Hlavní navigace

Názor k článku Datové schránky ante portas od anonym - S prvnim odstavcem jednoznacne souhlasim. Kvalifikovany certifikat je vazna...

Článek je starý, nové názory již nelze přidávat.

  • 26. 3. 2009 0:18

    bez přezdívky
    S prvnim odstavcem jednoznacne souhlasim.

    Kvalifikovany certifikat je vazna vec a pracuje se s nim nasledujicim zpusobem:

    vytvorim dokument

    podepisu dokument

    odeslu dokument protistranne.


    Prvni dva kroky provadim pomoci software, kteremu verim, ktery je zcela pod mou kontrolou, ktery muze byt napr. na pocitaci nepripojenem k Internetu. Jedna se o software standardizovany, siroce pouzivany, mnohokrat auditovany. Dokonce mohu vytvorit software vlastni, protoze uplne vsechny operace prvnich dvou kroku jsou popsany v normativnich dokumentech. Resp. predevsim zasadni druhy krok podpisu samotneho.

    Co se stane v pripade prihlaseni pres kvalifikovany certifikat ala tato reseni:

    uzivatel si stahne nejaky applet, ktery je pri kazdem stazeni jiny, tezko si schovate ten, ktery tam byl kdyz jste se prihlasoval, kdyz jej nekdo zameni, nedokazete to.

    server posle appletu certifikacni vyzvu a ten ji uzivateli zobrazi, vyzva je dejme tomu: "Ahoj, je 1.1.2009 13:05:06, chces se podivat do sve schranky?"

    applet !spocita! kryptografickou sumu dane vyzvy a podepise ji. Jak sumu spocital a jestli nepodepisuje nejakou jinou nemate moznost ovlivnit ani overit.

    podepsana suma se odesle na server a mate poskytnuty pristup

    K tomu si prictete, ze ceske zakony neumoznuji mit vice variant kvalifikovaneho certifikatu, takze uplne stejne podepisujete prihlaseni do danove schranky, kde najdete stejne jen informace, ktere si potom prectete ve sbirce listin na obchodnim rejstriku, jako prodej sveho bytu, uzavreni hypoteky, vzdani se prava odvolani proti platebnimu rozkazu....

    To je proste zasadne spatne. Lide se musi naucit pracovat se svou digitalni identitou a stat neni ten, kdo je ma ucit od zacatku vadne navyky.

    Bohuzel prosazovat variantu prihlaseni/otevreni spojeni SSL certifikatem je tezke. Implementace v soucasnych prohlizecich neni nic moc, takze treba IE pri odmitnuti certifikatu hodi chybu -301. Manageri ale chteji takovemu uzivateli zobrazit sexy flashovou animaci ukazujici, jak se strka cipova karta do ctecky a to je fakt orisek nejak vyresit, kdyz bylo spojeni serverem uzavreno. Pritom jedina moznost, jak detekovat MIM utok na strane serveru, je nechat otevrit spojeni oboustranne certifikaty.