Názory k článku Prolomení elektronického podpisu? Ale kdepak!

Muzete mi vysvetlit, proc PGP nesplnuje pozadavky pro zakon o elektronickem podpisu? Vzdyt web of trust je rozsirenim stromove struktury a jako takovy muze byt dokonce omezen do vami vytycene stromove struktury pouzivane pro X.509(ikdyz tato stromova struktura neni nikde v ZoEP zminena).

Vyhlaska se tyka komunikace se statnimi urady a osoby mezi sebou si mohou zvolit system elektronickeho podpisu jaky si vyberou, pokud bude splnovat predpoklady pro el.podpis.

Pokud budete vyvracet ma tvrzeni, prosim uvedte presne paragrafy ze ZoEP. Diky

BTW: Predpokladam, ze jste ten Jiri Peterka, ktery je v pracovni skupine pro vyhlasku o EP.

Nejde o topologii (pavucina vs. strom), ale o to, co jsou uzly ktere "posvecuji" certifikaty - u PGP to jsou uzivatele, v pripade zakona o epodpisu to jsou certifikacni autority.

Zakon o epodpisu prisuzuje "pravni relevanci" pouze tzv. zarucenym elektronickym podpisum, ktere pouzivaji kvalifikovany certifikat a jsou vytvorene pomoci bezpecneho prostredku (par. 3, odst. 2 zakona 227/2000 Sb.). Konkretne "kvalifikovany certifikat" musi splnovat pozadavky zakona a musi byt vydan poskytovatelem certifikacnich sluzeb atd. (viz. par. 2, bod h), a to se v PGP nedeje.

Jeste k vyhlasce - pripravuji se dve vyhlasky, jedna ktera se tyka komunikace se statni spravou (to je asi to na co narazite, pripravuje to Urad vlady), a teprve druha vyhlaska je ona "provadeci", ktera se zabyva pozadavky na certifikacni autority (poskytovatele certifikacnich sluzeb) a na bezpecne prostredky.

Ano, u PGP "posvecuji" certifikaty uzivatele. Ale neni prece principialni problem mit uzivatele, ktery je "certifikacni autorita". Proste tomu uzivateli pridelite duveru, ze vsechno, co podepise je OK (stejne jako u X.509 duverujete certifikacni autorite). V tomto smyslu je PGP bych rekl dokonce silnejsi, protoze umoznuje neco jako "parametr duveryhodnosti". Jednomu uzivateli duveruji z 1/2 a dalsim dvema 1/4, pokud je tedy zprava podepsana vsemi tremi, je duveryhodna, protoze parametr duvery je vetsi nez 1.

V soucasnosti prave diky dire v OpenPGP nesplnuje PGP pozadavky pro poskytovatele prave pouze v par.6 bod 1 pismeno j).

Kvalifikovany certifikat podle tohoto zakona ovsem v soucasnosti nesplnuje ani norma X.509 (pokud nebudou definovany nove OID). Zvlaste pak par. 12, bod 1 pismena a,b,d, mozna jeste i a j.

O tech dvou vyhlaskach jsem nevedel. Diky

Souhlasim s panem Rohlederem.
Veta :
Ale neni prece principialni problem mit uzivatele, ktery je "certifikacni autorita".
Vyjadruje presne muj nazor na vec.

Podle meho nazoru neni princip funkce PGP v rozporu s MOZNOSTI existence CA potazmo "Kvalifikovaneho certifikatu" tedy neni ani v rozporu s par. 3, odst. 2 zakona 227/2000 Sb.

Nebo pro splneni zakona vadi, ze je mozny vytvorit i jiny nez "kvalifikovany certifikat"? Ale to je preci mozne i u jakehokoli jineho systemu, ale pak nebude mit podpis akreditovane CA. Jenomze to plati pro PGP stejne jako pro ostatni systemy!!

>Ale neni prece principialni problem mit uzivatele,
>ktery je "certifikacni autorita".

je to problem, protoze pozadavky ktere jsou (budou) kladeny na CA jsou takove, ze jim lze vyhovet jen pri znacnych investicich do know-how, SW, HW, budov a jejich zabezpeceni atd. A prisne ty pozadavky opravdu musi byt :-)

To je ovsem divny argument. Ten system bud po technologicke strance vyhovuje nebo ne. Investice do SW, HW a nedej boze budov s tim nema nic spolecneho.

Pokud se tedy budeme bavit o technicke strance veci, tak muzeme patrne vysledovat rozdily mezi PGP a X.509v3 treba v tom, ze do PGP nelze pridavat rozsirene atributy a pod. Do X.509 zase nemuzete pridat podporu vice korenovych certifikacnich autorit zaroven.

IMHO z pohledu zakona jsou v soucasnem stavu oba systemy srovnatelne.

A kdo rika ze overeni klicu (trebaze zalozenych na PGP) bude zadarmo? I za overeni klasickeho podpisu na matrice se musi platit (ale u toho elektronickeho to nebude 30kc ;-) To ze si za to CA nachaji zaplatit, o tom asi nikdo nepochybuje. Tak kde je ten zakopany pes?

