Vlákno názorů k článku Jak oživit elektronický podpis? od Krasl - Jak oživit elektronický podpis? - Úplně jednoduše: Snížit...

> A presvedceni, ze to vztahy mezi vasimi zakazniky a vami neposkodi vam preju - znamena to, ze mate trpelive, uznale a inteligentni zakazniky.

Pokud bude skoda v plnem rozsahu (nejlepe vcetne par desitek procent navic jako penale) uhrazena od CA nebo pojistovny, u ktere je tato CA pojistena, radi se mnou tuto nehodu pujdou zapit, nemyslite? Dale neodpovedel jste na dotaz, z jake casti a pripadne do jakeho stropu se ona slavna "licencovana" CA podili na nahrade skod, ktere svou neschopnosti zpusobi, a jak se kontroluje jeji schopnost temto zavazkum dostat. To je asi 1e9-krat dulezitejsi nez reference firmy, ktera k tomu dodava nejakou podruznou, vcelku zbytecnou, a odhadem o dva rady predrazenou technologii.

> Zverejnenim pozadavku na CSR jsem mel na mysli zverejneni toho, co ma CSR splnovat. Nikoli navod jak ho vytvorit.

Ano, to by take stacilo. Kde je to zverejneno? Kde je webovy formular, ktery overi formalni spravnost CSR, kdyz ji tam napastuju?

> A ktery ze to provozni ci technicky pozadavek na CA narizuje pozadovat po klientech generovani certifikatu pomoci ActiveX?

Dan Ohnesorg vyvinul dle meho soudu znacne usili, aby tuto komponentu nemusel pouzit, presto se mu dostalo od RA ujisteni, ze "to neni podporovano". Takze si to musite vyrikat mezi sebou. Jestli mate pravdu vy, je trivialni to dokazat- ukazte link na dokument, kde jsou vlastnosti CSR formalne popsany- tj jaky priznak ma mit jakou hodnotu a proc, jake atributy maji mit jaky obsah, atd...

Nemam dojem, ze by na to byla nejaka separatni pravni uprava. Plne a bez stropu. Samozrejme, jen za skody, jejichz vznik prokazete, vznikly v pricinne souvislosti s cinnosti (ci naopak necinnosti) one CA a nevznikly by i v pripade, ze by k te udalosti, ktera je zpusobila, nedoslo. Proste standardni odpovednost. Vzhledem k nutnosti toho prokazovani si myslim, ze by vetsina zakazniku s vami nic zapijet nesla. Ty nejvetsi skody byvaji obtizne vycislitelen natoz prokazatelne.

Mimochodem, predpokladam, ze vite, ze ja nejsem pravnik. Takze zadat po me pravni konzultace v oblasti nahrad skod je ponekud nestastne ...

Co se CSR tyce, tam se me docela obycejne pokousite nahnat do obhajoby vyroku, ktere jsem nepronesl. Zrejme doslo k nejakemu nedorozumeni. Ja rikal, ze pokud je format CSR zverejnen, pak neni v silach CA zjistit, jakou aplikaci byl generovan (pokud takove specifikaci vyhovuje). A ani smluvni podminky vas ActiveX komponentu uzivat nenuti. Jestli je nebo neni format CSR zverejnen nemam poneti (coz rikalo to sluvko "pokud").

Podle meho soudu jsem vyvinul velmi znacne usili a to uz z principu. Uz jsem i nasel ten mail, na dotaz:

....linux a tak, redakcne kraceno......

Mohu prinest zadost o certifikat na diskete vygenerovanou pres openssl?
Jsou na to nejake mimoradne pozadavky?

odpovedeli:


Dobrý den,

Pokud nemůžete vytvořit žádost o certifkát ze stránek www.ica.cz , použijte pro vygenerování žádost
aplikaci NewCert, která je ke stažení na adrese" http://www.ica.cz/NewCert_Install.exe .
Jiné způsoby vytvoření žádosti o certifikát nejsou doporučeny.

Upresneni co presne znamena nejsou doporuceny uz probihalo telefonem a vyslo z nej, ze kdyz to nebude z jejich aplikace a poznaji to, tak to nepodepisi.

Take si vazim, ze mluvime stejnou reci, a vase pripominky, prestoze nejsou opodstatnene, smeruji spravnym smerem. Tim bezpredmetne jsem nemel na mysli fyzickou odolnost zarizeni, ale to ze kdybych v tom trezoru mel onen brutalni (az moc) generator schaffnerovych pulsu, bylo by dalsi modulovani odberu bezpredmetne.

> aby bylo možné nezávisle zkoumat korektnost jejich návrhu, provedení, odolnost proti mnoha různým známým (a částečně i neznámým) typům útoků, následně kontrolována výroba, dodání, instalace, konfigurace i správa.

Samozrejme- moje reseni je zcela otevrene, a tedy libovolne zkoumatelne- jak HW tak SW, vcetne zdrojaku. Kde jsou vystaveny PDFka k hardwaru, ktery pouziva ICA? Kde jsou zdrojaky od software, ktery je pouzit? Pokud je pouzit custom hardware, kde jsou k tomu layouty, netlisty, verilogove zdrojaky? Overit zdrojaky lze, stejne tak ze po synteze odpovidaji layoutu. Jsou specialni cipy, pouzite v hardware, ktere ICA pouziva, v keramickem pouzdru? Lze vyfotit a overit layout cipu? POCHYBUJI. Proto je moje reseni vyrazne bezpecnejsi.

> Můžete Vy garantovat, že v běžném procesoru od Intelu nejsou nějaká zadní vrátka?

To garantovat muzu velmi snadno. Kdyz pouziju starou 386DX40, nemuzou se (hypoteticka) zadni vratka aktivovat generickym programem, vytvorenym o 15 let pozdeji, ktery overitelne obsahuje zcela genericky kod (protoze je otevreny), nehlede na to ze v te dobe byly designy procesoru tak jednoduche, a tlak na die size tak silny, ze "propasovat" do CPU neoficialni mikrokod bylo zcela nemozne. Ted je situace trochu jina, soucasnym procesorum bych take, stejne jako vy neduveroval.

> Nebo, že nejsou taková vrátka někde v operačním systému (pomíjím chyby, kterých je v obecných OS všech druhů jak naseto).

V kernelu nyni zcela jiste nejsou. Dodatecne by do nej samozrejme nejaky specialni maskovany backdoor propasovat sel (v kernelu ma svuj patch kdekdo, od vcerejska dokonce i ja :), ale nemam jediny duvod pouzit software, ktery je novejsi, nez doba kdy jsem design celeho zarizeni otevrel. Takze pokud pouziju stary soft s dnes neznamymi backdoory, nemuzou se triggerovat, protoze neznaji implementaci onoho systemu.

> Nemůžete - taková zařízení se musí navrhovat úplně zvlášť, na jedné straně s co nejjednodušším designem (aby bylo možné vyloučit chyby)

Muzu, viz argumentace vyse.

> a zároveň s odolností i proti aktivně vedeným útokům.

Tohle musite vysvetlit. Aktivne vedeny utok typu exploze dostatecneho mnozstvi TNT to asi nevydrzi, ale pokud aktivnim utokem myslite neobvykla vstupni data, tak to formalne odolnost prokazat mohu.

> Proto je to úplně speciální sektor businessu, prodá se jich pár kusů a proto jsou ty geréty taky pekelně drahé.

Ano, zbytecne veci maji tendenci byt velmi drahe :)

> Obecně bych pro budoucnost doporučil, abyste neobviňoval neurčité osoby a firmy (ať již z české státní správy nebo ze světové odborné veřejnosti) bez faktické znalosti věci. Možná jste ještě mladý, vemte si to k srdci.

Diky za upozorneni. Souhlasim ze fakticke znalosti nejsou nikdy dostatecne, presto bych uvital abyste byl konkretnejsi. Mlady uz skoro nejsem- Husakovo dite :)

> Microsoft v takovém případě ale není vhodným certifikátorem!

Ano, mate pravdu. Certifikat od MS v podstate jen rika, ze lidi z MS videli zdrojaky, a domnivaji se ze v nich neni zjevny trojan, ani chyba, ktera by mohla zborit pocitac. Pravdepodobne nebude ani vzdalene garantovat, ze aplikace negeneruje klice pouze s polovicni delkou, a druhou pulku deterministicky zfixluje jako jeji digest, na coz samozrejme uzivatel nemuze analyzou klicu prijit, aniz by jich vygeneroval radove miliardy.

Udelam takovou souhrnnou odpoved.

Co se tyce zjisteni klice podle odberu pri jeho pouziti, to jsem nemyslel tak, ze byste to meril nekde v elektrarne. To se meri primo u toho zarizeni. Typicky to probiha tak, ze koupite/nastrcite servisaka a ten tam pri nejake oprave namontuje zarizeni, ktere se snazi klic zjistit (at uz kvuli vyzarovani nebo zmenam odberu.....), pri dalsi navsteve si klic vyzvedne nebo si ho necha poslat vysilackou. Musi to udelat samozrejme tak chytre, aby se nikdo nedozvedel, ze klic byl odcizen.

A to je treba i duvod toho stineni trezoru, aby nekdo nemohl zvenku aktivovat nejake zarizeni uvnitr/komunikovat s nim. Nebo aby nemohl naopak ovlivnit ty "sifratory", treba ze by je bombardoval radioaktivitou a tim je donutil udelat chybu ve vypoctu. A chytri lide dokazi z takovyhle chyb ve vypoctu ledacos zjistit (urcite vygooglite neco o peceni cipovych karet v mikrovlnce za ucelem ziskani privatniho klice).

Co se tyce dokumentace HW co pouzivaji CA, kdyz se stanete CA dostanete ji.

Co se tyce privatniho klice. Problem neni az tak v tom, ze by byla vygenerovana pulka a druha pulka by se zopakovala otocena nebo neco takoveho. Problem je i v komponente, kterou nekdo delal v dobre vire a nedal do ni backdoor. Hlavni problem je, ze pocitac ve skutecnosti zadne nahodne cislo vygenerovat neumi. Na to potrebujete specialni HW (treba tu cipovou kartu) nebo ruzne generatory bileho/ruzoveho sumu. Panum od OpenSSL dalo fakt hodne prace, nez jim jejich genrsa a gendsa prikazy generovaly nahodna cisla tak, aby po vygenerovani miliardy cisel nebyla vsechna nakupena v nekolika shlucich. Pokud si nekdo jiny neda stejnou praci, muze skoncit stejne. Navic windows nemaji moznost uschovavat stav generatoru pseudonahodnych cisel mezi restarty.

Doplnil bych pouze, ze ve skutecnosti nikdo, tedy, krome pani nahodny osobne, neni schopen genrerovat nahodna cisla - nejde tedy jen o pocitace. A u jednim z teoretickych utoku na podobna zarizeni muze byt prave utok na takovy generator, ktery je mozna jeste nebezpecnejsi bez ovlivnovani "sifratoru". Pokud dokazete zajistit, aby ve skutecnosti nahodna cisla az tak uplne nahodna nebyla, pak jste s utokem uspel - pricemz to (kdyz budete vygenerovana "nahodna" cisla sledovat nemusi byt vubec zjistitelne.

