Vlákno názorů k článku Soumrak SHA-1, ohrožení elektronických podpisů i rozpočtů IT od admin. - No to nejsem, ovšem ti co navrhovali systém...
-
Pravidelné označkování archivu časovým razítkem v aktuálním technickém provedení je jediný způsob jak alespoň částečně zamezit možnosti napadení platnosti dříve podepsaných dokumentů. Neřeší to samozřejmě všechny případy a varianty.
Dodnes nechápu jak někdo mohl víceméně šifrovací nástroj kde sytém ověření platnosti podpisu/šifry je ověřitelný pouze v době aktuální platnosti certifikátu navrhnout na použití "podpisu" dokumentu. Elektronický podpis totž říká : tento dokument byl v této podobě podepsán elektronickým podpisem který je možno v tuto chvíli ověřit a pokud je NYNÍ podpis platný je to pravda. Pokud dojde k zneplatnění podpisového certifikátu (odvolání nebo expirace), není možné od této chvíle zpětně ověřit žádný podepsaný dokument. To u online šifrování samozřejmě navadí, ale přirovnávat takto "podepsaný" dokument k normálnímu podpisu je zhovadilost a vše kolem DS to jen a jen potvrzuje.
Vážně nechápu proč takovou jasnou věc ještě nikdo nedokázal pojmenovat a že vůbec k podobné zhovadilosti mohlo dojít.
Elektronickáý podpis bez časového razítka je vhodný právě a pouze na zašifrování nebo na zajištění integrity dokumentu ve víceméně ON-LINE provozu ale ne pro nějakou archivaci. -
MB (neregistrovaný)Dále by měl každý kdo něco skladuje mít archiv podepsaných zpráv, který by třeba každý rok znovu a znovu celý podepisoval svým podpisem obsahujícím časové razátko. - To je hodně těžkopádné řešení. Už jen určit, kdo je ten "každý, kdo něco skladuje". A především "platnost" takového podpisu je závislá na "platnosti" celého řetezce podpisů a nevím, jak se s tím srovná legislativa, i když bude mít technicky vyspělé právníky. Jádro problému je, že elektronický a klasický podpis nejsou ekvivalentní a ne vždy může jeden nahradit druhý a naopak.
-
elektronické podpisy, tak jak byly navrženy a aplikovány jsou k ničemu. Celý náš právní bastl na tom postavený to odkrývá v celé své nahotě.
- neznámé a neodstranitelné předinstalované certifikační autority
-možnost automatické instalace důvěryhodných certifikačních autorit
-stejná úroveň pro pouhé SSL šifrování s elektronickými podpisy
-nekoncepčnost co se týče času podpisu (IMHO elektronický podpis by měl automaticky obsahovat časovou značku)
Pro el. podepisování by mělo existovat samostatné důveryhodné úložiště, kam by bylo možno přidat důvěrychodnou CA důsledně jen s vědomím uživatele.
Elektronický podpis by měl automaticky obsahovat časovou značku doplněnou online při podpisu prostřednictvím vydávájící CA.
Dále by měl každý kdo něco skladuje mít archiv podepsaných zpráv, který by třeba každý rok znovu a znovu celý podepisoval svým podpisem obsahujícím časové razátko. Tím pádem by bylo průkazné, že podpis nikdo nepadělal i v době 2009+X protože jakékoliv změny byť jen kousku acrchivu by byly ochráněny vždy technicky aktuálním podpisem celého archivu.
ČLÁNKY DO MAILU