Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Jak se díváte na takovéto bezpečnostní riziko elektronického podpisu vy?

Víte, že můžete podepsat nějaký dokument svým elektronickým podpisem, a až vám jej někdo bude chtít "omlátit" o hlavu, řeknete jen, že jste jej nikdy nevytvořili a že vás chce někdo poškodit? A víte, jak si dát na takové podvody pozor?

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

Brouk Pytlík

proboha

Jak si někdo může myslet, že v zemi, kde lze zpochybnit vlastnoruční podpis (Libor Novák - ODS - přiznání DPH), nedojde ke zpochybnění elektronického podpisu. Vždyť já prostě jen můžu prohlásit, že k mému počítači si sednul Pepa z Honkongu a to falešné daňové přiznání poslal on. A pane soudče, dokažte mi, že kecám.

0/0
13.2.2003 7:53

Myš

Blbost

Tento pripad zneuziti se mi jevy jako naprosta kravina a to proto ze pokud chcete prohasovat sve "zafixlovane" danove priznani za neplatne, kde je tedy pak to spravne? Jakto ze jste ho nepodali v cas? Nebo jste ho nepodali vubec? Opravdu si myslite ze se vas na to soud nezepta?

XM.

0/0
5.2.2003 17:07

Roman Všetečka

Re: Blbost
Samozřejmě, že zeptá. A podvodník mu s klidem odpoví, že když už si dal úředník takovou práci s falšováním, tak zajisté nezapoměl zničit podvodníkovo "originál".
0/0
7.2.2003 14:15

Dufun

Re: Blbost
A jak může zfalšovat přiznání?  Mám pocit, že řešíte už něco jiného nebo to chybně vysvětlujete.  Můžete se bavit o čase, ale samotný dokument není falšovatelný, pokud onen úředník nemá soukromý klíč.
0/0
9.2.2003 19:13

Mgr. Milan Kučera - právník

Re: Blbost

Já vám povím, co soud učiní: vyzve osobu, která daňové přiznání podala (a tvrdí, že to není ono), aby doložil soudu svou kopii doličného přiznání s razítkem podatelny, nebo elektronickou verzi řádně digitálně podepsanou od podatelny příslušného FÚ, že podatelna přijala v těle podepsané a integritní zprávy obsažené přiznání . Nemůže-li takové elektronické potvrzení nebo fyzický formulář doložit, neunesl důkazní břemeno a případ je pro soud uzavřen, protože soud neshledal oprávněnost tvrzení tohoto "stěžovatele". Tak říkajíc vyhraje úřad "na množství předložených důkazů".

0/0
28.12.2008 10:48

Zdeněk

...většina nepochopila!!

Jak již bylo napsáno níže (viz příspěvek MiHor) problém je zcela někde jinde! Tedy mimo oblast e-podpis a kriptování.

Bravo pánové. A já, že se zakázky na prověření zabezpečených systémů jen hemží. Díky za podporu!

PS: Ona zmiňovaná firma měla vždy problémy asi převážně sama se sebou, natož se zabezpečováním...

0/0
29.1.2003 2:07

JaDi

Re: ...většina nepochopila!!
Tem, kdo nepochopili, nebo se pochopenim nechteji zdrzovat doporucuji nezavisly komentar V.Kmenta na

http://www.vkc.cz/tz280103.htm

Riziko existuje, byt marginalni a proto je spravne na ne prichystat zaplaty. O tom to cele je a nezalezi na tom, jestli problem a naprava jsou v oblasti kryptografie nebo v oblasti organizacnich opatreni.

Proto upozorneni Infimy povazuji za spravne - a rozsah teto diskuse potvrzuje, ze trefila do "ziveho". Jak jsem Infimu znal pred par lety, byvala to parta, ktera casto videla o kus dal nez vetsina ostatnich. Zda se, ze ji to vydrzelo.

0/0
29.1.2003 11:26

Zdeněk

Re: ...většina nepochopila!!

