Podpora vývojářů

Ve včerejších odpoledních hodinách došlo k hardwarové chybě jednoho ze serverů v testovací větvi PVS. Testovací větev PVS je tedy nefunkční a výpadek se projevuje tím, že nepřicházejí žádné odpovědi na žádnou z transakcí. Nová podání jsou prozatím přijímána, ale nejsou zpracovávána.

Dokumentace TRA PVS, která obsahuje informace o zavedení algoritmů SHA-2, byla zveřejněna. Nová verze podávacího a dotazovacího protokolu 3.4 je k dispozici zde http://bezpecne.dev.gov.cz/diskuze/files/9/for_developers/entry1386.aspx.

TRA PVS byla upravena tak, aby reflektovala požadavky na zavedení hash algoritmů z rodiny SHA-2. Změny se dotknuly vytváření elektronické značky TRA PVS a mechanismu přihlašování certifikátem. Implementace nových algoritmů SHA-2 byla provedena tak, aby neměla zásadní dopad do stávajících aplikací, které zasílají data prostřednictvím TRA PVS. V praxi to znamená, že všechny aplikace, které v současné době podávají prostřednictvím TRA PVS, obdrží původní formát elektronické značky, který je podepsán s využitím algoritmů SHA-1. V dokumentaci je tato verze elektronické značky označována jako ggdsig.

Nový formát elektronické značky (xmldsig), který využívá algoritmy z rodiny SHA-2, je založen na doporučení http://www.w3.org/TR/xmldsig-core. Díky tomu bude zpracování této elektronické značky pro programátory jednodušší a bude plně odpovídat standardům.

Jak již bylo výše uvedeno TRA PVS v současné chvíli vrací elektronickou značku ve formátu ggdsig. To z toho důvodu, aby nebyla ovlivněna funkčnost všech podávacích aplikací. Pokud se tvůrce aplikace rozhodne, že chce začít zpravovat novou verzi elektronické značky, může to učinit tak, že při podání vloží do GovTalk obálky element TimestampVersion, který bude mít hodnotu xmldsig. Tato hodnota představuje pro TRA PVS instrukci, že má být ve zprávě SUBMISSION_ACKNOWLEDGEMENT vrácena nová verze elektronické značky.  Příslušné příklady GovTalk obálek jsou uvedeny v dokumentaci.

Po určité době bude výchozí nastavení TRA PVS přepnuto do stavu, kdy bude TRA PVS vždy vracet novou verzi elektronické značky xmldsig.

V návaznosti na směrnici ES č. 1999/93/EC o zásadách Společenství pro elektronické podpisy a v ní obsažený princip vzájemného uznávání kvalifikovaných certifikátů vydaných v kterémkoliv členském státu EU je nezbytné vycházet z dokumentu ALGO paper, který stanoví, že od 1. 1. 2010 je algoritmus SHA-1 „unusable“ a je tedy nezbytné ukončit jeho používání pro oblast elektronického podpisu a zahájit přechod na bezpečnější algoritmy třídy SHA-2. Česká republika patří k těm členským státům, ve kterých je tento přechod rozložen do delšího časového období. Je však nezbytné jej realizovat, a tak zachovat důvěru uživatelů v bezpečnost elektronického podpisu.

Ministerstvo vnitra podle vyhlášky č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, zveřejňuje kryptografické algoritmy a jejich parametry, které mohou být použity pro elektronický podpis ve smyslu zákona č. 227/2000 Sb., o elektronickém podpisu. Ministerstvo vnitra při stanovení zveřejňovaných algoritmů a jejich parametrů vychází jednak z dokumentů vydaných z iniciativy Evropské komise organizacemi, které k tomu EK určila (tzv. ALGO paper zveřejňovaný ETSI), a dále z aktuálního vývoje v oblasti bezpečnosti kryptografických algoritmů. V úvahu bere zároveň stanoviska významných mimoevropských institucí (např. NIST v USA) a českého Národního bezpečnostního úřadu (viz sdělení tohoto úřadu publikované na jeho webových stránkách).
Na základě výše uvedených informací, si vás dovolujeme upozornit na chystané změny Transakční části PVS. Ucelená informace je k dispozici na stránkách:
http://www.mvcr.cz/clanek/zmena-v-kryptografickych-algoritmech-ktere-jsou-pouzivany-pro-vytvareni-elektronickeho-podpisu.aspx