I to je velmi dobry duvod pro zajistemi fyzicke i elektromagneticke ochrany takoveho zarizeni ...

Ano, predpokladam ze takto nahodna cisla negeneruje ani ta NAXK (neduveryhodna ActiveX komponenta), kterou pomlouvame. Microsoft, (ktery jinak pomlouvame take) predpokladam jiste nabizi v ramci jejich crypto api take silna nahodna cisla. Proto by prave certifikat od MS mohl garantovat, ze jej pouziva korektne- to k tomu proc bych jeho certifikat povazoval za lepsi nez certifikat od ICA. Vzdyt o tom, od koho ta NAXK je, nemam pochyb, pokud je soucasti stranky na sajtu s jejich certifikatem (samozrejme ne self-signed).

Jo, MSIE melo jeste nedavno kouzelnej bug, pry kdyz SSL server rekl v capabilities ze podporuje pouze crypt=plain, tak se sice SSL wrapper rozbehl a HTTPS stranka se objevila, ALE browser se uz nenamahal varovat pred neznamou CA, takze uzivatel zil v domeni ze site je autenticky. Ha ha, tomu rikam dira jako hrom, nejake "fluktuace odberu" a "elektromagneticke vyzarovani", to je o nicem.

Dalsi technicka poznamka: silna nahodna cisla bych na centrale (skoro) nepotreboval, podepisovani CSRek je na rozdil od sifrovani zcela deterministicke, ne? Entropii potrebuju pouze na inicializaci privatniho klice CA, ktery tam samozrejme nemuzu poslat zvenku. Ale na ziskani tech 1024 nebo kolika bitu muzu cekat klidne i nekolik hodin, takze by nemel byt problem je ziskat velmi kvalitni i bez specialniho hardware. Staci kdyz v PC budou aspon dva nezavisle oscilatory, a budu merit jejich drift, a pouzivat z nej par LSB.

Neni klavesnice, neni mys, neni disk, neni preruseni od grafiky, ale stary dobry RTC, bezici z baterky na desce je, takze skutecne nahodna cisla sice pomalu, ale kvalitni, byt mohou. Jak byste si takovy utok predstavoval? Budu zjistovat, kdy se preklopi vterina v RTC, a v tom okamziku prectu 16-bit hodnotu z casovace (nebo rdtsc, kdyz to cpu umi), a pridam je do entropy poolu. Analyzou zjistim, kolik nejnizsich bitu je s dostatecnou jistotou nahodnych, a pridavam a pridavam tak dlouho, az mam potrebne mnozstvi.

Jak si predstavujete utok na takovy generator? Jak chcete zfazovat dva nezavisle oscilatory, zavrene a stinene v trezoru? Teoreticky snad leda cely trezor ochladit na 0K, ale to je technicky nemozne.. Myslim ze mit silna nahodna cisla bez specialniho HW neni problem.

Skutecne "nahodna" cisla se generuji spise ze sumu na zvlastnich polovodicich, rozpadem radioaktivnich materialu a nebo naslouchanim vesmirnemu sumu. Ty dva oscilatory tam mohou byt potom jako ozdoba.

A ono vubec zjisteni, ze nahodne cislo je nahodne je pekny matematicky orisek. Ale priznavam, ze tohle neumim, o tom zajimave vypraveji spise lide z matfyzu.

Co se tyce chyb IE, to je pravda, nekde mam seznam asi 4 revizi, ktere lze oblbnout tak, ze zobrazuji zamecek a ani nepipnou o tom, ze certifikat serveru nikdy nevidely. Ale to je obecne problem software. Nicmene pokud me pamet neklame, tak jeste nebyl zcizen privatni klic z MS uloziste certifkatu, pokud byl chraneny heslem. Takze alespon neco je (snad) v poradku.

Rozdelme si ty utoky na dva, at se nam to nemicha. Prvni utok je na privatni klic CA a druhy utok je na privatni klic klienta. Klient ani nebude mit pocitac se dvema oscilatory ve stinenem trezoru.

Ta komponenta bude z 99,9% napsána tak, že jen volá rozhraní COM funkcí CryptoAPI z Windows a její autor nemusí mít o generaci klíčů atd. ani páru. Tj. celá generace se děje jen uvnitř modulů CryptoAPI, resp. jejich kryptografických podmodulů - a zde je také soukromý klíč v úložišti v zašifrované podobě uložen a komponenta se k soukromému klíči vůbec nedostane. Tyhle moduly by měly být nehacknutelné, protože fungují ve zvláštním chráněném režimu operačního systému i procesoru a jejich samotný kód je podepsán (Microsoftem) a před každým spuštěním je podpis a "nezměněnost" kontrolována. Tj. žádné výstupy z RND generátoru natož soukromý klíč mít v ActiveX komponentě od I.CA k dispozici nebudete a i její kompletní hacknutí a monitorování jejího provozu by vám bylo k ničemu. Co by zde připadalo možná do úvahy by byl "Man in a middle attack", že by falešná komponenta kompletně nahradila funkcionalitu vlastního CryptoAPI, jenže opět si myslím, že toto nebude v prostředí OS možné - volání CryptoAPI bude možné jen přímo a nebude zde možné nic podsunout.

Chránit si PC, aby někdo nehacknul klávesnici a nějaký jiný kód si soukromý klíč nevyexportoval z úložiště je ovšem něco jiného. I proto jsem doporučoval ony čipové karty, nebo tokeny atp. viz to co jsem psal dříve.

> ..pri nejake oprave namontuje zarizeni, ktere se snazi klic zjistit (at uz kvuli vyzarovani nebo zmenam odberu.....), pri dalsi navsteve si klic vyzvedne nebo si ho necha poslat vysilackou.

Ano, tak jsem to myslel. Myslim ze neni problem vyrobit zarizeni, odolne libovolne manipulaci zvenci toho trezoru, s vyjimkou destrukce nebo otevreni trezoru.

Odber proudu jsem uvazoval vyhlazeny na prakticky konstantni ihned za PSU. Ale i kdyby, beznej sirokopasmovej GaAs power amp ze staryho mobilu, modulovanej bilym sumem a posilajicich 5V treba do zarovky, mozne zmeny v impulsnim sumu od 40MHz procesoru prekreje, i kdyby to nahodou nejakej silenej merak s cidlama v kapalnem dusiku dokazal zmerit a vyfiltrovat. EMI krouhne ten trezor, pro jistotu to jde prekryt vhodnout (tbd) rusickou (tu brusku, pilnik a 1kV zdroj bych tam asi fakt nedal, nemuselo by to byt dlouhodobe spolehlive a bezpecne).

Zapomel jste jeste na mereni casoveho zpozdeni, to je co si pamatuju jedina z metod, jejiz vyuziti pro utok pomoci side channelu bylo s castecnymi uspechy prakticky demonstrovano (doba na mul/div instrukce zavisi na bitovych patternech operandu), ostatni jsou i bez aktivni ochrany stale jen teoreticke. To samozrejme snadno osetrim bufferovanim odpovedi, a jejich naslednym pravidelnym casovanim.

Ale je mozne ze uz existuji lepsi technologie, uz je to dost dlouho co jsem odhlasil cryptogram. Jestli ano, rad se o tom dozvim vic.

> nejake zarizeni uvnitr/komunikovat s nim.

Jo, tohle je dobrej bod. Jak nekdo vsune sondu dovnitr, prestava platit co jsem rikal vyse. Takze napajeci kabel i kroutak budou stoceny do dlouheho "hada" s mnoha otockama, zalaminovany do mensi ocelove kostky, a ta bude kvalitne zevnitr privarena na misto, kde je do trezoru vyvrtan ten otvor. Jestli tim budete chtit neco prostrcit dovnitr, bude to zajimave. Zejmena nenapadne, haha :)

> Co se tyce dokumentace HW co pouzivaji CA, kdyz se stanete CA dostanete ji.

Pokud vsichni lide, kteri ten HW+SW zkoumali, museli mit licenci na vlastni celostatni CA, zjevne jich moc nebylo. Takze to bude neduveryhodne.

> Problem je i v komponente, kterou nekdo delal v dobre vire a nedal do ni backdoor.

Kdepak, problem je uplne jinde. Pokud jediny zpusob, jak klic vygenerovat, je pouzit konkretni binarni ActiveX komponentu, tak si budte naprosto jisty, ze nekdo prave nyni pise win32 trojana, nebo plugin do nej, ktery protoze zna jeji presne jmeno, velikost, datum, atd ve vhodnou chvili nahakuje zapisy do filesystemu, odchytne zapis privatniho klice, a keylogger chyti passfrazi, a za tyden to odejde treba zakodovano do URL na nejaky site, ktery servuje bannery. Kdybych mohl pouzit software dle vlastni volby, tohle riziko pada. (ano, trojan to muze pozdeji vyzobnout z konkretni aplikace, ale chytat klice hned pri jejich vytvareni je jasne nejspolehlivejsi, protoze ten klic jeste nikdo nemohl nikam odklidit)

> Panum od OpenSSL dalo fakt hodne prace, nez jim jejich genrsa a gendsa prikazy generovaly nahodna cisla tak, aby po vygenerovani miliardy cisel nebyla vsechna nakupena v nekolika shlucich.

Ano, vim ze kvalite RNG se venuje velka pece. Otazkou je zda vzdy opravnene. Pokud generujete 1024bit klic, klidne prezijete kdyz je tam realne entropie (prehanim) o jeden nebo dva bity mene- i 1022 bitovy klic je stale dosti silny.

Nepovazuju se za odbornika, presto myslim ze se ciste technicka rizika hrube precenuji na ukor socialniho inzenyrstvi. Vsadim se ze >99% ukradenych informaci bylo ziskano klasickymi metodami, tj vydirani, uplatky, nastrcene slapky, kdyz je to aspon trochu zajimavy tak i muceni. :)

Na mereni casoveho zpozdeni jsem fakt zapomel. Nicmene muzu klidne tvrdit, ze to spada do toho elektromagnetickeho vyzarovani, protoze asi jedina metoda jak to zpozdeni muzete merit je uvnitr toho trezoru. CA vetsinou svuj privatni klic nepouziva v ramci SSL komunikace. Navic utok pres mereni casoveho zpozdeni fungoval jen na lokalni siti a na novych verzich OpenSSL uz nefunguje vubec.

Lepsi technologie existuji zcela jiste. Jen o nich jeste nevime ;-)

Kvalite RNG se venuje velka pece zcela opravnene. Ono to neni o tom, ze by sila kleska o jeden dva bity, spatne generatory mohou generovat klic 1024 bitu, ale muze se stat, ze umi treba jen par milionu ruznych cisel. Kdyz to reknu hodne laicky, predstavte si, ze udelate generator jako cislo ziskane pocet sekund od 1.1.1970 nasobene PID procesu. Je zcela evidentni, ze takovy algoritmus i kdyz muze mit slusnou nahodnost cisla, takze treba ve hre staci, je ve skutecnosti schopen vygenerovat jen nekolik malo klicu. Takze az na to pujdete hrubou silou, budete vedet ktera cisla mate vyzkouset.

