Názory k článku
Uspěje OpenID v českém kabátu?

Když to má seznam.cz, tak proč znovu vymýšlet kolo? Asi se nic.cz jen nudí, přitom bychom spíše potřebovali něco dokonalejšího než datové schránky. Např. něco jako je EDI v otevřeném formátu (ISDOC vychází z mezinárodního standardu UBL 2.0 (Universal Business Language)) + otevřený komunikační kanál (Jabber/GTalk) + otevřený systém podpisů GnuPG. Vše zdarma a vše by spoustě lidem ušetřilo práci. V povedené implementaci také miliardy státní správě.

CZ.NIC není komerční subjekt. Nikdy tudíž nevyužije jakákoliv data pro obchodní činnost. Ve velmi citlivé oblasti nakládání s osobními údaji je to zásadní rozdíl oproti všem ostatním (komerčním) poskytovatelům OpenID v ČR. Václav Martin, CZ.NIC.

V CZ.NIC jsou sdruzeny komercni i nekomercni subjekty. Nicmene CZ.NIC jako sdruzeni neni komercnim subjektem (neni zalozen za ucelem zisku).

To sice není, ale tím, že členy CZ.NIC jsou komerční subjekty, tak těžko se ubránit podezření, že data, která se neziskovému sdružení dostanou do držení, mohou být komerčně využitelná a tedy i "využita" některým jeho komerčním členem...

Proc si to myslite? Clenstvi prece nezaklada zadny narok na pristup k provoznim informacim.

Ja mam naopak velmi usilovny pocit, ze tim, ze je v CZ.NICu tolik clenu s protichudnymi zajmy, tak se vzajemne pohlidaji :-)

Z hlediska infrastruktury je jen velmi obtizne najit v CR nejaky nevladni subjekt, ktery ma neutralnejsi pozici.

Tak jsem trochu paranoidní - proto si to myslím :-) Na druhou stranu se mi celkem často moje paranoidní úvahy časem v praxi potvrdí...

Souhlasím, že NIC je na naše poměry velmi velmi neutrální, nicméně třeba mezi členy CZ.NIC zavládne většinová shoda, že ta data by se jim prostě hodila. Neb jak se říká: "Cokoliv zneužito být může, zneužito nakonec jednou bude."

Jinak jak jsem koukal na jiné diskusní příspěvky, tak mě zaujal nápad, který nadhodil diskutující LEXX - tedy není cílem implementace tohoto typu OpenID příprava na realizaci univerzálního mikroplatebního systému? :-))

Mezi cleny jiste muze zavladnout vetisnova shoda nad leccims. Nicmene uz sam jejich pocet a heterogenita (+zpusob hlasovani) je pomerne slusnou zarukou, ze pripadne zneuziti je velmi obtizne (pokud ne nemozne).

Co se tyce mikroplatebniho systemu, tak velmi pochybuji, ze by se chtel CZ.NIC do takove veci pustit. Prece jen je to spise technologicka firma.

Zůstává ale otázka, proč se vůbec cz.nic do takové blbosti pouští, pokud za tím není nějaký skrytý obchodovatelný záměr.
Jen tak z "dobré vůle" a navíc něco tak relativně zbytečného? Motivace je tu záhadou a proto vyvolává pochybnosti.
Kdyby šlo o státní subjekt, bál bych se, že jde o první přípravný krok snahy, přidělit pevnou identifikaci ze zákona povinně všem. Podobně jako místo volitených mailů jsme od "ouřadu" najednou povinně vyfasovali ty zas** datové s*ránky.

Pak je to ovšem jasné. Máme větší příjmy a mohli bychom být ziskoví, tak to musíme zvýšit náklady. Zkusíme třeba nějaké OpenID.

Vzhledem k tomu, že „nedoménové“ projekty CZ.NICu jsou užitečné minimálně pro celý český internet, a že jejich implementace OpenID zdá se bude první implementací, která dává nějaký smysl, jsem rád, že CZ.NIC tyhle „nedoménové“ projekty dělá.

Kdy už konečně někoho napadne používat klientské SSL certifikáty?

