Elektronski potpis je kad se elektronskim topom iz TVa potpises na podlogu osetljivu na elektrone

Zezam se, naravno Nema razlike i bar sto se tice generalne populacije svodi se na primenu elektronskog kljuca za simuliranje pravog potpisa.

Tri aspekta su vazna, prvo da je potpis vezan za dokument, drugo da za taj dokument niko ne moze napraviti identican potpis i trece da svako moze da proveri sa odredjenom sigurnoscu da si ti zaista potpisao taj dokument. To su neke stvari koje kod potpisa olovkom uzimas zdravo za gotovo ako si pored Pere dok potpisuje ili eventalno naknadno proveravas kroz depo list, u elektronskom potpisu to mora da se simulira drugacije.

1. Potpis vezujes za dokument tako sto koristis tzv HASH dokumenta. Hash je "kondenzovana" verzija dokumenta kojom se dokument bilo koje velicine svede na mnogo manji podatak uz veliki stepen sigurnosti da ne postoji slican smisleni dokument sa istim HASHom (to je collision). Za to su zaduzeni hash algoritmi i ima ih raznih.
2. Jednoznacnost potpisa se postize sistemom javnog/privatnog kljuca. Bez ulaska u mnogo matematickih detalja vazno je da znas da ono sto se kriptuje privatnim kljucem moze da se dekriptuje samo javnim i ono sto se kriptuje javnim kljucem moze da se dekriptuje privatnim i da su na taj nacin ta dva kljuca povezana. Razlika izmedju dva kljuca je sto privatni cuvas kao svoju tajnu dok javni kljuc dajes svim zainteresovanim stranama. Ako HASH iz tacke 1 kriptujes privatnim kljucem dobio si elektronski/digitalni potpis kojim zadovoljavas drugi uslov jer niko na ovom svetu sem tebe ne poseduje taj privatni kljuc i ne moze da napravi isti potpis za isti HASH, dakle za isti dokument.
3. proveru obavljas tako sto koristeci javni kljuc potpisivaca, recimo Pere, (koji je javan i tebi dostupan) dekriptujes digitalni potpis i dobijes HASH. Posto imas i originalni dokument napravis istim hash algoritmom svoj HASH i ako se dva hasha podudaraju to je dokaz da je potpis napravio Pera i to bas za taj dokument. Da je drugi dokument hasevi bi bili razliciti, da je neko drugi sem Pere potpisao onda bi dekritpovanje potpisa Perinim javnim kljucem dalo pogresan hash i u oba slucaja bi provera pokazala sumnjive rabote. Pitanje verodostojnosti javnog kljuca se resava kroz sertifikate, postoje organizacije koje "navodno" provere Perin identitet i njegov javni kljuc ubace u sertifikat koji tebi kazuje da je potpis napravio bas Pera a ne neko ko se lazno predstavlja kao Pera.

E sad u praksi, pa skoro nigde Postoji dosta informacionih sistema koji koriste dig potpis za accountability (dokaz da je odredjenu informaciju u sistem uneo taj i taj) ali neka javna primena nije bas zastupljena toliko je i generalna populacija nije bas obucena o tome niti je te sisteme bas lako implementirati da budu foolproof. Iako PKI vec dve decenije preti da ce da zameni formanlu papirologiju i dalje je papir keva.

"mmix", kao prvo zahvaljujem ti se na trudu i vremenu koje si odvoio za objasnjenje mog zahtjeva, ali mi se jos uvijek to cini dosta teorijski, volio bi da mi navedes par primjera, gdije se sve koristi el potpis....npr. kako ga koriste web sajtovi ili finansijske institucije (banke), za sta ga koristi postanski ili telekomunikacijski operater, kako izgledaju kljucevi koje si mi opisivao (javni i tajni), kako mogu ja neko elektronski dokument kriptovati ili kako da dodjem do toga kljuca ili kako sam da napravim te kljuceve. Volio bi da imam neki primjer koji i sam mogu da primjenim. Jos jednom haval puno...pozzz

Pa ako hoces da posedujes par kljuceva a imas viska love uvek mozes od nekog domaceg ovlascenog sertifikacionog tela da kupis svoje kvalifikovani elektronski kljuc sto ukljucuje javni kljuc i cert i privatni kljuc skriven na kartici. A sta ces potpisivati sa njim, nemam pojma. Zasada nista, ako ti i Pera hcoete da potpisete neki ugovor i obojca imate kvalifikovani kljuc mozete i sud ce prihvatiti taj potpis.