Co se tyce socialniho inzenyrstvi, jiste neexistuje system ze ktereho byste nedostal data, kdyz unesete deti peti sesti adminu. To muze dobre fungovat v bance, kde potrebujete prevest penize na ucet, ten vybrat a zmizet. U CA je to horsi, protoze tam nepotrebujete jen ziskat jeji privatni klic, potrebujete jej ziskat tak, aby nikdo nemel ani tuseni, ze jej mate. A tam uz s unosem nebo s mucenim budete mit trochu problem. Drive nebo pozdeji se nekdo zacne zajimat, a proflakne se to.

Takze vam na socialni inzenyrstvi zbyvaji pracovnici registracnich autorit a tam je asi dobra sance na vystaveni certifikatu na cizi osobu, ale uz to postrada to kouzlo, ze budete mit privatni klic cele CA.

Jen pro zajimavost, navzdory pravdivosti prohlaseni "Co se tyce socialniho inzenyrstvi, jiste neexistuje system ze ktereho byste nedostal data, kdyz unesete deti peti sesti adminu." se za prumerne bezpecnejsi povazuje zamestnavat spravce site s rodinou nez svobodneho a bez podobnych vazeb.

To ja samozrejme vim. Ono to souvisi jednak s tim, ze kdyz nekomu vola od 16:00 kazdych 15 minut manzelka, kdy uz pujde domu, tak nemiva roupy na to, aby delal neco vic nez nezbytne musi a tak nemiva cas vymyslet blbosti typu, ejhle, kdyz tady zaokrouhlim na druhou stranu, tak na to nikdy nikdo neprijde.

Druhy apekt je, ze prumerne je pro "single" snazsi zmizet s kufrem penez na druhy konec sveta nez pro nekoho, kdo sebou musi tahnout dve deti dokola se ptajici, proc musi opustit kamarady ve skole.

A nakonec z pohledu statistiky, prumerny clovek nekrade (nebo alespon ne moc) a prumerny clovek ma 1,2 ditete. Takze neni lepsiho kandidata, nez takoveho, co ma jedno dite zive a z druheho zbytek v mrazaku ;-)

MIČR Vám to stejně v takovéto podobě neakredituje. Resp. bude požadovat bezpečnostní certifikát od nezávislé renomované laboratoře, provedený podle některého bezpečnostního standardu, ideálně dle CC. I pokud se vám to povede, zjistíte nejspíš, že vaše zařízení s 386 není výkonnostně absolutně srovnatelné s nyní dodávanými a poměr cena/výkon půjde proti vám i když budete levný. Při vydávání oněch současných stovek certifikátů byste s oním výkonem možná i vystačil, ale pokud se nyní začnou přidávat časová razítka ke skoro každé zprávě, tak ani náhodou.

Provozovatel (tj. CA) by vůbec neměl mít šanci změnit funkci zařízení, tj. to, že se jedná o open source a má možnost si provést rekompilaci je spíš mínus.

Současný model funguje tak, že jsou vymyšleny postupy ověřování bezpečnosti zařízení (např. ony CC - Common Criteria). U vyšších úrovní bezpečnosti se jimi výrobce musí řídit již od počátků návrhů, dokonce vlastní vývojový systém musí být auditovatelný a jednotlivými návrháři neovlivnitelný. Tj. když někdo přidá integráč nebo proceduru do hardware/firmware/software, tak se ve vývojovém systému musí objevit nová verze (všechny staré zachované), musí být doložitelné, která osoba tuto změnu udělala, a pochopitelně jak se to projeví v asi 4 úrovních podrobností popisů, které se dělají a jak se tyto změny projeví dál z hlediska bezpečnostních cílů vůči nimž bylo zařízení navrhované.

V druhém kroku po dohotovení zařízení tento návrh a řekněme prototyp ověří nějaká bezpečnostní laboratoř a vydá certifikát určité úrovně, že design odpovídá zamýšleným cílům a že je odolný i proti útokům atd. Součástí ověřování musí být i způsob zajišťující, že je sledována výroba (tj., že se vyrábí to, co bylo navrženo a ověřeno) a dále to, že se výrobek dostane v nezměněném stavu k zákazníkovi (CA) a že ani ta ho nemůže změnit nebo narušit jeho bezpečnost.

MIČR (dříve ÚOOÚ) pak CA vydá akreditaci, přičemž ověřuje, mimo jiné, že se používá certifikovaný hardware (nástroj e-podpisu). Akreditace CA se vyžaduje pouze pokud certifikáty se mají použít při komunikaci uvnitř nebo se státní správou (přesněji zákon hovoří o tzv. "orgánech veřejné moci"), takže požadavek státu na akreditaci je logický. Mimo státní provoz si můžete udělat CA skoro jak chcete a záleží pouze na tom, jak vám její uživatelé budou věřit.

Tyhle metodiky nevymyslelo MIČR ani ÚOOÚ, ale vymyslely je státy sdružené v Common Criteria (v2.1 je rovná edici ISO 15408 z roku 1999) a vychází z dřívějších metodik jako jsou různé americké FIPS a evropské ITSEC a řekněme cca. 20 leté zkušenosti organizací v této oblasti působící.

Technickému řešení, zejména CA musí být věnována přiměřená (tj. velká) pozornost, z toho důvodu, že provalení soukromého klíče CA umožňuje vydávat se komukoliv za kohokoliv jiného (vystavit si falešný certifikát - tj. falešnou identitu), způsobit potenciálně velké škody i krach důvěryhodnosti CA jako celku. V nejhorším případě hacknuté zařízení CA autonomně vygeneruje certifikát a nebude možné ho vůbec rozeznat od jiných, platně vydaných. Tj. ze dne na den přestane být důvěryhodná komunikace řekněme řádově stotisíců až milionů lidí. Z hlediska státu je toto naprosto nepřijatelné, aby taková situace vznikla - představte si ty žaloby ala Lauder, Diag Human, Petrcíle, apod., ovšem ohledně "cyber-kontraktů".

Oproti tomu, provalení individuálního klíče je záležitostí spíše jen dotyčného a škody lze minimalizovat žádostí o zneplatnění certifikátu kompromitovaného klíče.

Nějaké odkazy:
http://www.micr.cz/scripts/detail.php?id=685
http://csrc.nist.gov/cc/CC-v2.1.html

P.S.: nepracuji ani nepracoval jsem nikdy v žádném úřadu státní správy, jsem spíše z malé firmy. Pokud byste se v této oblasti chtěl angažovat, napište mi na email.

> ..zjistíte nejspíš, že vaše zařízení s 386 není výkonnostně absolutně srovnatelné s nyní dodávanými a poměr cena/výkon půjde proti vám i když budete levný.

Pokud mohu srovnavat situaci s crypto-routery, tak "dedikovana" a "hardwarove akcelerovana" zarizeni renomovanych vyrobcu za desitky tisic dolaru maji obvykle propustnost na urovni neznackoveho PC, kde na nejakem 2GHz Celeronu za par korun bezi FreeBSD. Predpokladam ze vykon tech uvadenych zarizeni bude podobny. Jukl jsem na prvni dva weby, a nikde neni uvedena propustnost v poctu podpisu za sekundu o nejake uvedene delce klice. Asi k tomu bude duvod.

> Při vydávání oněch současných stovek certifikátů byste s oním výkonem možná i vystačil, ale pokud se nyní začnou přidávat časová razítka ke skoro každé zprávě, tak ani náhodou.

Asi bychom meli nejprve upresnit, o jakych aplikacich elektronickeho podpisu budeme mluvit. Moje predstava byla mala CA, ktera celkem kasle na statni certifikaci, ale zakazniky si najde diky otevrenosti, jednoduchosti a pruhlednosti reseni, a hlavne plnem ruceni za vydane certifikaty (pravda, do omezene vyse, rekneme treba 100 nasobku poplatku za vydani certifikatu). Na to by slo komercni pojisteni snad sehnat. Pro potreby jednotlivcu a malych firem by takova CA plne postacovala, a stat by byl blbec kdyby ji neakceptoval, kdyz neponese zadne riziko.

> Provozovatel (tj. CA) by vůbec neměl mít šanci změnit funkci zařízení, tj. to, že se jedná o open source a má možnost si provést rekompilaci je spíš mínus.

To je vec nazoru. Pokud je sama CA schopna nasadit vlastni reseni, bude to jiste spolehlivejsi nez kdyz ponese jeste dodatecne riziko podrazu od dalsiho, nezavisleho dodavatele. Treba tem anglicanum nebo izraelcum bych neveril ani spojku ve vete, natoz krypto-server.

> Současný model funguje tak, že jsou vymyšleny postupy ověřování bezpečnosti zařízení (např. ony CC - Common Criteria). U vyšších úrovní bezpečnosti se jimi výrobce musí řídit již od počátků návrhů, dokonce vlastní vývojový systém musí být auditovatelný a jednotlivými návrháři neovlivnitelný.

To je moc hezke, ze mame kriteria pro to, co je a neni bezpecne. Je mozne ze budou rozumna a objektivni. Ale je to uplne k nicemu, kdyz CA nemuze overit, ze dodane zarizeni je shodne s tim, ktere bylo overeno. Opravdu myslite ze staci overit, co to vypise jako verzi firmware, a hned to zacit pouzivat?

> že je sledována výroba (tj., že se vyrábí to, co bylo navrženo a ověřeno) a dále to, že se výrobek dostane v nezměněném stavu k zákazníkovi (CA) a že ani ta ho nemůže změnit nebo narušit jeho bezpečnost.

Ha ha ha.. sledovana vyroba. To urcite. Budou jim pilnikem tajne delat zarezy do vypalenych PROMek, aby poznali kdyz je technici vymeni. Vyrobu, prepravu a dodani ohlidat nelze, pro mne je to axiom. ZCELA JISTE je tajna modifikace zarizeni, vyrabeneho na druhem konci sveta, radove jednodussi, nez zlomeni zarizeni, vyrobeneho kvalifikovanymi amatery. Ja to beru jako zjevny axiom, ale chapu ze nekdo muze mit jiny nazor. Napriklad ten dodavatel :) :) :)

> MIČR (dříve ÚOOÚ) pak CA vydá akreditaci, přičemž ověřuje, mimo jiné, že se používá certifikovaný hardware (nástroj e-podpisu).

Jasne. Udela inventuru, koukne na stitek, zkontroluje fakturu, a vymalovano. Jako by to k necemu bylo :)

> Akreditace CA se vyžaduje pouze pokud certifikáty se mají použít při komunikaci uvnitř nebo se státní správou (přesněji zákon hovoří o tzv. "orgánech veřejné moci"), takže požadavek státu na akreditaci je logický.

Nabidl bych neco lepsiho nez trapne splneni akreditacnich podminek- totiz skutecne garance. Nejde mi o to, aby se mym certifikatem podepisovaly miliardove transakce, danova priznani mensich firem jsou taky slusny trh.

> Mimo státní provoz si můžete udělat CA skoro jak chcete a záleží pouze na tom, jak vám její uživatelé budou věřit.

Ano, a neexistuje duvod, proc by se stat nemel chovat stejne.

> Tj. ze dne na den přestane být důvěryhodná komunikace řekněme řádově stotisíců až milionů lidí. Z hlediska státu je toto naprosto nepřijatelné, aby taková situace vznikla - představte si ty žaloby ala Lauder, Diag Human, Petrcíle, apod., ovšem ohledně "cyber-kontraktů".

