Vlákno názorů k článku Autorizovaná konverze dokumentů: padělek už vám nezkonvertují od Martin Pištora - Narozdíl od kontroly podpisu, kterou lze provádět off-line,...

Článek je starý, nové názory již nelze přidávat.

13. 2. 2010 21:01

Martin Pištora

Narozdíl od kontroly podpisu, kterou lze provádět off-line, je pro zkoumání revokace certifikátů potřeba spolehnout se na CA.
Spolehlivost není nijak technicky zajištěna - jen předpisem. Revokované certifikáty se v CRL nemusí objevit. Nebo hůře: mohou se objevit, ale v pozdějších vydáních už ne. Pokud dvě strany budou zkoumat stejný dokument s podpisem stejným algoritmem, mohou dojít k různým výsledkům.
Problematické je také získání CRL z potřebného data po mnoha letech. Optimální je si stahovat a ukládat všechna vydaní CRL všech CA :-)
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
15. 2. 2010 15:11

petr_p (neregistrovaný)

CA musí ze zákona držet kumulativní CRL 10 let, pak tato povinnost přechází na vnitro. Jak je na to ministerstvo připraveno, nevím.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
15. 2. 2010 17:24

Jason (neregistrovaný)

CA musí tyto záznamy ze zákona uchovávat (a pak je předat MV). Ale nemusí je po tuto dobu zveřejňovat a ani to nedělá - v aktuálním CRL jsou typicky uvedeny pouze certifikáty, které (kromě toho že jsou revokované) neexpirovaly.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
15. 2. 2010 18:38

MB (neregistrovaný)

On je tu i problém, že certifikáty obsahují osobní data (třeba bydliště). A co s tím, když držitel certifikátu se rozhodne tyto data nadále nezveřejňovat. Certifikát dávno expiroval, byl zneplatněn a on by neměl možnost to změnit.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2010 12:31

petr_p (neregistrovaný)

V CRL se eviduje číslo certifikátu, čas zneplatnění (a volitelně důvod zneplatnění). Tudíž v CRL žádné osobní údaje nejsou.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2010 12:29

petr_p (neregistrovaný)

Ale musí je zveřejňovat (§ 6 odstavec 1 písmeno a, § 6a odstavec 1 písmeno f). Dokonce tam není výslovně omezena délka na 10 let.

V CRL nemusí být vedeny vypršené neodvolané certifikáty. Proč taky, když hranice platnosti jsou uvedeny v certifikátu samotném.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 2. 2010 17:18

Jason (neregistrovaný)

A přesto si myslím, že v aktuálním CRL nemusí být a nejsou uvedeny již "vypršené" revokované certifikáty. Viz příslušné RFC i viz např. konkrétní obsah aktuálních CRL třeba i našich akreditovaných CA.

BTW mj. asi i právě proto je naopak k dispozici možnost stáhnout si stará, historická CRL ...
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
18. 2. 2010 10:35

petr_p (neregistrovaný)

Už rozumím. Jde o to, že odvolaný certifikát z CRL zmizí, jakmile uplyne standardní doba platnosti certifikátu.

Na RFC se podívám. Asi vzniklo v době, kdy se časová razítka nenosila a certifikáty se vždy ověřovaly k současnosti.

Takto to docela podkopává jakýkoliv pokus o automatizaci (přístup k historickým seznamům asi není nijak standardizovaný). Navíc to značně zatěžuje prostředky, protože by to znamenalo, že ke každému certifikátu by se musel stáhnout vlastní CRL vydaný v době nejbližší po času podepsání. To už by se vyplatilo nasadit OCSP.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
15. 2. 2010 17:43

Martin Pištora

Tak to je lepší, než jsem si myslel, ale je to právě jen to "zajištění předpisem". Teoreticky tedy může být v libovolném CRL kdykoliv cokoliv. A navíc je velká pravděpodobnost, že si neshody nikdo nevšimne.

Běžný software se pro to CRL na MV těžko dostane.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 2. 2010 12:43

petr_p (neregistrovaný)

Teoreticky je možné cokoliv. Pokud takový ošklivý CRL získáte, není problém jej použít jako důkaz proti autoritě, protože autorita CRL podepisuje. (I CRL musí být chráněn proti padělání.) A vězte, že pokuty za porušení dotčených předpisů mají horní hranici řádově v miliónech korun.

Běžný software hledá CRL tam, kam ho odkáže certifikát. Rozumnější software je možné nastavit, aby se díval i do jiných CRL (často se používá ve větších podnicích pro potlačení zátěže způsobené masivním stahováním stejného souboru všemi pracovními stanicemi). Takže úplně stejně je možné nastavit nahlížení do seznamů ministerstva.

Problém ale spíše bude ten, že ministerstvo potřebný systém ještě ani nemá vybudovaný. Tedy alespoň se mi nedoneslo, že by něco takového již fungovalo.

Aktuality

Za sobotním kolapsem na železnici může selhání databáze na serveru v systému GSM-R, řekl ministr

Šéf ČT: Kromě zpravodajství jsme šetřili i jinde, zmrazili jsme 50 milionů

Akademie věd spustila nový web o změně klimatu. Ukazuje, jak se do konce století změní počasí v Česku

Vlákno názorů k článku Autorizovaná konverze dokumentů: padělek už vám nezkonvertují od Martin Pištora - Narozdíl od kontroly podpisu, kterou lze provádět off-line,...

Aktuality

Za sobotním kolapsem na železnici může selhání databáze na serveru v systému GSM-R, řekl ministr

Šéf ČT: Kromě zpravodajství jsme šetřili i jinde, zmrazili jsme 50 milionů

Akademie věd spustila nový web o změně klimatu. Ukazuje, jak se do konce století změní počasí v Česku

Dále u nás najdete