Vlákno názorů k článku Kvalifikované elektronické pečeti: bude čím je vytvářet? od Já - Tady je vidět, co se děje, když se...
-
Zbytecne to prozivate. V tomhle state je takovy rozklad, ze se radsi vse "komplikovane" jednoduse a tise ignoruje. At jde o komunikaci pres datove schranky, kdy se mnohde komunikuje papirove, nebo nahravani soudnich jednani, ktera se proste nenahravaji, protoze asi nekteri soudci jeste netusi, ze existuji prenosne diktafony... Nejake peceti me nechavaji zcela v klidu.
-
dfgdfg (neregistrovaný)
95% neni malo.. je otazka jestli prave dig. podpis takovou jistotu ma (viz predchozi prispevek) - pokud mam v samotnem principu neceho "diru", pak vystavet kolem toho potemkinovu vesnici je sice hezke a tvridt, ze je vse jasne a ciste ale tu "diru" tim nezacelim
PIN ochrana, zniceni klice? zadna garance niceho, navic pin se da odkoukat
infineon a estonske "obcanky".... realita -
sdfdsf (neregistrovaný)
samozrejme ze muzete vytvorit cely retezec certifikacnich autorit, agentur a ja nevim ceho ale popirat pripadnou realitu tim nejde - ano, ty nejkriklavejsi problemy snad odhali, mozna i ty mene kriklave ale ty nezname ne, protoze jsou prave zatim nezname
>Tvrdit to samozřejmě můžete, ale pravda to není.
skoda, ze to nemuzete dokazat, a pokud si necim nemohu byt jist, pak to radsi nedelat ( v tomto kontextu rozhodne)
-
sdf (neregistrovaný)
>Dnes se běžně používají USB tokeny nebo čipové karty, ze kterých privátní klíč chybou softwaru nebo hardwaru opravdu získat nejde.
tvrdi kdo? vyrobce? ten klic tam uvnitr je.. na tom se shodneme
navic jste uhodil i hrebik na hlavicku s tou napodobeninou.... nikdo nemuze prokazat na 100% ze to je nebo neni muj podpis - ale u takoveho podpisu je relativne hodne dalsich attributu, pero, pritomnost, apod.. ale u digitalniho podpisu vinou sw nebo hw, jak jak prokazu ze to neni muj digitalni podpis? kdyz prohlasim, ze to neni muj digitalni podpis, jak stat prokaze (bez ohledu na pravni predpisy), jak by stat skutecne prokazal, ze to je muj podpis...? bude stat uplatnovat cosi jako "in dubio pro reo" u digitalniho podpisu a tim ho fakticky postavi na uroven sekvence nahodnych bytu?
dovolim si tvrdit, ze kolem digitalniho podpisu je jakasi aura prukaznosti, ktera tam ale technicky ani principielne neni
-
sdfsdfd (neregistrovaný)
no konecne se dostavame nekam
>Pokud někoho necháte, aby odkoukal PIN, pak vám sebral kartu a vy jste si ničeho nevšiml, pak je otázka, jestli byste vůbec měl mít právo něco podepisovat.
takze to nemuzeme masove nasadit... a je to...konecne to nekdo rekl nahlas :D
a to tento scenar je navic skutecne velmi primocary.... cokoli dalsiho uz ani ten chudak obycejny clovicek nema sanci odhalit/zamezit vubec
-
Předseda (neregistrovaný)
Nemyslím si, že za to může IT, tohle je věc legislativců.
Byly tady nevyužitý Common Criteria certifikace, který každý ignoroval. Každý řešil certifikované produkty dle NIST FIPS 140-2. EU si toho byla vědoma a tak přidala evropským CC na důležitosti.
HSM, čip karty/tokenu se nemění, jenom applet/způsob používání. Předepsaná pravidla, která nemají s bezpečností nic společného.
Česká republika adaptovala na rozdíl od okolních států eIDAS 910/2014 v plné míře do zákona č. 297/2016 Sb. o službách vytvářejících důvěru pro elektronické transakce. Pouze vyloučila datové schránky.
Otázka navazující, kdo na tom nejvíce vydělá? Je to ICA, která jako jediná poskytuje pečetě na dálku (eSign as a service) nebo Monet+, od kterého MV ČR nakupuje za naše peníze čipové OP a software, které pak bude nabízet "zdarma". Jaká bude využitelnost takového plošného nasazení?
