Vlákno názorů k článku Může email nahradit písemnou formu? od Michal Kubeček - Tak především je jakýkoli viditelný postranní kanál třeba...

Tak především je jakýkoli viditelný postranní kanál třeba zlikvidovat opravou protokolu nebo implementace. Protože to je problém, ne to, že budu klíčem něco podepisovat. Od toho přeci ten klíč je - jinak budujete hospodu na mýtince.

Musim rict, ze me v teto souvislosti pojem "utok typu pouziti blinding factoru" nic nerika, takze odpovedet nedokazu. Muze byt mozne, ze uspesny utok takovym zpusobem je bud' nepravdepodobny a/nebo velmi drahy - takze se toto riziko proste bere jako fakt a nijak se mu specialne nezamezuje.

Nerozumim v tom pripade, jak je zamezeno utokum typu "pouziti blinding factoru".

Al eon opravdu neni zvlastni duvod zkoumat co podepisuju - jedine, co me zajima, jako CA je, zda to, co podepisuju je jedinecne. To, ze k prislusnemu certifikatu, ktery podepisuji, existuje i prislusny privatni klic se overi lehce, protoze sama zadost je jim podepsana (coz se overi pomoci certifikatu, ktery posleze overuji). Jedina hrozba tedy je, ze si nekdo vygeneroval (nahodne nebo jinym zpusobem) stejny privatni klic a stejny certifikat jako nekdo jiny, komu jsme ho uz overoval. Ale to vetsina CA overuje - dokonce natolik, ze pokud zjisti, ze predkladate k podpisu certifikat shodny s jiz drive podepsanym certifikatem nekoho jineho, nejenze neoveri ten vas - ale dokonce revokuji i ten druhy overeny podpis - jelikoz doslo ke kompromitaci privatniho klice (stejny klic ma i nekdo jiny). Nic moc vic (samozrejme kdome identity toho, kdo klic predklada) uz overovat netreba. Oni opravdu nepotrebuji o tom, co podepisuji vedet nic vic nez to, ze to splnuje jakesi formalni pozadavky - a tato nevedomost nezaklada zadne ohrozeni bezpecnosti.

Ad pocet pokusu: Rekl bych, ze soukromy klic treba takoveho Verisignu by byl hooodne drahy, takze lze predpokladat, ze nejake financovani toho utoku by se teoreticky naslo.

Ad CA: Ano, zde mame stejny nazor (viz ma odpoved D.Lukesovi), jen si nejsem jist, jak to skutecne funguje.

Ad heslo: Michale, nepochybuji, ze tve heslo je velmi silne a tak vubec. Za prve ovsem postuluji, ze vetsina populace neni jako ty (odvazujes se snad nesouhlasit? ;-)) a za druhe ma osobni zkusenost rika, ze v okamziku, kdy jsem si musel zapamatovat desate heslo (kazdy pitomy webovy obchod nejake heslo chce) jsem zjistil, ze proste musim na zasady vyberu silnych hesel kaslat, jinak si je nezapamatuji JA SAM! - Jedine, co poradne chrani zasifrovany soukromy klic, je fakt, ze ten soukromy klic sam o sobe je hromadka nahodne vypadajicich bitu, coz mnoho utoku znemoznuje (a ostatni prinejmensim zpomaluje)... Vim, ze zjednodusuji.

Jestli si svuj privatni klic nahrajete do pocitace, prave jste jej zpristupnil minimalne autorovi operacniho systemu a autorum vsech programu s dostatecne vysokym opravnenim. I kdybychom ponechali otazku Windows vs Linux stranou, neverim, ze byste mel svuj soukromy bezpecnostni audit veskereho software.

S tou poznamkou ohledne toho, ze by slo o popreni duvery, mate samozrejme naprostou pravdu. Nevidel jsem ovsem zadnou CA vyzadovat zero-knowledge protokol dokazujici existenci soukromeho klice, takze fakt nevim, jak to delaji. Asi slepe podepisou, co dostanou, ale z toho taky nemam nijak obzvlast skvely pocit.

interaktivnim dialogem ("zadateli, podepis tenhle retezec"; "tady to je"; "fajn, jeste tenhle a budu ti verit")

Vzhledem k tomu, ze onen request je tim privatnim klicem podepsany tak minimalne jeden podepsany retezec k dispozici ma.

Zpristupneni tajneho klice jakekoliv druhe osobe je popreni veskere bezpecnosti asymetrickeho sifrovani na kterem je cele podepisovani zalozeno ...

Ty útoky obvykle ale vyžadují větší množství pokusů a pokud každý pokus bude vyžadovat žádost o vydání certifikátu a předložení dokladů, že jsem oprávněn vystupovat jménem určitého subjektu, útok se tím poněkud komplikuje. Navíc ten blok dat, který se podepisuje, nemůže vypadat úplně libovolně. Tím samozřejmě netvrdím, že by tímto způsobem útok vést nešel, jen že to rozhodně není tak jednoduché.

V každém případě: autoritu, která by po mně k vystavení certifikátu požadovala můj tajný klíč, bych okamžitě bez váhání vyřadil ze svého seznamu důvěryhodných a nadále bych s ní nechtěl mít nic společného. Ať si to zařídí, jak chtějí, ale naprosto zásadním pravidlem je to, že tajnému klíči se říká tajný proto, že ho nesmím nikomu zpřístupnit. Tedy ani certifikační autoritě.