Nezávislý komentář je sice hezký, dá se uznat, že má v některých bodech i pravdu, ale nic ze zmíněného neřeší skutečný problém (časové razítko je v podstatě k ničemu). Je to jen berlička, aby někdo mocný mohl prohlásit (třeba státní úředníci), že pokud to bylo podepsáno s časovým razítkem před nahlášením zneplatňujícím klíč, je to závazné.
Jenže pokud ztratím fyzické razítko nebo klíč od trezoru, většinou to zjistím poměrně rychle. "Ztrátu", tedy spíše okopírování elektronického klíče (např. pomocí rozšířeného SpyWare, který nemusí být pro "obyčejného" uživatele odhalitelný) však mohu zjistit třeba teprve až v okamžiku, kdy už jsem v průšvihu.
Z tohoto pohledu by asi tedy jediným rozumným řešením asi byla povinná implementace klíče v zabezpečené (nemám tím na mysli PIN...) čipové kartě. Jedině tak lze zvýšit prokazatelnost. Dalším zlepšením je snad už jen kódování dokumentu přímo na takové kartě.

PS: Nejste náhodou přímo z firmy? Jinak jsem zatím opravdu od nich nic pořádného neviděl (většinou se vše dalo obejít právě organizačně; no někdy i technicky)...

0/0
30.1.2003 1:23

Re: ...většina nepochopila!!

Leta jsem pouzival od Komercni banky homebanking, ktery tam Infima dodavala a byl jsem s nim spokojen. Byl urcite spolehlivejsi nez to, co KB nabizi ted.  V jedne firme jsem pak spravoval od Infimy firewall a taky OK.

Takze se da rict, ze jsem spokojeny zakaznik Infimy.

Nesouhlasim s tvrzenim, ze "casove razitko je jen berlicka". Casove razitko (jak ja ho chapu) je svedectvi duveryhodne treti osoby, ze nejaky dokument a podpis existoval v danem okamziku. S cipovou kartou souhlasim. Ta hodne pomuze.

0/0
30.1.2003 9:08

Re: ...většina nepochopila!!
Drsníku, co mi to děláš !
0/0
31.1.2003 20:15

JaDi

Nejdulezitejsi otazka

V diskusi k clanku p. Vsetecky se objevila hromada zajimavych uvah na tema kdo co nepochopil, ale rad bych pripomnel hlavni otazku:

Je mozne, aby pomoci uvedene metody (za nepritomnosti Timestampingu) doslo k odmitnuti zodpovednosti za elektronicky podpis?

Odpoved zni: ANO, JE TO MOZNE.

0/0
28.1.2003 17:39

sob

Re: Nejdulezitejsi otazka
ano, je to mozne. je to mozne uplne stejne jako u tzv. podpisu vlastnorucniho (jehoz definici bych nechtel hledat :))) a jako u spousty jinych zalezitosti. zpochybnit se da vse. obecne ja ale cely problem vyvolan zcela umele, neni co resit.
0/0
28.1.2003 22:33

Vojtěch Kment

"Nejdulezitejsi otazka"
Rozdíl proti vlastnoručnímu podpisu je zde zcela podstatný. U vlastnoručního podpisu je zpochybnění pravosti (a z něj plynoucí platnost) samotného podpisu silně problematické vzhledem k možnostem grafologických zkoušek. U elektronického podpisu je však stav všech podpisů (v případě že podepisující provedl zneplatnění certifikátu) silně problematický, protože závisí na schopnosti příjemce prokázat, že podpis vznikl v době, kdy ještě zneplatnění nenastalo. Pochopitelně, že se pohybujeme v oblasti patologie, která ve většině běžných případů bude marginální záležitostí. Nicméně pro některé aplikace může představovat riziko a je vhodné o tom vědět a zařídit se podle toho. Více viz naše tisková zpráva: http://www.vkc.cz/tz280103.htm
0/0
28.1.2003 23:04

sob

Re:

neco malo ze zakona c. 227/2000 Sb., o e-podpisu:

(1) Podepisující osoba je povinna
a) zacházet s prostředky, jakož i  s daty pro vytváření zaručeného
   elektronického podpisu s náležitou  péčí tak, aby nemohlo dojít
   k jejich neoprávněnému použití,
b) uvědomit neprodleně poskytovatele  certifikačních služeb, který
   jí vydal  kvalifikovaný certifikát, o  tom, že hrozí  nebezpečí
   zneužití  jejích  dat  pro  vytváření zaručeného elektronického
   podpisu,
...

