Dyskusja:16-09.01: Różnice pomiędzy wersjami
Z WSTOIn
(→Propozycja tekstu opinii: wpis) |
|||
| Linia 1: | Linia 1: | ||
| + | __TOC__ | ||
| + | == Wpisy wstępne == | ||
Tomasz klasa napisał:<br /> | Tomasz klasa napisał:<br /> | ||
Moje uwagi:<br /> | Moje uwagi:<br /> | ||
1. Par. 6 – sprzeczność pkt. 1 i pkt. 4. Narodowe centrum certyfikacji nie może wydawać certyfikatu narodowego dostawcy usług zaufania, jeśli polityka certyfikacji ma być uzgadniana z kwalifikowanymi dostawcami usług zaufania. Polityka definiuje zasady/reguły certyfikowania – m.in. okres ważności certyfikatu. Jeśli nie mamy certyfikowanych kwalifikowanych dostawców usług zaufania, to nie da się z nimi uzgodnić polityki, a skoro jej nie ma – nie da się certyfikować. <br /> | 1. Par. 6 – sprzeczność pkt. 1 i pkt. 4. Narodowe centrum certyfikacji nie może wydawać certyfikatu narodowego dostawcy usług zaufania, jeśli polityka certyfikacji ma być uzgadniana z kwalifikowanymi dostawcami usług zaufania. Polityka definiuje zasady/reguły certyfikowania – m.in. okres ważności certyfikatu. Jeśli nie mamy certyfikowanych kwalifikowanych dostawców usług zaufania, to nie da się z nimi uzgodnić polityki, a skoro jej nie ma – nie da się certyfikować. <br /> | ||
| + | :Definicja kwalifikowanego dostawcy usług zaufania jest w ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) NR 910/2014, art. 3 p. 20: | ||
| + | „kwalifikowany dostawca usług zaufania” oznacza dostawcę usług zaufania, który świadczy przynajmniej jedną kwalifikowaną usługę zaufania i któremu status kwalifikowany nadał organ nadzoru; trochę to zapętlone (jak świadczy jeśli nie ma jeszcze swojego certyfikatu), ale wg mnie ważniejsze jest nadanie statusu przez nadzór, czyli w tym przypadku przez MC. [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 12:43, 17 wrz 2016 (CEST) | ||
2. Elementem polityki jest zestaw/wykaz/opis stosowanych algorytmów kryptograficznych. Uzgadnianie dopuszczalnych algorytmów z certyfikowanymi dostawcami oznacza działanie według modelu „co możecie zaoferować”, zamiast „co macie dostarczyć”. To rodzi ryzyko odrzucenia mocniejszych, ale i trudniejszych w implementacji algorytmów na rzecz tańszych rozwiązań.<br /> | 2. Elementem polityki jest zestaw/wykaz/opis stosowanych algorytmów kryptograficznych. Uzgadnianie dopuszczalnych algorytmów z certyfikowanymi dostawcami oznacza działanie według modelu „co możecie zaoferować”, zamiast „co macie dostarczyć”. To rodzi ryzyko odrzucenia mocniejszych, ale i trudniejszych w implementacji algorytmów na rzecz tańszych rozwiązań.<br /> | ||
3. Par 15, pkt.4 – wprowadzenie takiego zapisu oznacza, że z chwilą wprowadzenia innych mechanizmów przez KE zapisy pkt. 1-3 stracą moc natychmiast. Uważam, że w takim przypadku powinno być znowelizowane rozporządzenie, a nie wprowadzony mechanizm wyłączenia starych zapisów i dorozumianego zaadaptowania rozwiązań wskazanych przez KE. <br /> | 3. Par 15, pkt.4 – wprowadzenie takiego zapisu oznacza, że z chwilą wprowadzenia innych mechanizmów przez KE zapisy pkt. 1-3 stracą moc natychmiast. Uważam, że w takim przypadku powinno być znowelizowane rozporządzenie, a nie wprowadzony mechanizm wyłączenia starych zapisów i dorozumianego zaadaptowania rozwiązań wskazanych przez KE. <br /> | ||
| + | :Rozwiązanie z projektu jest praktyczniejsze i szybsze, nie ma pośrednika w postaci nowego rozporządzenia narodowego, i słusznie. Nie mnóżmy bytów. [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 12:43, 17 wrz 2016 (CEST) | ||
4. Par. 17 – co znaczy niezwłocznego. Wyżej użyto 3 dni. Tu nie ma nic, czyli ile?<br /> | 4. Par. 17 – co znaczy niezwłocznego. Wyżej użyto 3 dni. Tu nie ma nic, czyli ile?<br /> | ||