Dobry argument. Prave proto by tech CA melo byt vic nez jedna nebo dve, aby zlomeni klice jedne z nich napachalo co nejmensi skodu.

> Oproti tomu, provalení individuálního klíče je záležitostí spíše jen dotyčného a škody lze minimalizovat žádostí o zneplatnění certifikátu kompromitovaného klíče.

Skodu lze minimalizovat velmi spatne, kdyz na kradez klice prijdete teprve kdyz zjistite ze jste vsechno prevedli na nejaky vykutaleny p.o box. Ale aspon vite ze to byla vase chyba (tedy, kdyz ignoruju tu NAXK). Proc to nemuze byt s CA stejne? Proc se ony zodpovednosti vyhybaji, a riziko se dost neohrabanym a v podstate zbytecnym systemem akreditaci snazi minimalizovat stat?

Diskuze s Vámi je jako házet hrách na zeď. Jste asi nějaký open-source bigot. V jedné zprávě píšete o použití procesoru 386DX40 z před 10 let, v druhé o současném Celeronu 2GHz.

Já prostě jen říkám, že ono metodické prostředí, které jsem popsal a o kterém Vy nevíte ani ťuk, bylo vymyšleno odborníky z mnoha technologicky vyspělých zemí, kteří se danou oblastí zabývali přes 20 let. Vymysleli ho tak, aby bylo možné každého nezávisle kontrolovat. Netvrdím, že si v tom nepřihřáli své zájmy, ale kdyby to bylo nějak výrazně jednodušeji proveditelné jinak, tak věřte, že by se to již dávno realizovalo. V legislativě EU se podle této metodiky také jede a ČR nemá šanci si vytvořit úplně jinou metodiku, která je notabene s naší technologickou pozicí ve světě naprosto neprosaditelná.

Jenom jednu poznámku k Vašemu dalšímu obskurnímu nápadu - velké množství CA vede k velké nepřehlednosti používání PKI pro uživatele. Každá CA má svou certifikační politiku a když vám přijde pokaždé certifikát od jiné, tak nevíte, co ten certifikát vlastně znamená, jak přísně bylo ověřování prováděno, kdo a jak Vám ručí a za co atd. Ještě horší situace vzniká v případě kaskády certifikátů ...

Nejsem open-source ani GNU bigot. Otevrene ale musi byt vsechny systemy, nezbytne pro fungovani statni spravy, a nejsem jedinny kdo si to mysli. Duvodu je pro to vic nez dost, viz http://yro.slashdot.org/article.pl?sid=04/05/31/2136239

Soucasny Celeron jsem pouzil pouze pro ilustraci ze "hardware accelerated crypto" je z velke casti jen marketingovy tah, aby se tato dve slova mohla dat jako jeden z bodu do product sheetu, protoze genericky CPU neni pomalejsi (spis naopak). Jisty rozdil je u symetrickych sifer, ktere byly umyslne navrzeny tak, aby na obecnem CPU bezely pomalu (DES a spol), ale pri podepisovani CSR bude stejne vetsinu casu trvat RSA, tedy umocnovani bignumu, a na tom custom HW zhola nic nenazene.

Nevim kolik certifikatu za vterinu vygeneruje 386DX40, ale cekam ze tak 1-5 to bude urcite, coz by melo stacit.

> .. Vymysleli ho tak, aby bylo možné každého nezávisle kontrolovat.

Jak to chcete delat "nezavisle", kdyz jde o kontrolni organy, o kterych sirsi verejnost nic nevi? Kdo je vybira? Kdo kontroluje toho, kdo je vybira? Atakdale...

Nebylo by vyrazne jednodussi, levnejsi, duslednejsi a spolehlivejsi, aby to mohl kontrolovat kazdy? Ono to tak stejne nakonec skonci, ale do te doby se takhle vyhaze hromada penez.

> ..a ČR nemá šanci si vytvořit úplně jinou metodiku, která je notabene s naší technologickou pozicí ve světě naprosto neprosaditelná.

Toto nejsem schopen posoudit. Nemyslim si ale ze nase technologicka pozice je spatna.

> Každá CA má svou certifikační politiku a když vám přijde pokaždé certifikát od jiné, tak nevíte, co ten certifikát vlastně znamená, jak přísně bylo ověřování prováděno, kdo a jak Vám ručí a za co atd.

V cem by to bylo horsi nez soucasny stav, kdy mame CA, ktere neruci prakticky za nic, a navic nedelaji ani to co slibuji? Precetl jsem si letmo http://www.ica.cz/qcp/cpqpica02.pdf, a je to legrace k popukani:

- Udajne musi ICA zajistit "aby se kazdy mohl presvedcit o jeji identite" (str. 14), ovsem to zjevne nedela, protoze korenovy certifikat se sn=10000001 je pouze self-signed.

- Neposkytuje zaruku jedinecnosti CN na jejich certifikatech, garantuje pouze jedinecnost serioveho cisla, coz je uzivatelum certifikatu vcelku na prd. (str. 16)

- Garantuje sice zneplatneni certifikatu, ovsem nikoliv v nejakem konecnem casovem intervalu od podani zadosti. To je samozrejme taky na dve veci. (str. 16) Navic musim revokovat pisemne, a

- Plati vzdy limit zaruky podle konkretni smlouvy (str. 17)

- CA si vyhrazuje pravo revokovat muj certifikat, kdykoliv nazna ze ji zpusobuji skodu (str. 17)

Ale aposn nejake dobre zpravy:

- Asi opravdu (alespon oficialne, kdovi jestli i prakticky) podepisou i CSR, nepochazejici z NAXK. (str. 44).

- Maji smysl pro humor, viz footnote na str. 28 :)

Fakt těžká diskuze. O speciálním kryptozařízení jsem hovořil z hlediska toho, že je u něj ověřována jeho bezpečnost! Vy jste kontroval, že v 386 nejsou zadní vrátka, já na to, že ve srovnání s 386 by moderní kryptozařízení mělo navíc i lepší parametr cena/výkon a Vy na to, že byste tedy použil nejnovější Celeron (přičemž jste dříve připustil, že u moderních procesorů Intel byste zadní vrátka vyloučit nemohl).

Btw. kryptoakcelerátory MAJÍ smysl právě pro symetrické šifrování, např. při SSL kanálech při e-komerci apod. Ale o akceleraci tady nejde, jde o bezpečnost toho zařízení pro použití ve funkci. To je další kvalita, kterou speciální kryptozařízení narozdíl od generických platforem mají.

Ohledně kontrolních orgánů - v ČR to je odbor elektronického podpisu na MIČR, ten provádí akreditaci. Zařízení certifikují zkušebny (BIS, DIN, ...), těch schopných provést bezpečnostní certifikaci bude na světě jen několik desítek a ČR rozhodně nemá prostředky na to, aby si takovou sama zřídila.

Politika I.CA je misty nejednoznacna, ba az legracni. Souhlas, byli ale prvni, kdo neco takoveho tady psali.

Neni ale pravda, ze za nic neruci, jenom to nenapsali do sve politiky. Podpis korenoveho certifikatu I.CA sebou samym je v souladu s ceskou legislativou - I.CA by mela nabizet alternativni zpusob overeni tohoto sveho certifikatu nez jen po webu - fingeprint po telefonu napr. Nejednoznacnost CN je podle ceske (a nejen ceske) legislativy take naprosto v poradku. Proto si ministerstva stezovala a chtela tam davat nove rodne cislo - identifikator MPSV. Naprd unikatnost cisla certifikatu neni, protoze v pripade soudniho prikazu lze i jen podle cisla certifikatu zjistit jejiho skutecneho majitele. Miru toho, jake udaje chce certifikovany vlozit do certifikatu (a nechat o sobe verejne znat) si ridi certifikovany. Je to tak okay.

> ..a Vy na to, že byste tedy použil nejnovější Celeron

Nerikal jsem ze jej chci pouzit, pouze jsem demonstroval svuj argument, ze HW akcelerace, dokonce i pro obskurni symetricke sifry jako 3DES, nema vyrazny efekt. (srovnanim *moderniho* dedikovaneho akcelerovaneho routeru, a generickeho *moderniho* PC).

> Btw. kryptoakcelerátory MAJÍ smysl právě pro symetrické šifrování, např. při SSL kanálech při e-komerci apod.

Ano, to jsem take tvrdil. Pri vydavani certifikatu se ale zadne symetricke sifrovani neprovadi (nebo spis z povahy veci NEMUSI provadet, jestli ano, jejich hloupost).

> Ale o akceleraci tady nejde, jde o bezpečnost toho zařízení pro použití ve funkci.

Tak proc argumentujete cena/vykon?

> To je další kvalita, kterou speciální kryptozařízení narozdíl od generických platforem mají.

Jakou "dalsi kvalitu"? To ze dovnitr vidi jen par vyvolenych, stejne jako o duvodech proc bylo vybrano zarizeni prave od tohoto dodavatele, bych nepovazoval za kvalitu. Ja proste takovemu systemu odmitam verit.

> Ohledně kontrolních orgánů - v ČR to je odbor elektronického podpisu na MIČR, ten provádí akreditaci. Zařízení certifikují zkušebny (BIS, DIN, ...), těch schopných provést bezpečnostní certifikaci bude na světě jen několik desítek a ČR rozhodně nemá prostředky na to, aby si takovou sama zřídila.

Dost lidi by technicky navrh udelalo i zadarmo, a fura jinych *opravdu* nezavislych lidi by jej overilo. Kdyz je neceho "ve svete jen nekolik desitek", zvysuje se prudce pravdepodobnost ze muze jit o konspiraci (protoze naklady na jeji vytvoreni jsou relativne nizke). Saddam dost mozna v prvni valce v zalivu dojel na to, ze takovou zkusebnu na zbranove ridici systemy nemel. Proc bychom meli riskovat ze dopadneme stejne?

> Podpis korenoveho certifikatu I.CA sebou samym je v souladu s ceskou legislativou - I.CA by mela nabizet alternativni zpusob overeni tohoto sveho certifikatu nez jen po webu - fingeprint po telefonu napr.

Mam tomu rozumet, ze jej nenabizi? Cimdal lepsi! Pro vetsinu lidi by pritom uplne stacilo, aby ten web bezel pod HTTPS, a meli tam platny Verisign/Thawte/Whatever.. certifikat.

> Naprd unikatnost cisla certifikatu neni, protoze v pripade soudniho prikazu lze i jen podle cisla certifikatu zjistit jejiho skutecneho majitele.

Takze kdyz CA omylem, umyslne, nebo diky sve blbosti a nasledne kompromitaci vyda muj certifikat treti osobe, je CA zcela nepostizitelna, pokud tam bude jine seriove cislo (ktere pravdepodobne nikdo nekontroluje, takze takovy certifikat bude temer stejne pouzitelny jako pravy)??? No to je vazne legracni. A kolik ze nebozaku si tento bezcenny certifikat poridilo? A jak s tim souvisi ten soudni prikaz???

