Hlavní navigace

Názor k článku Datové schránky ante portas od anonym - Zakon jasne zakazuje pouziti kvalifikovaneho certifikatu pro jiny...

Článek je starý, nové názory již nelze přidávat.

  • 25. 3. 2009 10:22

    bez přezdívky
    Zakon jasne zakazuje pouziti kvalifikovaneho certifikatu pro jiny ucel nez podpis. Dela to logicky proto, protoze kopiruje zakladni bezpecnostni standardy pro praci s pristupovymi a podpisovymi certifikaty.

    Jakykoliv java applet sice opticky vypada, ze resi technicky problem, ale ve skutecnosti porusuje bezpecnostni standardy. To ze kvalifikovany certifkat neumoznuje otevrit SSL spojeni neni nejaka vada, kterou musime slozite obchazet. Je to ochrana proti tem, kdo kryptografii vubec nerozumi.

    Ve chvili, kdy vam nekdo posle java applet a ten nacte vas certifikat, je uplne jedno, jestli zobrazi nejaky text, ktery musite podepsat. Je to situace, kdy jste sverili svuj kvalifikovany certifikat vcetne privatniho klice *cizi* aplikaci a dusledky jsou jasne, takovy stav se rovna kompromitaci privatniho klice kvalifikovaneho certifikatu.

    Bohuzel urednici tohle neradi slysi, protoze argumentuji tim, ze nejlepe placeni bezpecnostni experti CSOB toto reseni prosadili do jejich bankovnictvi a nikdy s nim nemeli problem. Soucasne nemaji odvahu chtit po lidech, aby si porizovali zvlast pristupovy a zvlast podpisovy certifikat.

    Ono je mozna z hlediska dusledku, ktere muze prinest kompromitace, lepsi pro takovyhle ucel pouzivat proste to jmeno a heslo, samozrejme s nejakym SSL tunelem a rozumnym zpusobem ukladani osolenych hashu hesel na strane provozovatele datovych schranek.