A płatnik nadal tylko na Windowsa...

@Hehehe - a weź mnie miły człowieku nawet nie wkur@!@!... Urzędnicy i prawo są w tym kraju jakieś 20 lat za rzeczywistością. ZUS ogłasza przetargi na zakup dyskietek i z poczty elektronicznej nie korzysta. A jak im powiesz, że nie możesz im zapłacić składki ubezpieczeniowej, bo nie korzystasz z Windows to Cie pięknie i w majestacie prawa spróbują upier*%#!ć. Samochód masz a Windows nie chcesz kupić?? OSZUST :) Tłumaczenie w stylu że skoro banki do przelewów 10 000 zł i więcej nie wymagają Windows na nic się nie zdaje. Z chęcią poznał bym dane osobowe tych urzędasów tylko po to by im pokazać jak łatwo można ich zrobić w "balona"...

Polskie strony rządowe nie słyną z bezpieczeństwa, zresztą tak jak systemy komputerowe przeciętnych Polaków. Nie trudno zatem wyobrazić sobie przejęcie czyjegoś konta przez cyberprzestępcę. A to co on będzie mógł zrobić będzie zależało od tego czego będzie można dokonać za pomocą Profilu Zaufanego (jeszcze praktycznie nic na ten temat nie wiadomo, słychać jedynie zwrot "większość spraw administracyjnych") i wyobraźni cyberprzestępcy.

czy ta banda niedorobionych rządowych gamoni jest w stanie wyobrazić sobie świat bez "papierka" ?
odnoszę wrażenie, że jeszcze długo będziemy tonąć w tonach makulatury i to w czasach gdy tonę archiwów da się wcisnąć na pendrive'a.
normalnie vogosfera: bez długopisu nic nie załatwisz!
co pomysł to większe g..no które albo śmierdzi niestrawionym szmalem albo zgniłym, biurokratycznym myśleniem.

Sam ePUAP jest całkiem sensownym pomysłem z kilkoma wyjątkami:

1. Dokumentacja jest skromna i przypomina HOWTO. Od wielu dni mam problem ze skonfigurowaniem uprawnień dla dodatkowych użytkowników z wykorzystaniem konsoli DRACO.

2. Na stronie http://epuap.mswia.gov.pl było forum, które było bardzo pomoce w rozwiązywaniu problemów. Niestety od wielu tygodni jest w stanie:
"The Forum is currently offline for maintenance. Check back soon!". No to sobie sprawdzam codziennie od z górą dwóch miesięcy i... doprawdy nie wiem co dla MSWiA oznacza zwrót "soon".

Tak więc dziękuję MSWiA za ePUAP natomiast nie dziękuję za to, że macie innych w nosie.

A czemu nie może być tak że generuję sobie parę kluczy prywatny/publiczny i umieszczam publiczny na serwerach PGP/GPG (lub nawet na jakimś rządowym). Potem idę do urzędu gdzie pani sprawdza mi dowód i na tej podstawie podpisuje mi klucz publiczny. I w ten sposób mam podpis elektroniczny. Proste, tanie - nie rozumiem czemu tak nie mogło to zostać zorganizowane ?

Bo jest proste i tanie, nie ma miejsca na przekręty, wymuszanie kupna sprzętu od autoryzowanych sprzedawców itd.

Bo twój sekret (w tym wypadku klucz publiczny) nie znajduje się na bezpiecznym urządzeniu. Opisaną przez ciebie procedurę możesz stosować w przypadku certyfikatów niekwalifikowanych. I ma to sens ponieważ podpis elektroniczny weryfikowany ważnym, kwalifikowanym certyfikatem ma znaczenie takie samo jak odręczny podpis.

Oczywiście miałem na myśli klucz prywatny jako sekret :)

Rozumiem że chodziło ci o klucz prywatny (co niżej zresztą napisałeś). Ale to ja odpowiadam za ten klucz i to moja sprawa jak go chronię. Jeśli będę chciał to kupię zestaw sprzętowy do podpisu, nagram na odpowiedni pendrive lub cokolwiek. Obecne kwalifikowane podpisy elektroniczne nie są wcale lepiej chronione tylko przez sam fakt umieszczenia ich na karcie sprzętowej. Kartę można przecież ukraść.
Nie widzę więc wielkiej przewagi obecnego systemu poza utrudnieniem życia przeciętnych użytkowników.

