izvršbi: https://www.google.si/url?sa=t&rct=j&q=...
Vrnite nam techno!

MrStein ::

AndrejO je izjavil:


Npr. to, kar počno TS in morda še kdo na okencih s tablicami, je (še vedno nepravilno izpeljan) postopek po ZVDAGA, kjer se govori o ukinitvi papirja na relaciji "papirnat obrazec" -> scan v dokumentni sistem -> shredder. Torej se ne gre za e-podpis (čeprav se ga tako reklamira in dela katastrovalno zmedo), teveč za "skeniranje" dokumenta za digitalno hrambo.

Aha, zato so eni pravniki enačili fotokopijo z elektronskim (ali digitalnim) podpisom.
Se človek vpraša, koliko še drugih takih kiksov naredijo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

Za samo podpisovanje bi uporabili brskalnikov lastni API

A brskalniki že podpirajo podpisovanje?
Ni to komaj v razvoju?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

hruske ::

To je "v razvoju" že zadnjih 20 let. Oziroma obratno, razvoj gre nazaj, glede na to, da se iz brskalnika umika generacija RSA certifikatov oz. je "deprecated".

Ne vem zakaj bi sploh morali brskalniki znat podpisovat in zakaj ne bi imeli za to nekega protokola, tako kot je za pošiljanje maila "mailto://", pa naj potem aplikacija, ki je v OS registrirana za podpisovanje izvede to podpisovanje. Takoj odpade prčkanje z brskalnikom in plugini. Če prav razumem, je tako tudi deloval tale md5sign.
Rad imam tole državico. <3

Spura ::

Ne vem zakaj bi sploh morali brskalniki znat podpisovat in zakaj ne bi imeli za to nekega protokola, tako kot je za pošiljanje maila "mailto://"

Tocno to je moja ideja kar se tega tice. Taki in drugacni plugini so garbage. Potem bi lahko tako, kot danes vsak svoj mail client izbere, izbrali kateri app bi uporabljal za podpisovanje.

mide2000 ::

matijadmin je izjavil:

cegu je izjavil:

Tako kot grem jaz na banko narediti polog, nakar mi bančni uslužbenec reče, naj podpišem na tablico. Na tablici ni nikjer zabeleženo kaj podpisujem, samo en kvadrat, kjer ustvarim eno kraco, ki ni ničemur podobna.

Ker ne vem, kaj podpisujem in moram zaupati bančnemu uslužbencu, zadnje čase delam samo še ikse. Nikomu ništa.

To ni el. podpis. Je ročni, le digitalno/el. zajet. Mnogi to in/ali skeniran faksimile zamenjujejo za e-podpis.


No, mogoče ni čisto tako. Je e-podpis, ni pa varen e-podpis. E-podpis je, ker je v elektronski obliki (01100110....), paše skupaj s pologom - znotraj neke bančne aplikacije in (če ne delaš X-ov, ampak se normalno podpišeš), omogoča neko identifikacijo podpisnika (podobno kot skeniran podpis). Je pa res, da je vreden en ...

ZEPEP
elektronski podpis je niz podatkov v elektronski obliki, ki je vsebovan, dodan ali logično povezan z drugimi podatki, in je namenjen preverjanju pristnosti teh podatkov in identifikaciji podpisnika;

varen elektronski podpis je elektronski podpis, ki izpolnjuje naslednje zahteve:
- da je povezan izključno s podpisnikom;
- da je iz njega mogoče zanesljivo ugotoviti podpisnika;
- da je ustvarjen s sredstvi za varno elektronsko podpisovanje, ki so izključno pod podpisnikovim nadzorom;
- da je povezan s podatki, na katere se nanaša, tako da je opazna vsaka kasnejša sprememba teh podatkov ali povezave z njimi;

lp

AndrejO ::

mide2000 je izjavil:

matijadmin je izjavil:

cegu je izjavil:

Tako kot grem jaz na banko narediti polog, nakar mi bančni uslužbenec reče, naj podpišem na tablico. Na tablici ni nikjer zabeleženo kaj podpisujem, samo en kvadrat, kjer ustvarim eno kraco, ki ni ničemur podobna.

