Vlákno názorů k článku Proč elektronické podpisy nejsou věčné? od Filip Jirsák - Následný certifikát si můžete nechat vystavit tak, že...
-
Filip Jirsák (neregistrovaný)Následný certifikát si můžete nechat vystavit tak, že žádost podepíšete předchozím (ještě platným) certifikátem. To stejně dobře může udělat i ten, kdo vám soukromý klíč ukradl. takže tento důvod neplatí. Leda že by certifikační politika nepovolovala vystavení následného certifikátu bez opětovného ověření totožnosti – ale PostSignum opětovné ověření totožnosti nevyžaduje, a I.CA myslím už také ne.
-
Cohen (neregistrovaný)Zapomíná se ještě na jednu věc, proč je platnost certifikátů omezená -- ochrana certifikátu samotným uživatelem. Pokud si uživatel nechá ukrást podpisový klíč, tak alespoň bude výrazně omezena doba platnosti.
Kořenové certifikáty mají výrazně delší platnost z praktických důvodů (bylo by nepraktické, když by se vrcholové certifikáty pořád měnily), ale také jsou adekvátně chráněny (speciální hardware odolný pro proti manipulaci, který zničí uložená data při podezření na pokus o průnik; utajené a dobře fyzicky chráněné umístění daného hardware). -
Ale já nehovořím o výpočtu klíče, ale o výpočtu podpisu, který se dělá při každém podpisu dokumentu resp. zprávy. Doba vygenerování podpisu závisí na délce zprávy a složitosti algoritmu, resp. délce klíče. Problém se závislostí na délce podepisované zprávy se řeší tak, že se "jednodušším" algoritmem nejprve vypočte hash zprávy konstantní délky a podepíše až ten.
Pokud chcete "o mnoho řádů vyšší" bezpečnost, musíte přiměřeně zesložitit hashovací algoritmus nebo podepisovat rovnou celou zprávu.
A pak už se můžete dostat do situace, že podepsání dokumentu o velkosti desítek MB bude trvat desítky sekund, což už je uživatelsky nepřívětivé.
U současných algoritmů resp. klíčů se zdá, že to problém není, a musíte se hodně snažit, aby doba podpisu byla vůbec měřitelná (pár desítek fotek v dokumentu na to ale stačí). -
pepak (neregistrovaný)Výpočet 4096bitového klíče (místo v současné době běžného a zatím dostačujícího 1024bitového) trvá OpenVPN na běžném počítači řádově hodiny, což je stěží "neakceptovatelně dlouhé" - zvlášť s ohledem na to, že se to udělá jednou, zatímco ten kratší výpočet bude třeba každý rok opakovat.
-
pepak (neregistrovaný)O kvantových počítačích možná víte hodně, ale v jejich vlivu na bezpečnost šifer se zásadně mýlíte. Zásadní zkrácení se týká jen některých asymetrických algoritmů, symetrické algoritmy a zbytek asymetrických (např. ty založené na eliptických křivkách) budou dotčeny pouze na úrovni kvadratického zrychlení (tzn. klíč jako kdyby se zkrátil na polovinu).
-
ldx (neregistrovaný)Pokud se podari vyrobit kvantove pocitace, tak se doba nezkrati radove, ale absolutne, jedine omezeni bude rychlost zpracovani na vstupu a vystupu. Aspon podle toho, co o principu kvantovych pocitacu vim. Samozrejme jina vec je vytvoreni algoritmu nebo formule, ktera se v takovem kvantovem pocitaci pro dany vypocet pouzije...
-
MB (neregistrovaný)Podepisování více hashů je sice pěkné, ale IMHO není důvod považovat to za bezpečnější, než nejbezpečnější z těch hashů. Jo technicky to řešíte a hádáte se. Ale i když se dohodnete, jak přepodepisovat hashe a zda jde podvrhnout dokument s identickou hash, tak se vám u soudu vysmějou. Oni tomu nejen asi nebudou rozumět, ale hlavně řeknou a tomu budou rozumět, že ten a ten zákon (no moc jich není) upravuje podepisování tak a tak, platnost tak a tak. A ta časová razítka či hashe - no technicky to tak možná funguje, ale žádné naše paragrafy neznaj.
-
Já jsem si vždycky myslel, že nynější trapně krátké klíče, jsou krátké ze dvou důvodů:
1. aby se daly snadno transportovat (např. i ústně po telefonu)
2. aby výpočet s jejich použitím netrval neakceptovatelně dlouho.