Neke nase banke imaju svoje PKI sisteme i koriste ga za potpisivanje transakcija pri online placanju kao dokaz da je udaljeni korisnik onaj koji se predstavlja. Obicno su ili smart kartice ili miniCDovi u pitanju i mislim da je to alfa i omega javne PKI primene u Srbiji.

mmix je ovde naveo primere koriscenja kvalifikovanih elektronskih potpisa , koje ti izdaje sertifikaciono telo i koji su validni na sudu

a ako hoces da se "igras" s digitalnim potpisima , mozes recimo da potpisujes/enkriptujes svoje eMail-ove

instaliraj thunderbird i enigmail plugin za isti , kroz njega napravi par privatni-javni kljuc, i takvim kljucem mozes da potpisujes i enkriptujes
mail-ove

onaj ko prima mail , mora da ima tvoj javni kljuc da bi mogao da dekriptuje mail ili verifikuje potpis

prostiji primer, a praktican i u upotrebi ne mogu da smislim

http://blog.goranrakic.com/arc..._potpis_pogled_na_propise.html

Sličnu tehnologiju kao pri proveri potpisa koristiš pri sigurnom pristupu sajtovima gde utvrđuješ identitet da je sa druge strane zaista sajt Googla ili Fejsbuka. Elektronsko bankarstvo u Srbiji za preduzeća zasnovano je na tehnologiji elektronskog potpisa gde se par ključeva korisnika nalazi na tokenu ili pametnoj kartici. Na taj način nedvosmisleno je utvrđen identitet lica koje pristupa servisu (tj. kao ti što proveravaš da je to Google, banka proverava da si to ti).

Za kvalifikovane sertifikate, ako imaš ličnu kartu sa čipom, izdavanje sertifikata te neće ništa koštati (osim vremena provedenog u MUP-u). Za igranje sa nekvalifikovanim sertifikatima možeš ih izdati i sam sebi.

Razlika između elektronskog i digitalnog potpisa može da bude u terminu. U tom slučaju elektronski potpis je pravni okvir, a digitalni potpis tehnologija. Kako nema alternativne tehnologije, ova dva pojma se često izjednačavaju.

Imas i na sajtu naseg MUP-a (jbg na cirilici je) http://ca.mup.gov.rs/dokumentacija.html nekoliko "konkretnih" primena potpisivanja. Nije nesto, ali moze da posluzi :)

_{[Ovu poruku je menjao mmix dana 29.09.2011. u 09:13 GMT+1]}

[quote][url=/p2959965]

Cini mi se da polako stvaram sliku..:), interesuje me kako izgledaju ta dva kljuca kada ih otkupis u nekom certifikacijskom tjelu, koje ima licencu i pravosnaznost za izdavanje istih (dali su uti kljucevi na nekoj smart ili elektronskoj kartici), ili se dobije na nekom CD-u ili na nekom papiru iskucan kod koji garantuje da sam ja vlasnik tog el. potpise, i dali se otkupljeni kljucevi u pomenutom certifikacijskom tjelu mogu koristiti za bilo koje elektronsko pitpisivanje (naravno uz tehnologiju enkripcije dekripcije). Hvala

G. Rakic. ; Iscitao sam gore postavljen blog, hvala Vam. Interesuje me na koji nacin mogu provjeriti indentitet odredjenog web sajta kao sto ste naveli, osim sto mogu vidjeti naziv sajta na traci za adresu koja se nalazi na web browseru. Drug, jesam li dobro svato, a to je da na bankomatnoj ili pametnoj kartici se nalaze oba ta kljuca i javni i tajni, zar ne bi pametna kartica trebala imati reci samo tajni kljuc...ili mi je razmisljanje skroz u pogresnom smjeru...:(.

A kada bi imao licnu kartu sa cipom, gdije bi je mogao primjeniti, recimo dali bi moga da uz pomoc pomenute licne karte potpisem elektronski ugovor preko interneta sa nekom koorporacijom (kako si spomenuo time bi vec imao kvalifikovan certifikat, a li dali bi ima javni i tajni kljuc uz takvu licnu kartu, ili se oni nekako naknadno dobijaju), i kako bi ja unosio svoje podatke na nekom sajtu gdije mogu sklopiti neki ugovor ili neko placanje preko interneta, ili je el potpis samo neka sifra u tom slucaju. Hvala