Ker ne vem, kaj podpisujem in moram zaupati bančnemu uslužbencu, zadnje čase delam samo še ikse. Nikomu ništa.

To ni el. podpis. Je ročni, le digitalno/el. zajet. Mnogi to in/ali skeniran faksimile zamenjujejo za e-podpis.


No, mogoče ni čisto tako. Je e-podpis, ni pa varen e-podpis. E-podpis je, ker je v elektronski obliki (01100110....), paše skupaj s pologom - znotraj neke bančne aplikacije in (če ne delaš X-ov, ampak se normalno podpišeš), omogoča neko identifikacijo podpisnika (podobno kot skeniran podpis). Je pa res, da je vreden en ...


Spregledal si del, kjer se izrecno zahteva, da elektronski podpis služi preverjanju pristnosti. Ker lahko podatke v digitalni obliki spreminjaš brez ugotovljivih sledov, da je do spremembe prišlo, skenirana kraca pa naj bi služila zaotavljanju, da do tega ne more priti, je seveda kraca nezadostna. Za razliko od dokumenta na papirju, kjer je možno ugotoviti, da je nekdo manipuliral vsebino, je pri elektronskem podpisu za njegovo veljavnost bistveno ravno to zagotavljanje integritete vsebine dokumenta, kar se zagotavlja z drugimi metodami, zagotovo pa se tega ne more zagotoviti s skenirano kraco.

Ravno tako je iz preostalih dikcij v zakonu razvidno, da faksimile/scan/fotka/... lastnoročnega podpisa ali pa kraca na zaslonu tablice ne more ustrezati funkcionalnim zahtevam za elektronski podpis, kot se ga uporablja po ZEPEP.

Konkretno:
- časovni žig je elektronsko podpisano potrdilo overitelja, ki potrjuje vsebino podatkov, na katere se nanaša, v navedenem času; s posnetkom lastnoročne krace ne moreš ustvariti časovni žig.
- podpisnik je oseba, ki ustvari ali je v njenem imenu in v skladu z njeno voljo ustvarjen elektronski podpis; lastnotočni podpis po definiciji ne more biti ustvarjen z voljo osebe, ki naj bi se s tem podpisom izkazovala.
- podatki za elektronsko podpisovanje so edinstveni podatki, kot so šifre ali zasebni šifrirni ključi, ki jih podpisnik uporablja za oblikovanje elektronskega podpisa; v lastnoročnem podpisu niso razvidne šifre ali zasebni šifrirni ključi, ki bi jih bilo možno uporabiti za oblikovanje elektronskega podpisa.
-

Zgodovina sprememb…

  • spremenil: AndrejO ()

AndrejO ::

Zadeva s skenirano kraco je lahko v najboljšem primeru zgolj pogojno uporabna za ZVDAGA, kjer je govora o zajemu in arhiviranju gradiva v digitalni obliki. Tam lahko upravitelj arhiva v trenutku zajema dokumenta, le tega časovno žigosa, elektronsko podpiše ter v nadaljevanju z tehničnimi in organizacijskimi ukrepi zagotovi, da dokumenta v digitalni obliki v arhivu ne bo možno spremeniti oz., da bo morebitne spremembe možno odkriti.

Krace na tablicah pa so vsaj po mojem mnenju "pogojno uporabne" zato, ker moram biti kot potrošnik pred podpisom pogodbe seznanjen z vsebino pogodbe, ki jo podpisujem. Če pred zajemom dokumenta v digitalni arhiv ne dobim v vpogled v pogodbo na kateri vidim svoj podpis, lahko utemeljeno trdim, da to ni pogodba za katero sem mislil, da jo podpisujem in v primeru spora bo sodišče zelo verjetno moralo razsoditi, da pogodba verjetno res ni bila sklenjena. YMMV

drola ::

