Názory k článku Nahradí dynamické biometrické podpisy ty současné elektronické?

Souhlasím s autorem. Možnost revokace podpisu je pro citlivé systémy stěžejní byt se na první pohled může zdát, že je složitá biometrická kombinace nezcizitelná.

ze se proste neumi podepsat opakovane stejnym zpusobem. zazivame to v bankach ci pri platbe kartou oproti podpisu casto. proste to nejde. muzou se nam smat, mohou nas ostrakizovat ... ale co s tim jako mame delat? tri krizky? stejne budou pokazde vypadat jinak

I el.podpis vypada pri kazdem podpisu jinak. Jde o určitou část či "obraz" podepisovaneho dokumentu (hash) zašifrovanou privátním klíčem. Ověření pak probíhá s pomocí veřejného klíče, který je k privátnímu vztažen.

grafolog ne, pismoznalec by mel

Máte pravdu. Problém u kombinované biometriky je ten, že se v určité fázi v systému stává kodem a ten kod lze prolomit (získat). Pak je nutné kod změnit ale to u biometriky nelze neboť ta má stále stejnou charakteristiku původce (nositele).

že jsi tento článek napsal. Nebudu pana profesora jmenovat (kdo ví, ví, ostatním se omlouvám), ale jeho mediální masáž mi dělá ukrutné problémy v práci. Moji šéfové vidí DBP jako spásu budoucnosti a mé argumenty (a to jich nemám tolik co ty) neberou v potaz.

Me by docela zajimal nejaky dabluv advokat. Je to minimalne druhy clanek, ktery na tohle tema ctu a pripada mi, ze DBP je z principu nepouzitelny (pokud nejde bez certifikatu pripojit k dokumentu, tak zasadni vyhody oproti asymetricke kryptografii nema). Nechce se mi verit, ze propagatori DBP si to neuvedomuji a nemaji to nejak vyresene.

To záleží na tom, jestli je cílem propagátorů DBP zavést do praxe nový a lepší způsob podepisování nebo jenom pumpnout někoho o cenu za implementaci - v tom druhém případě nemusí propagátorům nedostatky DBP vadit.

S Altairem spolupracuji mnoho let, vážím si jej a respektuji jeho názory.
Nejde nám o nějaké peníze z implementací, už proto, že nic neimplementujeme. Ale velmi intenzivně vnímáme současné problémy s omezenou platností certifikátů. Proto uvažujeme o DBP.
Vše, co zde píše, je více méně pravda, ale nijak se z toho nehroutíme. Jediným opravdovým problémem, a ten se snažíme vyřešit, je svázání podpisu s dokumentem. Ovšem, jak správně někdo v diskusi píše, je to problém pouze v otevřených systémech.

Ten nekdo v diskusi je sam autor.
Je samozrejme zadouci, aby se navrhovatele nove technologie nehroutili z jejich zjistenych nedostatku. Obvykle to ale byva spojeno s nejakymi navrhy reseni tech nedostatku.
Pokud souhlasite s tim, ze podpis nelze overit, pokud podespisujici nechce nebo nemuze spolupracovat, ze korektnost dat lze uz pri samotnem podpisu sabotovat, podpisova data lze (pri zachovani zadane jednoduchosti) ziskat podvodne a nelze je revokovat, pak bych skoro rekl, ze hrouceni se je na miste, protoze to v podstate znamena, ze takova technologie nemuze slouzit jako duveryhodny podpis. Coz je, receno slovy klasika, u technologie elektronickeho podpisu dost podstatna zavada.

Ne, to je jinak. Nic z toho, co píšete (podpis nelze overit, pokud podespisujici nechce nebo nemuze spolupracovat, ze korektnost dat lze uz pri samotnem podpisu sabotovat, podpisova data lze (pri zachovani zadane jednoduchosti) ziskat podvodne a nelze je revokovat) buď není pravda, nebo to je nepřesné nebo řešitelné. Kromě toho propojení s dokumentem.

Ja bych jen ocenil, kdyby propagatori vyuzili moznost a treba utrousili v diskusi aspon odkaz na technologicke reseni.
Od zacatku jsem psal, ze bych ocenil spis dablova advokata, nez dalsi clanek ktery do DBP kope. Technologie me zajima, nicmene otazky nastolene v clanku jsou smysluplne. Suche konstatovani, ze problemy jsou resitelne nebo nepresne formulovane prilis informaci neprinasi a vetsina toho, co jsem nasel na netu jsou komercni prezentace orientovane na business uzivatele, kteremu vysvetluji, jak je DBP krasne, ale neuvadeji zadne technicke detaily.

Potvrdzujem obavy pisatelov. Mam potvrdene priamo od dodavatela takejto technologie na Slovensku v roku 2014, ktory pouziva technologiu xyzmo. NIE JE TECHNICKY NIJAKO ZABEZPECENE (overitelne podpisovatelom), ze podpis bude naozaj pripojeny k dokumentu, ktory si podpisovatel mysli, ze podpisuje. Je to len o dovere v toho, kto podpis prijima. A v doveru v audity procesov v organizacii, audity zariadeni a podobne nezmysly.

Pouzivatelom vytvoreny podpis, casova peciatka a dokument je "zapecateny" (podpisany) len certifikatom prijimatela podpisu (t.j. firmy). Prijimatel podpisu teda moze pouzit akykolvek dokument a podpisovatel to nema ziadnu sancu zistit. Podpisovatel nema vplyv na proces zapecatenia dokumentu, takze netusi, co bude obsahovat.

Na druhej strane, ma to svoju vyhodu, ze podpisovatel moze podpisanie v buducnosti popriet. Vsetky technicke dokazy sice budu v poriadku (biometria podpisu, certifikat firmy, cert. autority, cas. peciatka), avsak nie je ziadny dokaz, ze podpisovatel naozaj dal k tomuto dokumentu ten podpis. Jeho podpis je len blokom dat, ktore mohli byt pripojene k akemukolvek dokumentu. Nie je tam ziadna garancia typu matematickych funkcii pri asymetrickom sifrovani. Samozrejme pri masirovani verejnosti a sudov klamstvami o tom ako je to dobre zabezpecene, sa na tento dokaz moze pozabudnut :(

Samozrejme, su moznosti implementacie, kde to bude zabezpecene OK. Avsak to urcite nebude v bankach, u mobilnych operatorov a podobne. Ti urcite neumoznia zakaznikovi podpisat este dokument vlastnym certifikatom, ci na vlastnom zariadeni.

Ak je uz nejaka firma s technologiou popredu a tento problem je vyrieseny, rad sa necham pouzit. Dakujem.