Posto javni kljuc moze da ima svako nema rezona da ga i ti nemas na kartici, leba ne jede :)

po zakonu o kvalifikovanom potpisu mislim da ne mozes da imas nista sem smart kartice/tokena i to samo klasa uredjaja kod kojeg nije moguce izvuci privatni kljuc (cime se eliminise mogucnost slucajnog duplikovanja kljuca) i kod kojeg se crypto operacije obavljaju u elektronici uredjaja/kartice, al nisam se toliko zadubljivao mozda ce Goran to detaljnije da ti kaze jer je vise proucavao zakon. MiniCD koji ti banka da nije kvalifikovani kljuc, to je ljuc koji je banka izdala i kojem banka veruje, nije vrsta kljuca kojim mozes potpisati ugovor. Svako sertifikaciono telo ti izdaje sertifikat sa tzv "key usage" poljem koje definise za sta je kljuc moguce koristiti a da sertifikaciono telo "garantuje" identitet, sto opet ne znaci da tim kljucem ne mozes potpisati bilo sta, samo znaci da sertifikaciono telo pere ruke od upotrebe van deklarisane i nece svedociti u sporu, itd.

A digitalni potpis nije nikako vezan samo za legalne dokumente, njime mozes potpisivati i mail ako hoces. Sjatovi uglavnom ne traze da potpisujes nista kvalifikovanim potpisom jer bi to bio suicid za sajt jer je broj korisnika u posedu kvalifikovanog kljuca ravan statistickoj gresci.

Hvala na stvarno jednostavnom primjeru...:) Dali bi mo moga reci kao izgledaju javni i tajni kljuc u tom slucaju, jesu li oni odredjeni kodovi (alfa-numericki znakovi), i znaci li to da primaoc mora da ima javni kljuc koji ce unijeti da bi mogao da procita poruku, i sta bi se desilo ako primaoc ne zna ili je izgubio moj javni kljuc...moze li uopste on da proita moj e mail.

Dali digitalni potpis moze sa sobom da nosi jos neke karakteristike, tipa sa koje je IP adrese poslan mail ili broj mrezne karte i druge slicne stvari iz segmenta sigrnost (vidio sam da postoji jos digitslns omotnica, dig pecat i slicni elementi koji ojacavaju funkciju dig potpisa). HVALA

To ima smisla, ali me interesuje kako izgleda, kakog je oblika taj kljuc (ili kljucevi) i kakvog je oblika certifikat, koje izadaje certifikacijsko tijelo? Mislim jel oni daju CD ili pametnu karticu koja na sebi ima codove ta dav kljuca, i kako da se unesu ti kljucevi da bi potpisao elektronski ugovor.
Jer kako sam svatio da bi bilo kvalifikovan el potpis moram imati certifikat i dva kljuca od gore pomenutog ovlastenog tjela.
Al kome da dam u tome slucaju javni kljuc ako sklapam recimo el ugovor sa "drugom " stranom, dali uopste da dajem njima javni kljuc?
Imas li kakav link da vidim na slici kako izgleda neki certifikat ili kljucevi?

Hvala....mada te ocito dosta mucim (ali je ovo jako vazno i aktuelno)

Evo ti ga cert za elite sajt

Kad ga otvoris odmah imas onsovne deskrioptivne informacije (uptotreba, ko, od koga izdato i koliko vazi), u details tabu imas sve ono sto te interesuje, npr Public Key mozes da vidis 2048 bita podataka koji predstavljaju goli javni kljuc.

Sto se tice same razmene sertifikata pri potpisu ona nije propisana, mada npr neke aplikacije koje podrzavaju potpisivanje odmah to urade za tebe. Npr word ili OOWriter uz potpis u dokument ukljuce i sertifikat potpisivaca tako da je odmah dostupan citaocu, MIME potpisani emailovi isto ukljucuju sertifikat potpisivaca. Ali npr ako ti uzmes i napravis potpis nekog svog parceta informacije onda mroas sam da obezbedis i prenos sertifikata.

Npr. kada ti banka izda CD za elektronsko placanje, na njemu ne nalazi jedan fajl u PKCS12 formatu (http://en.wikipedia.org/wiki/PKCS12) koji sadrzi oba kljuca i cert. Sam fajl je kriptovan, i prilikom placanja unosis sifru koja dekriptuje fajl i "oslobadja" kljuceve, koje aplikacija dalje koristi za potpisivanje transakcije. Ista je stvar i sa Smart card... Preptostavljam da li je isti princip i sa platnom karticom i PIN kodom, kada se podizu novci sa bankomata.