| + | :To taki prawniczy termin-wytrych. Zdaje się że to 14 dni. [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 12:43, 17 wrz 2016 (CEST) | ||
| + | :[http://www.serwisprawa.pl/artykuly,72,21190,co-oznacza-termin-niezwlocznie Odsyłacz] podający dlaczego to ogólnie 14 dni. I na wszelki wypadek cytat: <small>"W glosie do uchwały SN z dnia 19 maja 1992 r. (sygn. akt III CZP 56/92), K. Korzan zaznaczył, że „niezwłoczność oznacza konieczność respektowania czasu potrzebnego dłużnikowi do zabezpieczenia prawidłowego wykonania zobowiązania. Długość tego czasu zależna jest od istniejących w obrocie cywilnym stosunków w odniesieniu do skonkretyzowanego zobowiązania. Czasu potrzebnego do niezwłocznego wykonania zobowiązania nie da się oznaczyć sztywno określoną liczbą dni czy tygodni. Przyjmuje się, że w sytuacjach typowych, gdy dłużnik dokonuje prostych czynności polegających na zwykłym przeliczeniu towaru, sprawdzeniu faktury jako dokumentu rozliczeniowego, wysłaniu należności przekazem pocztowym, na dokonanie tych czynności z reguły wystarcza dłużnikowi około dwóch tygodni”</small> [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 21:40, 17 wrz 2016 (CEST). | ||
=================================================================================================<br /> | =================================================================================================<br /> | ||
Dodatkowo ciekawy zapis:<br /> | Dodatkowo ciekawy zapis:<br /> | ||
| Linia 11: | Linia 18: | ||
Przepisy rozporządzenia muszą być konkretne.<br /> | Przepisy rozporządzenia muszą być konkretne.<br /> | ||
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 12:00, 15 wrz 2016 (CEST) | --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 12:00, 15 wrz 2016 (CEST) | ||
| − | + | :Też to wyłapałem. Jest bez sensu, ponadto jaka informacja ma być niezrozumiała??? Samo to określenie "niezrozumiała" jest paradne. Czy nie chodzi o zakodowanie informacji? [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 12:43, 17 wrz 2016 (CEST) | |
Par 9 i 13 - powinien być dodany jakiś czas maksymalny, typu 'nie dłużej niż ....' | Par 9 i 13 - powinien być dodany jakiś czas maksymalny, typu 'nie dłużej niż ....' | ||
| + | :Tu bym zostawił. Po co ograniczenia. Niech rynek zdecyduje. [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 12:43, 17 wrz 2016 (CEST) | ||
Par 8 - domyślnie nie są to dni robocze (?) | Par 8 - domyślnie nie są to dni robocze (?) | ||
| + | :Tak. Jak n ie ma dookreślenia, to dni są kalendarzowe. [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 12:43, 17 wrz 2016 (CEST) | ||
Par 4 p. 2 - tutaj trzeba też zaznaczyć, że korekta NBP jest widoczna | Par 4 p. 2 - tutaj trzeba też zaznaczyć, że korekta NBP jest widoczna | ||
| + | :Tak, też na to zwróciłem uwagę. [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 12:43, 17 wrz 2016 (CEST) | ||
| + | |||
| + | [[Użytkownik:Pełech-Pilichowski Tomasz|Pełech-Pilichowski Tomasz]] ([[Dyskusja użytkownika:Pełech-Pilichowski Tomasz|dyskusja]]) 09:13, 16 wrz 2016 (CEST)<br /> | ||
| + | ================================================<br /> | ||
| + | Proponowana treść:<br /> | ||
| + | <br /> | ||
| + | Polskie Towarzystwo Informatyczne w odpowiedzi na prośbę o zaopiniowanie projektu rozporządzenia Ministra Cyfryzacji w sprawie krajowej pragnie zwrócić uwagę na niezwykle krótki czas jaki pozostawiono opiniodawcom do dyspozycji aby przeanalizować przedmiotowy dokument.<br /> | ||