Podpisovanje se mi zdi v praksi najbolj problematično pri mobilnih operaterjih, kjer tipično podpis pogodbe implicira še strinjanje z njihovimi splošnimi pogoji. Nazadnje, ko sem sklepal naročnino, sem podpisoval na tablico. Na vpogled pred podpisom nisem dobil niti pogodbe, niti splošnih pogojev. Tudi na finte nisem bil opozorjen, npr. strošek prehoda med paketi.
https://drola.si

matijadmin ::

Meni se je zgodilo enako, podpisal sem tablico, ne dokumenta, ker slednjega nisem imel možnosti niti z ocesom osvrkniti pred podpisom in sem napisal, da bom spodbijal veljavnost, ko so nastopila zame neugodna dolocila iz splosnih pogojev. Takoj so me poklicali, mi ponudili paket po meri, kakrsnega sem v bistvu zelel in smatral, da mi pripada (brez teh dolocil).
Vrnite nam techno!

AndrejO ::

Splošne pogoje ti lahko razobesijo in ti so precej "statične" narave. Predstavljaj pa si, da ti v pogodbi piše, da si se strinjal z vezavo, ti pa o tem seveda ničesar ne veš. Razlika pa je samo v eni kljukici na tistem obrazcu, ki predstavlja pogodbo.

Če bi to videl med podpisovanjem, potem caveat emptor. Če pa tega med podpisovanjem ne vidiš, pa je vprašanje, če bi lahko nekdo "obranil" verodostojnost dokumenta že zgolj s tem, da ga je hranil skladno z ZVDAGA.

Ostala jajcanja okoli barvitih poslovnih praks teh in onih podjetij pa so verjetno off topic za temo, ki se ukvarja z varnostjo in verodostojnostjo dokumentov v digitalni obliki.

matijadmin ::

Hja, jaz sem prerekal to, da zame ti veljajo, ker o njih nisem bil obveščen ob podpisu pogodbe, kakšni so, kje so objavljeni, niti nisem videl pogodbe. Šlo se je za to, da bi mi po 31. letu na podlagi določil iz pogodbe (vključno z aneksi) in iz splošnih pogojev paket sredi obdobja vezava, pravzaprav na začetku le-tega spremenili v bistveno manj ugodnega. Moj argument je bil, da sem podpisal tablico brez, da bi v naprej imel možnost vedeti ali za to razmerje veljajo splošni pogoji in sploh videti pogodbo. Trdil sem, da za moje zdajšnje razmerje velja samo, kar je pred podpisom izjavila uslužbenka, ki je izjavila samo, da se vežem za obdobje n let, da bom imel za n enot več prenosa in bom imel za n enot nižjo mesečno naročnino. Po mirno in res gosposko rešenem sporu sem dobil vse to in še več.

Če se vrnem k tablicam z digitizerji za zajem podpisa, ja, to je le nadomestek za optično odčitavanje (bolj pogosto uporabljan termin zanj: skeniranje). To ni elektronski podpis (kar eni tu mešajo), o tem ni dvoma. To je samo digitalni zajem (podoben kot skeniranje) ročnega podpisa in so se k njemu zatekli iz praktičnih razlogov, da jim ne bi bilo potrebno naknadno skenirati za potrebe nadaljnje obdelave ter arhiviranja gradiva (jasno, pa tudi kot omenjaš, da bi poslovali skladno z ZVDAGA).

Če se vrnem še nekoliko nazaj, k varnosti ... Ročni podpis s kulijem na papir ima veliko več detajlov in variacij kot ta, zajet prek digitizerja. AFAIK izvedenci teh zajetih prek digitizerjev sploh ne obravnavajo, ker se ne da nič pametnega ugotoviti, oz. zaključiti. Je pa res, da npr. notar ali poštni uslužbenec in nenazadnje prodajalec pri operaterju osebo identificirajo s pomočjo veljavnega osebnega dokumenta, tako da to sploh ni potrebno (je ta kraca nič več ali manj kot, če bi stranka, ki jo da na digitizer, pritisnila na fizični gumb z napisom 'sprejmem' ali z miško naklikala eno kljukico ob njem).

