Názory k článku Incident u Adobe: Firma neuhlídala svou síť a její podpis se dostal na cizí kód
-
_pepak (neregistrovaný)
Mezi námi, můžeme být zatraceně rádi, že certifikát "utekl" firmě jako Adobe, která sice dělá spoustu software, ale nedělá (pokud vím) ovladače. Protože stát se totéž třeba Nvidii, tak si to opravdu užijeme, díky idiotskému*) Microsoftímu rozhodnutí vyžadovat pro spouštění x64 ovladačů certifikát...
*) IMHO. Neřekl bych, kdyby to bylo volitelné, třeba na té úrovni, že si při instalaci Windows vyberu, jestli chci kernel s vynucováním podpisů nebo bez něj. Nebo ještě lépe, kdybych si při instalaci Windows mohl do kernelu přidat certifikáty, kterým důvěřuji.
-
Untrusted (neregistrovaný)
Zásadní problém s certifikáty firmy Adobe, a nejen jejími, je že jich bylo vydáno docela dost, neznámo přesně kolik a k jakému účelu, takže je ve většině případů vhodné věřit CA a celému certifikačnímu řetězci.
Běžně dělám při update SW kontrolu, zda je nová verze SW podepsána tím stejným, stále neodvolaným, certifikátem.
Problém s certifikátem se, pokud mohu posoudit, dotkl Adobe Flash 11.4.402.265 a starší. Nové verze aplikace jsou podepsány již novým certifikátem. Za zmíňku ale stojí, že ke změně podpisového certifikátu došlo již před více jak třemi týdny (původně jsem myslel že kvůli životnosti starého certifikátu - prosinec 2012) ale informace o útoku a samotné odvolání proběhlo teprve nedávno. -
V zákoně je napsáno „neprodleně zneplatnit“. Pod tím si asi každý představí, že datum a čas zneplatnění bude aktuální v okamžiku zneplatnění, nicméně to zpětné zneplatnění úplně nevylučuje. Ve vyhlášce o tom nic dalšího není, leda by ještě něco bylo ve standardech, na které se vyhláška odkazuje. Ale že by technické standardy rozlišovaly účel certifikátu, to se mi nezdá… Jinak podle politiky třetí české QCA e-identity podle mne nic nebrání zpětnému zneplatnění, řeší se tam jen do kdy musí být certifikát zneplatněn a zveřejněn na CRL, o tom, co je okamžik zneplatnění, tam není nic.
Teoreticky je pak možné v ČR používat i kvalifikované certifikáty vydané kdekoli v EU, takže správné by bylo prozkoumat politiky těch desítek autorit… Akorát bych chtěl vidět, jak bych na takový certifikát dostal IK MPSV a jak by ho zahraniční autorita ověřovala.
-
Ondřej Bouda (neregistrovaný)
Díky za info. Chvíli po odeslání příspěvku mě taky napadalo, že odpověď bude asi v certifikační politice - a že dá rozum, že politiky pro certifikáty k podpisu dokumentů by neměly zpětné odvolání povolovat.
Nechce se mi teď dohledávat detaily (je to pro mě jen okrajová věc), tak jen doufám, že nemožnost zpětného odvolání je zakotvena už v legislativních požadavcích na kvalifikovaný certifikát. Pokud ne, tak je jen otázka času, než nějaká CA přijde na to, že by to mohla být zajímavá konkurenční výhoda :) -
x (neregistrovaný)
Ad M$ a klikaci - to co se zobrazuje, je naprosto standardni hlaseni pri spousteni prakticky cehokoli (az na vyjimky) a opravdu neznam ani jednoho uzivatele, ktery by si pamatoval, ze existuji - a jmenovite jake - take podepsane aplikace, u kterych toto hlaseni nevyskoci.
Tudiz v tomhle pripade klikaci za nic nemuzou, je to zcela ciste neschopnost M$.
-
Taky mne to překvapilo. Ale u certifikátů pro podpis kódu to dává smysl. Naopak u certifikátů pro podpis dokumentů to smysl nedává, nebylo by pak možné rozumně realizovat ověřování podpisů. Certifikační politika I.CA uvádí, že okamžikem zneplatnění je datum a čas přijetí žádosti o zneplatnění. PostSignum tam má šalamounskou větu, že platnost certifikátu končí okamžikem zneplatnění a publikování certifikátu v CRL, což podle mne taky vylučuje zpětné zneplatnění. Zajímalo by mne, co o tom říká certifikační politika Verisignu, až teda najdu tu správnou…
-
G. (neregistrovaný)
Souhlasím, toto není zcela standardní, protože existují CRL (zcela jistě několik) vydané po 10.7., na kterých onen certifikát uvedený není. Ona s ním asi není provedena úplně elektronická značka, a je to spíš otázka na některou ACA, jestli by totéž povolila. Kdyby to tak mělo být obecně, pak podle stávající úpravy vyhlášky 212/2012 Sb. by to pak znamenalo, že lze považovat podpis v klidu za platný (za předpokladu že má čas. razítko z té doby), přestože byl revokován. Asi je potřeba se podívat na cert. politiku verisignu...
-
Ondřej Bouda (neregistrovaný)
Doteď jsem netušil, že certifikáty lze revokovat i zpětně. Předpokládám, že to platí i pro certifikáty pro podpis dokumentů - z dosavadních článků o datových schránkách/elektr. podpisech mám ale dojem, že s něčím takovým naše právní úprava vůbec nepočítá?
Konkrétněji: někde se tu řešilo, že se k podpisu má připojit alespoň 24 hod starý CRL seznam - jaký to má význam v případě, že certifikát lze odvolat zpětně?
A ta nejzásadnější otázka: může se vůbec příjemce elektronicky podepsaného dokumentu na něj spoléhat, když protistrana může podpis kdykoliv zpětně odvolat?
