facebook RSS # #

21.07.2017 14:49

Polska Agencja Prasowa Serwis Samorządowy
 
2016-01-22 16:56       aktualizacja: 2016-01-24 06:57       Wiadomości PAP
  A A A

Tylko z kodem. COI nie ma zgłoszeń o podpisach bez PIN, to niemożliwe

Tylko z kodem. COI nie ma zgłoszeń o podpisach bez PIN, to niemożliwe
To technicznie niemożliwe...
Fotolia
Nie ma zgłoszeń potwierdzających sytuacje podpisywania aktów bez PIN. Co więcej, to techniczne niemożliwe – wyjaśnia Centralny Ośrodek Informatyki.

Po weryfikacji poruszonej przez Czytelników kwestii podpisywania czynności w aplikacji ŹRÓDŁO bez potwierdzenia kodem PIN oraz zgłoszeń na Service Desk dla SRP Centralny Ośrodek Informatyki informuje, że nie ma żadnego zgłoszenia potwierdzającego wystąpienie takiej sytuacji.

Co więcej, według wyjaśnień rzecznika COI Piotra Mierzwińskiego, powstanie takiej sytuacji jest techniczne niemożliwe.

- Bez kodu PIN stacja robocza w urzędzie nie jest w stanie użyć karty kryptograficznej do wykonania podpisu – tłumaczy. Jak dodaje, sama karta kryptograficzna (dostarczana przez zewnętrznego, niezależnego od COI dostawcę) jest zaprojektowana tak, by możliwe było podpisanie informacji lub dokumentu tylko i wyłącznie po podaniu poprawnego kodu PIN.

Według rzecznika ważne jest, że karta w żadnym procesie nie ujawnia swojego klucza prywatnego ani użytkownikowi, ani aplikacji ŹRÓDŁO.

- W efekcie istnieją dwa niezależne mechanizmy - ten zaimplementowany w SRP oraz zewnętrzny w postaci karty kryptograficznej - gwarantujące, że czynność jest podpisywana w sposób poprawny i jednoznaczny – podkreśla Piotr Mierzwiński.

Poniżej publikujemy opisane przez COI procesy podpisywania czynności w Systemie Rejestrów Państwowych.

TECHNICZNY ASPEKT PODPISYWANIA CZYNNOŚCI W SRP


Każda czynność w systemie wymagająca autoryzacji (zalogowanie się do niego, dodanie oraz aktualizacja danych) odbywa się przy udziale imiennego certyfikatu dostępnego na karcie kryptograficznej urzędnika. Z technicznego aspektu proces wygląda następująco:

1. W momencie kiedy z komputera użytkownika trafia do systemu żądanie zapisania akcji, następuje zwrotny komunikat przeznaczony do podpisania za pomocą certyfikatu użytkownika.
2. Przeglądarka za pomocą appletu Java oraz sterowników zawartych w systemie operacyjnym odnajduje włożoną do czytnika kartę użytkownika i prosi o podanie kodu PIN, aby zlecić wykonanie podpisu karcie kryptograficznej za pomocą klucza zawartego na niej.
3. Po podaniu poprawnego kodu PIN następuje podpisanie komunikatu przez kartę w czytniku.
4. Klucz prywatny użytkownika użyty do wykonania podpisu elektronicznego przez cały proces znajduje się na karcie i nie ma możliwości jego odczytu przez aplikację ŹRÓDŁO.
5. Podpisany komunikat przesyłany jest z powrotem do aplikacji ŹRÓDŁO i jest zapisywany w bazie SRP.

Rzecznik COI zwraca uwagę, że podpisanie czynności następuje już w momencie zatwierdzenia wpisanego kodu PIN karty. Późniejsza próba przerwania czynności np. poprzez zamknięcie przeglądarki będzie nieskuteczna.

PODPIS CERTYFIKATEM W PRAKTYCE

W praktyce proces tworzenia aktu stanu cywilnego wygląda to następująco:
1. Użytkownik loguje się do systemu, wkładając imienną kartę do czytnika stacji roboczej SRP.
2. System prosi go o podanie numeru PIN przypisanej do danej karty.
3. Po poprawnej autoryzacji użytkownik otrzymuje dostęp do danych SRP poprzez aplikację ŹRÓDŁO w zakresie zgodnym z jego uprawnieniami za pośrednictwem obustronnie uwierzytelnionego i szyfrowanego połączenia.
4. Użytkownik wybiera uzupełnia dane wymagane do stworzenia aktu stanu cywilnego i zapisuje je jako projekt aktu stanu cywilnego. Na tym kroku system ponownie wymaga podpisania akcji certyfikatem umieszczonym na jego karcie. Czynność tę musi potwierdzić kodem PIN.
5. Projekt aktu stanu cywilnego jest weryfikowany pod kątem zgodności informacji przez użytkownika posiadającego odpowiednie uprawnienia (kierownik USC lub wyznaczony przez niego zastępca – w gminie może być ich kilku).
6. W przypadku potwierdzenia zgodności z danymi źródłowymi projekt aktu jest podpisywany przez kierownika lub jego zastępcę imiennym certyfikatem. Ta czynność po raz kolejny wymaga potwierdzenia kodem PIN.

