Hlavní navigace

Názor k článku Datové schránky: přihlašujeme se s certifikátem od Filip Jirsák - Nechápu, proč je potřeba k přihlašování používat komerční...

  • Článek je starý, nové názory již nelze přidávat.
  • 12. 8. 2009 8:24

    Filip Jirsák (neregistrovaný)
    Nechápu, proč je potřeba k přihlašování používat komerční certifikát. Technicky by stačil úplně jakýkoli certifikát, třeba takový, který si vytvořím sám doma. Certifikát do ISDS nahrávám jako přihlášený uživatel, identita je tedy ověřena přihlášením – a pochybuju, že ISDS ověřuje identifikační údaje na certifikátu oproti údajům o vlastníkovi schránky (protože by to ve spoustě případů nesedělo, navíc údaje na certifikátu nejsou dostatečné pro jednoznačnou identifikaci vůči registru obyvatel).

    Maximálně by mohl ISDS požadovat, aby certifikační autorita, která daný certifikát vydala, publikovala veřejně přístupný seznam odvolaných certifikátů, ale ani to by nebyl problém splnit s mnohem širším spektrem certifikátů, než jsou tři náhodně vybrané komerční služby.

    Navíc použití CRL pro přihlašování je skoro zbytečné, protože zatímco s ověřováním podpisu můžete počkat na okamžik, kdy si budete jisti, že certifikát v době podpisu na CRL nebyl (budete mít k dispozici novější CRL), přihlašování musíte provést okamžitě, takže CRL neCRL je technicky nerealizovatelné zabránit všem pokusům o přihlášení s certifikátem, který již byl odvolán – pokud útočník stihne certifikát využít mezi okamžikem, kdy byl odvolán, a okamžikem, kdy si přihlašovací systém stáhne CRL kde už je odvolaný certifikát uveden, může se do ISDS přihlásit a certifikát nahradit svým (pokud zná heslo, samozřejmě).
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).