O skeniranem faksimilu na sodnih pisanjih pa itak nima smisla izgubljati besed, ker, če ne bi bilo to res, bi zapisal, da je le slaba šala.
Vrnite nam techno!

Zgodovina sprememb…

AndrejO ::

Ja, kaj naj rečem ... po moje je to rezultat nerazumevanja, da so nekatere stvari pač interdisciplinarne in je brez veze, da pravniki študirajo informatiko, informatiki pa pravo. Mnogo bolj praktično je, če se oboji usedejo skupaj, kar se izgleda pri sodnih pisanjih ni zgodilo.

Rezulati, kakor se je dalo prebrati na tisti povezavi, očitno niso izostali.

Zgodovina sprememb…

  • spremenil: AndrejO ()

matijadmin ::

AndrejO, zdaj pa so šli v drugo skrajnost, predpisali so z nekim pravilnikom, kako bodo to vročali bankam. Izdelali drago programsko opremo, obvezno za obe strani in bog ne daj, da bi to bilo poenoteno še s čim drugim ali v splošni rabi. Za druge postopke bodo najbrž izdelali novo programsko opremo, odkrivali toplo vodo z novimi protokoli in pravilniki.

V grobem je težava povsod ista, na AJPES in v sodstvu (slednjega lahko komentiram, ker ga dobro poznam - organizacijsko in v luči informatizacije): neustrezna organiziranost organizacij, ob slabih plačah izrazito slaba kadrovska selekcija in skoraj popolna odsotnost osebne odgovornosti.

Tista vlada, ki bo to poštimala, slava ji. A res nihče ni znal socialne partnerje postaviti pred zdravorazumska dejstva in pokazati dovolj kreativnosti pri iskanju rešitev? Napredovanje s časom in po stopnjah (delu povsem neustrezne) izobrazbe je prizadeto. Sistemski administrator s pridobitvijo višje stopnje izobrazbe za trgovskega potnika pač ne bi smel napredovati v sistemske inženirja (sicer je tudi za slednjega slaba plača, pa vendar je mediana ljudi s tem nazivom še preveč plačanih za to, kar znajo in zmorejo, kar je simptom in ne argument za slabe plače). Ali naj pridobi ustrezno izobrazbo (ali alternativno, se dokaže s kompetencami pri kakem projektu ali kaj podobnega). Zdaj je stanje tako, da je godno samo za diplomante Kranjske sorbone ipd. neresnih ustanov, ki se jih ne da odpustiti, nekoga s tehnično, naravoslovno izobrazbo pa boš le stežka dobil v kolektiv. Na Vrhovnem so pred leti zaman skoraj dve leti iskali človeka za razvoj z uni. diplomo informatike (alternativno elektrotehnike, fizike ali matematike), ob tem pa zahtevali, da ima kompetence na področju projektnega vodenja in implementacije s celo kopico tehnologij. Pa tudi glede uveljavljanja osebne odgovornosti, če se gremo socialno državo, ni potrebno vedno in samo o odpovedi razmišljati, čeprav se tudi te premalo poslužuje. Se predpiše in uvede lahko še celo paleto ukrepov, od nižanja plače do prezaposlitve na nižje delovno mesto; bo pa nek bivši vodja tonerje raznašal in paper jame reševal, če bo res potreboval službo. Ne se na to obešat, navajam samo kot primer enega iz palete ukrepov. V robnih primerih se pri nas zgodi, da oseba da, ko ji res grozi izredna odpoved ali celo prijava organom pregona, sporazumno odpoved in potem naskoči podobno delovno mesto drugje.