1. uživatel si vygeneruje certifikát (stačí self-signed, stačí jeden pro všechny služby)
2. při registraci na nějaké službě nahraje jeho public key
3. přihlášení ke službě pak provede prohlížeč automaticky
4. certifikát je chráněn v prohlížeči přes Master password, který zadáte buď jednou při startu nebo při každém použití certifikátu, podle toho jak moc jste paranoidní

Podpora v prohlížečích dávno je. Je to jednoduché, decentralizované a bezpečné. Ale bohužel na tom žádná třetí firma nevydělá, tak se to nerozšířilo. Jediné použítí, které jsem viděl, je klientský portál VZP.

>1. uživatel si vygeneruje certifikát (stačí self-signed, stačí jeden pro všechny služby)

Tady drtvivá většina BFU skončí.

k cemu aplikaci? prohlizece tohle generovani davno umi sami a ani uzivatel nemusi nicemu rozumnet

Nerozumím na tom ničemu a proto taky nerozumím tomu, zda a jak moc je to spolehlivé a bezpečné. A motivaci naučit, pochopit a používat já osobně zatím žádnou nemám. A o tom to možná bude i u jiných. Motivace ke změně a důvěra k nástrojům.

Pak je otázka, co děláte v diskuzi na odborném serveru.

Pokud to byla jen ironie, pak bych k tomu řekl, že stejně jako BFU nebudou důvěřovat certifikátům, nebudou důvěřovat ani projektu MojeID.

Wizard pro generování klíčů lze v prohlížeči ze strany webaplikace vyvolat.

A úplní BFU (takoví, kteří neví, kde mají na disku soubory) by stejně přihlašování certifikáty používat neměli, dokud jsou tyto v souboru na disku.

To teprve až bude privátní klíč na nějaké eObčance a každý počítač mít čtečku ...

Pro me za me, at si to vi, a klidne at si tim vytapetuje kancelar.

No, ale na druhý straně, proč mu to cpát? I kdyby mi bylo ukradený že přijdu o další část soukromí, tak nevidím důvod, dělat to takhle.
Mě to ale jedno není a tak tuhle "službu" určitě používat nebudu.

Já bych to třeba nevyužil. Přestože SSL certifikáty mám rád a používám je třeba pro VPNky.
Certifikát bych musel mít na všech zařízeních, ze kterých používám Internet (iPhone, iPad, MacBook, Mac Mini, notebook s Ubuntu, virtuál s CentOS, PC s Windows XP a servery klientů - Windows 2003 a 2008 Server).
Všechno aktivně používám. To už je hodně míst, kde leží privátní část certifikátu, kterou může někdo ukrást a pak se dostat všude.
Raději používám software, kde mám hesla uložena (přes 1000 hesel, kombinace cca 20 znaků generovaných náhodně generátorem, pro každý systém jiné heslo).
Na MacBooku je program integrovaný do prohlížečů Safari a Firefox, takže vyplní uložené heslo na pravé tlačítko.
Na strojích, kam se připojuji přes RDP, VNC, ICA,... zadávám heslo pomocí copy&paste.
Občas ho bohužel musím naťukat ručně, což je většinou na iPhone doprovázeno povzdechem "proč musím být tak paranoidní", protože musím zadat heslo pro odemčení telefonu, heslo pro spuštění aplikace, heslo pro zobrazení hesla, které potřebuji....
Každopádně mi tenhle systém vyhovuje víc, než certifikáty... zvlášť když z praxe vím, jak nakládají s certifikáty běžní uživatelé (klidně pošlou privátní část mail i s heslem, pokud ho certifikát má).... Takže při jakémkoliv "OpenID" řešení má pak útočník přístup naprosto do všech systémů....

BTW: to, že jsem paranoidní neznamená, že po mně nejdou :-)

To už je hodně míst, kde leží privátní část certifikátu, kterou může někdo ukrást a pak se dostat všude. Ten privátní klíč nemusí být všude. Vždy bude záložní alternativa přihlásit se bez něj, jen heslem (stejně tomu je u OpenID). Bezpečnost to neohrozí, protože takto, jen přes heslo, se obvykle přihlašovat nebudete, takže příležitosti k odposlechnutí je málo. A při případném odcizení můžete certifikát revokovat (pravda, pak nemůže být self-signed).

Jo, asi bych si dovedl představit, že certifikát budu mít jenom na primárním stroji, na kterém probíhá řekněme 60% veškerého přihlašování, a na všech ostatních se budu hlásit heslem...