Krome toho je tu jeste jedna zalezitost. U PGP se k memu SOUKROMEMU klici CA nedostane (pokud si ho generuji sam), nemuze ho tedy ani prozradit (ani pod natlakem, korupci, nebo z "vyssich zajmu").

Nechci vypadat jako kverulant, ale toto plati i u X.509. Proste uzivatel u sebe vygeneruje privatni klic, k nemu vytvori certificate request (=odpovidajici verejny klic a identifikacni informace), s nim zajde za CA a ta z nej vytvori certifikat.

Narozdil od predchozich dotazovatelu nejsem obeznamen s legislativou, ale zajimalo by me zda v navrhovane legislative je mozne aby si zajemce o "kvalifikovany certifikat" vygeneroval svuj podpis sam svymi prostredky a ten pak by jen prinesl na poverenou CA ktera mu ho "ocejchuje" cimz se stane kvalifikovanym certifikatem.

Pokud toto neni mozne a ja budu donucen nechat si vygenerovat klice na CA, jak bude zajisteno aby muj privatni klic nebyl nikde ulozen (napr. pro potreby statni spravy, policie apod).

Z me prakticke zkusenosti vim, ze pri vytvareni X.509 certifikatu u 1.CA (PVT) po Vas nechteji tajny (privatni) klic - takze jej ani nemohou nikomu vydat.

To ze se k privatnimu klici CA nedostane plati pouze pro ciste softwarove klice. Pokud mate klic jako napr. cipovou kartu, tak si ji sam nevyrobite. Uz to, ze nekdo cizi pri vyrobe zna a musi znat vas privatni klic se me moc neliby.

Jenomze cipove karty jsou schopny privatni klic vygenerovat, takze vetsinou neexistuje nejaky factory default vygenerovany klic. Nektere cipove karty jsou schopny ulozit externe vygenerovany privatni klic. Takze tady problem neni.

Ano, privatni klic si vygenerujete sam a nikde se ukladat nebude. Podle par.6 pismeno 3 naopak CA nesmi uchovavat a kopirovat data pro vytvareni zaruceneho elektronickeho podpisu osob, kterym poskytuje sve certifikacni sluzby.

Čistě teoreticky je jedno, jaký systém budete používat (PGP, X.509, SDSI/SPKI, nebo jakýkoliv jiný), ale proč byste chtěl v PGP definovat nějakého silnějšího uživatele - certifikační autoritu? Vždyť přece základní myšlenka je přece úplně jiná.
Web of trust de facto znamená, že každý si sám odpovídá za to, komu důvěřuje a jak moc. Vytváření obecně důvěryhodných třetích stran je sice možné, ale proti základním myšlenkám PGP jako takového. To že nepotřebuji důvěryhodnou třetí stranu je pro mnoho uživatelů naopak přitažlivé, protože nepotřebují nikoho, kdo by na ně dohlížel.

Jenomze v takovem pripade se omezite pouze na lidi, ktere osobne znate a vymenite si s nimi (osobne) klice. Duveryhodna treti strana ma za ukol zajistit, ze prokazuje identitu protistrany.

Jak si s PGP bez existence duveryhodne treti strany overim, ze mam skutecne verejny klic toho, za koho se vydava? Jak zajistite, ze protistrana prohlasi, ze to neni jeji klic?

Treba vyvojari Debianu pouzivaji PGP pro podepisovani baliku, ale znamena to, ze kazdy budouci vyvojar se musi setkat s jinym debianovym vyvojarem a nechat si od nej potvrdit svuj podpis. To je takova distribuovana certifikacni autorita. Ale predstavte si, ze bydlite treba na jiznim polu (btw. Debian ma vyvojare i v Antarktide, ale nevim, jak se tam dostal :-)

To neni cesta, kterou se muze ubirat cela spolecnost, protoze se v ni vyskytuji i spatna individua. A zakon o CA minimalizuje prave riziko toho, ze duveryhodna strana bude nejaky sycak.

Objevena chyba je z vedeckeho hlediska asi zavazna, ale z prkatickeho hlediska je jeji dopad minoritni.

1) Popsany utok je dost slozity a je proveditelny sofistikovanym utocnikem, ktery ma k dispozici pomerne slusne zdroje

2) Dnesni systemy umoznuji bezpocet jinych a vetsinou mnohem jednodussich zpusobu jak bezpecnost narusit. Napr. ziskani administratorskeho hesla (hackem nebo naszazenim trojskeho kone) je IMHO mnohem jednodussi zpusob, ktery ma stejne dopady jako popsany kryptograficky utok.

Podobne chyby se objevuji i u bezpecnostniho softwaru. Posledni chyba u PGP, se objevila asi pred pul rokem. A svet se pritom nezboril.

Dobrý den,

Útok, který představila firma ICZ je založen na indukování chyby do kryptografického výpočtu. Tato oblast je už určitou dobu zkoumána hlavně pro oblast čipových karet, které se ukázaly na tento typ útoků značně citlivé.