     (2)   Za   škodu   způsobenou   porušením   povinností  podle
odstavce 1 odpovídá  podepisující osoba podle  zvláštních právních
předpisů. Odpovědnosti  se však zprostí, pokud  prokáže, že ten,
komu vznikla  škoda, neprovedl veškeré úkony  potřebné k tomu, aby
si  ověřil,  že  zaručený  elektronický  podpis  je  platný a jeho
kvalifikovaný certifikát nebyl zneplatněn.

Krome toho prebihate od casu vzniku zpravy k casu jejiho prijmu, coz ovsem neni totez. Tim vsak nenapadam teorii casoveho razitka, jejimz jsem zastancem. Uznavam ale, ze cas vzniku, doruceni zpravy a cas zneplatneni certifikatu je velmi problematicky (a neresi-li jej dobre zakon, nemuze jej beze zbytku resit ani Vami zmineny Standard UVIS).

Dle meho nazoru je ovsem sporne rici, ze pro "vlastnorucni" podpis mame grafologa, zatimco pro e-podpis nic. Skutecne bych se nechtel poustet do falsovani e-podpisu bez "prostredku pro jeho vytvareni", i kdyz mozne je samozrejme vsechno - co clovek vymyslel, byt sebebezpecnejsi, to jiny drive ci pozdeji rozlouskne.

 

0/0
29.1.2003 8:17

Zákon i vyhláška jsou v tomto ohledu sporné

Ano, ten text zákona znám. Onen zmíněný odstavec 2 je ovšem absurdní. V běžné technické realizaci s CRLky nemá žádný podepisující reálnou možnost prokázat, zda spoléhající (příjemce) si něco ověřil nebo nikoliv a i u OCSP je to silně problematické. ŽÁDNÝ. Pokud toto řekne nějaký znalec u soudu a to řekne, tak je podle mě velmi sporné, jak to soudce posoudí. Protože postavit nějakou povinnost na něčem, co nemůžu absolutně ovlivnit je nonsens. A pak může nastoupit druhý možný výklad, že odpovědnosti se zbavím ohlášením u certifikační autority, jež s určitou latenční dobou vydá CRLko. Prováděcí vyhláška mírně upravuje tuto spornou dobu latence, což ovšem validuje spíše právě uvedený druhý výklad, totiž právní úprava budí dojem, že uplynutím doby latence je podepisující z odpovědnosti venku.

S podpisovými prostředky můžete nakládat s péčí, ale v rámci současné právní úpravy toho, co je to povolený podpisový prostředek ... třeba i pécéčko s Windows 95 je, asi tak.

Nesouhlasím pak ani, že standardy ISVS nemohly situaci zlepšit. Mohly. V naší studii jsou 4 metody, Infima též něco vymyslela!

Jiná věc je, že osobně nejsem přítelem příliš úzkých předpisů, protože můžou naprosto svázat implementace tak, že o použití nebude vůbec zájem, protože bude velmi velmi drahé. Co se hodí pro pécéčka se nemusí hodit pro mobily, atp. Myslím, že česká právní úprava je i přes absenci časových razítek výrazně lepší než slovenská, která je má.

Takže mi příliš nevadí, že to ve standardu ISVS není a nechá se to otevřené konkurenci a zvážení uživatelů samých. Vemte si třeba, že by předpis ISVS stanovil jedno provedení, ale pak by se přišlo na to, že ta jiná 3 z naší studie jsou lepší. Nešlo by je použít a bylo by nutné lobbovat a půl a více roku čekat na novelizaci. Takto je to zcela svobodné, zákazníci si můžou sami zhodnotit, co se jim zdá lepší. Ono totiž pro každou situaci může být lepšího i něco jiného.