Z výše uvedených důvodů je nutné provést takové úpravy v systému Transakční části PVS tak, aby byla ve všech částech plně zabezpečena podpora algoritmu SHA-2. Z pohledu veřejného rozhraní TRA PVS se jedná o následující části:
1. Vytvoření datové zprávy, která je označena elektronickou značkou správce portálu dle odst. 4, § 6f zákona 365/2000 Sb., tak aby byl použit algoritmus SHA-2. Tj. zpráva Acknowlegment bude obsahovat elektronickou značku, která bude vytvořena s využitím SHA-2. Přesný formát nové elektronické značky bude popsán v příslušné vývojářské dokumentaci. Přechod na nový formát elektronické značky bude zabezpečen způsobem, který bude zajišťovat po přechodnou dobu zpětnou kompatibilitu se současným stavem. Tím bude zajištěno, že i systémy, které neprovedou okamžitý přechod na zpracování nové verze elektronické značky, budou schopné provozu bez změny i po provedeném přechodu.
2. Přihlašování k TRA PVS pomocí certifikátu tak, aby byla zajištěna podpora algoritmu SHA-2 v souběhu s algoritmem SHA-1 po celou dobu přechodného období. Změna se bude týkat přihlašovacího modulu na registračních stránkách TRA PVS, kde bude vytvořena nova verze podepisovacího modulu. Změna se dále bude týkat mechanismu tvorby GovTalk obálky, kde bude podporována nová verze přihlášení certifikátem s využitím algoritmů rodiny SHA-2. Podrobnosti budou uvedeny ve vývojářské dokumentaci.

V současné době probíhá finalizace vývoje komponent TRA PVS, implementaci do testovacího prostředí očekáváme v první půlce listopadu 2009. V této době bude zároveň aktualizována vývojářská dokumentace a včetně publikace na tento web, zároveň zde budou uvedeny pokyny pro otestování vašich aplikací.

Tým TRA PVS

Po prověření funkcí v testovací větvi byly do ostrého prostředí nasazeny nové funkce registračního modulu:

• Zaslání informativního mailu uživateli v případě, že dojde k zamčení uživatelského účtu. Informativní mail obsahuje informace o tom, jak uživatelský účet odblokovat.
• Uživatel si může změnit nápovědnou otázku pro reset hesla. Tato funkce je důležitá pro všechny uživatele, kteří si vytvořili uživatelský účet před technologickým povýšením TRA PVS. Tito uživatelé si do této doby nemohli nápovědnou otázku nastavit.

Registrační modul TRA PVS byl upraven a rozšířen o dvě nové funkce:

1. Zaslání informativního mailu uživateli v případě, že dojde k zamčení uživatelského účtu. Informativní mail obsahuje informace o tom, jak uživatelský účet odblokovat.
2. Uživatel si může změnit nápovědnou otázku pro reset hesla. Tato funkce je důležitá pro všechny uživatele, kteří si vytvořili uživatelský účet před technologickým povýšením TRA PVS. Tito uživatelé si do této doby nemohli nápovědnou otázku nastavit.

Funkce do ostrého prostředí budou přeneseny po ověření provozu v testovací větvi.

Dne 16.4. 2008 proběhla vývojářská konference na téma "Tvorba aplikací pro transačkní část PVS". Prezentace z konference jsou k dispozici ke stažení v sekci "Soubory"

https://bezpecne.dev.gov.cz/diskuze/files/9/transakcni_cast_pvs/category1003.aspx

V prvé řadě bychom rádi poděkovali všem, kteří se aktivně zúčastnili testování povýšené transakční části PVS. Díky tomuto testování se nám podařilo odhalit celou řadu problémů, které jsme obratem vyřešili. Testování dále pokračuje a pracujeme na řešení všech dosud ohlášených problémů.

Zatím máme pokryto poměrně malé procento zaregistrovaných vývojářů a jejich klientských aplikací. Na otestování těchto aplikací přímo závisí případné problémy klientů podávajících přes PVS po přepnutí ostré části. Prosíme vás, zapojte se proto v příštím týdnu do testování.

Soutěž o mobilní telefony stále probíhá, a proto neváhejte a vložte informace o testování vaší aplikace na komunitní web do diskusního fóra Testování povýšené TRA PVS  -https://bezpecne.dev.gov.cz/diskuze/forums/36/ShowForum.aspx.

Plánovaný termín odstávky

Původně ohlášený termín 23. 11. 2007 od 20:00 -  26. 11. 2007 do 06:00 plánované odstávky ostré větve TRA PVS  se ruší  a zahájení prací na povýšení ostré větve TRA PVS bude posunuto o jeden týden. Přesný termín a čas bude oznámen. Jedním z hlavních důvodů posunu odstávky je kolize termínu odstávky s termínem podávání DPH. Za druhé chceme dát dalším vývojářům šanci otestovat své aplikace.   

