Hlavní navigace

Názor k článku Elektronický podpis na nic? od Jan Kulveit - Ad neexistující aplikace - řešení, na které pravděpodobně...

  • Článek je starý, nové názory již nelze přidávat.
  • 2. 5. 2002 19:37

    Jan Kulveit (neregistrovaný)
    Ad neexistující aplikace
    - řešení, na které pravděpodobně dojde: Na www se vzplní formulář, klikne se na "zformátovat", výsledkem je stránka s formulářem zpracovatelným elektronicky, ale citelnym. Popis rozhrani urad oficielne zverejni. (Případně se ještě obvěří chyby vyplnění). To se zkopíruje do mailu, podepíše a odešle.

    Není to ideální, ale je to schůdné, u CZ-NICu www rozhraní tohoto typu funguje léta.

    Z hlediska bezpecnosti je to lepsi nez nejaka cerna skrinka binarni aplikace, ve ktere se neco naklika, vlozi cetifikat a ona neco odesle.

    Ad neexistujici pouziti
    Nemusi to pouzivat jen statni sprava, "kvalifikovany certifikat akreditovaneho poskytovatele" je prirozenym kandidatem na standardni zpusob digitalniho podpisu. Dodatek, ze posta podepsana timhle zpusobem, se povazuje za podpesanou, se muzew zacit vyskytovat ve spouste smluv, co me tak napada, od distributoru elektriny az opet po ten NIC, napr.

    Ad cena
    Kdyz se to misto s doporucenym dopisem srovna s dopisem s overenym podpisem, vypada to docela jinak. Overeni 40Kc/stranku, dopis rekneme za 10, kdyz pocitame v prumeru o trochu vic nez 1 stranku, mame teba 70Kc/dopisu, cili uz 10 opravdu urednich dopisu, a navic se usetri opruzujici jezdeni k notari. Urcite jsou pripady, kdy dig. podpis muze nahradit soucasny uredne overeny podpis, a posila se dost dopisu.

    Ad nemoznost sifrovani
    Proc? Alespon jednosmerne - sifruje se klicem prijemce, urad muze zverejnit verejny klic pro sifrovane podavani a tuto moznost nabidnout jako alternativu k plaintext mailu.

    Ad podpisovaci aplikace
    Applety jsou. Podle x509ky jedou uz nejmin 4 "internetove banky", oni dokonce jedou podle zakona, akorat nejsou "akreditovanimi poskytovateli" a tusim ani certifikaty nejsou "kvalifikovane". "k.c.a.p." nepouzivaji imo spis proto, ze 1) vetsinou pouzivaji system hned nekolika certifikatu a sifrovacich, takze infrastrukturu by useli budovat stejne 2) pro vydani "k.c.a.p." jsou prisnejsi podminky, museli by za to platit, pravdepodobne honit klienty jeste nekam 3) pouziti vlastnich certifikatu a zaroven akceptovani kcapu by urcite slo, ale jenom by jim to ztizilo implementaci.
    Nicmene kdyz se certifikaty podle x509 odvazili nasadit v praxi, a desetitisice lidi to pouzivaji, problemy se znalostmi uzivatelu a aplikacemi asi nesjou neprekonatelne.

    Ad alternativy

    Proboha, jen ne hesla, jen ne hesla... Uz ted bych si mel pamatovat vic nez 30 hesel, asi 15 pinu a 4 passphrase. Krome toho je pro cloveka vhodne, aby si pamatoval treba nekolik telefonnich cisel, rodne cislo, ruzne datumy narozeni atp. A rychle to houstne, vetsina internet bankingu treba znamena tri hesla/passphrase. Pravda, hesla vyzaduji i certifikaty, ale tam se to alespon v principu da resit treba hardwarovymi klicenkami, s jednim pinem pro hafo certifikatu. Hesla a piny uz ruzne statni urady vymysleji uz ted, ale aby se to stalo standardnim zpusobem zabezpeceni, pro kazdy urad jedno heslo, neeee.

    Ad zavery

    Souhlasim, ze pro spoustu ucelu neni dig.podpis a certifikaty potreba. Vetsina uradu mailem normalne komunikuje a ty stiznosti na hluk prijima, coz se predpokladam nijak nezmeni tim, ze budou prijimat i dopisy podepsane.

    Myslim, ze noseni klicenky s certifikaty stejne nastane. Ja treba ty desitky rozlicnych, kryptograficky silnych, hesel s pomoci Casio DB100 s mensimi problemy zvladam - ale myslim, ze v tomhle ohledu vubec nejsem normalni. Pokud to budete pozadovat po kazdem, skoncite s tim, ze bude mit vetsina lidi stejne heslo na freemailu jako na bankovnim uctu jako na financnim urade. Po uspesnem utoku na freemail si pak zlodeji overi majetkove pomery sto tisic uzivatelu a tem bohatsim vyberou ucty. Myslim take, ze standardem, na kterem to cele pojede, bude x509ka. Smysl standardu je v tom, ze stejne klicenky, stejne programy a stejne uzivatelske navyky budou fungovat u bankovnictvi jako u kontaktu se statni zpravou jako u dalsich aplikaci, ktere vubec neznam.

    Co bych dodal na konec, ze si myslim, ze pokud se zaroven radikalne nezlepsi zabezpeceni klientskych pocitacu, nezmizi vselijake Vyhlidky, vyrobci vselijakych oknek nebudou zodpovedni za skody zpusobene ruznymi ficurami, , uzivatele neprestanou klikat na obrazky.vbs, atp., prijdou _velke_ problemy.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).