0/0
29.1.2003 15:12

sob

Re: Zákon i vyhláška jsou v tomto ohledu sporné

infima uz toho vymyslela... :))) (nemam na mysli bbs, ta hodne pomohla i mne a nedam na ni dopustit)

nicmene: podepisujici nese zodpovednost i za svuj pocitac s win 95, na tom trvam, prostredek pro vytvareni e-podpisu muzu mit pod kontrolou jako platebni kartu, neco jineho je treba auto.

a podepisujici je po zneplatneni z problemu venku, prokaze-li, ze ke zneplatneni doslo, resp. nahlasil autorite, autorita zverejnila. podepisujici nemusi prokazovat, ze se prijemce nekam nepodival.

presto o mezerach vim, jsou jak v pravnich predpisech, tak ve standardu a jsou zpusobeny presne tim, co uvadite. ovsem standard urcite veci upravovat nemuze, jak jiz bylo receno, je zavazny toliko pro organy verejne moci, a stejne tedy nevyresi vztah "podepisujici neorgan" - "prijemce - neorgan".

0/0
29.1.2003 15:24

Mgr. Milan Kučera - právník

Re: Nejdulezitejsi otazka

Nejde o to, jestli si myslíte, že odmítnutí odpovědnosti za pravost elektronického podpisu lze odmítnout, ale zda takové odmítání vlastní odpovědnosti má účinnost z hlediska práva. A odpověď naštěstí pro naši společnost zní: nemá. Mohu potvrdit z praxe. Časové razítko není ani tak berlička jako už v praxi poměrně dlouho (často ze zákona) vyžadovaný parametr podepsané listiny (bez ohledu na to, zda je podepsána elektronicky). Málokdo podepíše listinu bez "V Praze, dne:" Totéž je typické pro úřední podání, kde nedatované podání nemá náležitosti úředního podání. Bez data totiž není možné určit počátek běhu lhůt. Proto zejm.u daň.přizn. se za "timestamp" v praxi považuje vyplnění kolonky "místo a datum" A nakonec: z hlediska účinků právních úkonů se s časem téměř nikde nepočítá. Pouze s datem. Dojde-li ke sporu o čas při úkonech spadajících na stejné datum, posuzuje se věc individuálně. V legislativě se s časem prostě (krom řídkých výjimek) nepočítá, i lhůty se počítají od data do data.

0/0
28.12.2008 10:56

MiHor

nepochopeno???

No myslím, že celý to mělo být o tom, že uživatel něco podepíše načež prohlasí svůj podpis za zkompromitovaný a až vznikne nějaký spor, bude se hájit tím, že podpis byl prozrazen asi dříve než ho odovolal. Myslím, že je to stejný, jako když půjdu do obchodu se svoji občankou aktivovat dotovaný mobilní telefon a z obchodu přímo zamířím na policii kde ohlásím, že od včerejška nemůžu najít občanku. Až mě operátor bude honit budu se hájit tím, že jsem to nebyl já. Jak to dopadne nevím, stejně tak jako nevím jak by dopadl spor o uvedený problém. A také si myslím, že pokud vím alespoň základní údaje o jakémkoli podnikatelském subjektu (IČO, podpis) můžu 31.3. podat OPRAVNÉ daňové přiznání za něj - na podatelně nikdo nic nekontroluje (pokud pošlu poštou ani nemůže) a myslim, že se mi podaří mu tím způsobit velké problémy.

0/0
28.1.2003 13:35

RNDr. Tomas Svoboda, INFIMA

Re: nepochopeno???

Myslim, ze pan MiHor celou zalezitost spravne pochopil a uvedl na pravou miru. 

Vzhledem k tomu, ze v prubehu psani clanku a odpovidani ze strany MICR doslo k nekterym nepresnostem, odkazuji na nasi puvodni tiskovou zpravu, ze ktere clanek p. Vsetecky cerpal:

http://www.epodatelna.net/tisk20030110.html

0/0
28.1.2003 16:35

Jiří

Zatím jediný, který pochopil !!

PS: Není podstatné jestli někdo detailně rozumí e-podpisu a kriptování, ale má zdravý "selský" rozum.

0/0
29.1.2003 1:49

Mgr. Milan Kučera - právník

Re: nepochopeno???

