Vlákno názorů k článku Co je nedostatečně bezpečné? Datové schránky nebo osvěta? od mrak - Kdyz si tak ctu dalsi clanek na tema...
-
mrak (neregistrovaný)Kdyz si tak ctu dalsi clanek na tema problemy certifikatu, ktere nejsou defaultne pritomny v systemu, tak me napada otazka, jestli nekdo nevi, proc se za ty roky co nase slavne cetrtifikacni autority existuji jeste do toho systemu nedostaly?
O tom jsem si nikde moc neprecet.
Jinak to co predvedla 4Safety si myslim neni nic objevneho, spis bych to videl jako praktickou demonstraci pro laickou verejnost. -
Flasi (neregistrovaný)Český stát má morální povinnost zajistit svým občanům bezpečný přístup do systému datových schránek.
Jednou z částí bezpečného přístupu je ověření bezpečnostního certifikátu. Existují různé způsoby, jak toho docílit. Akceptovat pravidla společnosti Webtrust by zřejmě bylo nejjednoduší cestou. Jelikož stát nezvolil vůbec žádný způsob a ověřit pravost certifikátu nelze zřejmě nijak, tak je stát oprávněně kritizován. V některých případech je kritizován obecně, v některých případech je kritizován, že nezvolil to konkrétní (dle mínění mnohých to nejjednodušší) řešení. -
Mno ono s tím slavným WebTrustem je to taky všelijaké. Tady je spíše na vině celý systém certifikátů v OS, který je postaven pouze na jedné úrovni důvěry. Ideální by bylo, kdyby v systému nebo v aplikaci, která vyhodnocuje důvěryhodnost daného certifikátu byly dvě úrovně důvěry. Jednou třeba podle Webtrustu a druhá pouze ty CA, které za důvěryhodné považuje uživatel. V aplikacích by pak mělo být jasně vidět jakou úroveň důvěry tento certifikát má.
Uvedu příklad : Dokumenty aby měly právní platnost mají být podepsané podpisy vydanými českými akreditovanými autoritami. Podpis certifikátem vystaveným např. Thawte je právně neplatný. Ovšem i když si mezi důvěryhodné CA dám naše čtyři akreditované autority, neustále budu muset podrobně a složitě kontrolovat kdože podpis vydal, protože systém bude jako důvěryhodné vyhodnocovat jak ty správné vydané českými akreditovanými autoritami tak ty ostatní vydané autoritami WebTrustu.
Taktéž pokud si zřídím doménu a nechám vydat serverový certifikát na mujedatovaschranka.cz (jeden dost pravděpodpbný překlep) tak bežný BFU nic nepozná neboť jeho prohlížeč bude z hlediska důveryhodnosti certifikátu reagovat úplně stejně a nikdo asi nebude neustále kontrolovat text certifikátu.
Prostě zde narazila česká byrokratická zhůvěřilost ještě navíc na samotnou problematickou podstatu praktické implementace důvěryhodnosti certifikátů v OS a aplikacích....když se k tomu přidá, že podpis certifikátem je považován za rovný podpisu klasickému (přitom je to bez časového razítka spíše jen pečeť na obálce) tak je maglajz na světě :) -
> musíte certifikační autoritě doložit totožnost
No to je právě omyl. Například pro tzv. 123 certifikát THAWTE nic takového nepotřebujete. Vydává se pouze na jméno domény. Zaregistrujete doménu na vymyšlenou firmu, zaplatíte registraci a hosting (třeba ukradenou kartou, nebo z hacknutého účtu) , objednáte u THAWTE certifikát oni najdou ve whois Váš email a pošlou Vám na něj ověřovací zprávu a pak Vám tam pošlou certifikát. Celé to nebude trvat déle než několik hodin. Když to celé podniknete z internetové kavárny bez kamer, nebo připojen přes bazarový telefon s předplacenou kartou těžko Vás někdo někdy vypátrá..... a to nepochybuji o tom, že při troše snahy by se našla mezi WebTrustovými CA i nějaká ještě "povolnější" možnost. Konec konců i normální "plný" certifikát u Thawte jsem (pravda před pěti lety) tenkrát objednal, po zaplacení i obdržel jen na základě vyplněné žádosti na webu a až zpětně po 2 měsících se ozval někdo z Polska a chtěl poslat kopii výpisu z OR, ale stačila neověřená a měl malinko problém s tím, že doména nebyla napsaná přímo na sróčko ale na fyzickou osobu. Ovšem stačilo zase někam do Polska poslat podepsané "čestné" prohlášení, že osoba potvrzuje vlastnictví domény a vše bylo OK. Takže i takto by to asi šlo na nějaký čas pořešit. Než by CA zjistila, že něco habruje, už máte přihlašovací údaje od půlky republiky :):):) -
mrak (neregistrovaný)Tak chapu, ze stat asi uprednostnuje jina kriteria nez WebTrust, ale kazdopadne diky za info jak je to s certifikaty ve Windows.
Kazdopadne by me zajimalo co za nesplnitelna kriteria maji.
Neb mit cert rovnou ve windows(ci jinde), to bych videl pak pro takovou CA jako jasnou konkurencni vyhodu. -
xpckar (neregistrovaný)Bylo by to sice dobrý, ale jako i tam jsou s některými certifikačními autoritami problémy ohledně nedostatečnýho ověřování žadatele (zda je to skutečně on). Takže plus by bylo mít autoritu jako důvěryhodnou přímo, ale vyšší bezpečí by to znamenalo právě a pouze proto, nikoliv, že WebTrust má nějaký super bezpečný podmínky.
-
Filip Jirsák (neregistrovaný)I. CA už nějakou dobu kořenový certifikát ve Windows má.
Jiná věc je, jestli má uživatel důvěřovat certifikátům, které mu do systému předinstaloval dodavatel nebo administrátor operačního systému nebo internetového prohlížeče, který „důvěryhodné“ certifikáty vybral podle bůhvíjakého klíče. -
Andrew (neregistrovaný)Jenže abyste mohl mít certifikát od Webtrustu, který by prohlížeče akceptovali, musíte certifikační autoritě doložit totožnost. A pokud tedy budete na doméně mujedatovaschranka.cz provozovat podvodný web na kterém ale budete mít tento certifikát, je to asi takové, jako kdybyste šel vyloupit banku a strážnému u dveří nejdřív ukázal občanku.
Proto je tu ta věc se schvalováním a v tom, co uvádíte problém není. Samozřejmě, nezabrání to udělat věrohodnou podvodnou schránku, ale kdo by ji dělal, když by ho hned sebrali. -
Veet (neregistrovaný)Protože ty certifikáty, co jsou ve Windows ( a jiných OS ) jsou od certifikačních společností sdružených v organizaci Web Trust. Ta má svá pravidla. Podstatná informace je, že žádný ze čtyř státně schválených poskytovatelů e-podpisů pro DS NESPLNIL BEZPEČNOSTNÍ PODMÍNKY PRO VSTUP DO SDRUŽENÍ Web Trust a proto jejich root certifikáty nejsou obecně distribuovány např přes Windows update, protože jsou z principu nedůvěryhodné. To je celé, mimo jiné to hovoří o pojedí datových schránek.
-
Flasi (neregistrovaný)Webtrust ani systém řízení certifikátů v OS rozhodně ideální nejsou. Problém je, že současná situace kolem DS má k ideálnímu stavu o několik řádů dále. Redy jdu na stránku o které vůbec nic nevím a stáhnu si z ní certifikát, kterému musím věřit. A ještě když při pokusu si telefonicky ověřit heš certifikátu uspěji i když je chybný.