Po analizie zgłoszeń na Service Desk programu pl.ID COI przysłało nam w piątek 22 stycznia 2016 r. taką informację:

„Dziś Service Desk programu pl.ID oraz zespół programistów ponownie przeanalizował wszystkie zgłoszenia od listopada 2015 roku (miesiąc przed momentem wskazanym przez anonimowego urzędnika kryjącego się pod nickiem „Kierownik USC” w tekście).

W tym okresie znaleźliśmy 3 zgłoszenia dotyczące takiej sytuacji. Żadne z nich nie zakończyło się wskazaniem problemu podpisywania bez kodu PIN po stronie SRP. Z ustaleń wynikało, że problem leżał w „automatyzmie” podpisywanych aktów przez urzędnika (tyle ich jest, że zapomniał, że to zrobił) lub podpisaniu w „międzyczasie” aktu przez inną upoważnioną do tego osobę.

Podobna sytuacja miała też miejsce w przypadku sytuacji opisywanej w tym materiale przez osobę kryjącą się pod pseudonimem „informatyk gminny”. Jak pokazują logi z Systemu Rejestrów Państwowych, akcja została wykonana poprawnie, a podpis pod przygotowanym chwilę wcześniej projektem aktu stanu cywilnego został złożony 23 lipca 2015 roku o godzinie 10:05”.

Czytaj
Chyba magia. Czytelnicy o podpisywaniu aktów w ŹRÓDLE i akceptach bez PIN-u


Bez znaczenia. Bagatelizujemy podpis z certyfikatem kierownika USC...



W kolejnych wydaniach Serwisu Samorządowego opublikujemy pełną wersję wyjaśnień COI dotyczących dwóch innych poruszanych przez nas w ostatnim czasie spraw.

Rzecznik Centralnego Ośrodka Informatyki wyjaśnia nam m.in., że w opisywanym w Serwisie przypadku podwójnego wprowadzenia aktu małżeństwa, urzędnik otrzymał z systemu odpowiednią informację.

Czytaj Bigamia z urzędu. Wadliwy system zapisał akt ślubu dwa razy – pisze czytelniczka


Druga sprawa to kwestia niewłaściwego wyświetlania wieku obywatela i związanej z tym wdrożonej przez COI poprawki.

Prosimy Czytelników o uwagi i opinie pod adresem k.kubicka_zach@pap.pl

Kkż/
Serwis Samorządowy PAP
 
KOMENTARZE: 8 PRZEJDŹ NA FORUM

DODAJ SWÓJ KOMENTARZ

 
2016-01-26 11:41:21
el: nie wysyłam zgłoszeń na atmosferę bo musiałbym to robić cały dzień
 
2016-01-26 11:27:00
Informatyk gminny: Dla informacji COI przedstawię jak wygląda podpis w Źródle: po wybraniu funkcji podpisz zostaje uruchomiony aplet podpisujący, który po załadowaniu wyświetla okienko z możliwością wpisania kodu PIN. Po poprawnym wpisaniu kodu PIN i zatwierdzeniu zostaje wyświetlone okienko z danymi certyfikatu i dopiero po potwierdzeniu tego okna podpis zostaje złożony. Jeśli na tym oknie z certyfikatem wciśniemy anuluj podpis nie zostanie złożony pomimo że wcześniej poprawnie wprowadziliśmy PIN (jest to przetestowane). W przypadku którego byłem świadkiem, stałem w tym czasie obok kierownika, po dłuższym oczekiwaniu na załadowanie apletu podpisującego osobiście wcisnąłem przycisk przerwij. W tym czasie nie zostało wyświetlone żadne okienko umożliwiające wprowadzeniu kodu PIN czy wręcz zatwierdzenie certyfikatu. Akt w systemie został jednak "podpisany" przez tego Kierownika. Źródło nie dość, że podpisuje samoczynnie akty to jeszcze przekłamuje w logach. Innym rozwiązaniem tej sytuacji jest to, że przedstawiciele COI po prostu kłamią aby na świat nie wyszło jak wielki bubel został wprowadzony do wszystkich urzędów w Polsce.

Odnośnie zgłoszeń na atmosferze: moje najstarsze otwarte zgłoszenie pochodzi z 13 marca 2015. Pierwsza odpowiedź na to zgłoszenie została udzielona 2 listopada 2015 (prawie 8 miesięcy !!!!!) z informacją że po wdrożonej aktualizacji wszystko już działa OK. Oczywiście została odrzucona jako nieprawdziwa (nadal te same błędy) i do dzisiaj zgłoszenie jest nadal otwarte. Niedługo będzie 1 Rocznica :)
 
2016-01-26 09:26:08
informatykwiejski: Przecież można przy podpisywaniu zaznaczyć coś w stylu "nie pytaj o pin przez następne X minut" i wtedy podpisuje karta nie pytając o nic.
 