Dopadne to jednoduše: soud vyzve "zneplatnitele vlastního elektronického podpisu", aby předložil důkazy, které prokáží nade vší pochybnost, že zmíněnou listinu nemohl podepsat. Pokud neprokáže (jakože téměř nikdy nemůže, ledaže byl zrovna v té době v kómatu nebo den předtím oslepl apod.), má soud za to, že podpis je pravý. Konec. Usnesení jménem republiky, v Praze dne...

0/0
28.12.2008 11:01

Co to sem pises za blbosti ...

To bych rad vedel, kde jsi to sebral? Cele je to nesmysl.

1. Ze zakona plati, ze certifikat se po ohlaseni ze zneuziti zneplatni do 12 hodin. K tomu je potreba dodat, ze kdo overuje epodpis real-time, tak by mel mit zapnut rovnez real-time pristup na databazi CRL (vyhne se 12-ti hodinam prodlevy v kontrole).

2. Existuji implementace epodpisu, kde 12 hodin interval k overovani staci. Rovnez existuji aplikace, u kterych je mozne v krajnim pripade akceptovat situaci bez pristupu na databazi CRL.

Tedy dle bodu c.1 je zrejme, ze je mozne vynutit overeni real-time pro vzdy aktualni databazi CRL a existuje tedy moznost overeni zadatele. Reknete mi tedy, kde je dira v ePodpisu a nebo v tomto smeru v dotcenem zakone?

Vazeny pisateli clanku, tedy strucne receno, to co jsti napsal je nesmysl.

 

0/0
28.1.2003 12:55

Jakub Ditirch - Globe internet

Re: Co to sem pises za blbosti ...

... pripadne si overovat nejprve aktualni CRL a jemu predchazejici CRL a dle toho rozhodnout o tom, zdali zprava je podepsana platne, nebo nikoli.

Viz vice: http://www.podatelna.info/index.php3?s1=bezpecnost&lng=cz  

0/0
29.1.2003 12:05

tix

Re: Co to sem pises za blbosti ...

ad1) Bohuzel není  možné obejít limit  12 hodin. 12 hodin (6hodin apod)  totiž může být právě interval mezi vydávanými CRL! CRL nemá s online ověřením nic společného, můžete ho sice online získat, ale obsahuje datá z posledního vydání...

 

 

0/0
1.2.2003 9:44

Mgr. Milan Kučera - právník

Re: Co to sem pises za blbosti ...

Ale to nevadí, odpovědnost nese zneplatnitel vlastního podpisu. Je to stejné, jako když si necháte ukrást občanku nebo kreditní kartu. V mezidobí krádež-nahlášení nejste kryti. Ale můžete se pojistit.

0/0
28.12.2008 11:04

Fox

Panu Vseteckovi
Piste radeji o necem cemu rozumite, pak nebude komunikovat s nejakym noumou, ktery tomu stejne tak hov.. rozumi jako vy.  Pokud si myslite, ze IT rozumite potom po tomhle clanku, je mi Vas lito. Vymluva, ze mluvil spatra nebo zpatra neobstaoji, protoze jen to, ze by se musel nejak pripravovat na dane tema svedci o tom, ze tomu rozumi "jak koza nakladaku". Nazdar bazar.
0/0
28.1.2003 10:19

koko

Re: Panu Vseteckovi

Mily Foxi,

kdyby jste se jeste navic naucil interpunkci, byly by vase vypady presvedcivejsi.

0/0
28.1.2003 14:09

Re: Panu Vseteckovi
Drahy nebo draha Koko! Myslim, ze nejde ani tak o gramatiku jako o vecnost (obsah) clanku pana Vsetecky. Pokud se pod uvedene podepsal, potom tematu skutecne nerozumi a mel by se venovat necemu jinemu. Mozna, ze je Vas nazor opacny, ale potom si zkuste neco alespon precist o problematice PKI a snad pochopite. Pan Vsetecka se podepsal pod hrozny blabol. Pokud Vas moje interpunkcni znamenka urazi, tak se omlouvam, ale nezabyvam se gramatikou, ale bezpecnosti IT.
0/0
28.1.2003 14:24

a

Podpis certifikatem?

Odkdy se elektronický dokument  podepisuje ... pomoci certifikátu vydaného akreditovanou certifikační autoritou... ja myslel, ze dokument se podepisuje privatnim klicem ... proc se oddeleni marketingu alespon nezepta lidi z bepecnosti na spravnou terminologii.