Ovo mi je dosta razjasnilo neke stvari, s obzirom da sam citao o tome samo teoretski. Mozesl i mi jos reci kao se dodje do ovog certifikat sa web sajtova, gdije si ti provjerio elitsecurityjv certifikat, mislim gdije na browseru?...hvala

sto se tice mail-ova, svoj javni kljuc mozes da objavis na nekom od regeistara javnih kljuceva recimo
recimo, moj javni kljuc mozes da nadjes na http://pgp.mit.edu/ pa mozes da pogledas kako izgleda, a i da mi posaljes enkriptovan mail...

iz thunderbirda s enigmail-om mozes direktno da objavis svoj javni kljuc na nekom od servera, a mozes isto tako da importujes tudji i koristis dalje

generalno, pitanje kako ce neko doci do tvog javnog kljuca ili ti do njegovog nije bitno, moze da ti ga izdiktira telefonom, napise na papir , sta god, dok god verujes tom transportnom kanalu

znaci , procedura je sledeca:
1. ti zelis meni da posaljes enkriptovan i potpisan email
2. svojim privatnim kljucem potpisujes mail
3. mojim javnim kljucem enkriptujes mail (moj javni kljuc si dobio sa javnog servera, poslao sam ti ga mailom, izdiktirao telefonom ili nesto cetvrto, nebitno je, ja moj javni kljuc ne moram da krijem niodkoga)
4.ja primam tvoj mail
5. svojim privatnim kljucem ga dekriptujem
6. tvojim javnim kljucem verifikujem potpis



sertifikat web sajta dobijas kad ostvarujes sigurnu konekciju ka njemu, dakle kada koristis https protokol

ako odes na https://www.google.com , pa kliknes na google logo u address bar-u dobices opciju da pogledas podatke o sertifikatu

sto se veb sajtova tice, imas dva slucaja:
- self signed sertifikat
vlasnik sajta je sam izgenerisao svoj sertifikat i moras ga eksplicitno prihvatiti kao validan
- CA signed sertifikat
sajt je dobio sertifikat od sertifikacionog tela koje garantuje da je to zaista taj sajt

Meni samo nije jasan tzv. višestruki potpis. Algoritmi za njega se uvek oslanjaju na nekog posrednika od poverenja, a ako on postoji, onda ti posebni algoritmi nisu potrebni, već se mogu koristiti algoritmi za klasičan digitalni potpis.

samo da kaze.
Hvala puno....pozzzzz

Zna li neko na kom će principu se koristiti elektronski potpis, koji treba da bude implementiran u licnim kartama i pasosima koji imaju chip????...kako i za st ace ga koristiti gradjani, treba li neki posebni hardver koji ce ocitavati potpis direktno sa ovih indentifikacijskih dokumenata ili kada se bude koristila ova tehnologija (ID & passport dig sing) preko interneta sta ce se unosit na sajtovima kao tajni kljuc....jel mozda broj licne karte ili sta?....pozzz

Ma opusti se, kako PKI polako propada pod teretom slabosti i skandala cisto sumnjam da ce to ikad zaziveti u toj meri da ti bilo sta ozbiljno u zivotu zavisi od toga.




Sta je bilo sa onim modified-RSA algoritmom koji si osmislio za kartanje? Jesi odradio primer?

A visestruki potpis je moguc ako postoji kontejnerska priroda dokumenta i zove se CoSign. Onda svako potpisuje isti body a envelope se menja dodavanjem/izbacivanjem potpisivaca. Onda ti ne treba nikakav posrednik jer svako moze da modifikuje dokument bez da modifikuje "dokument".

PAdES standard na primer podržava i serijski i paralelni potpis.

Paralelni potpis je tačno ovo što @mmix pominje - postoji dokument, i oko tog dokumenta su prilepljeni potpisi tog dokumenta. Ako potpis postoji, može se proveriti. Svako može da doda ili ukloni bilo koji drugi potpis bez narušavanja potpisanog dokumenta. XAdES čak ima i odvojenu varijantu, gde dokument i potpisi nisu ni u istoj datoteci.

Serijski potpis se koristi u situacijama "parafiraj i potpiši", gde je za značenje drugog potpisa bitno da prvi postoji i da ga nije moguće kasnije skloniti. Svaki naredni serijski potpis obuhvata sve prethodne.

PAdES poznaje i ludosti poput one da u istom dokumentu može biti više verzija, gde je svaka verzija dokumenta različito potpisana. Praviti softver koji sve ovo proverava je sve samo ne jednostavno, najčešće se autor softvera odluči za podskup standarda koji je u datoj situaciji realno primeniti.