Vězte, že ten technický návrh (který by dost lidí dle vás udělalo zadarmo) jde velmi daleko za oblast psaní software, ať již open nebo closed source. Teoretické znalosti na vytváření takových zařízení má třeba v ČR jen několik jedinců (Vy mezi ně nyní rozhodně nepatříte) a finanční možnosti vývoje "z vlastní kapsy" už žádný z nich.

Ohledně zastřešujících "Thawte" apod. certifikátů - u běžného PC nemáte vůbec nijak zaručeno, že certifikáty při dodání odpovídají těm skutečným ani to, co takový certifikát vlastně právně pro vás zde v ČR znamená. Kauza falešného certifikátu na Microsoft je též známa. Kořenový certifikát by se do Vašeho počítače měl dostat definovaným postupem. Když si ho nahrajete z webu I.CA a telefonicky ověříte fingerprint (nevím zda to I.CA umožňuje), tak jste na tom lépe, než s kaskádou certifikátů jdoucích od Thawte.

Kryptozařízení mívají dále i tu kvalitu, že jsou navrhována jednoúčelově, tj. s omezenou složitostí návrhu, která je "ukontrolovatelná". Myslím, že i u RSA by speciální kryptozařízení mohla akcelerovat výpočty (algoritmy mocnění v RSA rozhodně nepoužívají floating point operace procesorů Intel, ale speciálně vyvinuté algoritmy pro přesné operace s velkými čísly), ale je otázka, zda se to vyplatí, protože obecně skutečně operací RSA (popř. jiných kryptografických podpisových algoritmů) se provádí málo, takže je možné, že i kryptozařízení používají generické součástky.

Základní krypto metody (algoritmy) jsou obecně známé a podléhají otevřenému vědeckému zkoumání akademické obce. Dokumenty, podle kterých se ověřuje, jsou většinou všechny také otevřené, stačí si je dohledat nebo koupit za pár babek. V tom je oblast bezpečnosti trochu podobná open source.

V názvech těch zkušeben jsem se sekl. Mělo to být BSI a v případě Německa pak TUVIT (SecuLab).
http://www.bsi-global.com/index.xalter
http://www.tuvit.de/

Až budete mít od některé z těchto nebo jiné akreditované zkušebny certifikát na Vaše PC v trezoru, tak pak Vám ho MIČR jistě akredituje jako nástroj e-podpisu. Následně MOŽNÁ ho některá certifikační autorita od vás koupí, ale jistotu mít nyní nebudete.

Jak "Váš" certifikát? CA vydá certifikát na základě:
1. Žádosti o vydání certifikátu podepsané soukromým klíčem, jenž zjevně máte ve svém držení, protože jinak byste danou žádost vytvořit nemohl, žádost podáváte Vy osobně na přinesené disketě na pracoviště RA.
2. Průkazů ověřujících Vaši totožnost (aspoň 2), průkazy předkládáte Vy osobně zároveň se žádostí a přes fotky lze ověřit, že to jste Vy.
3. Dokumentů přiměřeně ověřujících jiné údaje do certifikátu vložené (dle certifikační politiky), které též předkládáte při předložení žádosti na pracovišti RA.

Takto vydaný certifikát bude mít u I.CA jedinečné číslo a bude ve vnitřních záznamech I.CA spojen s Vaší osobou (přes ty identifikační průkazy). V certifikátu ale bude jen to, co si Vy ze svých údajů budete přát do něj vložit (certifikát je dle současné legislativy veřejný a I.CA ho musí publikovat). Jiné údaje I.CA uchovává, ale třetím stranám nesděluje, ledaže tak je povinna ze zákona, přičemž v praxi připadá do úvahy pouze soudní příkaz. Ohledně např. emailu myslím I.CA chce nějaké doložení toho, že vám patří doména, zpravidla stačí čestné prohlášení apod. I.CA obecně postupuje podle české legislativy, kdyby tak nepostupovala, formát jejích certifikátů by nemohl být akreditován, čili si stěžujete na špatný subjekt, stěžujte si a veďte diskusi proti autorům zákona, kterým bylo sdružení SPIS a jistý pan Smejkal. Ale myslím, že ho v rámci doby tvorby udělali poměrně dobře, jenom na tom nyní každý hledá hnidy, aby si dokázal, jak je úžasně chytrý.

> Teoretické znalosti na vytváření takových zařízení má třeba v ČR jen několik jedinců (Vy mezi ně nyní rozhodně nepatříte) a finanční možnosti vývoje "z vlastní kapsy" už žádný z nich.

Muzete to nejak dokazat? Nepripadam si nijak "uzasne chytry", ale zpusob argumentace kterou ted pouzivate VY napadne pripomina obhajobu uceni o placatosti zeme. Par lidi asi jeste upalite, ale nakonec se stejne reci o "hrstce fundovanych odborniku" provali jako podfuk.

> Ohledně zastřešujících "Thawte" apod. certifikátů..

Ano, souhlas. Telefonat nebo osobni overeni by bylo lepsi. Taky mohli udelat inzeraty do IT casopisu, a uvest v nem svuj fingerprint. Ale furt lepsi Thawte nez vubec nic.

> Kryptozařízení mívají dále i tu kvalitu, že jsou navrhována jednoúčelově, tj. s omezenou složitostí návrhu, která je "ukontrolovatelná".

Jak koresponduje "omezena slozitost" se "specialnim hardware"? Neni to protimluv? Jak muzu zkontrolovat shodu dodaneho HW s tim, ktery byl (dejmetomu ze dukladne a fundovane) predtim auditovan a schvalen jako bezpecny? U software staci zkontrolovat md5sum, ale jak to chcete udelat u zakaznickych obvodu?

Otevrene reseni na beznych soucastkach umoznuje, aby odberatel mel plnou kontrolu nad pouzitymi komponenty, tim dosahne nezavislosti na dodavateli v oblasti, ktera se obtizne kontroluje (hw). Vysledkem je vyssi bezpecnost (ale take zodpovednost).

> Myslím, že i u RSA by speciální kryptozařízení mohla akcelerovat výpočty (algoritmy mocnění v RSA rozhodně nepoužívají floating point operace procesorů Intel, ale speciálně vyvinuté algoritmy pro přesné operace s velkými čísly)

Bohuzel, teprve zminkou o pocitani bignumu na FPU jsem pochopil, ze mne zrejme od zacatku povazujete za uplneho blba.

Co tim chcete dokazat? Mam vam taky vykladat ze crypto rutiny neni dobre psat ve Visual Basicu? Ze random() z stdlib.h neni kryptograficky silny? Ze karatsuba dela min nasobeni, nez kdyz se nasobi kazde slov s kazdym? Ze mocneni je dobre delat ne jako opakovane nasobeni, ale rozlozit jej na nasobeni faktoru, pocitanych postupnym mocnenim zakladu na druhou? Ne, protoze mam zajem o vecnou diskusi, a ocekavam to same i od vas.

> ... Následně MOŽNÁ ho některá certifikační autorita od vás koupí, ale jistotu mít nyní nebudete.

Ano, ale ja to nechci prodavat. Diskuse vznikla jako vyusteni meho tvrzeni, ze genericky, otevreny, amatersky vyrobeny nastroj epodpisu bude pravdepodobne bezpecnejsi, nez akreditovany vyrobek, obsahujici maloseriove HW komponenty, ktere nejde overovat nebo zamenovat za jine, anonymne zakoupene v minulosti.

> ... Takto vydaný certifikát bude mít u I.CA jedinečné číslo a bude ve vnitřních záznamech I.CA spojen s Vaší osobou (přes ty identifikační průkazy).

Mluvil jsem o pripadu, kdy CA umyslne (selhanim RA) vyda platny certifikat (s unikatnim seriovym cislem) na moje osobni udaje (ale *jiny verejny klic*, protoze ke kompromitaci meho klice nedoslo). Je jasne ze takovy certifikat, vydany treti osobe, mi muze zpusobit vaznou skodu, protoze uvede jine v omyl, ze jim pisu ja. Prestoze jde jednoznacne o selhani RA, ktere nemohu ovlivnit, I.CA za nej podle onoho textu zodpovednost neprebira.

> Ohledně např. emailu myslím I.CA chce nějaké doložení toho, že vám patří doména, zpravidla stačí čestné prohlášení apod.

Ne, jde o to, ze pokud jde o osobni kvalifikovane certifikaty, ruzne subjekty nemaji stejne emailove adresy. Proto odpada argument, ze CA nemuze za jejich jedinecnost v certifikatech, ktere podepise, rucit.

> I.CA obecně postupuje podle české legislativy, kdyby tak nepostupovala, formát jejích certifikátů by nemohl být akreditován, čili si stěžujete na špatný subjekt, stěžujte si a veďte diskusi proti autorům zákona, kterým bylo sdružení SPIS a jistý pan Smejkal.

Zakon zakazuje aby CA poskytovala vetsi ruceni nez minimalni zakonna mira? Kdyz uz bych teoreticky vyhodil 700 za to, aby kazdy videl ze ten kdo jim pise je opravdu pavlas@whatever.cz, chci aby CA rucila za to, ze behem platnosti certifikatu nekdo jiny, se stejnym jmenem a e-mailem, nedostane jejich certifikat take.

> Ale myslím, že ho v rámci doby tvorby udělali poměrně dobře, jenom na tom nyní každý hledá hnidy, aby si dokázal, jak je úžasně chytrý.

Defekt ktery uvadim je docela podstatny, stejne jako nulove garance na dobu aktualizaci a distribuci CRL.

> Mluvil jsem o pripadu, kdy CA umyslne (selhanim RA) vyda platny certifikat (s unikatnim seriovym cislem) na moje osobni udaje (ale *jiny verejny klic*, protoze ke kompromitaci meho klice nedoslo).

K tomu by myslím nemělo dojít. Jednak má I.CA nějaké své vnitřní postupy (které si vynucuje i u RA, myslím), druhák tu žádost fyzicky také myslím podepisujete, takže by museli falšovat i váš vlastnoruční podpis, což by mělo jít zpětně prokázat.

Proč by nemohlo mít více osob stejnou e-mailovou adresu? Na to je nějaký zákon? Zvláště dříve bylo běžné mít 1 emailovou adresu na celou firmu.

Klidně také můžete mít více certifikátů na stejné jméno a stejnou emailovou adresu zároveň, lišící se dalšími údaji.

Aktualizace CRL jsou myslím asi ve 12 hodinových intervalech, ale přesný přechod odpovědnosti v legislativě myslím chybí. Není to úplně věc I.CA, chybí to popsáno v zákoně.

Nejsem ale agent I.CA, abych jí tady hájil. Postupy I.CA by mohly a měly být lepší.

> ... vyusteni meho tvrzeni, ze genericky, otevreny, amatersky vyrobeny nastroj epodpisu bude pravdepodobne bezpecnejsi, nez akreditovany vyrobek, obsahujici maloseriove HW komponenty, ktere nejde overovat nebo zamenovat za jine, anonymne zakoupene v minulosti.

No myslet si to můžete, ale to je asi tak všechno. Mimochodem, kontrolovat volební systémy z mašin lze i jinak než tím, že budou open source - stačí dělat namátkové kontroly ex-post (s anonymizací osob i hodnot hlasů).

> U software staci zkontrolovat md5sum, ale jak to chcete udelat u zakaznickych obvodu?