Ohledne timestampingu firma pravdepodobone prave objevila Ameriku.

0/0
28.1.2003 10:08

Freddie

to je ale sila...
Zavadejici nadpis a zavadejici informace. Udaje o case, ktere jsou pripojeny k podpisu nemaji souvislost s moznosti zfalsovat epodpis. Spada to do jine problematiky, kterou hrave vyresi instituce - TSA (Time Stamping Authority) - autorita casovych razitek. Takova instituce patri zcela bez pochyb do PKI, v zakone o epodpisu vsak neni zakotvena. Ale mela by byt. Tak jako v Nemecku, napriklad...
0/0
28.1.2003 9:48

Roman Všetečka

Re: to je ale sila...
A jsme znovu u toho  "mela by byt zakotvena", ale neni = problem.
0/0
28.1.2003 12:17

sob

blabol...
tema clanku je pekny blabol, souhlasim s temi, kdo tvrdi, ze se nejspis jedna o pr "spolecnosti" infima.
0/0
28.1.2003 9:37

adam

INFIMA jsou totální loseři. Exhibicionisti.
Už od napadání PGP7.0 (problém s nějakým podělaným sharingem klíčů nebo co to bylo...) až po tuto STUPID "causu", společnost INFIMA Software s.r.o. prokazuje svou čistě loserovskou exhibovskou orientaci na obec čtenářů bulvárů ACH JO
0/0
28.1.2003 9:27

RNDr. Tomas Svoboda, INFIMA

Oprava: Re: INFIMA jsou totální loseři. Exhibicionisti.

Nerad bych se poustel do diskuse na teto urovni.

Nicmene Vas poopravim: Neni pravda, ze by se INFIMA v minulosti nejak zapojila do kritiky PGP. Vzpominam si na tu udalost; sice si nevzpominam, ktera vehlasna firma to byla, ale my jsme to nebyli.

0/0
28.1.2003 16:54

BlaBla

Re: Oprava: Re: INFIMA jsou totální loseři. Exhibicionisti.

Byly to panove z Decros, vlastne nyni z ICZ a.s.

http://www.i.cz/onas/tisk4.html

0/0
29.1.2003 0:17

Tomáš Rosa

Re: Oprava: Re: INFIMA jsou totální loseři. Exhibicionisti.

Vlastni utok na PGP byla regulerni slabina tohoto prostredku (to snad nejlepe dokumentuje, ze ji zaradil server www.pgpi.org mezi nekolik malo udalosti, ktere k PGP uvadi). Pokud ale nekdo kryptologii nerozumi a je tak odkazan na to, az mu to cele prelozi a prevypravi novinari, nacez se vzteka a zlobi za takto vneseny sum, tak to ma holt smulu. To je bohuzel o etice daneho oboru. Napriklad jsem nebyl svedkem toho, aby nektery lekar hodnotil koleguv zakrok podle toho, jak tiskovou zpravu jeho kliniky pojal denni tisk vcele s bulvarem. V IT mame v tomto ohledu hodne co dohanet.

Zde citim i jistou podobnost s kauzou INFIMA (i kdyz je zrejme, ze prezentovana tiskova zprava je tez zpravou propagacni, ktera se snazi rici, v cem si ONI mysli, ze je jejich pristup lepsi). Totiz hypoteticke utoky jsou nutne vzdy karikaturou, ktera je narozdil od reality moc strucna a stroha na to, aby vypadala zcela opravdove a uveritelne. Prezentovany utok rozhodne neni neco, co muze ted kazdy Cech popadnout a jit okamzite zneuzit. Je to neco, co mozna mohou 2 az 3 lide nekdy v tichosti pripravit a zneuzit treba uplne jinak a jinde, nez je zminovane danove priznani. Chapu, ze doba je orientovana ucelove a nuti nas myslet tvrde realisticky. Ale postoj: "Co nemohu pouzit hned, to je uplny nesmysl." odpovida zivotni filozofii doby kamenne.

