Vlákno názorů k článku Jak rozumět dynamickým biometrickým podpisům? od Václav Novák - Všechno se to děje v rámci API (knihoven)...
-
Václav Novák (neregistrovaný)
"V případě biometrického podpisu tak podepíšu jediný dokument, a tím jsem o možnost sám o tom podpisu rozhodovat přišel. Od té chvíle to už záleží jenom na provozovateli toho systému biometrického podpisu, co s tím udělá. Může klidně můj podpis připojit k jinému dokumentu, může dokument změnit…" .. toto zkrátka není pravda, evidentně jsem selhal ve snaze to vysvětlit. Je to možné pouze TEORETICKY, stejně jako je TEORETICKY možné se nabourat do systému certifikační autority nebo ukrást její privátní klíč, nebo uvažovat že sama autorita bude páchat podvody s využitím klasických digitálních podpisů... Prakticky je to mimořádně obtížné a jsou mechanismy, jak takovou nepravděpodobnou situaci detekovat a prokázat.
-
Kryptografický podpis funguje tak, že já jako podepisující mám privátní klíč, a je jenom na mně, jak s ním zacházím. Můžu s ním podepsat tisíc dokumentů, a dokud budu privátní klíč udržovat v tajnosti, nikdo můj podpis (s přesně vyjádřenou pravděpodobností) nedokáže zfalšovat.
V případě biometrického podpisu tak podepíšu jediný dokument, a tím jsem o možnost sám o tom podpisu rozhodovat přišel. Od té chvíle to už záleží jenom na provozovateli toho systému biometrického podpisu, co s tím udělá. Může klidně můj podpis připojit k jinému dokumentu, může dokument změnit…
Aby měl podpis nějaký význam, je potřeba zajistit neměnitelnost dokumentu. Pokud podepíšu darovací smlouvu „přebírám dar ve výši 1 000 Kč“, a druhá strana to po podpisu klidně změní na „věnuji dar ve výši 100 000 Kč“, je samotný podpis k ničemu.
Problém je, že u toho podpisu na papír můžu tu bezpečnost alespoň do určité míry ovlivnit. U toho biometrického podpisu ne, ten může být opravdu mírně lepší, ale taky může být podstatně méně bezpečný, než ten podpis na papíře. A já jako podepisující nemám šanci zjistit, jak to je. Což je docela problém v případě, kdy provozovatelem toho systému biometrického podpisu (a tedy tím, kdo bezpečnost ovlivnit může), je zrovna ten samý subjekt, vůči kterému ten podpis zakládá nějaký vztah.
V současné době různé banky, pojišťovny, finanční instituce nebo telekomunikační operátoři často zkouší přístup „tu smlouvu ani nemusíte číst, věřte nám, že je tam právnickou řečí jenom popsáno přesně to, co je na lákavých reklamních letáčcích a co vám náš prodejce v superlativech popisuje“. Několika málo subjektům to skutečně můžete věřit (a to spíš ještě konkrétním lidem zastupujícím ten subjekt), u většiny ostatních se nestačíte divit, co v té smlouvě ve skutečnosti je. No a teď se to posouvá do roviny „věřte nám, že podepisujete skutečně tu smlouvu, co jste četl, a že ji po podpisu žádným způsobem nezměníme“. Možnost ověření už není vůbec žádná.
Já chápu, že pro ty instituce je mnohem pohodlnější ty smlouvy archivovat jen elektronicky. Ale málokterá z nich je pro mne tak důvěryhodná, abych jim věřil, že budou jednat vždy férově a nikdy nezkusí žádnou kulišárnu. Tolik nevěřím ani své bance, i tam si smlouvu vždy nejdřív přečtu.
-
Václav Novák (neregistrovaný)
"Takže je to přesně tak, jak popisuje pan Peterka v článku, a co vy jste rozporoval – dynamický biometrický podpis sám o sobě nezajišťuje neměnnost podepsaného dokumentu. To (možná) zajišťují organizační postupy vydavatele dokumentu. " ... tomu tvrzení nerozumím, zajištuje to podobně jako digitální podpis, kde také všechno stojí a padá pouze s tím, zda "organizační postup" držitele soukromého klíče zabrání jeho úniku. Resp. tady ten únik klíče sám o sobě k vytvoření falešného podpisu nestačí (na rozdíl od digitálních podpisů), musíte se dostat k dalším věcem. A hlavně tady jde o to, co je to "podpis". Smyslem podpisu podle mne není zajištovat nezměnitelnost dokumentu (na to jsou jiné mechanismy ala přelepka). Podstatou podpisu je podle mne propojení identity osoby s dokumentem způsobem, který umožní nějak prokazovat, že to vědomě provedla ta osoba.