Dodao bih još i da kada govorimo o "slabosti" PKI sistema, treba imati u vidu šta je alternativa. Ovde postoje matematički postupci ugrađeni u softver kojima se sa popriličnom sigurnošću potpis proverava. U alternativi sa papirom i olovkom, ne znam koliki procenat nas su kvalifikovani grafolozi. U slučaju zloupotreba dodatnim veštačenjem uzimajući ceo kontekst događaja je svakako moguće dokazati veći stepen sigurnosti nego za alternative.

"Slabosti" koje danas vidimo posledica su nedovoljne provere identiteta pri izdavanju sertifikata i nedovoljne sigurnosti u samim sertifikacionim telima. Nemaju nikakve veze sa PKI u suštini. Kada govorimo o kvalifikovanim sertifikatima, propisane mere bezbednosti su znatno iznad onih traženih za izdavanje tamo nekih sertifikata za veb sajtove. Ovi drugi se često izdaju potpuno automatski, sa ponekad smešnim procedurama provere identiteta.

Propisano i primenjeno nisu ista stvar. Ja npr ne verujem nijednom domacem CA bez obzira na propise, kombinovano sa time da mi ne treba ni zasta konkretno rezultuje time da sa istima ne saradjujem. I to je linchpin tog sistema, retko ko ikada potpisuje pravno vazne papire bez svedoka i/ili prisustva obe strane. Znam te, znas me, vidimo se, potpisemo, grafolozi su tu marginalna pojava. Postoji sada vec puno mesta na kojima bi kvalifikovani potpis mogao da se primeni, npr mogao bi online da potpises ugovor sa nekom firmom za njihovu robu usluge. Ima li toga?

Da ne bude Srbija ovo ono, nema ni napolju, cak i da ima sasvim sigurno je na nivou statisticke greske. A PKI sistem nije nov, infrastruktura postoji vec 2 decenije, matematika dosta duze. Skoro sve PKI firme koje su nastale 90'ih su sada pokojne i asimilirane u par preostalih koji uspevaju da izvaljaju nesto malo PKI resenja bankama i fin sektoru. Jednotavno tehnologija donosi nesto sto nije preko potrebno (paperless remote signing) uz drasticno komplikovanje cele price.

Jedno pitanje vezano za smart kartice:

Da li kartica sama potpisuje hash/dokument ili se pomocu softwera privatni kljuc privremeno "vadi" iz kartice i pomocu softwera vrsi potpis?

Postoje i jedne i druge. Po propisu za kvalifikovani potpis mora da bude ovo prvo (ko kljuc moze da se privremeno izvadi iz kartice onda moze i da se duplicira.

Hvala. Sad mi je jasnije. Nego, zar nije neko ovde na ES objavio video, gdje lik ogrebe, proprzi sloj kartice, i onda pomocu osciloskopa snima signal i desifruje kljuc?

to mi zvuci malo neverovatno, bar za novije smart kartice. mozda neki stari cheapo token sa izdvojenom memorijom pa da zakacis osciloskop za vodove. Na novijim cipovima je memorija integrisana sa elektronikom na cipu i nema sanse da je ocitas direktno, osim ako nemas sondu uzu od 30-ak nanometara i veoma preciznu ruku

Kakav primer? Znam na koji algoritam misliš, ali ne znam kakav primer pominješ.



Zamisli da smo udaljeni i da treba da potpišemo neki ugovor. Ko će kome prvi da pošalje svoj potpis? Onaj drugi, čim primi potpis druge strane može da se napravi lud i da ne pošalje svoj potpis.

Ne znam zašto ljudi očekuju da elektronski potpis reši sve probleme? Ista je situacija kao i kada poštom pošalješ rukom potpisani ugovor.

Postoji dodatni deo protokola kojim se uredi razmena. Ja tebi pošaljem potpis, ti pošalješ meni, nebitno kojim redom. Govorimo o paralelnim potpisima koji se mogu slobodno spajati i razdvajati od dokumenta. Potpisuje se heš dela sadržaja dokumenta koji je obuhvaćen potpisom, a potpisi čuvaju van tog dela.

Ugovor dalje može da bude proglašen validan samo ako ima oba potpisa, što se da slobodno urediti samim ugovorom. Nije moguće da ti naknadno osporiš validnost jer čak i da tvoj potpis sakriješ, ja imam oba potpisa. Ako ne dođe do pune razmene (tj. ni jedna strana nema oba potpisa), ugovor kao da nije ni zaključen.