Pro ty, kdoz prekousnou, ze jista spolecnost se snazi z teto kauzy cosi jisteho vytezit, a chteji se CISTE o problematice (ne)popiratelnosti podepisovani dovedet vice, doporucuji treba tento clanek [1]. Uvidite, jakymi "blbostmi" se zabyvaji svetove kapacity na nejprestiznejsich konferencich. Tento clanek rozhodne neni jediny sveho druhu, kdyz budete hledat, jiste jich najdete vic... (kdo bude chtit, muzu mu v tom pomoci).

[1] J. Stern, D. Pointcheval, J. Malone-Lee and N. P. Smart. Flaws in Applying Proof Methodologies to Signature Schemes, in Proc. of CRYPTO 2002, LNCS 2442, pp. 93-110, Springer-Verlag, 2002

0/0
29.1.2003 11:38

Vojtěch Kment

Kompliment

Nevím, zda Vás to dodatečně ještě potěší, ale po mém nedávném probírání se  internetových specifikací hodnotím Vaše tehdejší odhalení slabiny ve formátu OpenPGP podstatně výš, než jsem činil tehdy ve svém následném článku, i když ani ten rozhodně Váš objev nesnižoval.

Formát pro výměnu soukromých klíčů bez zajištění kontroly jejich integrity je letální chyba. Nepletu-li se, dodnes je o tom ticho po pěšině i když možná vlastní implementace programu PGP se zlepšila (?)

0/0
30.1.2003 0:04

Tomáš Rosa

Re: Kompliment

Diky za kompliment

Pokud jde o ohlas, tak bych to rozdelil na tri proudy:

a) kryptologove - davaji to jako priklad toho, kam vede nezajisteni integrity klicoveho materialu (naposled, co tak vime, to pouzil David Wagner z Berkeley jako jeden ze tri nedostatku PGP)

b) OpenPGP uskupeni jina nez PGP P. Zimmermanna - zapracovaly ochranu

c) P. Zimmermann - ???? Je fakt, ze tenhle clovicek ma dost starosti sam se svoji firmou, ale na druhe strane bych se divil, kdyby tam ta vrata nechal otevrena... Zatim jsme se nedostali k tomu (ani vlastne nevime, proc bychom to meli delat), abychom to overili sami.

 

0/0
31.1.2003 13:44

Klaus

Jděte do háje
A myslíte, že kvůli Vaším zkorumpovaným pohnutkám se každý bude k kdejakému blábolu vyjadřovat? Dělejte to co umíte a čemu rozumíte, já se také "nemontuji" do jaderné energetiky.
0/0
28.1.2003 8:44

Zeman

Re: Jděte do háje
Vasku, nech toho a pojd na bezky...
0/0
28.1.2003 9:23

Lukas Kubin

Reklama
Myslim, ze jedine, co v teto kauze je zneuzitelne, je pan Vsetecka.
0/0
28.1.2003 8:20

Jiří Kutálek

Pan Vondra zjevně nepochopil PKI
Jestli tohle má být PR článek společnosti INFIMA, tak je to spíše neuvěřitelná ostuda. Pan Vondra (asi nějaký specialista) zřejmě nepochopil základy PKI. Věta, že "...elektronický podpis stáhnul kdesi z internetu..." spadá do říše romantických telenovel. Případný útočník si (v daném kontextu)může stáhnout privátní klíč a vytvořit pomocí něj podpis. A stáhnout si privátní klíč lze pouze od šílence, který má svůj privátní klíč volně přístupný. Věřím, že takoví existuji pouze ve firmě INFIMA. Příjemným překvapením je vyjádření MI: poměrně zasvěceně napravuje alespoň základní chyby p.Vondry. Možná by bylo možné zmínit se o timestampingu el.podpisu. A bohužel, jako odborník se příliš neprojevil autor článku pan Všetečka. Zřejmě chtěl svojí troškou do mlýna přispět k mediálně atraktivní kauze. S jeho závěrem, že el.podpis je podobně zneužitelný jako vlastnoruční nesouhlasím. Možná je náš rozpor ukryt v tom slovíčku PODOBNĚ.
0/0
28.1.2003 7:35

