To není pravda, přihlašuji se do datové schránky kvalifikovaným certifikátem. Jak jsem vyrozuměl, prodávat pro datové schránky (za nemalé částky) komerční certifikáty je pouhý marketingový trik České pošty: proč zákazníkům-tupcům nabízet levný a universální kvalifikovaný certifikát, když jim mohu prodat několikanásobně dráž jednoúčelový komerční.
Názory k článku
Datové schránky: pracujeme s epodpisy, II.
3. 9. 2009 14:56
Nový
Ale ne...
celé vlákno
zatímco pro přihlašování k datové schránce je nutný certifikát komerční.
aura:100
3. 9. 2009 15:32
Nový
Re: Ale ne...
celé vlákno
dobrý den, s možností přihlašování k datové schránce mám vlastní praktickou zkušenost, kterou jsem popisoval v samostatném článku (zde). Jinak doporučuji též stanovisko MV ČR k používání kvalifikovaných a komerčních certifkátů.
3. 9. 2009 15:54
Nový
Re: Ale ne...
celé vlákno
Děkuji. To stanovisko MV je poněkud zmatené, nicméně pokud mu rozumím správně, má existovat právní povinnost (smluvní závazek) držitele kvalifikovaného certifikátu používat příslušný klíčový pár pouze k podepisování.
Ve VOP České pošty jsem ale nic takového nenalezl (možná jsem jen špatně hledal), a faktem je, že jak jsem popsal, technická omezení neexistují: kvalifikovaným certifikátem se přihlašuji do datové schránky a používám ho i k šifrování, dlouho a bez nejmenších problémů.
Upřímně řečeno, důvod pro takový zákaz nedokážu dovodit ani z bezpečnostních ohledů: pokud nejde o takovou aplikaci, při které by byl vyzrazován soukromý klíč, risiko kompromitace nevzniká (a žádnou tak šílenou aplikaci ani neznám).
blabulabul (neregistrovaný)
---.zpskoda.cz
3. 9. 2009 16:20
Nový
Re: Ale ne...
celé vlákno
A nejlepší ze všeho je naivita úředníků vydávající pravidla ve smyslu "... osoba, která se autentizuje, podepisuje srozumitelný text, např. „Tímto se přihlašuji k systému….“...", když netuší, že někde pod tím se vytvoří nesrozumitelný hash, který se teprve následně zašifruje soukromým klíčem. Takže neexistuje technický prostředek, který by odpovídal normám. :)
Stejně tak je úžasné zdůvodnění nutnosti šifrovat a podepisovat jiným klíčem ("... v odůvodněných případech, případně i ze zákonných důvodů, nezbytné získat soukromý klíč, který byl používán pro šifrování...") - pokud mám klíč na čipové kartě, neexistuje technický prostředek, jak získat soukromý klíč.
Stejně tak je úžasné zdůvodnění nutnosti šifrovat a podepisovat jiným klíčem ("... v odůvodněných případech, případně i ze zákonných důvodů, nezbytné získat soukromý klíč, který byl používán pro šifrování...") - pokud mám klíč na čipové kartě, neexistuje technický prostředek, jak získat soukromý klíč.
MB (neregistrovaný)
193.86.31.---
3. 9. 2009 16:49
Nový
Re: Ale ne...
celé vlákno
Čistě prakticky jsou klíče pro podepisování a klíče pro šifrování v jiném režimu. Klíč pro podepisování musí být výhradně pod kontrolou osoby, které byla vydán a spojuje se jen s její osobou (přes certifikát) jako podepisující a to i když podepisuje pro organizaci, ve které je třeba zaměstnána. Po odchodu z organizace se zneplatní, zničí a basta. Můžu totéž říci, pokud osoba spojená s klíčem přes certifikát pro organizaci šifrovala důležité dokumenty? Čili po odchodu certifikát zneplatnit a klíč fyzicky zničit?
3. 9. 2009 17:14
Nový
Re: Ale ne...
celé vlákno
Pro tento účel se podpisový klíč opravdu nehodí, ovšem tato hypothetická organisace si nemusí žádný certifikát kupovat, stačí, když si vygeneruje klíčový pár třeba pomocí openssl (může si vytvořit – zdarma – i vlastní certifikační autoritu).
Ale váš argument je s mými námitkami stejně mimoběžný, řešíme, zda lze kvalifikovaný certifikát využívat pro ty dva účely, u nichž pan Peterka napsal, že vyžadují certifikát komerční.
MB (neregistrovaný)
---.more.cz
4. 9. 2009 0:14
Nový
Re: Ale ne...
celé vlákno
ou nou ta hypothetická organisace si sama nevěří (a správný správní úřad si opravdu sám nevěří - zase se optejte legislativců) a tak opravdu potřebuje i to šifrování opřít o certifikační "autoritu".
blabulabul (neregistrovaný)
---.zpskoda.cz
3. 9. 2009 15:52
Nový
Re: Ale ne...
celé vlákno
Nesmysl, kvalifikovaný i komerční cert. stojí u PostSignum stejně - 190 Kč. A abych pravdu řekl, zatím jsem vůbec nepochopil rozdělení na kvalifikovaný a komerční, technicky je použítí nachlup stejné. Přijde mi, že je to nějaký výmysl právníků...
3. 9. 2009 15:58
Nový
Re: Ale ne...
celé vlákno
Na své poště jsem viděl škatulky v cenách několika- až desetinásobných: možná je to s USB nebo SC úložištěm, nevím, nezkoumal jsem je blíž.
3. 9. 2009 15:01
Nový
Ale ne... II
celé vlákno
A pokud bychom například potřebovali zašifrovat nějaké své sdělení (dokument), budeme také potřebovat certifikát komerční (a nikoli kvalifikovaný).
Proboha proč? Předně, při šifrování se certifikát vůbec neuplatní, použije se pouze klíčový pár. Opět, běžně pomocí evolution (linuxový mailer) šifruji kvalifikovanými "certifikáty" (ve skutečnosti klíči), žádný problém.
Vážený kolega Peterka zkrátka dnes neměl svůj den…
MB (neregistrovaný)
193.86.31.---
3. 9. 2009 15:48
Nový
Re: Ale ano... II
celé vlákno
Proč neměl svůj den? Certifikační politiky kvalifikovaných certifikačních autorit to mají uvedeno jasně (např. eIdentity)
1.4.2 Neprípustné použití certifikátu
Certifikáty se nesmí používat v rozporu s úcelem, ke kterému byly vydány, a to jak z technického hlediska (napr. podle omezení KeyUsage) tak i z právního hlediska (napr.
v rozporu se zákonem 227/2000 Sb.).
Takovým neprípustným použitím kvalifikovaného certifikátu muže být napríklad jeho použití pro šifrování ci identifikaci úcastníka šifrované komunikace v prostredí protokolu SSL/TLS.
Takže technicky to jít může, ale legislativa to nepřipouští.
3. 9. 2009 15:57
Nový
Re: Ale ano... II
celé vlákno
Při šifrování ani přihlašování se ovšem nepoužívá certifikát, nýbrž toliko klíčový pár.
MB (neregistrovaný)
193.86.31.---
3. 9. 2009 16:18
Nový
Re: Ale ano... II
celé vlákno
Pro vlastní šifrování ano, ale při komunikaci je snad i ověření certifikátu součástí té šiforvané komunikace.