A sto je to problem, ti da nisi saglasan sa ugovorom ne bi ni poslao svoj prvi potpis, zar ne? Sto se tebe tice ugovor je validan, ako implementacija ugovora poicnje tvojim delom onda ne odradjujes deo dok ne dobijes drugi potpis, ako implementacija pocinje delom druge strane onda na osnovu delovanja/nedelovanja smatras ugovor validnim ili ne.



A sto se tice primera mislio sam da ces uraditi neki kod da proveris algoritam koji si osmislio, nista specijalno samo me interesovalo.

Hoćeš da kažeš da ne postoji potreba za obostranim potpisivanjem ugovora?

Što se koda tiče, teoreme se ne dokazuju implementacijom. Postoji malo jači razlog zašto sistem funkcioniše.

Radi forme da, legalno dovoljno je da postoji jedna kopija potpisana od strane imenovanih potpisnika. Uostalom nista te ne sprecava da dodas izmenjeni clan o razmeni potpisa koji cini ugovor nistavnim dok obe strane nisu u posedu svih potpisa i prica je gotova. Nema potrebe izmisljati tehnolosku infrastrukuru za nesto sto se resava sa dve linije teksta.

Sto se tice primera, ja nisam matematicar niti me to preterano interesuje, interesovala me je inzenjerska implementacija te ideje i prakticna primenljivost. Ako je nisi uradio, nikom nista, zabravi da sam pitao.

I samim tim ugovor postaje ništavan, jer tužena strana neće da ga donese na sud, a tužilac nema potpis optuženog.

Ne, Miljane, ugovor se potpisuje tako da ja imam primerak sa tvojim potpisom, a ti sa mojim, da svako svakoga može da pritegne.



Nisam radio, a praktično jeste primenljivo koliko i RSA. Ništa specijalno.

@Nedeljko: http://www.elitesecurity.org/p2961548

Kako nema? "Ovaj ugovor je nistavan dok sve stranke ne dobiju sve digitalne potpise". Tuzilac mora da ima potpis tuzenog jer u suprotnom nece ni ulaziti u implementaciju ugovora pa nema oko cega ni da ga tuzi, samim tim su svi neophodni potpisi predati sudu. Tuzeni moze da ne donese potpis koliko hcoe cert je javan i njegov potpis u vlasnistvu tuzioca je proveriv. A ako je tuzilac usao u implementaciju ugovora pre nego sto je dobio potpis druge strane, jgb, to ti je isto kao i da je to uradio u papirnoj verziji.

Gorane, slažem se da je situacija konceptualno ista kao da se šalju potpisani papirni ugovori poštom. No, što se ostalog tiče, nisi u pravu.

Pošalješ ti meni potpisan ugovor, a ja odbijem da nakon toga pošaljem tebi potpisan ugovor. Ja ću lako da potpišem primerak koji ja imam, tako da ću imati primerak sa oba potpisa, a ti moj potpis nećeš imati. Time sam ja u poziciji da te tužim, a ti nisi u poziciji da mene tužiš.

Miljane, u slučaju klauzule "Ovaj ugovor je nistavan dok sve stranke ne dobiju sve digitalne potpise" ko god da je tužen, može da ne donese ugovor na sud, da kaže da nije dobio potpis druge strane, tako da je ugovor ništavan.

Višestruki potpis udaljenih strana je moguć uz posrednika od poverenja, koji će prvo prikupiti sve potpise, pa tek onda poslati dokument sa svim potpisima svima.

Da, to je tačno. Ipak postoji kontekst koji se može upotrebiti pri dokazivanju. Ne bih rekao da nije moguće bez pouzdanog posrednika.

Slažem se da ništa nije bitno različito od slanja potpisanih ugovora na papiru poštom.

Nego kako? Onaj ko prvi primi potpis drugog dolazi u poziciju da ne uzvrati potpisom i da ga drži u šaci.

U tom smislu da se na sudu može utvrditi situacija. Prosto to o čemu govoriš nema veze sa elektronskim potpisom. Slažem se da postoji problem, i pouzdan posrednik je jedno rešenje.

A kako će na sudu da se utvrdi situacija? Koji je drugi način, koji ne zahteva posrednika od poverenja?

Komplikujete previse.