| + | Zauważyliśmy sprzeczność w pkt 1 i 4 § 6. Narodowe centrum certyfikacji nie może wydawać certyfikatu narodowego dostawcy usług zaufania, jeśli polityka certyfikacji ma być uzgadniana z kwalifikowanymi dostawcami usług zaufania. Polityka definiuje zasady/reguły certyfikowania – m.in. okres ważności certyfikatu. Jeśli nie mamy certyfikowanych kwalifikowanych dostawców usług zaufania, to nie da się z nimi uzgodnić polityki, a skoro jej nie ma, certyfikacja jest niemożliwa.<br /> | ||
| + | Ponieważ elementem polityki jest zestaw/wykaz/opis stosowanych algorytmów kryptograficznych to uzgadnianie dopuszczalnych algorytmów z certyfikowanymi dostawcami oznacza działanie według modelu „co możecie zaoferować”, zamiast „co macie dostarczyć”. Rodzi to ryzyko odrzucenia mocniejszych, ale i trudniejszych w implementacji algorytmów na rzecz tańszych rozwiązań.<br /> | ||
| + | Projekt rozporządzenia określa terminy w dniach roboczych za wyjątkiem §8, rodzi się więc pytanie czy jest to zabieg celowy i domyślnie należałoby przyjąć dni kalendarzowe. Dodatkowo w §17 użyto określenia „niezwłocznie” bez uzupełnienia o maksymalny termin podczas gdy w §2 i§5 dodano „nie później jednak niż w terminie 3 dni roboczych…..”<br /> | ||
| + | Przepis § 11 o brzmieniu „Polityka certyfikacji narodowego centrum certyfikacji określa wykorzystywany w narodowym centrum certyfikacji zestaw przekształceń matematycznych służących do zamiany informacji na niezrozumiałą, czasami z wykorzystaniem parametrów zależnych od zastosowanego klucza (Algorytmy kryptograficzne).” Jest nie tylko niezrozumiały ale zawiera również niejednoznaczność, która jest niedopuszczalna w przepisach dlatego też sugerujemy usunięcie słowa „czasami” i nadanie wspomnianemu paragrafowi nowego brzmienia o treści” „Polityka certyfikacji narodowego centrum certyfikacji określa wykorzystywany w narodowym centrum certyfikacji zestaw przekształceń matematycznych służących do zamiany informacji na niezrozumiałą wraz z wykorzystanymi parametrami zależnymi od zastosowanego klucza (Algorytmy kryptograficzne).”<br /> | ||
| + | Zalecamy również określenie maksymalnego czasu ważności certyfikatu w § 9 i 13<br /> | ||
| + | ============================<br /> | ||
| + | Tomku zredaguj i wkomponuj proszę treść Twojej ostatniej uwagi - Par 4 p. 2 - tutaj trzeba też zaznaczyć, że korekta NBP jest widoczna<br /> | ||
| + | --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 13:09, 16 wrz 2016 (CEST) | ||
| + | |||
| + | <br /> | ||
| + | ============================<br /> | ||
| + | Nie zgadzam się z częścią powyższych uwag.<br> | ||
| + | |||
| + | 1. "Narodowe centrum certyfikacji nie może wydawać certyfikatu narodowego dostawcy usług zaufania, jeśli polityka certyfikacji ma być uzgadniana z kwalifikowanymi dostawcami usług zaufania." A dlaczego nie może? | ||
| + | <br /> | ||
| + | 2. Moim zdaniem zapis § 11 o brzmieniu „Polityka certyfikacji narodowego centrum certyfikacji określa wykorzystywany w narodowym centrum certyfikacji zestaw przekształceń matematycznych służących do zamiany informacji na niezrozumiałą, czasami z wykorzystaniem parametrów zależnych od zastosowanego klucza (Algorytmy kryptograficzne)." jest poprawny. Rzeczywiście czasami są wykorzystywane parametry zależen od zastosowanego klucza. Kwestionowane sformułowanie "czasami z wykorzystaniem ..." występowało już w rozporządzaniach w przeszłości i w definicjach algorytmów kryptograficznych. Np w http://sigillum.pl/upload/pdf/Rozp.%20RM%20z%20dnia%207%20sierpnia%202002r..pdf | ||
| + | <br /> | ||
| + | :Ok, ale to to dość słaby argument, że tak było w przeszłości. Tamten i ten zapis jest b. niechlujny językowo i semantycznie. Dla mnie niezrozumiały jest bełkot, a algorytmy szyfrujące nie tworzą informacji - bełkotu, a tworzą informację zaszyfrowaną (zakodowaną). Słowo "czasami" jest dobre w języku potocznym, pospolitym, a nie w akcie normatywnym. Wyąej jest propozycja, dopracuję ją. [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 12:43, 17 wrz 2016 (CEST) | ||
