emh...konec konců i kamenná provozovna jde podvrhnout ... nebo jste neviděl slavný Podraz ? ... a .... a co když teď diskutujeme na podvržené Lupě, která nám podvrhla nějaký úplně špatný způsob ověření ....... a ... a vůbec co když já nejsem já a Vy nejste Vy ! :):):):):)
ad 1 a 2: Prachy Vás to bude stát vždycky, nebo má snad CA kamennou pobočku v každé obci? Pokud je doprava k pobočce dražší než věstník, pak je jeho zakoupení alternativa.
Děkuji za přínosný seriál, který je s nástupem datových schránek velice přínosný. Ocenil bych, kdybyste se v některém z dalších dílů zmínil podrobněji také o instalaci seznamu zneplatněných certifikátů u jednotlivých certifikačních autorit.
Také by možná bylo přínosné zaměřit se trošku na instalaci certifikátů do Adobe Reader, zejména jak probíhá ověřování právě zmiňovaných zneplatněných certifikátů v tomto prostředí, jelikož datové schránky budou převážně pracovat s formátem PDF.
Případně můžete zkusit si do certifikační autority zavolat telefonem a nechat si požadovaný otisk certifikátu nadiktovat.
- myslím, že pokud nevěřím webu, ani svému i-exploreru, tak nemohu také nijak ověřit, zda jsem se dovolal do skutečné certifikační autority.
Podle mýho názoru, jak tak sleduji tenhle seriál a ostatní informace o datových stránkách, tohle jen tak někdo nepochopí. :(
Vůbec si nedovedu představit, jak to bude fungovat u normálních lidí, kterých je opravdu většina a nemají takové znalosti z oblasti IT.
Sám to sleduji dost pečlivě, ale že bych tomu 100% rozumněl? To tedy ne...
Vaše články jsou odborně jistě na výši, bohužel jejich délka a obsáhlost do nejmenších podrobností, je, podle mého názoru, pro mnohé čtenáře (i pro mě) zbytečná a odrazuje od přečtení zajímavých a důležitých témat. Proto bych se přimlouval u Vašich článků o vytvoření jakéhosi výcucu, či shrnutí, které by bylo přiloženo například na závěr článku.
CRL:
Firefox - "Nástroje - Možnosti - Rozšířené - Certifikáty - Zneplatnění"
MSIE - "Nástroje - Možnosti Internetu - Upřesnit - Zabezpečení (je toho tam ohledně certifikátů a CRL víc)"
Opera - automaticky
Je to dlouhý, ale zato výborně napsaný. Ono by vůbec neškodilo, aby si to přečetli všichni, i s těmi podrobnostmi. Znalejší můžou číst mezi řádky, ale ostatní by si měli uvědomit, že důležitý je to všechno, ne nějakej "výcuc" (až to budou chápat, můžou se zařadit mezi ty, co mohou číst mezi řádky).
Všechny tyhle články bych odeslal neumětelům z Český pošty, co raděj ignorovat bezpečnostní hlášky, root certifikát si stáhnout z kdovíkam přesměrovaný stránky, a jiný nebezpečný amatérismy.
Man-in-middle může rapidně přibývat, pokud se uživatelé nebudou chovat jako svéprávný, a tenhle útok bude tím pádem stále úspěšný.
To je v pohodě: ten cca milión českých uživatelů si to v pohodě nastuduje tady z těch článků na lupě, případně jim to nalejou do hlavy na nějakým školení, a od listopadu to budou mít všechno v malíčku. Už dneska když přijdete na jakýkoliv úřad, tak vidíte, že hýbat myší, hrát hry a stanovat porno se už taky všichni naučili.
Jiná otázka je, jestli jim to stejně pomůže, protože stačí v počítači zalezlý nějaký lepší trojan a smolík.
Paradoxně na tom mohou být i lépe - tady si přečetli, že mají zatelefonovat do certifikační autority, tedy otevřou zleté stránky a najdou si číslo. To jim těžko někdo podvrhne (když pominu tak grandiózní projekt, jako "Podraz").
Mnohem horsi je ze pokud ostrej ISDS bude fungovat stejne dobre jako testovaci ISDS tak vznikne neuveritelnej bordel.
1) Na testu blblo hledani datovych schranek FO - kdyz\ jsem fledal jednu FO pres WebService tak mne to nic nevratilo ale web mi FO nasel, takze OVM se spisovkou nenajdou existujici DS
2) Nefunguje hledani OVM - napriklad když hledám ministertsto tak Web najde 11 záznamu web services 12 a prunik techto dvou výsledků je 13 záznamů.
3) Pokud nebudou DS autorizovane archivobany státem tak po prolomení současných hashovacich algotitmů(max20 let) bude možné podvrhnout datovou správu.