Princip není úplně stejný, protože u karet se snažíme vytvořit chybu během výpočtu (nedestruktvním způsobem pro kartu), kdežto zde šlo o vytvoření chyby ještě před výpočtem samotným. Útoky tohoto typu jsou již více než 5 let staré a jednou z ochran proti nim je kontrola výsledku (zde např. ověření podpisu, což by asi pomohlo). Článek o čipových kartách si je možné přečíst na http://www.fee.vutbr.cz/~cvrcek/cards/karty.html a http://www.fee.vutbr.cz/~cvrcek/cards/uvod.html obsahuje množství odkazů na danou oblast (zhruba 2 roky staré).

Nejde ani tak o díru v PGP, ale spíš o to, že - jak píší na své website: vystavují na Cebitu a chtěli se zviditelnit. Docela dobrý tah. Snad se tím neznemožnili.

Spis se, podle me, znemoznili suverenni "kryptologove" jako J.Peterka (anebo jinde H.Hanke). Oni si snad opravdu mysli, ze kazdy, kdo objevi mezeru ve zvyklostech v pouzivani sifrovaciho programu, to nejprve predem ohlasi na tiskove konferenci!

Nejlepsi vychova takovychto lidi je protiprikladem. Meli nejprve pockat, az u nas skutecne bude moci byt verohodne pouzivan elektronicky podpis. Teprve potom se podivat, co kdo pouziva, a cvicne treba napsat rekneme za V.Mlynare abdikacni dopis s elektronickym podpisem, ze odstupuje z funkce poslance, nebot v navrhu zakona o el.podpisu nepocital prave s takovouto mezerou.
A ted by se vsichni dobu soudili, zda to je platna abdikace nebo ne, kdyz on ji prokazatelne nepsal. Ale podle "jeho" zakona je nezbytne ji za takovou pokladat.

Když už se bavíme takhle vtipně, podívejte se do Ústavy, jak se to má s rezignací poslance. To, že by takový dopis s jeho podpisem někdo napsal, ještě neznamená, že by mu nutně musel zaniknout mandát. Jen tak na okraj. :-)

Dobry vecer,

precetl jsem si zajmem vase prispevky o podpisech. Asi jste vsichni dobre touto problematikou obeznameni a tak bych se Vas rad zeptal na muj problem.

Rad bych pomoci internetu s prateli rad komunikoval s pouzitim nejakeho kodovaneho prenosu. Rad bych aby to zustalo utajeno prede vsemi. Ale pri ziskani ruznych el.klicu jsem neustale upozornovan ze pri zadosti vyzsich mist bude muj privatni klic odtajnen.

Opravdu neexistuje moznost komunikovat e-mailem bez obav ze veskere kodovani je stejne jen naoko ???

Dekuji za vase nazory.
Tomas

Můj osobní názor, neříkám, že je úplně správný.
Nejjednoduším řešením je použít PGP tak jak ho vyvíjel Zimmerman ještě sám, protože vývoj pod firmou Network associates do něj přidal kupu vlastností, které zvyšují riziko toho, čeho se bojíte (novější verze jsou samozřejmě mnohem uživatelsky přátelštější). Samozřejmým předpokladem je, že chcete komunikovat s úzkou skupinou lidí. Důvodem je bezpečná výměna vašeho veřejného klíče.

U systémů založených na standardu X.509 je potřeba vytvořit trochu složitější infrastrukturu.

Je uplne jedno ktery system pouzijete (tedy pokud si v OpenPGP date pozor na svuj privatni klic :-). Zadny z techto systemu neumoznuje odsifrovani vami zasifrovaneho mailu (tedy pokud nepouziva najaky ADK - additional decryption key).

Pouziti X.509 muze byt mozna trochu slozitejsi, ale nabizi radu vyhod, ktere patrne stejne nevyuzijete. Takze pokud chcete jenom zasifrovane komunikovat se svymi kolegy, tak klidne pouzijte PGP (radsi nejakou bezpecnou verzi, ale momentalne nevim ktera to je, nebo si dejte pozor na svuj privatni klic a je to v pohode).

Co to vlastne bolo s tym pridavnym ADK?
Dakujem za info, vas neznalec (bez ironie).

Vysvetleni Phila Zimmermanna je treba na webu PGP

System X.509 ma podobnou vlastnost, ktere se rika dual keys. Jeden par klicu se pouziva k podepisovani a druhy k sifrovani. Ty sifrovaci klice (jejich privatni cast) je krome u uzivatele ulozena jeste na nejakem bezpecnem miste, ze ktereho ho mohou opravnene osoby vyzvednout (vetsinou systemem, ze musi byt pritomno X z Y opravnenych lidi).

Ták, PGP zareagovalo a hodlá privátní klíče lépe hlídat (viz tiskovka na www.askon.cz ). Zajímalo by mě, jestli to bude možný obejít i pak, až využijí možnosti úschovy privátního klíče mimo vlastní PC? Co na to ICZ?