Vlákno názorů k článku Incident u Adobe: Firma neuhlídala svou síť a její podpis se dostal na cizí kód od G. - Souhlasím, toto není zcela standardní, protože existují CRL...
-
G. (neregistrovaný)
Souhlasím, toto není zcela standardní, protože existují CRL (zcela jistě několik) vydané po 10.7., na kterých onen certifikát uvedený není. Ona s ním asi není provedena úplně elektronická značka, a je to spíš otázka na některou ACA, jestli by totéž povolila. Kdyby to tak mělo být obecně, pak podle stávající úpravy vyhlášky 212/2012 Sb. by to pak znamenalo, že lze považovat podpis v klidu za platný (za předpokladu že má čas. razítko z té doby), přestože byl revokován. Asi je potřeba se podívat na cert. politiku verisignu...
-
Taky mne to překvapilo. Ale u certifikátů pro podpis kódu to dává smysl. Naopak u certifikátů pro podpis dokumentů to smysl nedává, nebylo by pak možné rozumně realizovat ověřování podpisů. Certifikační politika I.CA uvádí, že okamžikem zneplatnění je datum a čas přijetí žádosti o zneplatnění. PostSignum tam má šalamounskou větu, že platnost certifikátu končí okamžikem zneplatnění a publikování certifikátu v CRL, což podle mne taky vylučuje zpětné zneplatnění. Zajímalo by mne, co o tom říká certifikační politika Verisignu, až teda najdu tu správnou…
-
Ondřej Bouda (neregistrovaný)
Díky za info. Chvíli po odeslání příspěvku mě taky napadalo, že odpověď bude asi v certifikační politice - a že dá rozum, že politiky pro certifikáty k podpisu dokumentů by neměly zpětné odvolání povolovat.
Nechce se mi teď dohledávat detaily (je to pro mě jen okrajová věc), tak jen doufám, že nemožnost zpětného odvolání je zakotvena už v legislativních požadavcích na kvalifikovaný certifikát. Pokud ne, tak je jen otázka času, než nějaká CA přijde na to, že by to mohla být zajímavá konkurenční výhoda :) -
V zákoně je napsáno „neprodleně zneplatnit“. Pod tím si asi každý představí, že datum a čas zneplatnění bude aktuální v okamžiku zneplatnění, nicméně to zpětné zneplatnění úplně nevylučuje. Ve vyhlášce o tom nic dalšího není, leda by ještě něco bylo ve standardech, na které se vyhláška odkazuje. Ale že by technické standardy rozlišovaly účel certifikátu, to se mi nezdá… Jinak podle politiky třetí české QCA e-identity podle mne nic nebrání zpětnému zneplatnění, řeší se tam jen do kdy musí být certifikát zneplatněn a zveřejněn na CRL, o tom, co je okamžik zneplatnění, tam není nic.
Teoreticky je pak možné v ČR používat i kvalifikované certifikáty vydané kdekoli v EU, takže správné by bylo prozkoumat politiky těch desítek autorit… Akorát bych chtěl vidět, jak bych na takový certifikát dostal IK MPSV a jak by ho zahraniční autorita ověřovala.
-
Ondřej Bouda (neregistrovaný)
Doteď jsem netušil, že certifikáty lze revokovat i zpětně. Předpokládám, že to platí i pro certifikáty pro podpis dokumentů - z dosavadních článků o datových schránkách/elektr. podpisech mám ale dojem, že s něčím takovým naše právní úprava vůbec nepočítá?
Konkrétněji: někde se tu řešilo, že se k podpisu má připojit alespoň 24 hod starý CRL seznam - jaký to má význam v případě, že certifikát lze odvolat zpětně?
A ta nejzásadnější otázka: může se vůbec příjemce elektronicky podepsaného dokumentu na něj spoléhat, když protistrana může podpis kdykoliv zpětně odvolat?