Ale tahle to mám v podstatě už teď. Pouze s tím rozdílem, že se nepřihlásím automaticky, ale musím dát pravé tlačítko.... Což mi připomíná, že si na to pravé tlačítko můžu vybrat mezi více účty (například já, jako "jsaur", nejsem administrátorem ani ve vlastních systémech a potřebuji-li přidat třeba nového uživatele, musím se přihlásit jako "admin"), takže bych i těch certifikátů asi potřeboval několik...

Jo, když jsou v prohlížeči zašifrovaně uložená jména a hesla, tak je to z uživatelského hlediska podobné. Ale pořád vás otravuje ta úvodní přihlašovací stránka a těžko se tato uložená hesla přenesete na jiný počítač či dokonce do jiného prohlížeče.

Víc certifikátů mít samozřejmě lze a prohlížeč vám buď dá vybrat, nebo nějaký vybere tzv. "automaticky" (nevím přesně jak, asi zkusí postupně všechny a vezme první co funguje).

V prohlížeči uložená hesla přenést lze. Například v lednu 2011 končící xmarks umí dokonce automatickou synchronizaci mezi počítači s různým OS. Otázkou samozřejmě je, jak moc je to bezpečné. Pro nás paranoiky samozřejmě nepředstavitelné, že by byla hesla uložena někde na Internetu, aby se mohla synchronizovat :-) Ale spousta lidí to využívá.

Pokud se hesla uloží do nějaké systémové "klíčenky" (MAC OS a Linux), pak to bude asi složitější, ale taky to určitě půjde.

Program 1Password je sice jenom pro MAC OS, ale zase hesla synchronizují mezi MacBookem, iPhone a iPadem po lokální WiFi téměř automaticky (na iPhone a iPadu stačí je nutno aplikaci spustit)

KeePass lze pustit téměř na čemkoliv (akorát AppStore jej už několikrát odmítl, takže na iPhone bez JB to nepůjde). Přenos mezi počítači znamená přenos databáze v jednom šifrovaném souboru.

eWallet jsem měl koupený ještě, když jsem používal Windows na počítači i v mobilu. Jak je na tom dnes už nemůžu říct, ale už tenkrát (asi dva až tři roky zpátky) to fungovalo spolehlivě, včetně synchronizace, zálohování, nebo přenosu na jiná zařízení....

Ale aby to nevypadalo, že tady tvrdošíjně obhajuji hesla na úkor certifikátů... :-) neříkám, že to není cesta, já jenom říkám, že osobně bych možnost přihlášení SSL certifikátem asi moc nevyužil :-) Teda, pokud bych si mohl dobrovolně vybrat... Kdybych to někde dostal "befelem", tak bych si taky zvykl :-)

> Program 1Password je sice jenom pro MAC OS
Není, já jej používám na Mac OS X, iOS a Windows (XP, Vista, 7)
A vše se automaticky synchronizuje přes Dropbox.

Pokud nevěříte, zde máte odkaz:
http://agilewebsolutions.com/onepassword/win

Také, když používáte synchronizaci přes Dropbox, tak máte hesla přístupná odkudkoliv, kde je browser. Stačí otevřít 1Password.html soubor.

No vida, tak to to jsem netušil.... Já Windows nemám :-) Jak jsem psal, na Windows jsem používal eWallet a KeePass.

Akorát ten DropBox není pro mě. Nedám na Internet hesla od systémů svých klientů. Důvěru, kterou dávají oni mně, já Internetu nedám :-)

tak tak, dokonce to splňuje family licenční podmínky. mám to na iphone galaxyS s 2.1 na dvou minimackách a macbooku.

Server posílá seznam autorit, které lze použít pro přihlášení, podle toho může prohlížeč vybrat certifikát automaticky. Zkoušet všechny nemůže, protože pokud se při navazování SSL spojení něco nepovede, spojení se ihned přeruší – v dnešních prohlížečích skončíte s bílou stránkou, což není moc uživatelsky přívětivé.

