Vlákno názorů k článku
Autorizovaná konverze dokumentů: padělek už vám nezkonvertují

Narozdíl od kontroly podpisu, kterou lze provádět off-line, je pro zkoumání revokace certifikátů potřeba spolehnout se na CA.
Spolehlivost není nijak technicky zajištěna - jen předpisem. Revokované certifikáty se v CRL nemusí objevit. Nebo hůře: mohou se objevit, ale v pozdějších vydáních už ne. Pokud dvě strany budou zkoumat stejný dokument s podpisem stejným algoritmem, mohou dojít k různým výsledkům.
Problematické je také získání CRL z potřebného data po mnoha letech. Optimální je si stahovat a ukládat všechna vydaní CRL všech CA :-)

CA musí ze zákona držet kumulativní CRL 10 let, pak tato povinnost přechází na vnitro. Jak je na to ministerstvo připraveno, nevím.

CA musí tyto záznamy ze zákona uchovávat (a pak je předat MV). Ale nemusí je po tuto dobu zveřejňovat a ani to nedělá - v aktuálním CRL jsou typicky uvedeny pouze certifikáty, které (kromě toho že jsou revokované) neexpirovaly.

On je tu i problém, že certifikáty obsahují osobní data (třeba bydliště). A co s tím, když držitel certifikátu se rozhodne tyto data nadále nezveřejňovat. Certifikát dávno expiroval, byl zneplatněn a on by neměl možnost to změnit.

V CRL se eviduje číslo certifikátu, čas zneplatnění (a volitelně důvod zneplatnění). Tudíž v CRL žádné osobní údaje nejsou.

Ale musí je zveřejňovat (§ 6 odstavec 1 písmeno a, § 6a odstavec 1 písmeno f). Dokonce tam není výslovně omezena délka na 10 let.

V CRL nemusí být vedeny vypršené neodvolané certifikáty. Proč taky, když hranice platnosti jsou uvedeny v certifikátu samotném.

A přesto si myslím, že v aktuálním CRL nemusí být a nejsou uvedeny již "vypršené" revokované certifikáty. Viz příslušné RFC i viz např. konkrétní obsah aktuálních CRL třeba i našich akreditovaných CA.

BTW mj. asi i právě proto je naopak k dispozici možnost stáhnout si stará, historická CRL ...

Už rozumím. Jde o to, že odvolaný certifikát z CRL zmizí, jakmile uplyne standardní doba platnosti certifikátu.

Na RFC se podívám. Asi vzniklo v době, kdy se časová razítka nenosila a certifikáty se vždy ověřovaly k současnosti.

Takto to docela podkopává jakýkoliv pokus o automatizaci (přístup k historickým seznamům asi není nijak standardizovaný). Navíc to značně zatěžuje prostředky, protože by to znamenalo, že ke každému certifikátu by se musel stáhnout vlastní CRL vydaný v době nejbližší po času podepsání. To už by se vyplatilo nasadit OCSP.

Tak to je lepší, než jsem si myslel, ale je to právě jen to "zajištění předpisem". Teoreticky tedy může být v libovolném CRL kdykoliv cokoliv. A navíc je velká pravděpodobnost, že si neshody nikdo nevšimne.

Běžný software se pro to CRL na MV těžko dostane.

Teoreticky je možné cokoliv. Pokud takový ošklivý CRL získáte, není problém jej použít jako důkaz proti autoritě, protože autorita CRL podepisuje. (I CRL musí být chráněn proti padělání.) A vězte, že pokuty za porušení dotčených předpisů mají horní hranici řádově v miliónech korun.

Běžný software hledá CRL tam, kam ho odkáže certifikát. Rozumnější software je možné nastavit, aby se díval i do jiných CRL (často se používá ve větších podnicích pro potlačení zátěže způsobené masivním stahováním stejného souboru všemi pracovními stanicemi). Takže úplně stejně je možné nastavit nahlížení do seznamů ministerstva.

Problém ale spíše bude ten, že ministerstvo potřebný systém ještě ani nemá vybudovaný. Tedy alespoň se mi nedoneslo, že by něco takového již fungovalo.