Souhlasím s tím, že je to tak naúrovní papírového podpisu...a o to právě jde. Mít elektronickou alternativu, která není bezpečnostně horší (podle mne naopak o něco lepší), ale přitom prakticky dobře použitelná.
Přelepování přelepkou...někdy to je, někdy ne a hlavně si nedělám iluze, že to nejde odlepit a pak zase přilepit. Teprve ta parafa to podle mně přiměřeně řeší, otázka je, zda takový jednoduchý klikihák, jak to obvykle vypadá, umožní písmoznalci něco prokázat. Co se týče parafování každého listu klientem, to jsem zatím nikde neviděl, ale možná je to ale jen tím, že jsem si o to jako klient neřekl.
-
Takže je to přesně tak, jak popisuje pan Peterka v článku, a co vy jste rozporoval – dynamický biometrický podpis sám o sobě nezajišťuje neměnnost podepsaného dokumentu. To (možná) zajišťují organizační postupy vydavatele dokumentu. Tedy je to stejné, jako s tím ověřeným podpisem – musíte věřit tomu, kdo podpis ověřil. V případě dynamického biometrického podpisu tedy tomu, kdo podpis spojil s dokumentem.
Poslední odstavec je k jinému tématu. Já vlastnoruční podpis na papíře nepovažuju za nic bůhvíjak bezpečného, zvláště ve srovnání s kryptografickým elektronickým podpisem. Ale ten dynamický biometrický podpis je zhruba na stejné úrovni, jako ten vlastnoruční – záleží na konkrétních organizačních postupech. Přičemž ty postupy si těžko můžu jako podepisující ověřit, dokonce ani netuším, zda se podepisuju na digitizér a je to jen jiná forma „naskenování“ podpisu (jako třeba u pasů), nebo zda se s tím podpisem bude zacházet tak, jak popisujete vy. Ostatně, ty vámi popisované operace by bylo možné provést i s tím naskenovaným obrázkem…
Mimochodem, u jakékoli smlouvy s hodnotou plnění víc než pár korun je samozřejmé, že se výtisk smlouvy sešije sešívačkou, sponka přelepí a na přelepku se dá razítko nebo podpis. V bance je to samozřejmost. Případně je možné parafovat každý list smlouvy.
-
Václav Novák (neregistrovaný)
"Podstata", kterou jsem zmiňoval v předchozím komentáři, se týkala něčeho jiného, nicméně stručně odpovím na Vaši otázku. Omezím se na popis platformy, kterou znám nejlépe, ale ono to bude všude velmi podobné.
1. Biometrika není v dokumentu v čitelné formě. Je tam šifrovaná veřejným klíčem (existuje tu jiná dvojice klíčů, než ta, která se použije na to digitální podepsání), tak aby ji dešifrovat mohl jen vlastník soukromého klíče (typicky určená osoba vydavatele dokumentu). Ano samozřejmě tedy existuje možnost zcizení, ale není to tak, že by se biometrika "volně válela" v dokumentu a kdo měl dokument, měl biometriku. Vydavatel může mít auditované postupy. Např. soukromý klíč někde v trezoru pod dohledem třetí, nezávislé instituce a vytáhne ho pouze za její asistence a jen v případě prokazování u soudu apod. Lze vymyslet leccos, tak aby se k biometrice libovolně nedostal nikdo, dokonce ani vydavatel dokumentu.
2. Pomocí určitého šifrování kombinace hashe dokumentu a hashe biometrických dat plus přidání hashe dokumentu do samotných biom. dat se oboje spojuje dohromady způsobem, který ošetří, že ten balík zašifrovaných biom. dat nemůžete rozumně jednoduše vzít a přilepit k jinému dokumentu.Ve výsledku byste musel proniknout do tajů výrobce dodavatele podepisovací platformy, ZÁROVEŇ se dostat k soukromému klíči pro biometriku (v držení zase úplně jiné organizace) a ZÁROVEŇ se dostat k podepsanému dokumentu, abyste byl teoreticky schopen vyfabrikovat nějaký podvržený dokument se stejnou biometrikou. Ani interní pracovníci daných organizací nesplní všechny podmínky najednou. Nechme stranou, že stejná biometrika by sama o sobě byla evidentně falešná - nikdo se nepodepíše 2x stejně. Připomenu, že teoreticky umíme jadernou fúzi, cestovat časoprostorem apod. Je to "jen" o reálné náročnosti toho dosáhnout.