Je pa to tudi simptom širšega družbenega problema, ne pravniki ne zdravniki npr. ne mislijo, da poleg njih še kdor koli o čemer koli kaj ve in zna. V sodstvu odloča o informatizaciji Svet uporabnikov, ki ga sestavljajo v daleč največji večini vodje informatike posameznih sodišč, ti pa so lahko izključno in samo sodniki. Torej o vsem odločajo povsem nekompetentni ljudje tako na posameznih sodiščih kot o najpomembnejših odločitvah v zvezi z informatizacijo sodstva na sploh. Prav zato je vse na direktorju Centra za informatiko, ki že sicer nosi poln nahrbtnik butalskih šeg, kar ni ne higienično niti ni obrodilo (ne glede na to, kar trdijo sami) nepričakovanih rezultatov; eZK je bil tak polom, da so si na IMF pulili lase, čeravno so se morali v javnosti smehljati zaradi srhljive količine skozi okno zalučanega denarja, njihovi vpisniki so tak polom, ker informatizirajo postopke, predpisane za papir in olofko (ne, da bi pred tem bistveno spremenili postopke in to tudi ustrezno zakonsko reimplementirali), prehod na OOo je bil v danem momentu in predvsem zaradi načina strel v koleno, ki je vodil v piraterijo sicer dragih pretvornikov dokumentov in nenadno nezdružljivost s hišnimi aplikacijami, na izvršbi so ne tako dolgo nazaj izgubili za cel teden dela v vpisnikih in sledove za spisi, ki so deloma še danes povsem izgubljeni, kako fino so poskrbeli za oporoke, je tudi znano, nategnili so se z večjo količin osebnih računalnikov s ponarejenimi procesorji, informatizacija insolvenčnega postopka je prinesla 2 krat toliko tiskanja kot je terjal proces pred njo, aktivna oprema je često bila nezdružljiva ali slabo načrtovano grajena ter konfigurirana, sama zanesljivost vpisnikov je na psu, večina uporabnikov na sodiščih pa je zaradi uporabe starih izvajalnih okolij Jave lahka tarča za premetene napadalce. Potem se pa še z ministrstvom tepejo, o tem, kdo je za kaj pristojen in, kdo bo na koncu plačal račun za katero reč, tako je bilo eno okrajno sodišče tudi celo leto brez telefonije.

A se še kdo čudi, da se te malenkosti s podpisnimi komponentami dogajajo?
Vrnite nam techno!

Zgodovina sprememb…

Spura ::

mide2000 je izjavil:


varen elektronski podpis je elektronski podpis, ki izpolnjuje naslednje zahteve:
- da je povezan izključno s podpisnikom;
- da je iz njega mogoče zanesljivo ugotoviti podpisnika;
- da je ustvarjen s sredstvi za varno elektronsko podpisovanje, ki so izključno pod podpisnikovim nadzorom;
- da je povezan s podatki, na katere se nanaša, tako da je opazna vsaka kasnejša sprememba teh podatkov ali povezave z njimi;

lp

IMO, potem obstojece resitve niso zakonite. Specificno: da je ustvarjen s sredstvi za varno elektronsko podpisovanje, ki so izključno pod podpisnikovim nadzorom;

Jst bi za sredstvo pojmoval tudi aplikacijo, ki podpisuje, ki pa ni pod uporabnikovim nadzorom, ampak ti jo "podtakne" druga stran (moras uporabit njihov plugin, ki pac s tvojim certom podpisuje karkoli oni hocejo).

PaX_MaN ::

Spura je izjavil:

mide2000 je izjavil:


varen elektronski podpis je elektronski podpis, ki izpolnjuje naslednje zahteve:
- da je povezan izključno s podpisnikom;
- da je iz njega mogoče zanesljivo ugotoviti podpisnika;
- da je ustvarjen s sredstvi za varno elektronsko podpisovanje, ki so izključno pod podpisnikovim nadzorom;
- da je povezan s podatki, na katere se nanaša, tako da je opazna vsaka kasnejša sprememba teh podatkov ali povezave z njimi;

lp

IMO, potem obstojece resitve niso zakonite. Specificno: da je ustvarjen s sredstvi za varno elektronsko podpisovanje, ki so izključno pod podpisnikovim nadzorom;

Jst bi za sredstvo pojmoval tudi aplikacijo, ki podpisuje, ki pa ni pod uporabnikovim nadzorom, ampak ti jo "podtakne" druga stran (moras uporabit njihov plugin, ki pac s tvojim certom podpisuje karkoli oni hocejo).