Previse razmisljate digitalno a premalo prakticno, nijedan ugovor nije peer-2-peer, postoji nesto sto se zove ugovorna obaveza i u slucaju uzajamne ugovorne obaveze postoji inicijalna ugovorna obaveza kojom pocinje ispunjenje ugovora. Po nasem ZOO cak nije neophodno da obe strane potpisu ugovor (cak nije neophodno da obe strane potpisu istu ispravu, moze svako da potpise po primerak i da onda razmene), potrebno je da se potpisu samo oni koji imaju ugovorne obaveze. Ali recimo priemra radi da je u pitanju uzajamna obaveza, formom ugovora se obezbedi da je ispunilac prve obaveze duzan da uradi prvo potpisivanje i da inicijalna ugovorna obaveza ne nastaje dok ispunilac te prve obaveze ne dobije potpis primaoca i da je ugovor nevazeci da pocetka ispunjenja prve ugovorne obaveze. Ako je tuzen ispunilac prve obaveze tuzilac ne mora da dokazuje postojanje oba potpisa vec koristi ispunjenje prve obaveze kao prihvatanje, ako je tuzilac druga strana on poseduje oba potpisa. Kraj price.



_{[Ovu poruku je menjao mmix dana 04.10.2011. u 10:08 GMT+1]}

Evo, ja sam ispunilac prve obaveze, a druga strana si ti. Prvi potpišem da sam se obavezao. Ti se praviš lud i nešalješ tvoj potpis. Po tvom scenariju ja ne treba da ispunim svoju obavezu. Međutim, ti imaš moj potpis i tužićeš me. Ja na sudu kažem da nisam primio tvoj potpis, a ti kažeš da si ga poslao. I šta ćemo onda?

Da, ti ne treba da ispunis svoju obavezu i clan ugovora koji regulise redosled potpisivanja i aktivacije ugovora ti daje za pravo. a obzirom na clan koji definise ugovor punovaznim pocetkom ispunjenja obaveze ja kao druga strana nemam potrazivanja niti ocekivanje potrazivanja dok ti ne pocnes i samim tim nemam za sta da te tuzim. Takav ugovor ti cak dozvoljava da se predomislis i odustanes od implementacije cak i kad primis moj potpis.

To je potpuno legitimno i inace se koristi u vecini tipskih ugovora gde ti dobijas na potpis tipski ugovor vec unapred potpisan od strane pruzaoca usluga preko agenta. Dok ne potpises ugovor, nema usluge, ti mozes da uzmes taj ugovor i da ga poneses kuci i dalje ne znaci nista niti ti mozes da tuzis provajdera sto ti niju uslugu pruzio. Po tvome ti bi sad mogao kuci mufte da potpises taj papir i da tuzis provajdera. Ne ide to tako na sudu bas.

Evo, odem ja u telenor po internet. Ja njima dam sve podatke i oni mi daju potpisan ugovor. Ja još ništa nisam potpisao i pobegnem sa ugovorm (recimo da nema kamer, svedoka itd).

Ako mi telenor ne isporuči uslugu, ja ih tužim (imam potpisan ugovor sa njihove strane). Ako mi telenor isporuči uslugu, ja je ne platim. Telenor me tuži, a ja kažem da nisam prihvatio uslove, kao što i nisam, pa im ništa ne dugujem i dobijam spor.

Dakle, ti meni nisi odgovorio na vrlo jednostavan scenario

Da, ali zasto bi ti telenor dao pristup (tj ispunio svoju inicijalnu ugovornu obavezu)? Posto nisu, niti si ti njima naneo materijalnu stetu niti oni tebi. Upravo je to primer o kom ti pricam, nema tvog potpisa, nema usluge. Bas da te vidim da tuzis telenor zbog toga, budimo realni.

Teret dokaza tvrdnje je na tuziocu, ugovor tebe stiti da ne moras da ucinis prvi korak dok ne dobijes moj potpis. Zbog cega bi bih te ja zapravo tuzio? (Ne)materijalna steta? Koja steta? Izneverenih ocekivanja? NEma ocekivanja, ugovor je eksplicitan po tom pitanju, nema potrazivanja do pcoetka primene ugovora a taj korak je ekskluzivno na tebi.

Zamisli da ugovor sa telenorom nije "WITHOUT WARRANTY OF ANY KIND" tipa, već da je telenor dužan da isporuči uslugu inače mi plaća neku odštetu (mnogo mi je važna ta veza).

Telenor uslugu ne isporuči. Ja ih tužim i sudski organi pre nego što obaveste telenor da je tužen dođu da izvrše uvid da veze stvarno nema. E, onda je telenorova neisporuka usluge dokazana. Obzirom da telenor ne može da dokaže da ja nisam ništa potpisao, ugovor je "validan" i telenor mi plaća odštetu.

Jesi ti nekad tuzio nekog ili bio tuzen?

