Uloziste klice: Veskere kryptograficke operace se soukromym klicem musi byt provadeny hardwarem / softwarem, kteremu duveruji. Tzn. mym osobnim pocitacem nebo hardwarem meho tokenu (napr. SC karty). Zrovna tak passphrase pro rozsifrovani klice musi byt zadan primo tomuto zarizeni. Tim odpadaji USB tokeny a ctecky SC karet s klavesnici zrovna tak jako vsechny verejne pristupne pocitace (napr. knihovny).
Casova razitka: Bez nich neni mozne zjisit, kdy byl podpis vytvoren a tudiz po zneplatnenni certifikatu neni mozne rozhodnout, zda bylo podepisovano pred, nebo po zneplatneni. Zrovna tak musim cekat nez CA vyda novy CRL (v Cesku to znamena 12 hodin). Casova razitka vzhledem k cenove politice jsou pro normalniho cloveka neskutecne draha.
Vyhlaska o elektronickych podatelnach: Na jednu stranu resi takove nesmysly jako spam a viry, na druhou stranu vyzaduje odesilat potvrzeni o prijeti zpravy a to opet elektronicky podepsane (byt jen el. znackou) do urcite doby (myslim 1 pracovni den). Opet cena systemoveho certifikatu pro vytvareni el. znacek neni normalni. Pokud se podivate na maly obecni urad, ktery za cely rok neprijal jedinou el. podepsanou zpravu, je zarazejici povinnost splnovat vsechny tyto pozadavky.
Dotaz: Je mozne (legislativne) si udelat vlastni systemovy certifikat podepsany mym soukromym kvalifikovanym klicem?
> Tzn. mym osobnim pocitacem nebo hardwarem meho tokenu (napr. SC karty).
Ale v pripade podepisovani primo tokenem (SC kartou) zasunutym do neduveryhodneho pocitace stejne nemas kontrolu nad tim, co ten token vlastne podepisuje (pokud ten token nema display). Takze zbyva jen mym osobnim pocitacem.
Nejak mi unika v cem odpadaji USB klice, pokud se bavime o USB klicence ktero myslim ja, ta ma implementovanou podporu RSA/DES/MD5 hardwaerove v sobe -tak je bezpecnost dotazena temer k dokonalosti.
Nemám sice na cizím počítači 100% kontrolu nad tím co podepisuji, ale mám 100% jistotu kdy podepisuji. Můj USB token má totiž diodu kterou se dá poznat kdy pracuje. Pak na cizím PC okamžitě token vytáhnu a vím že když neexistuje způsob jak klíč sw dostat z tokenu že i kdyby nakrásně někdo znal můj PIN odchycením na cizím počítači /pravděpodobně bych ho změnil/ takže je mu k ničemu. Sice vlastní podepsaní cca 100kb mailu trvá cca 2 vteřiny ale to mi nepřijde nijak neregulérní vzhledem ke konfortu který mi toto řešení poskytuje.
Službu časových razítek by měl dělat stát a ne CA které za ni účtují nekřesťanské peníze, pak by bylo o nepopiratelné kdy se ta či ona skutečnosti stala.
Policie i ostatní uřady mi nikdy neposlali odpověď el. značkou ale vždy přijetí potvrdil svým podpisem nějaký konkrétní pracovník.
nevim o co vam jde ale bezpecnost hw + sw bude vzdy lepsi NEZ ciste sw reseni u ciste SW si podepise co chce kdy chce u hw jen kdyz je hw pritomen.
Nehlede na to ze svym dvema stanicim kde pracuji (doma i v praci) verim temer bezmezne. ma to sice sve rezervy (obyc dvi kabel) standartni klavesnice tj verim ze z nejakou supersmerovkou by to treba fbi,nsa,mosad,zdn,vzn a jini dokazali odchytit. Ale klic mi asi nevezmnou a pokud ano tak je pro nej jednodussi mi prilozit pistoli k hlave.