Vlákno názorů k článku Datové schránky: jak na zneplatněné certifikáty? VII. od Martin Pištora - Jak jednou připustíme, že něco je nespolehlivé, tak...
-
Jak jednou připustíme, že něco je nespolehlivé, tak už se z problémů nevymotáme.
I když třeba problém, že ověřovat podpis až po nějaké době (aby byl čas na případné objevení se certifikátu v CRL) lze prakticky realizovat tak, že se podpis ověří ihned a v dobré víře se začne konat. Pak je potřeba zajistit další ověření s dostatečným odstupem a využitím CRL. Pokud se výjimečně zjisti neplatnost, pak spustit alarm, v důsledku čehož se všechny případné již uskutečněné úkony prohlásí za od počátku neplatné. Ve spisových agendách by to neměl být problém, během prvního dne po obdržení zprávy se toho stejně moc nestihne. Ale i v případě konverze, pokud se o ni nežádá anonymně, by neměl být problém v takovém výjimečném případě žadatele dohledat a informovat ho o dodatečném zneplatnění konverze.
Ale s CRL sou i jiné problémy:
- Uživatel nikdy nemá jistotu, zda a jak je jeho SW používá (to je obecný problém).
- Při ověřování za delší dobu (zpětně k datu podpisu) už nebudou CRL z té doby k dispozici, protože CA je vystavují jen po určitou omezenou dobu (nebo CA zanikne jako celek).
- Není jistota, zda CA do CRL jen přidává. Může se stát, že nějaká položka po čase zase zmizí. -
Jiří PeterkaPodporovatelautorizovaná konverze na CzechPointech je anonymní: nezjišťuje se, kdo si konverzi nechává dělat.
ČLÁNKY DO MAILU