U praksi ovo nikad ne ide redom koji si naveo jer telenor ima pravo da ospori tvoju tuzbu pre nego sto vestaci udju u pricu, ili u usprotnom mora da ima mogucnost da prihvati tvoju tuzbu i prodje bez ekstra sudskih troskova. A pre toga si ti morao da iscrpis sve vansudske mehanizme da spor resis sporazumno (taj clan ugovora o nadleznosti nije srocen tako slucajno), to ukljucuje formalnu primedbu i opciono pretnju tuzbom sa koliko god mozes da dobijes pecata sto jace advokatske druzine (ovo je vec licna preporuka) :), a sve su to koraci u kojima telenor moze da ti kaze da nije dobio tvoj potpis i da nisi zadovoljio preduslove ugovora sto efektivno ubija tvoju tuzbu jer psotaje deo njihove odbrane. Cak i kad je ugovor takav da predvidja rok za pocetak implementacije telenor moze da se zastiti klauzulom da se rok ponistava u slucaju da ne predas kljuc ali da polazi od toga da si usao u ugovor dobre volje i preuzima na sebe da te dva radna dana pred rok obavesti da nisi predao potpis smatrajuci to tvojim nenamernim nemarom. Ovo je samo jedan od primera, ali poenta price je da svaki kontraktualni problem moze da se "resi" postavkom ugovora i da to nema nikakve veze sa digitalnim aspektima elektronskog potpisa.

Imaj u vidu da dok god se ne dokaze drugacije podrazumeva se da su ugovorne stane usle u sporazum slobodne i dobre volje zarad obostranog interesa. Ako polazis od toga da ces biti prevaren ili je ugovor protivan tvojim interesima onda nemoj ni potpisivati ugovor, to vazi za potpis olovkom isto koliko i za potpis kvalifikovanim kljucem.

Ja sam obarao sudske presude kada advokat nije umeo.

No, telenor može da kaže da nije dobio moj potpis, a da li će mu sud tek tako verovati na reč. Takođe, na sud možeš i bez advokata. Advokat je samo stručna pomoć, a ne neko ko može da obavi nešto što ti ne bi mogao.

Koliko su pouzdana sertifikaciona tela (kod nas je valjda PKS) kada ti oni daju privatni kljuc? Ko mi garantuje da ga nece zloupotrebiti za citanje moje poste? Pri tom stvari karikiram ,nisam ja neki bitan faktor, ali to jeste pitanje. Zasto ne mogu dobiti mogucnost da sama generisem privatni kljuc? To mi se cini pouzdanijim ako ne i vise fer resenjem. Kako to radi VeriSign?

Za kvalifikovane elektronske sertifikate obaveza je da se privatni ključ generiše u pametnoj kartici, a zahtevana je i sertifikacija uz odgovarajuću ocenu uređaja kartice koja potvrđuje da ključ nije moguće izvući van kartice.

Zakonski postoji mogućnost i da ti sama generišeš ključ, ali bi tada sertifikaciono telo ako želi da to prihvati moralo da garantuje da stvarno ti jesi generisala ključ, da ga čuvaš u odgovarajuće sertifikovanom uređaju i da ni ti ni niko drugi nema kopiju. Verujem da je jasno da je sertifikacionom telu lakše i bezbednije da ti da karticu sa parom ključeva koji je bezbedno generisan u njoj samoj.

Na ličnoj karti sa čipom, mogu da se nalaze dva para ključeva. Par koji je povezan sa sertifikatom za kvalifikovani elektronski potpis je tačno ovakav kako sam naveo. Drugi par se generiše van kartice, a kopija čuva u MUP-u. Već smo pričali na forumu o razlozima, a sve javno piše u dokumentima na sajtu sertifikacionog tela MUP-a.

Pored PKS i MUP, za izdavanje kvalifikovanih elektronskih sertifikata kod nas su registrovani još Sertifikaciono telo Pošte i Halcom.

VeriSign koliko mi je poznato ne izdaje kvalifikovane elektronske sertifikate, svakako ne one koji su zakonski priznati u Srbiji za proveru kvalifikovanog elektronskog potpisa (izjednačen sa svojeručnim). SSL sertifikati se i kod nas izdaju na tvoj CSR prema ključu koji generišu sami korisnici, baš kako si opisala. Oni nisu kvalifikovani, tako da država zapravo skoro pa da nema ništa sa njihovom regulacijom. Tu je sve između sertifikacionog tela i proizvođača softvera koji će mu ukazati poverenje.

Za šifrovanje pošte možeš da koristiš bilo šta. Slobodna upotreba kriptografije kod nas nije zabranjena.