Ten zákaznický obvod musí být navržen včetně toho, aby bylo možné zkontrolovat jeho integritu, např. během fáze POST - souhrnný výsledek všeho hardware se pak může hlásit na terminálu atd. Součástky v nichž se provádí kryptooperace se soukromými klíči a úchova soukromých klíčů, jsou pak konstruovány zcela speciálně tak, aby i při různých útocích a průnicích na ně nebylo možné klíč zjistit, aby se spíše zničil, než byste ho zjistil. U PC stačí připojit na sběrnici logický analyzátor a za chvíli klíč máte, to PC v trezoru s open source kódem je prostě nesmysl, nevím jak to ještě jednodušeji říci. Mimochodem, algoritmus MD5 je v současnosti považován za zastaralý.

> ze mne zrejme od zacatku povazujete za uplneho blba.

To se také mýlíte, to bych s Vámi nediskutoval. Nyní ale zhasínám.

> K tomu by myslím nemělo dojít. Jednak má I.CA nějaké své vnitřní postupy (které si vynucuje i u RA, myslím), druhák tu žádost fyzicky také myslím podepisujete, takže by museli falšovat i váš vlastnoruční podpis, což by mělo jít zpětně prokázat.

CA si tim zrejme vubec jisty nejsou, protoze to negarantuji. Jsou to vlastne jenom takove glorifikovane pridelovace seriovych cisel :)

Co kdyz RA bude tvrdit, ze jsem tam skutecne byl, a zadost o druhy certifikat jim podepsal? Jste si jisty ze za vsech okolnosti lze prokazat falesny vlastnorucni podpis? Dukazni bremeno bude na me strane, coz je podstatny rozdil oproti situaci, kdy CA bezpodminecne garantuje, ze tato situace (nad kterou ma plnou kontrolu) nenastane.

> Proč by nemohlo mít více osob stejnou e-mailovou adresu? Na to je nějaký zákon? Zvláště dříve bylo běžné mít 1 emailovou adresu na celou firmu.

Protoze je relativne snadne v techto pripadech onu firmu prinutit vytvorit aliasy, a email by se stal praktickym unikatnim identifikatorem, snadneji zapamatovatelnym nez seriove cislo, navic pouzitelnym i pro adresaci.

> Klidně také můžete mít více certifikátů na stejné jméno a stejnou emailovou adresu zároveň, lišící se dalšími údaji.

Dva certifikaty od stejne CA pro stejnou osobu, ktere plati soucasne? K cemu by to mohlo byt dobre? Pokud na to CA pristoupi (a ja budu vedet ze klidne muze nejakemu sikovnemu podvodnikovi, ktery ukradne/zfalsuje moje doklady a podpis vydat treti), silne snizuje uzitnou hodnotu svych certifikatu. Musel bych svou identitu vymenit za jejich seriove cislo.

> Ten zákaznický obvod musí být navržen včetně toho, aby bylo možné zkontrolovat jeho integritu, např. během fáze POST - souhrnný výsledek všeho hardware se pak může hlásit na terminálu atd.

Zadny POST nemuze otestovat vsechny stavy, a vyrobce prirozene vi, kde tato mez konci. Proto muze relativne obvod rozsirit o dalsi funkce, aniz by to diagnostika poznala. Limitem je vlastne pouze velikost cipu.

> Součástky v nichž se provádí kryptooperace se soukromými klíči a úchova soukromých klíčů, jsou pak konstruovány zcela speciálně tak, aby i při různých útocích a průnicích na ně nebylo možné klíč zjistit, aby se spíše zničil, než byste ho zjistil.

Trezory funguji velmi podobne, jen jsou o trochu vetsi. Take umeji pri pokusu o prunik obsah malou nalozi zlikvidovat. Ale v tomto pripade je asi jednodussi pripojit pohybovy, tepelny, hlukovy, a over-voltage senzor primo k PC, a klic v pripade utoku jen nekolikrat premazat nahodnymi daty.

> U PC stačí připojit na sběrnici logický analyzátor a za chvíli klíč máte

ha ha ha.. coz je samozrejme uplne jina situace nez u zakaznickeho cipu, kde staci odriznout kus plastu, odstranit pasivaci, pripojit pikosondu na vystupy internich registru, a za chvili mate klic.

> to PC v trezoru s open source kódem je prostě nesmysl, nevím jak to ještě jednodušeji říci.

Co kdybyste na rovinu rekl, ze se vam to otevrene reseni nelibi. Jednoduseji to vysvetlit nejde :) :) :)

> Mimochodem, algoritmus MD5 je v současnosti považován za zastaralý.

To je mozne, krypto algoritmum nerozumim. Kde se prosim clovek muze docist ze SHA1 je lepsi nez MD5, a proc?

Prelozil jsem openssl pro 386ku a staticky slinkoval s dietlibc (binarka 932K), pridal busybox (291K), zkomprimoval oboje jako ramdisk (595K), pridal kernel (683K), a na 3.5" floppy mi jeste zbylo asi 150k mista. Nabootoval jsem to na 386DX40, a udelal testy.

generovani privatnich klicu (dva behy, hledani prvocisel trva pokazde jinak dlouho). Entropie z /dev/random, ale to neni kriticke, >99% casu bylo v user:

2048-bit: 5m 13s, 5m 30s
1024-bit: 19s, 20s

generovani CSR z 1024 privkey se sha1: 2.6s

Nejdulezitejsi: Podepsani takovehoto CSRka 2048-bitovym klicem, update databaze a serialu (pravda pouze na ramdisku, ale tohle nebude kriticke): 10.66s

Takze jsem se hrube netrefil, o vic nez jeden rad. Bude to skutecne docela pomale. Ovsem stale bych byl schopen vsechny kvalifikovane certifikaty, ktere dosud treba I.CA vydala (aktualni posledni serial je 5132) vytvorit za mene nez 16 hodin, takze i tak vykon povazuju za dostatecny.

Neposkytuje zaruku jedinecnosti CN na jejich certifikatech, garantuje pouze jedinecnost serioveho cisla, coz je uzivatelum certifikatu vcelku na prd

Jestli vy od tech certifikatu nechce veci, pro ktere je nikdo puvodne pouzivat nezamyslel (a ani ted mi neni jasne, v cem neunikatnost CN vadi, kdyz stejne neidentifikuje jednoznacne konkretni osobu).

Mate pravdu, spatne jsem se vyjadril- minil jsem ze CA negarantuje jedinecny certifikat pro jedinecneho zadatele. Kdyz s nekym komunikuji, identifikuji se obvykle svym jmenem v kombinaci s bydlistem, pripadne datem nerozeni (ktere v certifikatu bohuzel neni).

Pokud CA omylem nebo umyslne vyda nekomu cizimu certifikat, ktery lze zamenit za muj, mela by za to byt bezpodminecne zodpovedna, coz nyni neni (prece se partnerum nebudu v telefonickem a osobnim styku identifikovat seriovym cislem certifikatu, a nabadat je aby jej vzdy kontrolovali).

Uznavam ze CN jednoznacne neni, a zrejme ani jeho kombinace s bydlistem nebo nickname, ale zcela jiste by mela CA garantovat jedinecnost atributu "email" (je-li pritomen), ktery je podstatne praktictejsi nez seriove cislo.

Jenze, takova jedinecnost (reaguji ted na prvni odstavec) by stejne k nicemu nebyla, pokud by nebyla zajistena "napric CA".

Zbytek je nepochopeni toho, jak jsou certifikaty konstruovany. Nekomu jinemu se zasadne identifikujete tak, ze prokazete, ze ke konkretnimu certifikatu (ktery on ma) zrovna vy mate odpovidajici privatni klic. Cimz poznaji, ze prave ted komunikuji s tim, komu byl certifikat vydan. Certifikaty neumoznuji (jen) podle obsahu certifikatu identifikovat nejakou zcela konkretni osobu. Nicmene, pokud si nejake dve osoby mezi sebou chteji vymenit informace jednoznacne identifikujici konkretni certifikat, pak k tomu slouzi, spolehliveji, "fingerprint" a pohodlneji - presna identifikace vydavajici CA a SERIOVE CISLO. Tak to bylo naplanovano a stanoveno pri vytvareni celeho tohoto systemu (tim nemam na mysli jednu konkretni CA, ale samotny format a obsah dat v certifikatu). Veskere dalsi udaje - pocinaje CN a konce ruznymi atributy jsou infomrace, ktere certifikat nese - ale nejsou (a nikdy nebyly) urceny k tomu, aby identifikovaly certifikat sam nebo (v obecnem pripade) jeho drzitele. Ten vztah je opacny - "tyto informace maji nejaky vztah k osobe, ktere byl certifikat vystaven". Obsah techto poli je obecne stanoven jen velmi vagne a v zasade se ridi konkretni potrebou konkretni aplikace pro kterou je certifikat generovan a presny vyznam terminu "maji nejaky vztah" by mel byt soucasti certifikacni politiky.

Opravdu pozadujete neco, pro co certifikaty navrzeny nebylo a k cemu ani v soucasne dobe neslouzi a ani slouzit nemohou ...

To, co jste pravdepodobne mel na mysli pri psani posledniho odstavce pak patrne nebyl pozadavek na "jedinecnost emailu", ale na to, aby CA overila, ze takovy email skutecne nalezi tomu, komu certifikat vystavuje. Neni sice uplne zrejme, jak by se neco takoveho zjistovalo a overovalo, ale to je technicky detail. Kazdopadne, i toto je zalezitost certifikacni politiky a toho, pro jake ucely prislusna CA certifikaty vlastne overuje ...

Ja bych to od HW kousek posunul, mam pocit, ze jsme otevreli celkem zajimave tema: Je kvalifikovany certifikat dle ceskych zakonu vubec k necemu?

Asi jsme se vsichni po precteni certifikacni politiky shodli, ze plati:

nelze zarucit,ze bude mit jeden clovek prave jeden certifikat

ze dva opravnene vydane certifikaty mohou mit stejny obsah a pritom patrit zcela ruznym osobam (krome s/n)

ze duverovat tomu, ze certifikat patri opravnene osobe lze az po tom, co s danou osobou provedu schuzku na ktere si overim, ze je to osoba X, ze mi predlozi certifikat a ze mi prokaze, ze ma k certifikatu privatni klic

Z toho mi vychazi, ze zadnou CA nepotrebuji. Usnadneni elektronickeho obchodu se nekona, statni sprava vubec nemuze vedet, ze Eduard Opicka co jim pise je ten Opicka, co jim ma psat, takze se pak nemuzeme divit, ze to nepouzivaji.

Takze jedine co muzu, je, po zjisteni, ze jsme byl podveden, predat vec policii a oni maji moznost zjistit, kdo me vlastne podvedl, komu byl pri podvodu pouzity certifikat vystaven. Kdyz se bude jednat jen o obchodni spor, tak se zrejme identitu protistrany nemam sanci dozvedet, neni to rezim trestniho stihani a neresi to policie, ale jen nejaci advokati.

V zasade pak ani neni rozdil mezi kvalifikovanym a nekvalifikovanym certifikatem.