Zatímco první důvod je už nesmylný, a pár KB by nevadilo, druhý důvod stále trvá. Mohlo by se stát, že výpočet podpisu sice nepotrvá 10**80 let, ale jen 10**-1, ale i tak by to uživatele dost nudilo. -
Jirka P (neregistrovaný)Tak zrovna word do .doc ukádá např. undo informace (standardně, takže žádné "implicitní bílé znaky" neexistují), takže nevím, jak byste dokázal, že tohle undo je tam jen kvůli hash kolizi. Případně u mailové zprávy, pokud by součástí hashe byly i hlavičky, jak prokážete, že tuto hlavičku tam dal útočník a ne nějaký vietnamský poskytovatel mailu (mnohdy jsou tam vidět věci). Porovnávat s "jiným kolizním dokumentem" v principu nemá smysl, protože ten dokument se může (a pravděpodobně bude) lišit téměř ve všem. Podepisování více hashů je sice pěkné, ale IMHO není důvod považovat to za bezpečnější, než nejbezpečnější z těch hashů.
-
anonymníHmm, on bude stejne nakonce nejvetsi problem v tom, ze tady na lupe se celkem shodnem na tom, jak by to ci ono melo vypadat, ovsem pani papalasi, kteri o tom rozhoduji to netusi ani zdaleka.
Jinak zabezpeceni = musim predpokladat rozumne nebezpecna pokud ;). Pokud napr nebudu predpokladat ze mi umre disk (jeste mi zadny neumrel = prakticky se to nemuze stat), tak nebudu zalohovat data, vzdyt je to zbytecne :D.
Muze se objevit nejaky genialni matematik, ktery najde nejaky uzasny zpusob jak louskat soucasne sifry behem vterin i na soucasnem zeleze.
Muzete taky dospet do stavu, kdy bepecne sifrovani bude vypocetne prakticky stejne narocne jako desifrovani.
Vim ze to jsou extremy, ale rozumne navrzeny system by mel brat v potaz (v rozumne mire) vsechna rizika a to ten soucasny nedela ani omylem.
Myslim, ze nakonec bude, jak sem uz psal, nejvetsi problem v tom, jak vubec za 20let overit, ze dokument je(nebo byl) platny. -
xpckar (neregistrovaný)Klidně, tak ho propaguji já, OK. Ale zrovna třeba u .doc, jehož struktura je známá, by bylo poměrně jednoduché zjistit, po odstranění nebo změnění určitého balastu tam, kde "může být cokoliv", na to, co tam dává Word nebo jiný kancelářský balík standardně případně na "bílé" znaky případně po porovnání s tím jiným kolizním dokumentem, který by se lišil právě jen v této oblasti, který z těch dokumentů je onen správný, resp. kde proběhla změna kvůli shodnosti hashe.
Navíc opět, nijak to neřeší několik různých hashů najednou, tam jste se svým balastem v případě třeba kombinace 5 hashů v háji, a pokud se budou tyto hashe obměňovat, tak jste i do budoucna v háji zelenym. -
pepak (neregistrovaný)
Kde je psano, ze vykon pocitacu poroste linearne, pripadne nejak jinak "hezky" ?
Proto také doporučuju o mnoho řádů vyšší počty kombinací než "teď stačí". No tak výkon počítačů poroste kvadraticky místo lineárně. No a co? Tak to nepotrvá 10**80 let ale "jen" 10**50 let. Finta je v tom, že je reálně možné vypořádat se i s exponenciálním růstem výkonu (který je nanejvýš nepravděpodobný) - dá se ukázat, že v celé sluneční soustavě není dost energie na to, aby se prohledávání hrubou silou dalo uskutečnit...
Pokud se napriklad povede provozovat a vyrabet kvantove pocitace, muze vykon narust behem nekolika malo let v nasobcich predchoziho stavu.
Pokud se podaří vyrobit kvantové počítače a pokud se podaří připravit pro ně potřebné algoritmy (obojí je poměrně závažné "pokud"), tak se přesně naplní to, co jsem napsal - doba se řádově zkrátí, ale pořád zůstane tak velká, že hledání nebude realizovatelné. Problém by měly algoritmy na bázi hledání prvočísel nebo diskrétního logaritmu, ale žádné symetrické šifry a některých asymetrických se to nedotkne jinak, než že se doba výpočtu kvadraticky zkrátí (takže místo 10**80 let budeme čekat 10**40, při zohlednění růstu výkonu řekněme 10**20).
pokud nekdo pouzival napr 128bit klic, tak se takovy klic da spocitat ve velmi dohledne dobe.