| + | 3. Moim zdaniem nie ma żadnej sprzeczności w pkt 1 i 4 § 6 | ||
| + | |||
| + | [[Użytkownik:Żmudziński Janusz|Żmudziński Janusz]] ([[Dyskusja użytkownika:Żmudziński Janusz|dyskusja]]) 21:15, 16 wrz 2016 (CEST) | ||
| + | |||
| + | Garść innych uwag.<br> | ||
| + | par. 5 trzeci wiersz - jest "kopi" powinno byc "kopii"<br> | ||
| + | § 11. --- to już wyżej się odniosłem--- | ||
| + | |||
| + | Par. 15<br> | ||
| + | 2. W przypadku świadczenia usługi wydawania kwalifikowanych certyfikatów stosuje kwalifikowany dostawca usług zaufania również normę ETSI EN 319 411.<br> | ||
| + | szyk jest zły - powinno być: W przypadku świadczenia usługi wydawania kwalifikowanych certyfikatów kwalifikowany dostawca usług zaufania stosuje również normę ETSI EN 319 411.<br> | ||
| + | 3. W przypadku świadczenia usługi wydawania kwalifikowanych znaczników czasu kwalifikowany dostawca usług stosuje zaufania również normę ETSI EN 319 421.<br> | ||
| + | też zły szyk - powinno być: 3. W przypadku świadczenia usługi wydawania kwalifikowanych znaczników czasu kwalifikowany dostawca usług zaufania stosuje również normę ETSI EN 319 421.<br> | ||
| + | 4. Kwalifikowany dostawca usług zaufania stosuje normy określone w ust. 1-3, do czasu wydania przez Komisję Europejską innych formatów, środków i procedur, o których mowa w art. 19 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE (Dz. Urz. UE L 253 z 28.08.2014, str. 73). | ||
| + | |||
| + | Użyte sformułowanie "... wydania ... innych formatów, środków i procedur, ..." jest niezrozumiałe, wystarczy zamiast tego stwierdzenie "Kwalifikowany dostawca usług zaufania stosuje normy określone w ust. 1-3 do czasu wydania przez Komisję Europejską aktów wykonawczych, o których mowa w art. 19 ust. 4 ..." | ||
| + | |||
| + | W uzasadnieniu używa się określenia narodowego centrum certyfikacji słusznie jako nazwy własnej - Narodowe Centrum Certyfikacji. Taką samą pisownię należy konsekwentnie stosować w rozporządzeniu. | ||
| + | |||
| + | Reszta wieczorem. | ||
| + | |||
| + | [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 12:43, 17 wrz 2016 (CEST) | ||
| + | |||
| + | ==Propozycja tekstu opinii== | ||
| + | Zamieszczam poniżej tekst propozycji:<br> | ||
| + | <div style="background-color:MintCream;"> | ||
| + | Polskie Towarzystwo Informatyczne w odpowiedzi na prośbę o zaopiniowanie projektu rozporządzenia Ministra Cyfryzacji w sprawie krajowej infrastruktury zaufania pragnie zwrócić uwagę na niezwykle krótki czas jaki pozostawiono opiniodawcom do dyspozycji aby przeanalizować przedmiotowy dokument.<br /> | ||
| + | |||
| + | W odniesieniu do propozycji tekstu rozporządzenia przekazujemy poniższe uwagi i sugestie. | ||
| + | |||
| + | Ad. ust. 2 § 4<br> | ||
| + | Przepis ustępu dotyczy sprostowań oczywistych błędów pisarskich, nie wymaga jednak stosowania wymogu z ustępu 1, tj. że zmiana treści wpisu nie może prowadzić do usunięcia poprzedniej treści. Proponujemy, aby do ust. 2 dodać zdanie: „Przepis ust. 1 stosuje się odpowiednio”. | ||
| + | |||
| + | Ad. ust. 4 § 6<br> | ||
| + | Przewidziane ww. przepisem uzgadnianie polityki certyfikacji może rodzić ryzyko dotyczące selekcji algorytmów kryptograficznych. Wynika to z tego, iż elementem polityki jest zestaw/wykaz/opis stosowanych algorytmów kryptograficznych, a uzgadnianie z certyfikowanymi dostawcami dopuszczalnych algorytmów może skłaniać do wyboru tych algorytmów wg zasady „co [dostawca] może zaoferować” zamiast „co [dostawca] powinien dostarczać”, i w konsekwencji doprowadzać do odrzucania mocniejszych, ale i trudniejszych w implementacji algorytmów na rzecz tańszych rozwiązań.<br /> | ||