Ne ze by to bylo v klasickem svete o moc lepsi, tam take dobre funguje, ze nekdo prijde s cizi/padelanou obcankou, zivnostakem a dostane zbozi na fakturu a budu ho tezko hledat, nicmene proti elektronickemu utoku prece jen riskuje, ze zustane nahrany na kamerach, ze ho mohou na dalsim miste poznat a tak vubec.

Nebo to vidim moc cerne?

No, ja uz to tady v jinem miste v podstate presne tohle psal. Nicmene k vypsanym bodum mam pripominky a proti az tak cenemu videni bych certifikaty trochu branil. Pokud maji dva certifikaty ruzne S/N, pak jsou ruzne - a to dokonce prave v te polozce, ktera je pro posuzovani "ruznosti" urcena. To, ze jsou certifikaty shodne v jinych polozkach IMHO naprosto nevadi - ty k urcovani "ekvivalence" souzit nemaji. Pokud by to nekdo podle toho delal, pak to proste dela spatne - a proti tomu se zabezpecit nelze a za problemy si muze sam (to by take mohl povazovat vsechny certifikaty jedne CA za shodne, protoze se to rozhodl porovnavat podle jedine polozky - vydavajici CA). Certifikaty mohou fungovat jen tehdy, kdyz se pouzivaji "doporucenym zpusobem" - a ne jak vas napadne.

Pokud verite vystavujici CA, ze dodrzuje svoji vlastni politiku, pak vite, ze vystaveny certifikat patri opravnene osobe. Sice nevite ktere konkretne, ale vite, ze v pripade soudniho sporu to pujde jednoznacne a snadno zjistit. Coz vam v nekterych pripadech staci, ale pravda je, ze na vetsinu ne.

Takze, navzdory tomu, ze to IMHO vidite preci jen o trochu cernejsi nez to doopravdy je, ve skutecnosti opravdu plati, ze dokud nebude mozne primo z certifikatu jednoznacne identifikovat konkretni osobu, bude jeho pouziti je velice omezene ...

V podstate souhlas, popsal jste to dosti vycerpavajicim zpusobem. Polemizoval bych ale zasadne s tvrzenim "Sice nevite ktere konkretne, ale vite, ze v pripade soudniho sporu to pujde jednoznacne a snadno zjistit".

Velmi silne pochybuju ze pri prebirani certifikatu jsou vsechny osoby fotografovany, jsou odebrany otisky prstu, porizeny a archivovany overene fotokopie vsech predlozenych dokladu, a umisteny do cely predbezneho zadrzeni, nebo je jim alespon docasne odebran cestovni pas, aby podvodnik v pripade ze se ozve pravy majitel dokladu mohl byt trestne stihan drive nez opusti republiku.

Kdyz CA pouze formalne deklaruje snahu doklady a podpis overovat, je to vcelku o nicem, protoze jejich pravost je kdyz prijde na vec relativizovatelna, na rozdil od jednoducheho kriteria na unikatnosti nekterych vlastnosti vydanych certifikatu.

Mimochodem I.CA negarantuje BEZPODMINECNE ani onu unikatnost serioveho cisla na certifikatech, ktere se uvoli podepsat!!!

Predposledni odstavec na str.16, ktery se vztahuje ke stejnemu bodu, v nichz je predtim jedinecnost serioveho cisla zarucena, rika doslova: "Veskere zaruky a z nich plynouci plneni je mozne uznat jen tehdy, pokud klient neporusil povinnosti plynouci mu ze smlouvy mezi nim a CA".

Takze pokud nekdo zlomi privatni klic od CA, hackne jim web, a vystavi tam certifikat na moje seriove cislo k jinemu verejnemu klici, neponese CA absolutne zadnou zodpovednost, pokud nejaky jejich chytry pravnik v nekterem z udaju ktere jsem do zadosti o certifikat uvedl najde nejakou nevyznamnou formalni chybu.

Je to zjevny podvod, jako obvykle.

Ale to je opravdu nedorozumeni. Ne, osoby nejsou fotografovany - pouze je overena jejich totoznost. Co tenhle vyraz znamena je, myslim, castecne popsano certifikacni politikou (a castecne platnymi zakony). Overeni pomoci prislusneho platneho osobniho dokladu je dostacujici pro vsechny ostatni sfery, tak by melo stacit i tady. Nicmene - je jedno jestli staci nebo nestaci. Podminky jsou dane, zname a jasne. Totez plati i pro ostatni pripominky. Takze nevim, o jakem podvodu to mluvite. CA muze byt svymi podminkami pro vas neduveryhodna, vydane certifikaty mohou byt pro nektere (pravdepodobne spoustu) ucelu nevhodne. Ale podvod v tom nevidim. Nicmene, o tom uz se bavit nechci.

Odstavec Kdyz CA pouze formalne deklaruje snahu doklady a podpis overovat, je to vcelku o nicem, protoze jejich pravost je kdyz prijde na vec relativizovatelna, na rozdil od jednoducheho kriteria na unikatnosti nekterych vlastnosti vydanych certifikatu jsem bud' nepochopil ja, nebo vy stale nechapete ulohu CA v celem tomhle procesu.

Ano, fotografovani a umistovani zadatelu o certifikat po dobu karanteny do cely predbezneho zadrzeni byla nadsazka.

Ulohu CA chapu docela dobre- buduji zobrazeni, ktere seriovym cislum prirazuje verejne klice s atributy, pouzivanymi v beznem zivote, a dava na to minimalni zaruky. Specialne nedavaji zadne zaruky na kradez identity.

Podvodem jsem myslel fakt ze ani zcela zasadni zaruka na jedinecnost serioveho cisla neni bezpodminecna, a lze se z ni pravdepodobne vhodnymi klickami vykroutit.

Jedinečnost sériového čísla certifikátu od I.CA (i jiných CA) je garantována (!), plyne to z toho, že používají standard X.509, jenže to byste o tom musel napřed něco vědět. Když bude někdo mít dobře zfalšované Vaše papíry a zajde s nimi k notáři, tak u něj klidně převede veškerý váš movitý i nemovitý majetek na někoho jiného než řeknete heršvec a stupeň zpochybnitelnosti toho, že jste úkon udělal Vy a doklady byly zfalšované je úplně stejný jako když podáváte žádost o kvalifikovaný certifikát. Takže s tou krádeží identity brzděte, pro zpětně dokazování je to prakticky stejné.

Co Vás ale možná překvapí - není garantována jedinečnost CN vlastní certifikační autority - proto musíte mít ten self-signed certifikát a ověřovat vždy, že daný certifikát osoby skutečně vystavila ta CA, jíž důvěřujete.

Úřady pak chtějí, aby v certifikátu při komunikaci s nimi bylo "nové rodné číslo", tzv. identifikátor MPSV (Ministerstva práce a soc. věcí). Není to úplně šťastná metodika, protože přes tento unikátní identifikátor je pak následně možné spojovat vaše údaje z databází ze všech úřadů s nimiž komunikujete (což je sice zákonem zakázáno, ale existence společného identifikátoru - klíče, to fakticky značně usnadňuje).

Nechat si vložit do certifikátu jiné údaje, jako je adresa, je možné, ale záleží to na vůli certifikovaného (a schopnosti doložit doklady, že skutečně k vám takové atributy, např. bydliště, patří). I.CA je naopak známá nesnesitelným puntíčkářstvím, že chce, aby v certifikátu byla adresa přesně jako v občance, tj. malá/velká písmena, čp./č.o., mezery atp. Jenže certifikát je veřejný a ne každý chce, aby se vědělo, kde bydlí. Také každý nechce být v telefonním seznamu.

SHA-1 je lepší než MD5 hlavně protože hash je delší - 160 bitů, zatímco MD5 jen 128 a pak také proto, že proti MD5 se už podařilo najít nějaké kolize - ale je to teoretická záležitost, nalézt smyslupnou kolizi asi nejde. Dočíst se to můžete v některých RFCčkách, budou tam i odkazy na primární zdroje.

Ty čipy jsou chráněné i proti tomu, když do nich začnete různě vrtat atp. Dokonce i ty čipy na čipových kartách bývají značně odolné proti různému odleptávání atp.

> Jedinečnost sériového čísla certifikátu od I.CA (i jiných CA) je garantována (!)

Pouze s vyhradami.

> plyne to z toho, že používají standard X.509, jenže to byste o tom musel napřed něco vědět.

To byste musel napred cist.

> .. stupeň zpochybnitelnosti toho, že jste úkon udělal Vy a doklady byly zfalšované je úplně stejný jako když podáváte žádost o kvalifikovaný certifikát.

Tak jeste jednou: Padelany obcansky prukaz neni pred a po svem pouziti videt. Certifikat, ktery vyda CA na padelane doklady, je vzdy verejne pristupny. Pokud jiz certifikat na stejne jmeno vlastnim a CA garantuje jeho jedinecnost, nebo je alespon kazdy novy certifikat vystaven s nekolikatydenim predstihem nez zacne platit, mam podstatne lepsi sanci jak se kradezi sve identity branit, staci mi chranit si privatni klic, a za zbytek by rucila CA. Ted neruci za nic, jen ze (udajne) kontroluje doklady.

> Takže s tou krádeží identity brzděte, pro zpětně dokazování je to prakticky stejné.

Neni. Kdyby garantovali jedinecnost, nemusel bych nic dokazovat. Takhle CA prenasi zodpovednost za sve selhani na klienty.

> Co Vás ale možná překvapí - není garantována jedinečnost CN vlastní certifikační autority - proto musíte mít ten self-signed certifikát a ověřovat vždy, že daný certifikát osoby skutečně vystavila ta CA, jíž důvěřujete.

Ano, je mozne ze CA zmeni jmeno, pripadne jine atributy. Neprijemne, ale pochopitelne a akceptovatelne. Vsiml jsem si ze ten vystaveny certifikat je jen na osm let, takze stejne je treba obnovovat.

> Není to úplně šťastná metodika, protože přes tento unikátní identifikátor je pak následně možné spojovat vaše údaje z databází ze všech úřadů s nimiž komunikujete

Vzdycky me fascinuje jakou peci venuji lide, jejichz zivotni naplni je zneprijemnovat ostatnim zivot, tomu aby chranili jejich osobni udaje. Jsi podnikatel, hotelier, nebo banka, a vedes databazi neplaticu? Do vezeni s tebou! Jojo, at zije ochrana podvodniku. Vzdyt kdyby kazdy mohl udelat podraz jen jednou, bylo by to k nasim kamaradum nespravedlive.

Osobni udaje se daji velmi dobre bagrovat a spojovat i bez unikatnich identifikatoru, jen uroven spolehlivosti je mensi. Navic vetsina osobnich udaju do soukrome sfery unika primo ze statni spravy, ktera ma vsechny udaje tak jako tak, s tim zadnej zakon nic nezmeni. Ochrana osobnich udaju je skoro stejnej podfuk jako tyhle vypeceny certifikaty :)

> Ty čipy jsou chráněné i proti tomu, když do nich začnete různě vrtat atp. Dokonce i ty čipy na čipových kartách bývají značně odolné proti různému odleptávání atp.

Stale nevidim kvalitativni rozdil mezi vrtanim do trezoru a vrtanim do cipu. Asi mi neco unika.