Re: Pan Vondra zjevně nepochopil PKI
jiste ze je to PR Infimy. Jak jsem slysel od externisty pracujiciho na projektu, jeste nedavno p. Vondra tvrdil, ze pro kval. el. podpis  dokumentu neni potreba verejny klic protistrany... Skoda, mohli jsme mit podatelnu bez verejnych klicu :-)
0/0
28.1.2003 7:58

Re: Pan Vondra zjevně nepochopil PKI
A muzete mi sdelit, k cemu by jako mel byt verejny klic protistrany dobry? Jedna-li se pouze o podpis (kvalifikovany nebo nekvalifikovany) potrebuji pouze privatni klic a kvalifikovany certifikat. Verejny klic a potazmo certifikat protistrany je potreba pouze pro sifrovani. PS: Nejsem pan Vondra, ale v tomto bych s nim souhlasil.
0/0
28.1.2003 10:01

Re: Pan Vondra zjevně nepochopil PKI
mate pravdu, dodavam tedy pro vsechny, ze slo o posilani sifrovanych emailu skrze SMTP skrze nezabezpeceny kanal.. pokud vim, jejich podatelna funguje a-la mailovy klient....
0/0
28.1.2003 16:38

Petr

Re: Pan Vondra zjevně nepochopil PKI

Souhlasím. Jedná se o klasický PR článek. Společnost Infima zde nastíní jakýsi problém a o dva odstavce dále už řeší, jak její nová verze e-podatelny tento problém vychytá. Pro spoustu úředníků, kteří nemají o el. podpisu ani páru a přitom musí zavádět e-podatelny do úřadů je to jasné doporučení, že mají jít k Infimě, protože má nejlepší soft.

Co na to konkurence? Nevšiml jsem si někde v článku, že by měla možnost se k tomu, co řekl p. Vondra, vyjádřit.

0/0
28.1.2003 8:15

Roman Všetečka

Re: Pan Vondra zjevně nepochopil PKI
O vyjádření jsme samozřejmě požádali více subjektů, například První certifikační autority, a.s., která by určitě měla ke kauze co říci. Během 10 dnů však stačilo zareagovat pouze Ministerstvo informatiky.
0/0
28.1.2003 8:36

anonym

Re: Pan Vondra zjevně nepochopil PKI
..se lidem z ICA ani nedivim. Kdo by takovou kravinu bral vazne?!? MICR uz ma zrejme sve zkusenosti s tim co vsechno snese internet, tak radeji zareagovalo - coz na druhou stranu chvalim.
0/0
28.1.2003 9:49

Jakub Ditrich

Re: Pan Vondra zjevně nepochopil PKI .. a vymýšlí si..

Vážený pane,
nejsem si zcela nadšený z Vašeho tvrzení "O vyjádření jsme samozřejmě požádali více subjektů".

Vzhledem k tomu, že článek se dotýká především púroduktu Elektronické podatelny a je obecne známo, že v ČR existují pouze 6 atestovaných producentů tohoto SW, jistě nebylo nesnadné tyto výrobce kontaktovat.

Pro úplnost dodávám, že mimo Infimy, která prostřednictvím tohoto článku inzeruje, jsou to: Gordic, CS Development, Triada, PVT a Globe Internet.

Předpokládám, že jste žádný z těchto subjektů (mimo PVT - I.CA) nekontaktoval. Na základě TZ infima z 10.1. vznikla mezi úředníky mírná panika a proto Globe Internet - producent řešení  PODATELNA.INFO - dnes vydává informaci k citvanému problému.

Pevně věřím, že bude možné informace v článku doplnit, případně materiálu věnovat článek nový, protože nic neškodí zavádění elektronického podpisu tak, jako jsou Hoaxy a nepřesné informace.   

 

 

0/0
28.1.2003 10:40

Jiri Vondra

Re: Pan Vondra zjevně nepochopil PKI .. a vymýšlí si..
Ja nejsem pisatel clanku, tak ze si nevymyslim (predpokladam, ze se to vztahovalo k tomu kontaktovani firem/osob). Prosim, budte pri doplnovani predmetu pozornejsi. Dekuji.
0/0
29.1.2003 9:53







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.