Vlákno názorů k článku Jak je to s bezpečností internetového bankovnictví? od Karel Kocourek - Tomu jsem, s prominutim, ne zcela porozumel, co...

Tomu jsem, s prominutim, ne zcela porozumel, co mate na mysli...

> anněkolikrát zadáte špatný PIN tak je privátní klíč bez možnosti opravy zničen.

Nikoli. V typickém případě je po opakovaném zadání špatného PIN pouze PIN zablokován a lze vše napravit pomocí PUK. Klíč zničen není. Po opakovaném zadání špatného PUK bude zablokován i PUK, ale klíč opět není fyzicky zničen. Pouze jej nelze softwarovými prostředky na kartě použít, natož pak ho z karty načíst do počítače (to nejde ani normálně). Nicméně bezpochyby bude možné (byť velmi, velmi obtížné) jej z karty získat hardwarovými prostředky.

Asi by bylo vhdoné chtít po novinářích, aby sami napřed problematiku pochopili a pak o ní něco sali.
Zabezpečení pomocí certifikátu má tři náležitosti. Dvojici vygenerovaných klíčů, z nichž jeden je veřejný, druhý privátní a certifikátu vydaného certifikační autoritou VeriSignum, 1.CA apod.). Veřejný klíč a certifikát jsou veřejné, uživatel je kdykoli a komukoli může předat. Resp. i musí je předat aby jeho podpis byl ověřitelný. To, co je nutné chránit je privátní klíč. A uložení privátního klíče na disketu, CD či podobně je stejné jako to vše zveřejnit a mít tak problém. Jediné místo, kde mám značnou jsitotu, že nelze privátní klíč zneužít je čipová karta nebo token. Od uložení např. na USB disk se to liší především v tom, že ze ztraceného USB disku si může kdokoli data přečíst (pokud jsou zašifrována tak jsou nástroje na rozšifrování). Čipovou kartu nebo token však privatní klíč nikdy neopustí, veškeré opreace se dělají uvnitř. V případě, že by byl privátní klíč na USB disku či disketě, tak v případě požadavku na podpis putuje z USB disku do počítače. To už je něco, co je zneužitelné.
Navíc, máte čipovou kartu nebo token anněkolikrát zadáte špatný PIN tak je privátní klíč bez možnosti opravy zničen.

Ulozeni klice na externi medium bude nepatrne bezpecnejsi. Pouziti HW zarizeni, kde soukromy klic je uvnitr a nikdy jej neopousti, tj. kryptovani/podepisovani se provadi v tom zarizeni, je jeste o hodne bezpecnejsi. Ovsem i takove zarizeni ma nejaky PIN, ktery uzivatel preda jeho ovladaci. Ciste hypoteticky muze byt na PC pritomen skodlivy kod, ktery ten PIN odposlechne z klavesnice a pak dokaze pro svoji potrebu imitovat, jako kdyby jej zadaval uzivatel. Dokonale HW zarizeni by bud melo mit displej, na kterem by se zobrazoval jednorazovy PIN pro kazdou jednotlivou zadost o kryptovani/podepsani a nebo klavesnici, na ktere by se PIN zadaval primo, aniz by prochazel pocitacem.

Pokud ten USB kolíček po použití klíče z počítače zase vytahujete, tak ten virus má na zkopírování míň času tj. musí být chytřejší. A pokud vám někdo kolíček ukradne, tak se nic neděje, protože je na něm klíč zaheslovaný. Útočník by musel zároveň ukrást kolíček a odposlechnout heslo ke klíči. Tj. uložení klíče na externím médiu považuji za (trochu) bezpečnější.

... je podle me stejne bezpecne, jako ulozeni na disk. Kdyz je v pocitaci nejakej virus/worm/..., tak zkopiruje certifikat z disku stejne dobre jako z CD/USB/floppy a heslo zkopiruje z klavesnice. Kdyz by mel ukrast cely pocitac, muze ukrast CD/USB/floppy jeste jednoduseji. Jedine dobre reseni jsou IMO oddelene kanaly (PC+kalkulacka/OTP/skey nebo PC+Mobil).