Docela by mě zajímal názor pana Peterky na tuto problematiku, vezmu-li v potaz, že zde existují alternativní zdroje ať už na kvalifikovaný elektronický podpis nebo lokální pečeť. -
To je jenom jedna z jejich nevýhod. Další je třeba to, že laik nedokáže posoudit pravost vlastnoručního podpisu nebo razítka a nemá k tomu nástroje (vždycky když prodavačka zkoumá podpis na platební kartě, říkám si, jaké má asi znalosti o zkoumání podpisů). Nebo že je snadné je přenést z jednoho dokumentu na jiný. Nebo že je nelze spolehlivě ověřit, aniž byste měl k dispozici buď přímo podepisující osobu, nebo dostatek jejích zaručeně pravých podpisů.
-
asdas (neregistrovaný)
presne stejne argumenty mohu vztahnout i na el. podpis
na overeni podpisu potrebujete hodne znalosti .. pokud je nemate, muzete to nechat na sw, a verit, ze kdyz vam ukaze zelenou fajfku, ze je tomu skutecne tak (fake news -> fake signature :D)
dokonce bych zasel tak daleko, ze bych rekl, ze je asi mozne vetsinu populace naucit zkoumat pravost rucniho podpisu na papir na rozdil od toho elektronickeho
bez ohledu na overeni, rucni podpis delam ja, elektronicky podpis uz ja nedelam (ten dela sw) a kdyz bude nekdo vedet muj pin (nahodou se trefi) napr. k usb karte s certifikatem, udela MUJ podpis ale muj rucni podpis muze jen napodobit
-
Dnes se běžně používají USB tokeny nebo čipové karty, ze kterých privátní klíč chybou softwaru nebo hardwaru opravdu získat nejde. U těch levnějších by se k privátnímu klíči s dostatečnými prostředky asi experti dostali, třeba nějaké tajné služby. Vyrobit věrohodnou napodobeninu vašeho vlastnoručního podpisu bude mnohem levnější.
-
Jenže na ověření vlastnoručního podpisu to právě na softwaru nechat nemůžete, protože žádný takový software neexistuje, a ani existovat nemůže – protože není nijak definováno, co znamená shoda vlastnoručního podpisu. Maximálně si můžete povolat znalce, který vám řekne, že si myslí, že na 95 % to podepsala ta samá osoba.
Záleží na tom, jaké používáte zařízení – klidně můžete mít privátní klíč na zařízení, které bude vyžadovat desetimístný PIN a po třetím neplatném pokusu se privátní klíč zničí.
Že je to váš vlastnoruční podpis tvrdíte vy. Když to bude někdo zkoumat, bude zkoumat, zda je to dostatečně věrohodná napodobenina nějakého jiného podpisu, který bude prokazatelně váš. A mimochodem, váš vlastnoruční podpis ve skutečnosti skoro nikdo nezkoumá vůbec nijak, a pokud už ho bude laik zkoumat, uvěří i naskenovanému podpisu vytištěnému na inkoustové tiskárně. Zrovna nedávno mi někdo na elektronicky zaslaný sken odpověděl, že to nemůže být sken a potřebuje originál, tak jsem ten sken vytisknul a poslal poštou. Myslíte, že to dotyčný poznal? Kdepak, byl spokojen, že má svůj „originál“.
-
Jenže „nerozumím principu“ je něco úplně jiného, než „v samotném principu je díra“. Pokud vám nestačí PIN, použijte prostředek se silnější autentizací. Pokud někoho necháte, aby odkoukal PIN, pak vám sebral kartu a vy jste si ničeho nevšiml, pak je otázka, jestli byste vůbec měl mít právo něco podepisovat.
-
Realitu popíráte vy. Samozřejmě nemůžete vyloučit, že vyhrajete ve sportce desetkrát za sebou hlavní cenu, ale pravděpodobnost takového jevu je extrémně malá. A stejně je to s elektronickými podpisy. Navíc si uvědomte, s čím to srovnáváte – vlastnoruční podpis se obvykle kontroluje tak, že se člověk podívá, jestli je na správném místě nějaký modrý klikihák. Není tak těžké udělat něco důvěryhodnějšího.
-
Vědní obor se má zabývat čím? Pravděpodobností? Ano, tomu se věda věnuje, což ale neznamená, že máte hned začít sázet sportku, protože hned vyhrajete 10 hlavních pořadí za sebou.
Elektronický podpis bude ověřovat tak, že se spolehne na software, ve kterém už je ten správný algoritmus implementovaný a otestovaný. Vůbec nejde o to, že to „dělá ten počítač“. Podstatné je, že se opakuje stále stejný ověřený postup. Tohle funguje ve spoustě oborů – ve stavebnictví se spočítá, jak má vypadat most, aby měl nějakou nosnost, v lékařství vás bude chirurg operovat postupem, který používají ostatní chirurgové při podobných operacích atd. Asi byste se nenechal operovat pokladní ze supermarketu, protože je to přece jedno, jestli to dělá ona nebo chirurg, který se to několik let učil.
ČLÁNKY DO MAILU