Jak si volíte svá hesla a fráze vy, to je váš problém. Já si je volím úměrně jejich důležitosti. Takže frázi k tajnému klíči, kterým by bylo možné podepisovat smlouvy apod., bych rozhodně nevolil z prostoru o velikosti 2^40, natož abych v něm používal snadno uhodnutelné elementy. Tak nezodpovědně nevolím ani běžná hesla, s výjimkou přihlašovacího hesla do Windows, kde je to stejně jedno.

Michale,

mozna se pletu, ale mel jsem za to, ze to az tak jednoduche s tim podpisem neni. Jde o to, ze existuji utoky proti klici agentury a utoky proti protokolu, ktere spocivaji v tom, ze agentura podepise na prvni pohled nesmyslnou sekvenci bajtu - mam na mysli napriklad pouziti blinding factoru, "chosen plaintext" utok apod.

Z toho duvodu by rozumna CA mela chtit, aby zadatel prokazal, ze soukromy klic skutecne ma. To je mozne bud interaktivnim dialogem ("zadateli, podepis tenhle retezec"; "tady to je"; "fajn, jeste tenhle a budu ti verit") anebo tak, ze zadatel CA svuj privatni klic skutecne ukaze.

Vzhledem k tomu, ze tu prvni moznost (neco jako zero-knowledge proof znalosti soukromeho klice) jsem jeste nevidel v praxi pouzit, musim predpokladat, ze se pouziva ta druha metoda (anebo ze jsou CA tak neopatrne, ze podepisou cokoliv).

A k te "dostatecne rozumne frazi" - to je asi vtip, ze jo? Statistika stoji proti tobe. Jde o to, ze prostor, z nejz vybiras svoji frazi, ma typicky velikost srovnatelnou s 2^40 (a prakticky jeste mnohem mensi). Kombinaci slovnikoveho utoku a social engineeringu (vcetne toho, ze cloveka, ktery heslo vybiral, znam) ten kod padne a padne rychleji, nez bys cekal.

oprava - veřejným klíčem autority ověříte certifikát osoby, a veřejným klíčem osoby ověříte odpis osoby.

To musím uvést na pravou míru - certifikační (nikoliv podpisová) autorita nemá v žádném okamžiku data - soukromý klíč pomocí kterého podepisujete. Autorita garantuje, že váš veřejný klíč - uložený ve vydaném certifikátu - náleží právě vám - a lze tedy, pokud vytvořený podpis někdo ověří pomocí veřejného klíče autority, dostane záruku, že je to skutečně pravý podpis dané osoby (zjednodušeně řečeno).
A akreditované cert. autority fungují podle pravidel diktovaných státem, jest tedy otázka, jak moc chcete být paranoidní...

To je také jeden z důvodů, proč VeriSign už nějakou dobu za důvěryhodnou autoritu nepovažuji.

Jak se stalo relativne nedavno Verisignu s certifikaty Microsoftu ...

I když jste to tak výslovně nenapsal (ale není mi moc jasné, co by jinak mělo být tím vaším kódem), mám neodolatelné nutkání výslovně upozornit na fakt, že neexistuje naprosto žádný důvod, proč by certifikační autorita měla dostat do ruky váš tajný klíč nebo proč by ho dokonce měla sama generovat. Píšu to jen pro jistotu, už jsem se setkal s mnoha lidmi, kteří byli přesvědčeni o opaku.

Pokud nějaké riziko hrozí, pak jedině to, že certifikační autorita vydá falešný certifikát na vaši identitu. To je samozřejmě vážný problém, ale pokud by se prokázalo, že něco takového udělala úmyslně, pak IMHO taková firma skončila (i u nás), a to nejen jako certifikační autorita. A i pokud by to udělala neúmyslně (uvedena v omyl), pro její ostatní zákazníky by to asi nebyl zrovna nejlepší signál k posílení důvěry.

Disketu s kódem vám může kdokoli ukrást a zkopírovat během pár minut

To sice může, ale máte-li tajný klíč chráněn dostatečně rozumnou frází, pak je to asi tak všechno, co může. Než se mu podaří na tu frázi přijít, dá se očekávat, že stihnete ztrátu zaregistrovat a certifikát nechat revokovat. Spíš bych se na vašem místě bál různých červů šířících se mailovými klienty, kteří by si místo rozesílání sebe sama na stovky adres mohli počkat, až klíč použijete, a poslat ho někam rovnou dešifrovaný.

že el. podpis je pořád krajně nedůvěryhodná záležitost.
Přidělí vám jakýsi kód, přitom musíte důvěřovat "podpisové autoritě", že jeho obsah nikomu nesdělí (aby se mohl "věrohodně" podepisovat za vás) a máte podstatně menší šanci na jeho uhlídání, než si hlídat, co podepisujete. Disketu s kódem vám může kdokoli ukrást a zkopírovat během pár minut, pokud si ji nedáte zašít pod kůži na břiše :-))
Takže el. podpis rozhodně nebrat.
Nehledě k tomu, že papír má desítky/stovky dalších markantů, které se rutinně nezkoumají jen proto, že to zatím není zapotřebí, zatímco ten el.podpis má jen tu "důvěru v autoritu".