Ani do budoucna není s výjimkou kvantových počítačů znám žádný způsob, jak 128bitový symetrický klíč prolomit - a i u těch kvantových počítačů je to čistě teoretické (předpokládáme, že takové počítače dokážeme sestavit, příslušné problémy na nich řešit a že odpadne energetický problém, který konvenčním přístupům dost brání).
U asymetrických klíčů je to zásadně odlišné, už proto, že útočník má v ruce jednu půlku klíče a ví, jaký je vztah mezi ní a druhou půlkou, takže má počítání značně usnadněné. Potřebná délka klíče je tak delší. Stále ale platí, že délku klíče jde navyšovat celkem neomezeně, zatímco výkon počítačů dřív nebo později narazí na fyzikální limity (např. na počet atomů ve vesmíru a schopnost lidstva postavit v jednom atomu maximálně X počítačů).
-
anonymníKde je psano, ze vykon pocitacu poroste linearne, pripadne nejak jinak "hezky" ? Pokud se napriklad povede provozovat a vyrabet kvantove pocitace, muze vykon narust behem nekolika malo let v nasobcich predchoziho stavu.
Slabiny jsou samozrejme dalsi vec.
A nemluvil sem ani tak o prolomeni sifry jako takove, ale o bruteforce - pokud nekdo pouzival napr 128bit klic, tak se takovy klic da spocitat ve velmi dohledne dobe. Za par let bude totez platit o XkB klici, kde to X je zavisle pouze na vykonu. -
miromr (neregistrovaný)No jo, ale co sa zmeni voci uz podpisanym dokumentom, ci mal certifikat platnost 1 alebo 10 rokov?
Ved ak k tomu dojde tak sa na yaklade nejakeho yistenia ye algoritmus je prelomenz odvolaju vsetky stare certifikaty a nahradia sa modernejsimi. A ci pred tym platili rok alebo 10 nehra ziadnu rolu. Ministerstvo vyda prikaz ze doterajsie certifikaty su malo bezpecne a urobi sa prepodpisanie dokumentov.
Verme tomu ze za napr.50 rokov uz to bude mozne a to je viac pravdepodobne ako nie, aky vyznam ma ci k prelomeniu dojde za 2 roky alebo za 100 ked vieme ze raz k nemu urcite dojde a my stym musime ratat byt na to pripraveny ale jednorocna lehota to neriesi. -
pepak (neregistrovaný)
Výkon počítačů s tím souvisí jen minimálně. Samozřejmě, že se výkon zvyšuje a tím se zkracuje doba potřebná k prolomení hrubou silou, jenže to je naprosto triviálně řešitelné - stačí nastavit délku klíče tak, aby klíč vydržel ne tisíc nebo milion let, ale 10**80 let. A pak už je celkem jedno, jak rychle poroste výkon počítačů, protože to stejně nebude dost rychle.
Problém je v tom, že se časem objevují nové a nové slabiny v existujících algoritmech, případně nová řešení dosud neřešitelných problémů.
Staci se podivat do nedavne historie sifrovani, vetsina 10+let starych sifer se da dnes (samozrejme i kvuli delce pouzivanych klicu) rozlousknout pomalu na kdejakem mobilnim telefonu behem minut.
Musel bych si na to udělat důkladnější výzkum, ale takhle od boku mám za to, že těch prolomených šifer zase tolik není - tedy aspoň dokud se budeme bavit o "otevřených" šifrách.
-
Souhlasím, taky jsem přesvědčen, že za umělým omezením životnosti certifikátů na jeden rok nestojí altruistická snaha chránit uživatele el. podpisu před možností jeho brzkého prolomení vinou překotného technického vývoje, ale pouze snaha certifikačních autorit zajistit si pravidelný cash flow. Svědčí o tom několik skutečností:- Samopodepsané kořenové certifikáty CA jsou vytvořeny stejnými algoritmy jako komerční podpisy, které za poplatek vydávají, avšak těmto svým certifikátům nastavují klidně až třicetiletou životnost.
- V případě prolomení používaného algoritmu beztak není možné spoléhat na to, že dosud vydané podpisy za několik měsíců samy expirují. Pokud se CA dozví byť jen o dohledné možnosti kompromitace aktuálně používaného algoritmu, je podle svých vlastních politik povinna všechny dosud vydané certifikáty revokovat a buď přejít na silnější algoritmus, nebo zkrachovat.