PPS problemy jsem poslal na podatelnu ministerstva vnitra :)
Zrovna Česká pošta v nich má pěkný bordel – některá distribuční místa CRL nejsou synchronizovaná a nabízení prošlé seznamy. Na moje upozornění to jednorázově „opravili“, nyní trpí opět stejným problém. Týká se to jak podautority pro kvalifikované certifikáty, tak přimo jejich kořene.
Je to výborně napsaný - dlouhý je to proto, protože víc zestručnit, aby to ale nadále bylo pochopitelné pro běžného uživatele a přitom upozorňovalo na vše podstatné a záludné, to snad ani nejde.
Dobrý den,
rád čtu články pana Peterky kolem DS, příjdou mi dost fundované a i některé námitky v diskuzích mi příjdou správné, což svědčí o tom, že námět není vůbec jednoduchý. Ale dnes to autor kapku nedomyslel. A sice mne prápí dvě věci:
1. Namísto abychom si DOŠLI na kamennou pobočku a ZADARMO získali pravé certifikáty, tak můžeme DOJÍT do krámu, tam si KOUPIT věstník a ZADARMO ztažené certifikáty POROVNAT. Proč dělat dvě věci, když můžu udělat čtyři a ještě mě to bude stát prachy? A teď se dostávám k názvu mého příspěvku. Co bude za pár let? Místo abychom si DOŠLI koupit 5 rohlíků po 2 korunách k pekaři, tak si DOJDEME do agentury, která OBJEDNÁ u kurýrní dopravy, DOVOZ 5 rohlíků po 2,5 kč. Bude to mít tu výhodu, že až se budeme vracet z agentury (možná i kolem toho pekařství), tak už nás bude čekat před domem poslíček se zvláště propečenými rohlíčky. Doba se mění, globalizace se prohlubuje a pak vznikají takové absurdity. Ale to je ten menší problém.
2. Co to blábolíte o NEVYPLATÍ SE DOJÍT ...! Pro Boha vždyť tady mluvíme o podpisech. Ten psaný je už stovky let naprostý základ a o elektronickém, který ho pomalu začíná nahrazovat to platí úplně stejně! Jestli se někomu NEVYPLATÍ být opatrný v souvislosti s podpisem, tak si nezaslouží nic jiného než podvržené certifikáty a přijít o celou svou identitu!!! Kromě toho si protiřečíte: v jednom odstavci píšete, jak Vám certifikáty nahráli sami od sebe a v NÁSLEDUJÍCÍM, že je ktomu musíme přesvědčovat. Tak sami nebo přesvědčovat? Správně by Vám měli vyrvat flešku z ruky ještě ve dveřích a nahrát na ni certifikáty než stihnete říct dobrý den. I toto by mohlo být uživatelské kritérium pro výběr CA. Přece nejsou 3 pro srandu králikům.
3. Už jenom pro úplnost. Kde je SHA-2? Jestli se nepletu, tak snad zde na Lupě jsem četl článek o blížícím se prolomení SHA-1 a v souvislosti s tím o přechodu na SHA-2. Konkrétně v ČR by mělo být SHA-2 od poloviny roku dobrovolné (na požádání) a od 1.1.2010 povinné. Nebo SHA-2 má samostatný soubor?
o délce článků si myslím, že není hodno polemizovat. Jsou dlouhé tak, aby byl vypovídající. Naopak bych dneska všem doporučil, aby si toto přečetli a hlavně to uměli. Děkuji
Problém skutečně není až tak o tom, zda mi někdo podvrhne falšovaný kořenový certifikát, ale jak vůbec docílit správného ověřování, pokud mám dostát zákonu, který uznává právě a jen 3 certifikované autority.
Jen určit kolik certifikátů musím od které CA instalovat je, jak je uvedeno v článku, netriviální záležitost. Pak musím rozmyslet, kde mám v počítači jaká úložiště, jak se do nich instaluje a i v těch úložištích zase kam. Pak jak je donutit aby uznávaly jen certifikáty 3 CA určených zákonem. A to vůbec nevím proč W98 mi správně vyhodnotily zneplatněný certifikát a W-XP nikoliv. I práci s CRL je tedy potřeba na úřadech nastavit a také se tomu musí patřičně rozumět - co kde v jakém úložišti. A aby to nebylo jednoduché jedná se o mírně dynamickou záležitost, kdy se čas od času musí zjistit, zda CA nevydala další certifikáty.
Na velkém úřadě to zřejmě vše vyřeší správně nastavená jednotná e-podatelna s tím, že pak už úředník musí věřit vydanému potvrzení a sám raději nic neověřovat. Zatím totiž nevím o sw, který by to vše nějak jednoduše řešil bez složité instalace na jednotlivá PC a návodů jak co ověřovat. I rak pochybuji, že všechny úřady, zejména malé obce, toto mohou bez chyb zvládat. V podstatě budou věřit "hodnocení" e-podpisu, které provede jeho operační systém, nejspíše windows, kam jim nejspíše někdo amatérsky alespoň dohraje kořenové certifikáty 3 CA.