Zajímavé je, že v případě papíru nikdo nemá problém bance důvěřovat, že nevezme poslední list, kde je typicky pouze podpis a obecná ujednání a přicvaknout ho k jakémukoliv jinému štosu papírů (stačil by vyměnit jen jeden list, kde je výše úroků). Nepotřebuji extra vybavení, hackery a já nevím co, stačí mi papír, tiskárna a sešívačka. Papírově podepisujeme tolik věcí, že šikovný podvodník, který se třeba nechá zaměstnat na přepážce banky (nebo jinde, kde se nechává něco podepisovat) si klidně ukradne Váš pravý papírový podpis mnohem snáze, než biometrický. Vždy jde o míru úsilí a schopností, které by podovdník musel vynaložit v porovnání s tím, co by mohl získat a jaké existují opravné prostředky. Zde je ta míra obtížnosti mnohem vyšší, než u papíru, který všichni používají.
-
Václav Novák (neregistrovaný)
Článek předkládá zajímavý pohled na věc, nicméně základní teze, a sice, že dokument vlastně nepodepisuje klient, ale vydavatel, neodpovídá podstatě věci. Jde o interpretaci vyplývající ze zúženého pohledu na věc optikou klasických digitálních podpisů.
Ke zmatení dochází, protože PDF formát a související software nemají přímou podporu pro biometrické podpisy. Proto dochází z technických a psychologických důvodů k jakémusi „naroubování“ biometrických podpisů na technologii digitálních, kterou PDF formát a SW podporuje.
Pouze proto, že laik potřebuje vidět, že jsou v pdf nějaké podpisy, které vypadají důvěryhodně, dochází k něčemu, co autor článku chápe jako podepsání vydavatelem za klienta. Nic takového ovšem neplyne z vlastní podstaty biometrických podpisů. Není to potřeba a o tom ten podpis není.
Jde jen o to, že by vypadalo divně, kdyby někdo podepsal dokument, ale v Acrobatu by žádné podpisy neviděl. Podobně si vydavatelé dokumentů nechávají vydávat kvalifikované certifikáty spíše proto, že psychologicky vypadá v tom Acrobatu lépe podpis založený na kvalifikovaném certifikátu, než v aplikaci ad hoc vygenerovaná dvojice klíčů pro danou operaci, což by bylo naprosto dostačující, protože jediné, co biometrický podpis skutečně potřebuje, je nějaký klíč (klidně jednorázový, neznámý ani vydavateli dokumentu), kterým se „spojí“ biom. data s dokumentem, tak aby byla zajištěna „nezměnitelnost“ jednoho či druhého (ověříte veřejným klíčem z páru). (Nechme teď stranou druhou dvojici klíčů, která zajistí, že se k biometrice nikdo nepovolaný nedostane.)
V „krátké“ reakci na článek to bohužel nejde dokonale rozebrat a odargumentovat. Zatímco ale pan Peterka chápe biom. podpisy jako digitální podpis vydavatele dokumentu s pomocnými daty od klienta (biometrika), troufám si tvrdit, že je to obráceně a jde o podpis klienta, pouze se využijí pomocná data vydavatele a především pomocné mechanismy ze světa digitálních podpisů.
Podepsání je pro mě nějaký prokazatelný vědomý akt klienta (např. biometrický podpis). Ty digitální podpisy vydavatele, které kolem toho vzniknou, to je jen pomocný technický aparát, kdy za prvé potřebujeme použít asymetrickou kryptografii a nemáme pro to jinou podporu v PDF formátu a Acrobatu, než tu v podobě digitálních podpisů, a za druhé potřebujeme, aby si klient mohl otevřít dokument a ten „vypadal podepsaný“, byly tam nějaké podpisy vidět.
Ty podpisy, co vidíte v Acrobatu, když si otevřete dokument, to je v případě biom. podpisů, téměř by se dalo říct, jen taková „Potěmkinova vesnice“, kdy se s neexistující podporou (technickou i legislativní) vypořádáváme (částečně optickou) oporou o zavedené digitální podpisy, takže to celé vypadá pro lidi, co do toho nevidí, důvěryhodněji. Je to třeba i o tom, že Acrobat napíše, že podpis je důvěryhodný, přestože toto tvrzení se vlastně skutečného podpisu (podpisu klienta) netýká. Acrobat o biom. podpisu vůbec neví, ale vše vypadá ok a všichni se uklidní…
Podstata biometrického podpisu, resp. ten podpis samotný se skrývá hluboko v datech PDF dokumentu, která “nejsou vidět" a Acrobat je není schopen nijak interpretovat, ověřit atd. Na to potřebujete speciální SW. Až se tato technlogie více prosadí, snad se to obejde bez výše popsaných berliček a podstata věci bude více zřejmá, nezateměná technickým a "mentálním" propojení s digitálními podpisy.
