Potvrdzujem obavy pisatelov. Mam potvrdene priamo od dodavatela takejto technologie na Slovensku v roku 2014, ktory pouziva technologiu xyzmo. NIE JE TECHNICKY NIJAKO ZABEZPECENE (overitelne podpisovatelom), ze podpis bude naozaj pripojeny k dokumentu, ktory si podpisovatel mysli, ze podpisuje. Je to len o dovere v toho, kto podpis prijima. A v doveru v audity procesov v organizacii, audity zariadeni a podobne nezmysly.
Pouzivatelom vytvoreny podpis, casova peciatka a dokument je "zapecateny" (podpisany) len certifikatom prijimatela podpisu (t.j. firmy). Prijimatel podpisu teda moze pouzit akykolvek dokument a podpisovatel to nema ziadnu sancu zistit. Podpisovatel nema vplyv na proces zapecatenia dokumentu, takze netusi, co bude obsahovat.
Na druhej strane, ma to svoju vyhodu, ze podpisovatel moze podpisanie v buducnosti popriet. Vsetky technicke dokazy sice budu v poriadku (biometria podpisu, certifikat firmy, cert. autority, cas. peciatka), avsak nie je ziadny dokaz, ze podpisovatel naozaj dal k tomuto dokumentu ten podpis. Jeho podpis je len blokom dat, ktore mohli byt pripojene k akemukolvek dokumentu. Nie je tam ziadna garancia typu matematickych funkcii pri asymetrickom sifrovani. Samozrejme pri masirovani verejnosti a sudov klamstvami o tom ako je to dobre zabezpecene, sa na tento dokaz moze pozabudnut :(
Samozrejme, su moznosti implementacie, kde to bude zabezpecene OK. Avsak to urcite nebude v bankach, u mobilnych operatorov a podobne. Ti urcite neumoznia zakaznikovi podpisat este dokument vlastnym certifikatom, ci na vlastnom zariadeni.
Ak je uz nejaka firma s technologiou popredu a tento problem je vyrieseny, rad sa necham pouzit. Dakujem.