Přehled hlášených problémů zpětné kompatibility povýšené TRA PVS

1. Rozhraní „submission“ nepodporuje funkci „poll“. Tato chyba se projevila u těch vývojářů, kteří nedodrželi specifikaci komunikace s TRA PVS. Bylo vytvořeno náhradní řešení na omezenou dobu, které zajišťuje chování původní TRA PVS. Vývojáři získají definovaný termín, do kterého budou muset své aplikace opravit. Po té bude náhradní řešení z TRA PVS odstraněno.  Přesný termín odstranění náhradního řešení bude s dostatečným předstihem ohlášen. Důvodem odstranění zpětné kompatibility je snížení zátěže povýšené  TRA PVS.

2. Problémy s přihlašování certifikátem. Povýšená TRA PVS nepodporovala  starší metodu kanonizace

<CanonicalizationMethod Algorithm="http://www.w3.org/TR/2000/WD-xml-c14n-20001011"/>

V povýšené  TRA PVS byla zabudována podpora následující kanonizační metody:

 http://www.w3.org/TR/2001/REC-xml-c14n-20010315

Vzhledem k zachování zpětné kompatibility jsme tuto podporu starší metody zapracovali. Do budoucna počítáme s podporou obou metod.

3. Seznam podání – funkce list. Tato funkce je doplňkovou funkcí TRA PVS a slouží pro případ, že aplikace ztratí seznam uskutečněných podání. V povýšené TRA PVS není tato funkce zpětně kompatibilní s původní verzí, protože nová verze funkce byla z pohledu bezpečnostního modelu TRA PVS změněna. Resp. její bezpečnostní model byl sjednocen s ostatními službami. Vedle tohoto problému byly oznámeny ještě další rozdíly v chování. Problém je momentálně v řešení.

 4. Rozšíření root elementu <xml> o atribut encoding.  Veškeré XML zprávy procházející TRA PVS byly doplněny atributem „encoding=UTF-8“. Toto rozšíření je plně v souladu s internetovým standardem, přesto byla identifikována jedna aplikace, která má s tímto rozšířením problém.  Po dohodě s tvůrcem aplikace bylo dohodnuto, že není nutné toto chování PVS měnit.

5. Kontrola GovTalk obálky na základě definovaného XSD schématu. Po spuštění povýšené TRA PVS řada vývojářů hlásila problémy s podáváním, kdy podání nebylo zpracováno kvůli nekompatibilnímu XSD schématu. Problém byl vyřešen nasazením opraveného XSD schématu.

6. Chyby šifrování, duplicitních podání apod. Tyto chyby nesouvisely s povýšenou TRA PVS, ale plynuly z chybného nastavení např. šifrovacích certifikátů či špatného pochopení fungování služby. Po vysvětlení byly na straně podávajících problémy odstraněny.

Požadavky na změnu chování povýšené TRA PVS

V průběhu testování byly ze strany vývojářů vzneseny požadavky na změnu chování povýšené TRA PVS.  Mezi první připomínku lze zařadit požadavek na omezení zasílání informativních mailů uživatelům. Z tohoto důvodu byla přidána možnost v GovTalk obálce v elementu <EmailAddress> uvést hodnotu „nomail“. V takovém případě TRA PVS nezasílá informativní maily.

Dále byla požadována změna pro přidání dalších informací, které se zobrazují v informativních mailech. Na tomto základě byly upraveny transformační šablony, které slouží pro generování informačních mailů.

Tým TRA PVS

 

V následujících dnech dojde k zásadním změnám na transakční části PVS.

Ve dnech 16. 11. 2007 –  2. 12. 2007 dojde k povýšení celé TRA PVS. Přestože povýšená verze bude plně zpětně kompatibilní se stávající verzí, bude nezbytně nutné provést otestování současných aplikací. Při testování aplikací potřebujeme vaší součinnost, kterou odměníme soutěží o mobilní telefony SmartPhone. Podmínky soutěže jsou uvedeny v následujícím textu.   

Proběhne povýšení transakční části PVS

Stávající Transakční část Portálu veřejné správy  (TRA PVS) je v provozu beze změny od roku 2003 a během této doby přenesla více než 32 000 000 elektronických formulářů pro cca 60 000 uživatelů. Zvyšující se nároky na provoz, požadavky uživatelů na lepší obsluhu registračního modulu a existence nových internetových standardů vedou k tomu, že je nutné provést povýšení TRA PVS.

Práce na povýšení budou zahájeny v následujících dnech a tyto práce během několika dnů ovlivní jak  uživatele TRA PVS, tak i vývojáře, protože bude nutné uskutečnit několik odstávek TRA PVS. Vše je naplánováno tak, aby odstávky probíhaly během víkendů, kdy je na TRA PVS minimální provoz.

