Vlákno názorů k článku eIDAS a elektronické podpisy: je vyřešen problém 24 hodin? od Honza - El. podpis nepoužívám, takže mi možná uniká něco...
-
Honza (neregistrovaný)
El. podpis nepoužívám, takže mi možná uniká něco zcela zjevného.
Předpokládám, že podpisy od okamžiku ukradení dále jsou v našem právním řádku také neplatné (stejně jako když někdo ukradne mojí občanku [a já to ještě nenahlásím] a zfalšuje můj podpis pod půjčku) a typicky se bude muset prožít velmi nepříjemné chvilky se soudním systémem ke zrušení, zainteresovat policie atd.
V pondělí mi ukradnou podpis, použijí ho k převodu majetku. Nic nevím, nic není revokováno. Peníze jsou převedeny a já třeba dostanu mailem avízo. Sakryš, ukradli mi podpis. Požádám cert. autoritu o podpis. Certifikační autorita má zrovna špatný den, jedno dat. centrum je zrovna pod vodou a na druhé spadl meteorit. Nezvládne vydat hned včas revokační seznam. Teď zloděj zkusí vybílit druhý účet a povede se mu to, protože nebyl vydán revokační seznam.
Může se to stát? Ano, může. Stejně jako že slečna na lince blokování karet se překlikne a zablokuje špatnou kartu a zloděj bude vesele platit dál.
Mám pocit, že se autor snaží odstranit veškerou možnost chyb a zneužitelnost technickými prostředky. Je to nějak binární, teď je to platné a teď už přesně ne. Z mého pohledu jsou kradené a neplatné oba, jen v jednom případě to někdo zvrtá a nestihne to revokovat (jako překlep slečny na lince blokování karet). V okamžiku krádeže je prakticky nevyhnutelný styk se soudním systémem a zrovna tenhle problém nebude ten hlavní (předložit důkaz o žádosti o revokaci a zrušit cokoli se s tím podpisem udělalo).
Nějaká míra chybovosti vždy bude. Co když mi hned potom, co revokuji původní el. podpis ukradnou nový podpis a hned ho použijí? Co když má SW ověřující platnost chyby? Co když atd.
Zeptám se takhle: el. podpisy zde máme již nějakou dobu, už se alespoň jednou stalo, že někdo uzavřel smlouvu kradeným el. podpisem po revokaci v průběhu 24 hodin (cert. autorita si dala načas) a u soudu to nebylo zrušeno?
-
Revokace certifikátu pro elektronický podpis slouží k tomu, že lze hned technicky zjistit, že podpis není platný. Pokud je elektronický podpis technicky platný, zachází se s ním víceméně stejně, jako s vlastnoručním podpisem - tedy můžete zpochybňovat jeho pravost, můžete zpochybňovat, zda jste se podepsal dobrovolně apod.
Elektronický podpis má tu výhodu, že je mnohem spolehlivější, než vlastnoruční podpis, a ověřuje se mnohem snáz. Technické ověření dává jistotu téměř 100 % (z praktického hlediska je to 100 %), ty vámi popisované nejistoty tam vnáší ten právní svět okolo. Ale ta technika vám dává další možnosti, jak tu jistotu v právním světě zvyšovat - například smlouvu na velkou částku začnete plnit až týden po podpisu, abyste měl jistotu, že podepisující vzápětí po podpisu neodvolá certifikát.
v průběhu 24 hodin (cert. autorita si dala načas)
Nevím o tom, že by některá ze tří českých akreditovaných certifikačních autorit někdy měla problém s vydáváním CRL. -
Ano, nejde jen o hodiny po revokaci, ale i před revokací. Zejména v situaci, kdy držitel klíče/certifikátu ví, že byl zneužit.
Technicky by to šlo vyřešit tak, že držitel by měl možnost revokovat certifikát k libovolnému okamžiku jeho platnosti a to i po skončení jeho platnosti. Mělo by to ale nevýhody:
Ověření platnosti by nikdy nebylo finální - každé pozdější ověření, by mohlo přinést zjištění, že podpis není platný.
Ztratila by se "nepopiratelnost" - zneplatněním by se zneplatnily i všechny podpisy, které provedl držitel.
