Vlákno názorů k článku Jak je to s bezpečností internetového bankovnictví? od R/W - ... je podle me stejne bezpecne, jako ulozeni...

... je podle me stejne bezpecne, jako ulozeni na disk. Kdyz je v pocitaci nejakej virus/worm/..., tak zkopiruje certifikat z disku stejne dobre jako z CD/USB/floppy a heslo zkopiruje z klavesnice. Kdyz by mel ukrast cely pocitac, muze ukrast CD/USB/floppy jeste jednoduseji. Jedine dobre reseni jsou IMO oddelene kanaly (PC+kalkulacka/OTP/skey nebo PC+Mobil).

Pokud ten USB kolíček po použití klíče z počítače zase vytahujete, tak ten virus má na zkopírování míň času tj. musí být chytřejší. A pokud vám někdo kolíček ukradne, tak se nic neděje, protože je na něm klíč zaheslovaný. Útočník by musel zároveň ukrást kolíček a odposlechnout heslo ke klíči. Tj. uložení klíče na externím médiu považuji za (trochu) bezpečnější.

Ulozeni klice na externi medium bude nepatrne bezpecnejsi. Pouziti HW zarizeni, kde soukromy klic je uvnitr a nikdy jej neopousti, tj. kryptovani/podepisovani se provadi v tom zarizeni, je jeste o hodne bezpecnejsi. Ovsem i takove zarizeni ma nejaky PIN, ktery uzivatel preda jeho ovladaci. Ciste hypoteticky muze byt na PC pritomen skodlivy kod, ktery ten PIN odposlechne z klavesnice a pak dokaze pro svoji potrebu imitovat, jako kdyby jej zadaval uzivatel. Dokonale HW zarizeni by bud melo mit displej, na kterem by se zobrazoval jednorazovy PIN pro kazdou jednotlivou zadost o kryptovani/podepsani a nebo klavesnici, na ktere by se PIN zadaval primo, aniz by prochazel pocitacem.

Asi by bylo vhdoné chtít po novinářích, aby sami napřed problematiku pochopili a pak o ní něco sali.
Zabezpečení pomocí certifikátu má tři náležitosti. Dvojici vygenerovaných klíčů, z nichž jeden je veřejný, druhý privátní a certifikátu vydaného certifikační autoritou VeriSignum, 1.CA apod.). Veřejný klíč a certifikát jsou veřejné, uživatel je kdykoli a komukoli může předat. Resp. i musí je předat aby jeho podpis byl ověřitelný. To, co je nutné chránit je privátní klíč. A uložení privátního klíče na disketu, CD či podobně je stejné jako to vše zveřejnit a mít tak problém. Jediné místo, kde mám značnou jsitotu, že nelze privátní klíč zneužít je čipová karta nebo token. Od uložení např. na USB disk se to liší především v tom, že ze ztraceného USB disku si může kdokoli data přečíst (pokud jsou zašifrována tak jsou nástroje na rozšifrování). Čipovou kartu nebo token však privatní klíč nikdy neopustí, veškeré opreace se dělají uvnitř. V případě, že by byl privátní klíč na USB disku či disketě, tak v případě požadavku na podpis putuje z USB disku do počítače. To už je něco, co je zneužitelné.
Navíc, máte čipovou kartu nebo token anněkolikrát zadáte špatný PIN tak je privátní klíč bez možnosti opravy zničen.

> anněkolikrát zadáte špatný PIN tak je privátní klíč bez možnosti opravy zničen.

Nikoli. V typickém případě je po opakovaném zadání špatného PIN pouze PIN zablokován a lze vše napravit pomocí PUK. Klíč zničen není. Po opakovaném zadání špatného PUK bude zablokován i PUK, ale klíč opět není fyzicky zničen. Pouze jej nelze softwarovými prostředky na kartě použít, natož pak ho z karty načíst do počítače (to nejde ani normálně). Nicméně bezpochyby bude možné (byť velmi, velmi obtížné) jej z karty získat hardwarovými prostředky.

Tomu jsem, s prominutim, ne zcela porozumel, co mate na mysli...