Úřady pak chtějí, aby v certifikátu při komunikaci s nimi bylo "nové rodné číslo", tzv. identifikátor MPSV (Ministerstva práce a soc. věcí). Není to úplně šťastná metodika, protože přes tento unikátní identifikátor je pak následně možné spojovat vaše údaje z databází ze všech úřadů s nimiž komunikujete (což je sice zákonem zakázáno, ale existence společného identifikátoru - klíče, to fakticky značně usnadňuje).

V tomto konstatovani je skryt veskery vnitrni rozpor, ktery se s praktickym uzivanim certifikatu poji.

Na jednu stranu ma byt certifikat pouzitelny k tomu, abyse dala zcela nepochybne a jednoznacne rozeznat identita jeho drzitele - protoze mnohe informace lze poskytovat pouze zcela konkretnim osobam a u sluzeb je to obdobne. Jenze, pokud to to certifikat umoznovat bude, no tak, zcela pochopitelne, bude mozne spojovat jednotlive ukony one osoby a ziskavat tak (nezadouci) doplnujici informace. No, takze to certifikat neumoznuje - tim, bohuzel, neumoznuje jednoznacne identifikovat osobu, coz znamena, ze je pro znacnou cast aplikaci prakticky nepouzitelny. Zakon o kvalifikovanem podpisu se, bohuzel, s timto rozporem nevyporadal a proto podpis, navzdory tomu, ze je kvalifikovany, proste nemuze byt v mnoha pripade dostatecnym pri komunikaci s kymkoliv, vcetne statu. Pozadavek na jednoznacnou identifikaci drzitele je proste protichudny k pozadavku, aby neslo drzitele identifikovat. Dosahnout lze jednoho nebo druheho. Oboji nikoliv ...

Ano, fotografovani a umistovani zadatelu o certifikat po dobu karanteny do cely predbezneho zadrzeni byla nadsazka.

Ulohu CA chapu docela dobre- buduji zobrazeni, ktere seriovym cislum prirazuje verejne klice s atributy, pouzivanymi v beznem zivote, a dava na jejich spravnost jakesi minimalni zaruky. Nedavaji vsak vubec zadne zaruky proti kradezi identity, definovane temito atributy, prestoze je to technicky mozne.

Podvodem jsem myslel fakt ze ani zcela zasadni zaruka na jedinecnost serioveho cisla neni bezpodminecna, a lze se z ni pravdepodobne vhodnymi klickami vykroutit.

Ano, kdyby unikatnost platnych certifikatu podle beznych osobnich udaju byla garantovana napric vsemi CA, bylo by to jeste lepsi. A uplne nejlepsi by bylo, kdyby existovala i specialni "CA na truc", ktera by nemusela byt akreditovana, jeji certifikaty by nikdo neakceptoval, a jejich jedinym smyslem by bylo oznamut ostatnim CA, ze osoba s danym jmenem si zadny certifikat u zadne akreditovane CA porizovat nechce, a pokud by se takovy certifikat objevil, patri nejakemu podvodnikovi. :)

Ale nezbytne nutne to neni. Kdyby CA garantovala treba jedinecne stat+mesto+jmeno+nick POUZE v ramci vlastni databaze, stale by mi to umoznovalo nekomu bezpecnym kanalem sdelit tyto svoje udaje plus jmeno CA, a CA by garantovala ze certifikat s temito atributy vlastnim pouze ja (dokud jej budu obnovovat).

Tvrzeni ze korektni metoda je nejprve druhe strane bezpecnym kanalem dopravit svuj certifikat a teprve potom mohu komunikovat, v podstate rika ze CA je zbytecna, protoze self-signed certifikat by byl uplne stejne funkcni.

Jestli jedinny garantovany zpusob jedinecne identifikace subjektu je seriove cislo, znamena to ze jediny efekt CA je, ze nemusim druhe strane rikat do telefonu fingerprint, staci mi kdyz mu reknu URL na CA, a seriove cislo certifikatu. To nebude o moc praktictejsi nez primo nadiktovat fingerprint, a pochybuju ze to ospravedlnuje existenci CA jako instituce.

Ja sice porad nechapu, v cem je sdelovani kombinace "stat+mesto+jmeno+nick" vyhodnejsi nez sdeleni nekolikamistneho cisla, nicmene, CA si ve sve politice klidne muze urcit, ze nevystavi certifikat s jednou konkretni kombinaci "stat+mesto+jmeno+nick" jine osobe, pokud uz ho jednou nejake osobe vystavila. Podotykam pouze, ze kombinace stat+mesto+jmeno z principu jednoznacna neni a udaj "nick" je bezvyznamovy, protoze ho nelze overit. "Nick" ma tedy zrejme ma tedy jediny vyznam a to "napravit" principialni vadu nejednoznacnosti trojice "stat+mesto+jmeno" tim, ze osoba, ktera ma takovou trojici shodnou s nekym jinym musi tak dlouho strilet ruzne "nicky" az se trefi do nejakeho nepouziteho. No, to uz je asi jednodusi na to misto misto nicku dat seriove cislo, protoze to urcite unikatni je samo o sobe. Kdy se mu nebude rikat seriove cislo ale "nick", tak uz vam treba zas tolik vadit nebude ... ;-)

Co se tyce zbytku tyce, mam nejak dojem, ze vy a certifikaty se v tom, co jedna strana nabizi a druha pozaduje trochu mijite. Ale mijite se divne. To, co certifikaty zajistuji, vy sice chcete, ale pozadujete, aby se to delalo jinak. A pak jsou zde veci, ktere certifikaty zajistovat umeji a mohou, ale take, pravda, nemusi (v zavislosti na rozhodnuti CA, ktere je predem zname a verejne dostupne) - ale vy trvate na tom, aby to bylo pro vsechny CA povinne. To jsou na jednu stranu dost zasadni pozadavky na zmeny, na druhou stranu je pujde asi jen vemi tezko zduvodnit (protoze to co chcete fakticky udelat jde i bez tech zmen), takze bych v jejich prosazeni nedoufal. Ale mozna jen neco spatne chapu. A mozna je problem jen v tom, ze ve skutecnosti mluvite pouze o kvalifikovanych certifikatech podle ceskeho zakona a o CA, ktere ho vystavuji ...

> v cem je sdelovani kombinace "stat+mesto+jmeno+nick" vyhodnejsi nez sdeleni nekolikamistneho cisla

Ze se v beznem pripade sdelovat nemusi, coz je ohromna uspora! Kdyby existovala rozumna certifikacno politika, tak kdyz existuje jisty Franta Vopicka z Horni Vsi, vsichni ho znaji a vedi ze jiny Franta Vopicka tam nezije, dale je vseobecne znamo ze kazdy mame davno epodpis, protoze je to (od ctvrte Prazske defenestrace) levne a prakticke, tak maji jistotu ze pokud jim prijde mail s certifikatem na toto jmeno a mesto, bude to zcela jiste on, a to i kdyby vcera ztratil obcanku, cestovni pas, a vlastnorucne psany diar.

> No, to uz je asi jednodusi na to misto misto nicku dat seriove cislo, protoze to urcite unikatni je samo o sobe.

Jenze seriove cislo nemuze byt prazdne. Kdyz dobre znam nejakeho Pepu Novaka z Prahy, nemohu ocekavat ze kdyz mi prijde certifikat na toto jmeno, bude to on. Musim se ho bezpecnym kanalem zeptat na fingerprint, seriove cislo, nebo nick ktery pouzil (podle toho zda pouziva zadnou, hloupou, nebo chytrou certifikacni autoritu).

> Kdy se mu nebude rikat seriove cislo ale "nick", tak uz vam treba zas tolik vadit nebude ... ;-)

Jak rikam: v pripade, ktery povazuju za bezny (tj vim ze osoba je jednoznacne identifikovana bezne znamymi atributy, jejichz jedinecnost rozumna CA garantuje pro vsechny vydane certifikaty) bych nick ani seriove cislo ani zadnou dodatecnou informaci uvadet nepotreboval, a potreba bezpecneho kanalu pro potvrzeni autenticnosti certifikatu by padla. Domnivam se ze toto byl jeden z hlavnich duvodu pro existenci CA, ovsem nase CA jej vubec nenaplnuji.

Jenze, certifikat je platny i o neco pozdeji nez byl vydan. A to, ze v dobe vydani mozna v jednom miste nebydli, nahodou, clovek stejneho jmena neznamena, ze tam nebude bydlet uz zitra. Na jednu stranu volate po jednoznacnosti, na druhou stranu, odmitate zpusob, ktery k tomu je primo urcen a snazite se zavadet metody, ktere nefunguji dobre.

Ke zbytku zbyva dodat, ze vase definice terminu "bezny", "ruzumny" a "nepotreboval" je nekompatibilni s moji definici terminu "bezpecny". A krome toho jsem presvedcen, ze se mylite v predstave toho, co je "hlavnim" duvodem existence CA, pokud spravne chapu vyznam slova "hlavni". CA je tu od toho, aby garantovala to, co slibila, ze garantovat bude. OPRAVDU tu neni vubec od niceho navic. Je plne na vas urcit, zda to zrovna pro ten-ktery vas konkretni pripad (vam) vyhovuje nebo nikoli. V nazoru, ze aktualne vydavane kvalifikovane certifikaty jsou nevhodne pro vetsinu pouziti, pro ktere by si clovek jejich pouziti predstavil, se shodujeme. Ale to me ani nahodou nevede k takove generalizaci, jakou tu prezentujete vy.

Shrnul bych to asi takto: kvalifikovany certifikat, poskytovany certifikacnimi autoritami podle platnych zakonu je, diky tomu ze neposkytuje zadne zaruky proti kradezi identity, mene bezpecny nez mechanismy na kterych je primarne zalozen, tedy napr. identifikace obcanskym prukazem.

Zavery a pripadne generalizace muze kazdy udelat sam, a mohou byt vice nebo mene radikalni, dle gusta kazdeho soudruha :)

ad : > Nemůžete - taková zařízení se musí navrhovat úplně zvlášť, na jedné straně s co nejjednodušším designem (aby bylo možné vyloučit chyby) a zároveň s odolností i proti aktivně vedeným útokům. Proto je to úplně speciální sektor businessu, prodá se jich pár kusů a proto jsou ty geréty taky pekelně drahé.

To je naprostý nesmysl, o co bude pak toto řešení průhlednější ? resp. jak zaručíte, že tam není a nebude nějaká díra, když tomu bude ve skutečnosti rozumět jen malá skupinka lidi ! a jak zaručíte důvěryhodnost těchto lidí (zřejmě to budou politici :-*).
Myslím, že ze soft. hlediska je OpenSource je daleko průhlednější řešení (lidé se vzájemně kontrolují), jelikož se dá nalézt řešení, které bude bezpečné z 99,99% (absolutně nelze z principu). To že jsou díry např. v SW je ten, že od něj chceme stále více, a stále se vylepšuje HW, ale pokud bude použit a vyvinut k jednomu účelu, pak tento problém neexistuje a řešení není cenových řádech xxx.xxx.xxx. A HW ?, to lze zajistit obdobnou filozofií.(nebo se domníváte, že rozumíte propojení těch miliónum/miliardám pn přechodů v CPU ?).