2016-01-25 20:52:32
LAS_1606023: Moje najstarsze nierozwiązane zgłoszenie jest z 18 maja 2015. Nie tak dawno rozwiązano jedno z moich zgłoszeń po 243 dniach!!!!
Może czas zając się terminami załatwiania spraw przez COI, bo to jest temat już raczej dla organów ścigania.
 
2016-01-25 15:49:45
chocho: Dokładnie tak, brak rozwiązania zgłoszonych wiele miesięcy temu problemów, rozwiązania niezgodne z prawem, zamykanie zgłoszenia bez rozwiązania, inne rozwiązania śmiechu warte powodują ze dawno odpuściliśmy sobie. Nie mamy czasu pracować, zgłaszać ciągłych błędów i w kółko wysyłać te same zrzuty. Jawna kpina i brak poważnego podejścia ze strony COI. O tym czy są czy nie ma zgłoszeń decydują spindoktorzy COI.
 
2016-01-25 13:05:16
usc: Zgłoszenia błędów na tym portalu są bardziej skuteczne niż zgłoszenia błędów przez Atmosferę. Na atmosferze czekamy kilka miesięcy na odpowiedź.
 
2016-01-25 11:58:53
Marcin - informatyk gminny: Jak zwykle dorzucę swój kamyczek... Zgłoszenia przez Atmosferę? Śmiech na sali. Najdłużej "wiszące" zgłoszenie na atmosferze... od 26.08.2015. Nierozwiązane do dzisiaj... A nie sposób nie wspomnieć o problemach, które kierownicy USC nie zgłaszają... tak po prostu, z bezsilności...
 
2016-01-24 20:25:15
Kierownik USC: Szanowni Państwo,
Urzędy Stanu Cywilnego w Polsce funkcjonują od 1 stycznia 1946 roku, czyli od 70 lat. Była okrągła rocznica, ale nikt o niej nie pamiętał, ani minister, ani wojewodowie, ani nikt inny.
Od 70 lat kierownik USC jest osobą zaufania publicznego. Dokonuje rejestracji stanu cywilnego, przyjmuje oświadczenia woli, oświadczenia o uznaniu ojcostwa itd.
Mając na uwadze powyższe proszę wskazać, dlaczego kierownik USC, który dokonuje rejestracji tak ważnych w naszym życiu zdarzeń i nie dokonuje żadnych przekłamań, nie dokonuje żadnych poświadczeń nieprawdy miał by kłamać w zgłoszeniach nieprawidłowości w funkcjonowaniu Źródła?
Dlaczego to COI ma zawsze rację?
W USC nie pracują gówniarze.
Nikt nie kwestionuje oświadczenia woli (testamentu) sporządzonego przed kierownikiem USC, oświadczeń o wstąpieniu w związek małżeński, oświadczenia o uznaniu ojcostwa, o wyborze nazwiska i wiele jeszcze innych?
Przez 70 lat kierownicy USC nie kłamali, a teraz zmówili się przeciwko COI i piszą nieprawdę?
Szanowni Państwo, Urzędy stanu Cywilnego w Polsce nigdy nie były tak lekceważone, jak od 1 marca 2015 roku.
Nie pozwólmy COI zniszczyć tego, co gromadzone było przez setki lat.
Już w 1813 r. Damazy Dzierożyński pisał: „Przyjście na świat, związek dla odrodzenia się w podobnych sobie istotach i zgon nasz, stanowią trzy najważniejsze epoki życia człowieka i obywatela. (....) Z natury więc praw pisanych wynika niezbędna potrzeba aktów urodzenia, małżeństwa i zejścia, słowem: aktów stanu cywilnego”

Akty pisane były na papierze, przetrwały wojny, pożary, powodzie i inne kataklizmy, przez setki lat wydawane były odpisy i nie było takich pomyłek jak w Źródle. Żaden urzędnik nie mylił się tak, jak myli się Źródło.

Potwierdzam: jest wiele przypadków, gdzie akt jest zatwierdzony bez wprowadzenia kodu i bez potwierdzenia użytkownika. Podobnie jest w RDO. Zgłoszenia przez Atmosferę nie mają sensu.
newsletter

TAGI

PARTNERZY 
  Związek Gmin Wiejskich     Związek Powiatów Polskich

KONTAKT
Polska Agencja Prasowa SA
ul. Bracka 6/8, 00-502 Warszawa
Tel.: (+48 22) 509 22 22
Faks: (+48 22) 509 22 34
REDAKCJA SERWISU SAMORZĄDOWEGO PAP
ul. Bracka 6/8, 00-502 Warszawa
Tel.: (22) 509 23 67
Faks: (22) 509 23 72, (22) 509 22 20
e-mail: samorzad@pap.pl
e-mail klubowy: klub@pap.pl
DZIAŁ SPRZEDAŻY I OBSŁUGI KLIENTA
Tel.: (22) 509 22 25
Faks: (22) 509 22 72
pap@pap.pl
PAP Copyright © PAP SA 2013 .
Redakcja  |  O portalu  |  Licencje  |  Polityka Prywatności  |  v 1.4.22