| + | |||
| + | Ad. terminy w dniach<br> | ||
| + | Projekt rozporządzenia określa terminy w dniach roboczych za wyjątkiem § 8. Uważamy, że należy również w tym paragrafie podać termin w dniach roboczych.<br /> | ||
| + | |||
| + | Ad. § 11.<br> | ||
| + | Przepis tego paragrafu jest sformułowany niestarannie. Wprawdzie praktycznie identycznie sformułowany przepis występował w rozporządzeniu Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów | ||
| + | świadczących usługi certyfikacyjne [...] (definicja algorytmu szyfrowego w p. 2 § 2), ale warto obecnie dopracować dany tekst. Proponujemy zapis: „Polityka certyfikacji Narodowego Centrum Certyfikacji określa zestaw wykorzystywanych algorytmów kryptograficznych (przekształceń matematycznych), służących do zamiany informacji na zaszyfrowaną, w razie uzasadnionej potrzeby z wykorzystaniem parametrów zależnych od zastosowanego klucza.” | ||
| + | |||
| + | Ad. ust. 4 § 15.<br> | ||
| + | W przepisie „Kwalifikowany dostawca usług zaufania stosuje normy określone w ust. 1-3, do czasu wydania przez Komisję Europejską innych formatów, środków i procedur, o których mowa w art. 19 ust. 4 rozporządzenia ...” użyte sformułowanie "... wydania ... innych formatów, środków i procedur, ..." jest niezrozumiałe, wystarczy zamiast tego stwierdzenie "Kwalifikowany dostawca usług zaufania stosuje normy określone w ust. 1-3 do czasu wydania przez Komisję Europejską aktów wykonawczych, o których mowa w art. 19 ust. 4 ..."<br><br> | ||
| + | |||
| + | Uwagi redakcyjne.<br> | ||
| + | |||
| + | W uzasadnieniu używa się określenia narodowego centrum certyfikacji słusznie jako nazwy własnej - Narodowe Centrum Certyfikacji. Taką samą pisownię należy konsekwentnie stosować w rozporządzeniu. | ||
| + | |||
| + | Ad. ust. 1 § 2<br> | ||
| + | Po "Organ nadzoru" jest zbędny przecinek. | ||
| + | |||
| + | Ad. § 5<br> | ||
| + | W trzecim wierszu jest "kopi", powinno być "kopii". | ||
| + | |||
| + | Ad. § 15<br> | ||
| + | W ust. 2 należy zmienić szyk wyrazów.<br> | ||
| + | Jest:<br> | ||
| + | ''W przypadku świadczenia usługi wydawania kwalifikowanych certyfikatów stosuje kwalifikowany dostawca usług zaufania również normę ETSI EN 319 411.''<br> | ||
| + | Powinno być:<br> | ||
| + | W przypadku świadczenia usługi wydawania kwalifikowanych certyfikatów kwalifikowany dostawca usług zaufania stosuje również normę ETSI EN 319 411.<br><br> | ||
| + | W ust. 3 należy zmienić szyk wyrazów.<br> | ||
| + | Jest:<br> | ||
| + | ''W przypadku świadczenia usługi wydawania kwalifikowanych znaczników czasu kwalifikowany dostawca usług stosuje zaufania również normę ETSI EN 319 421.''<br> | ||
| + | Powinno być:<br> | ||
| + | W przypadku świadczenia usługi wydawania kwalifikowanych znaczników czasu kwalifikowany dostawca usług zaufania stosuje również normę ETSI EN 319 421.<br> | ||
| + | </div> | ||
| + | Proszę o uwagi. [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 22:48, 17 wrz 2016 (CEST) | ||
| − | [[Użytkownik: | + | Telefonicznie uzyskałem akceptację Przemysława Jatkiewicza, a z Januszem Żmudzińskim uzgodniłem doprecyzowanie propozycji do par. 11 - chodzi o to, że algorytmów używa się nie tylko do szyfrowania, ale też do tworzenia skrótów. Uzgodniony tekst "... do zamiany informacji na zakodowaną (np. zaszyfrowaną lub z utworzenie jej skrótu), ...". [[Użytkownik:Dorożyński Janusz|Dorożyński Janusz]] ([[Dyskusja użytkownika:Dorożyński Janusz|dyskusja]]) 11:23, 19 wrz 2016 (CEST) |