Ostatně prohlížeče podporují ty rozumné způsoby přihlášení jen velmi málo, takže nakonec uživatelsky nejkomfortnější je ten nejhloupější způsob přihlášení – HTML formulář. I přes HTTP se lze přihlásit bezpečně přes HTTP Auth Digest, přes HTTPS již zmíněný klientský certifikát. Jenže v prvním případě se přihlašujete divným nesrozumitelným dialogem, ve druhém vám třeba Firefox při nabídce certifikátů nedá vybrat podle jména, ale podle otisku nebo podle čeho (nějaké hexadecimální číslo). A v obou případech chybí snad ve všech prohlížečích možnost odhlášení (přitom u těchto dvou metod jde odhlášení opět udělat bezpečně, ne jako u HTML formulářů). Takže kdyby se chtělo, jde to snadno, vlastně by stačilo jen zkulturnit webové prohlížeče. Ale o bezpečné přihlašování evidentně nemá skoro nikdo zájem…

Ale o bezpečné přihlašování evidentně nemá skoro nikdo zájem…
Tak je to bohužel se spoustou dalších technologií (nejen certifikáty vs. hesla, ale Jabber vs. ICQ, SIP vs. Skype, ...). Dokud nenastane nějaký pořádný průser, který donutí uživatele se zajímat, co to vlastně používají ...

Jo, to je svatá pravda... bezpečnost je něco, co otravuje a zdržuje od práce... :-))

U placené verze, která bude stát tisícovku ročně, bude muset firma s CZ.NIC podepsat smlouvu, ale za to bude mít přístup ke všem údajům, které uživatel při registraci vyplnil. I v tomto případě má ale uživatel možnost rozhodnout, k jakým údajům bude mít konkrétní firma přístup, tentokrát se tak ovšem děje systémem opt-out.

To nemůžou myslet vážně. Jako že dodatečně odvolám souhlas, který firma hned automaticky dostane a ta data si hned automaticky stáhne?

Vždy budete mít možnost označit údaje, které chcete/nechcete poskytnout každému konkrétnímu webu. Smlouva mezi poskytovatelem a CZ.NIC řeší především legislativní stránku věci (mj. ochranu osobních údajů uživatelů). Proto poskytovatelé bez smlouvy mají uživatelská data implicitně opt-in a vice versa. Václav Martin, CZ.NIC.

Jak to tedy probiha? Pro mne osobne je jedina schudna cesta kdyz mi o kazdem pokusu nezname firmy o stazeni prijde notifikace a ja rozhodnu. Pokud investice pouhych 1000Kc firme zaruci moje udaje s tim, ze se pozdeji muzu odebrat souhlas, je to pouha fraska a ne ochrana soukromi.

V článku to není napsané úplně přesně. Vždy platí, že se předávají pouze ta osobní data, se kterými uživatel vysloví souhlas. To hlavní, co je poskytovatel služby za 1000 kč dostane, je předání příznaku validace, tzn. že proběhnul vyšší stupeň ověření identity uživatele. Běžný poskytovatel služby k této informaci nebude mít přístup. Kromě toho bude mít uživatel u tohoto poskytovatele služeb při dotazování na předání osobních údajů přednastavenu (pouze přednastavenu) větší skupinu údajů. Jestli tato data předá je ale jen na něm.

Toto řešení OpenID je ideálním předstupněm k vybírání mikroplateb za obsah. Jednoduchá identifikace, jednotné zúčtování za všechny weby, které toto OpenID implementují.

Z hlediska bezpečnosti a anonymity na netu je to ale naprostá cesta do pekel. Už dnes mám ve svém okolí hodně lidí, kteří rezignovali na diskuse na velkých českých zpravodajských webech, protože se jim příčí dát k dispozici svoji podrobnou identifikaci (někde je možnost diskutovat pod přezdívkou a skutečné jméno zná jen provozovatel webu, někde se dokonce přímo zobrazuje). Nyní se nabízí služba, která má sjednotit identifikaci pro prakticky neomezený počet webů.

Děkuji nechci. Nebo vy byste šli diskutovat o něčem kontroverzním (třeba sem - http://eretz.cz/forum/index.php ) s tím, že provozovatel zná Vaši identitu?

"Prozatim" to nebude nutne pouzivat..

Cely jen cesta do pekel a o krucek blize totalite, nikdy..

Nemyslím, že by spamboti byli nějakým zásadním problémem diskusních fór. Alespoň ne těch větších, stojících na solidním software.
Spojení fyzické a internetové identity nevidím jako důvod ke slavení.