- Některé CA nabízejí ve svých cenících možnost certifikace na delší dobu, než jeden rok, např. až pětiletou, ovšem za cenu jen o málo nižší, než je pětinásobek ceny roční certifikace
-
To už se tu rozebíralo, drtivou většinu toho by při sporu odhalila forenzní analýza.
Pokud se pamatuji, tak tento názor tu propagujete právě jen Vy. Moje zkušenost je taková, že v běžných dokumentech (např. .doc) je až desítky procent objemu náhodného balastu, který lze bez problému modifikovat a využít tak ke konstrukci kolizí.
Znalec, který by před soudem prohlásil: tyto bajty v dokumenty XY, tam určitě nedal MS Word, ale padělatel, by nebyl důvěryhodný, ale směšný. To prostě nemůže garantovat ani Bill Gates. -
anonymníPrave ze nejsou. Urad mozna archivuje ono rozhodnuti, ale ne v podobe DS kterou zaslal vam. A o tom, ze lze uspesne zpochybnit i takto archivovany doklad netreba pochybovat.
Vy si muzete (za dalsi penize) koupit archiv datovych zprav, ten vam ale nezajistuje nic vic nez ulozeni onech zprav po 90ti dnech. Az expiruji certifikaty, ste stejne v p... -
xpckar (neregistrovaný)To už se tu rozebíralo, drtivou většinu toho by při sporu odhalila forenzní analýza. Navíc řešením je použití několika v té době bezpečných hashů najednou, které se s časem růstu výpočetního výkonu budou adekvátně měnit.
Samozřejmě k tomu musí být funkční a správně nastavené všechno další návazné zabezpečení (nemožnost měnit hashe přímo v DS, zabezpečený kanál pro čtení hashů z DS atd.). -
BoB (neregistrovaný)Většina formátů dokumentů má určitou redundanci - místa, kde může být "téměř cokoliv" a dokument jako takový se nezmění. Když vezmu velikost hashe dejme tomu 1024 b (a to je hodně), potom mi teoreticky stačí 128 B k tomu, abych obsáhnul celý prostor hashů. Tj. postačuje 128 B "volného prostoru, kam můžu zapsat co se mi zlíbí" a mám kolizi...
-
anonymníPravdepodobnost, ze spocitate smysluplny kolizni dokument je realtivne nicotna (plati i pro MD5), zato pravdepodobnost, ze spocitate z nekolika malo dokumentu privatni cast podpisoveho klice muze prakticky bez varovani ze dne na den vzrust na 100%.
Tudiz nemusite vymyslet zadny kolizni dokument, staci kdyz si svou verzi dokumentu podepisete (klidne jiz neplatnym) klicem.
A vykon pocitacu s tim ma hodne spolecneho, uz jen kdyz pouzijete bruteforce atak na tu privatni cast klice, tak se cas na uspesny utok rok od roku zkracuje. Staci se podivat do nedavne historie sifrovani, vetsina 10+let starych sifer se da dnes (samozrejme i kvuli delce pouzivanych klicu) rozlousknout pomalu na kdejakem mobilnim telefonu behem minut.
Certifikaty plati jeden rok prave proto, ze se nepredpoklada ze by k necemu takovemu doslo behem jedineho roku, tudiz lze operativne zmenit delku klice a dalsi parametry (a take se to bezne deje). Predevsim pak jsou certifikaty obecne vhodne pro podepisovani kratkodobe platnych dokumentu = prikaz bance atd, rozhodne nejsou vhodne pro podepisovani dokladu platnych desitky let. -
Marek T (neregistrovaný)Články pana Peterky o DS jsou velice fundované a rád je čtu a o to víc mne mrzí, že neustále publikuje bludy o výpočtu kolizního dokumentu a dnes tomu nasadil korunu s nekonečným množstvím KD.
Takový dokument musí být napsán v jednom jazyce, ve správném jazyce, musí mít správnou strukturu, věcnou i gramatickou správnost atd. To vše tak drasticky omezuje množinu vstupních dat, že KD nebude možné vypočítat nikdy. A výpočetní výkon počítačů s tím nemá nic společného.
Takže proč platí certifikáty pouze jeden rok? Protože vydavatelé (zvláště v Česku) by byli hloupí, kdyby si nenechali zaplatit na totéž každý rok namísto každé 3 nebo 5 let. Takže zase jde o poeníze až v prní řadě.