Če so ta sredstva "izključno" pod mojim nadzorom, potem tole:
ALI LAHKO POTRDILO PREKLIČETA SAMO IMETNIK IN ODGOVORNA OSEBA ORGANIZACIJE ALI ŠE KDO DRUG?

Preklic potrdila lahko zahteva tudi

pooblaščena oseba izdajatelja SIGEN-CA,
pristojno sodišče ali
upravni organ.
Izdajatelj SIGEN-CA prekliče potrdilo tudi brez zahteve imetnika ali odgovorne osebe organizacije takoj, ko izve:

ne bi smelo biti mogoče.

konspirator ::

matijadmin
nategnili so se z večjo količin osebnih računalnikov s ponarejenimi procesorji

Od koga so kupovali kište ?
--

Zgodovina sprememb…

matijadmin ::

konspirator je izjavil:

matijadmin
nategnili so se z večjo količin osebnih računalnikov s ponarejenimi procesorji

Od koga so kupovali kište ?


Liko Pris, d. o. o. z Vrhnike. Izgovorili so se (uspešno) tudi pred organi pregona, da so bili še sami žrtve dobavitelja (s Kitajske). Ampak normalen postopek preiskave bi hitro pokazal, da so vedeli ali bi morali vedeti (že zaradi odstopanja cene). Ampak to je OT.
Vrnite nam techno!

AndrejO ::

matijadmin je izjavil:

AndrejO, zdaj pa so šli v drugo skrajnost, predpisali so z nekim pravilnikom, kako bodo to vročali bankam. Izdelali drago programsko opremo, obvezno za obe strani in bog ne daj, da bi to bilo poenoteno še s čim drugim ali v splošni rabi. Za druge postopke bodo najbrž izdelali novo programsko opremo, odkrivali toplo vodo z novimi protokoli in pravilniki.

Saj ne vem, kaj naj napišem. Problemi so očitno vsem znani, rešitev pa ali ne znamo najti ali pa jih ne znamo prenesti v prakso.

Kaboom ::

Zakaj o tej nesposobnosti AJPESa ne pišejo na RTVSlo? Je bilo kaj v poročilih / kakšni drugi informativno raziskovalni oddaji, ki je nisem zasledil?

Ali je dovolj za naš državni medij, da so tudi oni stranka Mojdenar d.o.o. in potem pač ne poročajo o določeni temi? > http://erar.si/placnik/35513/prejemnik/...
Če se zatakne - pritisni močneje. Če se zlomi - bil je skrajni čas za nakup novega.

matijadmin ::

Sicer dvomim, da zaradi poslovnega odnosa s podjetjem Mojdenar IT niso imeli prispevka, ampak vseeno to kaže na resnost problema funkcionalne nepismenosti in nerazgledanosti naših novinarjev na splošno.

So pa objavili tole in vnovič pokazal, kako nepismeni so, ker so štartali s predpostavko, da ranljivost ni bila zakrpana (upravitelj spletne strani je dal povratno informacijo pred objavo na ST, da so reč zakrpiali):

https://www.rtvslo.si/slovenija/eticni-...
Vrnite nam techno!

Ales ::

Golaz ::

Ales je izjavil:

Danes članek na MMC RTV SLO: Se lahko zaradi ranljivosti na Ajpes podtikajo ponarejeni dokumenti?


Kratek povzetek in zaključek AJPESa: kriv je Slo-tech ker je prehitro objavil buge.

Invictus ::

A si pričakoval kaj drugega?
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

Slo-tech je kriv za buge? ;((

čuhalev ::

To je tipičen odziv. Vedno so drugi vsega krivi.

          ::

Problematičen ni šlampast softverski polizdelek, ampak to, da se na napako opozori.
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20175079 (57633) jukoz
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8430160 (20467) Furbo
»

AJPES-ova alternativna dejstva (strani: 1 2 )

Oddelek: Novice / Varnost
7626388 (18658)          
»

Storitve E-uprave

Oddelek: Programska oprema
137033 (6708) qwzyx

Več podobnih tem