Součinnost vývojářů aplikací pro TRA PVS

První povýšení TRA PVS proběhne v testovací části TRA PVS na adrese https://bezpecne.dev.gov.cz, která je primárně určena pro vývojáře aplikací, a po tomto povýšení budeme potřebovat součinnost maximálního počtu vývojářů, kteří aplikace pro TRA PVS tvoří. Bude nutné, aby vývojáři otestovali své aplikace na povýšené verzi, a všechny, kteří testy provedou, prosíme, aby výsledek testu zapsali do speciálního diskusního fóra „Testování povýšené TRA PVS“ na komunitním webu.

Prodleva mezi povýšením testovací části a ostré části je pouhý týden a proto je nutné provést testy co nejdříve po oznámení, že testovací část byla již povýšena a je uvedena do provozu. Po celou dobu bude tým pracovníků, zodpovědných za novou TRA PVS, připraven asistovat při všech problémech vzniklých při testování stávajících aplikací. Během přípravy  povýšené TRA PVS byl v maximální míře kladen důraz na zpětnou kompatibilitu a v tomto duchu byly také prováděny příslušné testy. Přesto nebylo v silách týmu vyzkoušet veškeré varianty, které mohou nastat díky široké vývojářské komunitě a množství aplikací, které jsou k dnešnímu dni na trhu.

Plánované odstávky

16. 11. 2007 od 20:00 - 19. 11. 2007 do 06:00 - Testovací prostředí

23. 11. 2007 od 20:00 -  26. 11. 2007 do 06:00 - Ostré prostředí   

Podmínky soutěže

Vyhodnocení soutěže o mobilní telefon je založeno na vložených záznamech ve vytvořeném diskusním fóru „Testování povýšené TRA PVS“  na komunitním webu https://bezpecne.dev.gov.cz/diskuze/forums/36/ShowForum.aspx . Soutěž bude zahájena odesláním informativního e-mailu z komunitního webu o ukončení odstávky testovacího prostředí.  Soutěž bude ukončena 23. 11. 2007 ve 20:00.

Každý soutěžící musí provést test své klientské aplikace pro podávání pomocí TRA PVS. Po testu odeslání podání na TRA PVS musí soutěžící do uvedeného diskusního fóra vložit informaci o výsledku testu.

Uvede název aplikace, název služby (<Class>), CorrelationID úspěšně provedeného podání popř. chybové hlášení, datum a čas provedení testu.

Losování bude provedeno 27. 11. 2007 v 9:00 následovně. Z prvních deseti vložených záznamů o testech bude vylosován první vítěz. Z prvních padesáti vložených záznamů bude vylosován druhý vítěz. Na závěr ze všech vložených záznamů bude vylosován třetí vítěz. Pro každou aplikaci a službu  bude do losování vložen jeden záznam. Limit je jedna výhra na soutěžícího. Výherci budou kontaktováni na e-mailu uvedeném při registraci na komunitním webu.

Pořadateli  neplynou z této soutěže žádné právní závazky.

Nové funkce TRA PVS

Jak již bylo uvedeno, povýšená TRA PVS byla vytvořena tak, aby splňovala požadavky zpětné kompatibility, a z pohledu stávajících aplikací se nic nezměnilo. V praxi to znamená, že rozhraní HTTP POST a GovTalk obálka jsou zachovány. Přesto bylo nutné zohlednit požadavky některých vývojářů a reagovat na změny a rozvoj v oblasti webových standardů. Nově tedy TRA PVS vedle rozhraní HTTP POST přináší webové služby, které umožní komunikaci s TRA PVS prostřednictvím SOAP protokolu. Podrobnosti o nových webových službách budou uvedeny v příslušné technické dokumentaci, která bude uveřejněna na komunitním webu.

Celkovým rozšířením prošla i registrační část, která bude nabízet uživatelům více pohodlí při správě jejich účtů. První novinkou je tzv. nápovědná otázka, kterou si uživatelé mohou zadat při registraci či později, a tato otázka následně poslouží v případě, kdy uživatel zapomene heslo ke svému účtu. Po správné odpovědi na nápovědnou otázku TRA PVS zašle na uvedenou e-mailovou adresu nové heslo. Díky tomu nebudou muset uživatelé kontaktovat technickou podporu a problém si mohou vyřešit sami. Další změnou v registrační části prošla oblast pro zástupce, kde jsme kladli důraz na lepší možnost správy všech zastupovaných subjektů. Zástupci si např. budou moci své klienty rozdělit do kategorií a tím získat daleko lepší členění a přehled. Vedle přepracovaného uživatelského rozhraní byly vytvořeny webové služby, které vývojářům umožní ovládat účty uživatelů přímo z aplikací. Díky těmto webovým službám budou moci vývojáři do svých aplikací zabudovat např. vytváření nových uživatelských účtů, změny účtů, restování hesla, zápis ke službám atd. Podrobná dokumentace pro vývojáře bude taktéž k dispozici na komunitním webu.