Są lepiej chronione bo kradzież karty nie wystarczy do jej użycia. Po prostu bezpieczny komponent jest ustawowo wymagany. Czy to dobrze czy źle jest sprawą dyskusyjną. Ja uważam, że to dobrze, bo zmniejsza automatycznie ilość problemów. I to nie ów komponent jest problemem tylko faktyczny monopol 3 (już niedługo 5) centrów wydających.

> I to nie ów komponent jest problemem tylko
> faktyczny monopol 3 (już niedługo 5) centrów
> wydających.

Problemów jest więcej:
1) jak dotąd, kwalifikowane certyfikaty wydawane przez wszystkie z owych 3 centrów mogą być używane tylko pod Windowsami
2) kwalifikowanym certyfikatem - co zresztą wynika z przepisów - nie mozna podpisywac e-maili (probowalem, nie da sie :( - w polu "przeznaczenie certyfikatu" odpowiednia flaga jest wyzerowana). Mozna podpisywac tylko pliki (do czego trzeba miec specjalna aplikacje - zobacz punkt 1), które dopiero mozna zalaczyc do e-maila wyslanego do urzedu. Urząd z kolei musi mieć specjalną aplikacje aby podpis na pliku zweryfikować i "obrać" plik z podpisu, gdyż podpisany plik zwykle ma nieprawidłowy format z punktu widzenia np. edytora i nie daje się wczytać.
Tymczasem programy pocztowe mają mechanizmy podpisywania i sprawdzania podpisu już zaimplementowane, w sposób przeźroczysty dla użytkownika, ale skorzystać z nich nie można... Po co taka komplikacja?

Co do podpisywania e-maili - tak są ustawione flagi w certyfikacie i wynika to z ustawy. Znowu - czy to źle czy dobrze? Akurat tutaj nie mam zdania. Na pewno owego podpisu nie można i nie powinno się używać do uwierzytelniania (co zresztą obszedł ePUAP naginając moim zdaniem prawo). Chodzi o to czym jest ten podpis. Jest równoważny podpisowi odręcznemu więc wiadomo, że nie nadaje się do uwierzytelniania. Format w jakim możesz podpisać plik to xades-bes na przykład. Z tym nie ma problemu i są darmowe aplikacje (zarówno pod Windows jak i Linuxa) do weryfikacji. Skandalem natomiast niewątpliwie jest fakt niemożności składania podpisu w środowisku Linux.

kurcze , byłem w UK , podpisałem jeden papier, przysłali kod dostępu rozliczyłem sie przez net , podałem na jakie konto mają odesłać kase i dostałem 900F zwrotu.
ide do banku dostaje kod i już moge miliony przelewać i nimi dysponować.nie papierki tylko żywą kase.
ja nie wiem, przecież z banków nie wyciekają pieniądze , więc systemy mają bezpieczne i sprawdzone, mało tego są wyspecjalizowane firmy obsługujące i wdrażające to, więc po co kombinować jak już są sprawdzone rozwiązania

O co chodzi w tych urzędach?
a wiadomo jak nie wiadomo o co to chodzi o pieniądze?
czemu banki nie mają problemu , bo nie myslą ustalając zasady jak to ukraść przy okazji kase, jak dodatkowo zarobić na kliencie/petencie i które firmy kuzyna/szwagra/ciotki/babci jak na tym zarobią

PKI gwarantuje, że jesteś jedyną osobą która zna sekret. To bezpieczniejsze. Zauważ, że w tym roku PIT'y można było wysłać bez żadnych dodatkowych uciążliwości. To jest kwestia wyważenia zysków i strat. A podpis elektroniczny weryfikowany ważnym, kwalifikowanym certyfikatem jest równoważny podpisowi odręcznemu. To ma skutki o wiele bardziej dalekosiężne niż kontakt z jakimś urzędem czy bankiem. Polska jest mocno zapóźniona i ma szansę zrobić coś z sensem (niestety, pewnie jak zwykle się nie uda) a ePUAP jest taką szansą. Mało tego - bank może korzystać z "certyfikatów kwalifikowanych" udostępniając odpowiedni formularz na swojej stronie (to już oczywiście poza ePUAP'em). Praktycznie bez kosztów dodatkowych w postaci infrastruktury bezpieczeństwa (zdrapki, tokeny, etc).

Ale po pierwsze ePUAP musi wprowadzić darmowy profil zaufany a "certyfikaty kwalifikowane" muszą stanieć. I to znacznie. Z tego co wiem nowe dowody osobiste mają stać się owym bezpiecznym komponentem.

Oczywiście jest ciemna strona medalu w postaci oszustw, wyłudzeń, etc. Pokazała to GDATA http://www.compu(...)sie.html