No nevím, lidovky.cz mají povinnou registraci ověřenou papírovým dopisem se zobrazováním jména - a když se podíváte do diskusí, tak trotlů je tam pořád dost, nebo dokonce naopak, jejich procento stouplo.
Co ale zmizelo, jsou příspěvky, které jsou blízké informacím "zevnitř" - protože si každý rozmyslí, jestli něco takového jen naznačí. Tím vůbec nemyslím něco, co by se jen zdaleka blížilo rozporu se zákonem.

Není přece povinností provozovatele ty údaje zveřejňovat. Klidně může u formuláře pro komentář mít zaškrtávátko „přispět anonymně“, a údaje tak budou dostupné jen provozovateli. Před provozovatelem není běžný přispěvatel anonymní ani dnes, takže to rozhodně není změna k horšímu. Pokud by měl někdo opravdu citlivé informace a nechtěl by prozradit svou identitu ani provozovateli, stejně takovou věc nebude psát někam do diskusního fóra.

Záleží na provozovateli, jak pak bude dál s tou identitou pracovat. Může ručně kontrolovat anonymizované příspěvky, blokovat nebo skrývat uživatele s jejich velkým počtem, skrývat příspěvky uživatelů se špatným hodnocením…

proc to delat jednoduse kdyz se vlastne muzu pravou nohou poskrabat za levym uchem ze ano?
primitiv zustane primitivem ikdyz mu date obcanku, naopak plno lidi si rozmysli zda pusti nejakou zajimavou informaci jako insider.

V podstatě stejný projekt máme realizován již 2 roky, bohužel my na rozdíl od nich na to musíme peníze tou službou vydělat a prostě ty peníze na to nedokážeme na spuštění sehnat. To se to provozují věci za cizí peníze :-(

To, že se stále najde dost paranoiků a fanatiků, kteří mají stále nutnost vykřikovat ty bláboly o bezpečnosti, zneužití dat, ztráty anonymity a podobně je jasné, běžný člověk toto neřeší a klidně to využije.
Ve skutečnosti jsou osobní data v tomto případě v mnohem větším bezpečí než když je lidé rozdávají na požádání na každém internetovém serveru, kde jsou pak často neaktuální, nepamatují si přihlašovací údaje a pod.

Co se mně na službě zamlouvá nejvíce je právě možnost používat ověřené účty na základě ověření dokladu a to je největším přínosem této služby, ostatně my jsme naši službu postavili právě výhradně na nutnosti kontroly osobních údajů, které se mělo řešit zasláním doporučeného dopisu do vlastních rukou abychom dokázali ověřit, že dotyčný a jeho poštovní adresa existuje. Bohužel jsme nesehnali prostředky na zasílání těch doporučených dopisů. Služba by se totiž nejvíce uplatila u provozovatelů internetových obchodů, kteří tak získají jistotu, že kupující je skutečně tím za koho se vydává a hlavně při nákupu a záměrném nevyzvednutí zboží je jednoznačně identifikován a je z něj možné právně vymáhat náklady, které obchodu svým nekalým jednáním způsobil, což do teď nebylo možné.
Jestli si někdo myslíte, že je to nesmysl a že by o to neměl nikdo zájem, tak věřte, že máme skoro 60tis zájemců z řad uživatelů, kteří byli ochotni tuto službu používat a několik stovek internetových obchodů, kteří by takovéto přihlašování implementovali a dali zákazníkům i určité výhody pokud se tímto způsobem přihlásí.

<no sarcasm>Tady něco neštymuje. Píšete, že máte spousty zájemců, ale nemáte peníze na takovou prkotinu jako doporučené dopisy. Tak proč prostě ty peníze nezískáte od těch zájemců?</no sarcasm>

Co na tom nesedí, spočítejte si náklady na vystavení identifikačních karet a jejich zaslání uživatelům, jsme na zhruba 40 Kč za jednoho uživatele , vynásobme 60 000 a jsme pomalu na 2.5mil a ty prostě nemáme. Nepsal sem že ti uživatelé jsou ochotni za ty přihlašovací karty zaplatit, ale zdarma je chtějí a tady je problém jak to ufinancovat, nějaká jednání jsme podnikli a vypadalo to i nadějně, že někdy v dubnu příštího roku by bylo reálné snad i vše spustit, ale teď vidím, že to již nemá žádný smysl, tomu se konkurovat nedá s takovýmto finančním a techickým zázemím.

Naklady by meli nest spise zucastnene eshopy, pisete, ze jich je nekolik set, tak co by nezaplatily za overeny kontakt na cloveka, kdyz jim dokazete dodat cca 60k zakazniku.

Tech 40 Kc se mi zda podstrelenych. To neni jen o tom rozeslani, ale i o zpracovani tech co se vrati zpet.

Je to tak, těch 40 Kč je opravdu naprosté minimum se kterým se počítalo. Bohužel žijeme v ČR a tady je postavené vše na hlavu, hlavně logika mnoha lidí, takže obchodníci nechtěli platit za ty zákazníky, ale byli ochotni jim nabídnou nějaké výhody, nejčastěji pár procent slevu na nákup nebo častěji slevu na poštovném. Postrádá to sice logiku, protože takto vynaloží v podstatě více, ale oni to vnímají jinak, oni když to dají jako nějakou slevu tak jim to nepřipadá jako že je to něco stálo na rozdíl od fyzického zaslání peněz.

Aha, takže nemáte žádné _opravdové_ zájemce o projekt, ani z řad uživatelů, ani z řad eShopů.

Spise bych uvazoval o necem jako mel Thawte pro vydavani osobnich certifikatu, Web of Trust. Tam je potom overeni relativne zadarmo nebo ho zajistuje dany notar za odmenu mezi overovanym a notarem. Ale myslim si, ze vetsina uzivatelu o nejaka jednotna a overena data nestoji. Ja mam treba pro vetsinu shopu odlisna data, abych poznal kdo si je nechal ukrast nebo je prodal, zakladam si treba extra emaily a podobne. Jakmile prijde neco co nechci, jde dany email na /dev/null a hotovo.

MojeID urcite nekde uzitecne bude, ale treba tam, kde budu chtit mit registraci a nesdelovat email. Treba zrovna na lupe, chci tu mit identitu a email tu zadam pro dve veci: 1) je nutne nejak alespon castecne overit, ze dany uzivatel existuje kvuli spambotum, 2) kdyz zapomenu heslo, potrebuji nejak vygenerovat nove. Pokud tyto dva problemy nekdo zajisti externe, neni nejmensi problem mit tady identitu, kterou nikdo nebude moct spamovat a ktera bude naporad moje.

Nebo pekne reseni nabizi Verisign, tam je OpenID k dispozici s HW kalkulackou. Kdybych ji mel porizovat pro kazdou sluzbu a spravovat na strane serveru klice, tak by to bylo drahe a slozite. Takto se koupi jedna za par dolaru (o rad levnejsi nez by vysla vlastni, kterou bych si spravoval sam) a implementace je take zalezitost jedne knihovny a hotovo. A mam tam kde potrebuji zabezpecene prihlaseni s heslem + HW kalkulackou. A to vsechno v dobe overovaciho provozu zadarmo a do budoucna se uvidi.

na jakoukoliv registraci at uz do eshopu nebo diskuse pouzivam nahodne generovany email s hodinovou platnosti na jetable.com a mam klid.

Dane, aniž bych něco dopředu sliboval, tak máme do budoucna v plánu podporovat další autentizační metody (například se nabízí YubiKey).

U RSA kalkulačky je trochu problém autentizační server.

Problém ne-anonymity OpenID jsem řešil ve vlastním projektu nazvaném EasyLogin. Kromě jiného má hlavní výhodu tu, že jej lze nativně implementovat v PHP a to na obě strany (jak na IdP tak na SP).

http://www.easylogin.net

(anonymita se řeší tím, že službě práskneme jen svého identity providera, ale identitu sdělujeme až svému identity providerovi)

>Pokud vše bude fungovat, tak např. vysoké školy mohou ve svých epřihláškách vyžadovat tuto ověřenou identitu.

K čemu by jim to bylo dobré?

Doufám, že MojeID uspěje, myslím, že má velký potenciál. Své poznatky jsem sepsal na svém blogu: http://www.jiri-kolarik.cz/clanek/jak-na-mojeid-predstaveni/