certifikace klicu SSL
Dan Lukes
DAN at obluda.kolej.mff.cuni.cz
Wed Jul 30 03:22:09 CEST 1997
Vzhledem k dovolene, kdy jsem byl mimo dosah jakekoliv elektriny a tedy i
elektroniky (ani Eurotel tam nemel signal - proste parada) probirane tema uz
ponekud vycpelo. Nicmene, jeste si dovolim reagovat ...
Dne 13 Jul 97 v 16:02, Alena Kabelova uvedl(a):
> Bez osobni pritomnosti se vydavaji certifikaty tridy 1. Avsak i za tyto
> certifikaty CA ruci. CA totiz ruci za jednoznacnost certifikatu. Je
> totiz vseobecne vzitym omylem, ze hlavnim cilem CA je rucit za totoznost
> subektu pro ktery byl certifikat vydan.
Jednoznacnost certifikatu je samozrejme nutna podminka. Certifikaty tridy
1 a 2 se lisi prave mirou s jakou CA overila udaje dodane zadatelem. Nikoli
mirou "jednoznacnosti", tam je pozadavek absolutni. Kdyby CA rucila JEN za
jednoznacnost, nemelo by zadny smysl delit certifikaty do trid.
> > potreba zjistit, co vlastne tato osoba slibila respektovat ve smlouve, kterou
> Certifikacni autorita tridy 1 nebo 2 neuzavira s nikym zadnou smlouvu.
Ech, nechme fusovani pravnikum do remesla. Smlouva nemusi byt pisemna a
smluvni vztah uzavrete uz tim, ze pouzijete neci sluzby (napr. prevezmete
certifikat) ...
> > V nasich podminkach je prinejmensim potreba, aby prislusna osoba uznala
> > elektronicky podpis za zavazny a prislusna CA prislibila veskerou pomoc a
> > spolupraci a poskytnuti prislusnych podkladu vcetne aktivni pomoci pri jejich
> > ziskavani pri pripadnych soudnich sporech. Tuto cast problemu vsak
> > embrionalni ceske CA prakticky zcela zanedbavaji.
>
> Nechapu o jake soudni spory by melo jit. Soudit se s certifikacni
> autoritou lze v podstate jen tehdy, kdyby vydala 2 ruzne certifikaty
> stejne identifikace.
Tady doslo k nepochopeni. Mluvim o soudnim sporu s uzivatelem certifikatu
(nikoli s CA), ktery popira, ze data jeho certifikatem zabezpecene pochazi od
nej. A tady je potreba aktivni pomoc CA (formou svedectvi), ktera se pak
nesmi schovavat napr. za to, ze udaje o <cemkoliv co je pro takovy spor
podstatne> jsou duverne. Tuto, podle meho nazoru nezanedbatelnou jistotu zatim
zadna CA nezarucuje (byt treba jen formou verejneho prislibu).
> Na to aby certifikat plne nahradil obcansky prukaz, tak na to je to
> pravda. Avsak pro drtivou vetsinu komercnich aplikaci neni treba zadny
> specialni zakon (ne v kazdem obchode po mne chteji obcansky prukaz).
Jenze pro plne elektronicky styk potrebujete prave takovou identifikaci,
ktera je ekvivalentni prukazu totoznosti (tam totiz neplatite, tak jak je
tomu v obchode, okamzite na drevo). Jinak musite identitu partnera
overit (alespon poprve) z nejakeho duveryhodneho zdroje (u nas prave OP, nebo
rekneme zapis v obchodnim rejstriku). To nevadi u *maleho* poctu relativne
*stalych* zakazniku nejlepe ze *stejne zeme* jako jste vy. Pokud ale
kterakoliv z podminek neplati, jiz je to neprijemna komplikace (nebo vy vite,
jak jednoduse overit, ze londynska firma, ktera s vami chce obchodovat
opravdu existuje ?).
> Napr. i u nas se pouzivaji kreditni karty a lze se inspirovat situaci u
> nich - problemy s jejich zneuzitim byly presunuty na drzitele karty.
Mate pravdu. Tak je to u nas. Ve svete jsou daleko casteji presunuty na
vydavatele karty (tedy treba banku), ktery tak ma slusnou motivaci provest
prislusne zabezpeceni. To ale jen tak mimochodem. Jinak jsou karty totiz
kapitola sama pro sebe - ty jsou zabezpecene jen svym cislem, ktere jeste ke
vsemu co chvili nekomu rikate (a to jeste nemluvim o situaci, ze jej posilate
nezabezpecene nekam po Internetu). Ty jsou vlastne zabezpecene tim, ze vetsina
lidi je slusnych, coz se ale obvykle za zabezpeceni nepovazuje.
> > Mel jsem vsak z doslych prispevku pocit, ze dochazi k
> > jistemu preceneni realneho vyznamu certifikatu.
>
> Ja mam naopak pocit, ze se jejich vyznam silne nedocenuje. Vzdy, kdyz
Ne, opravdu mam pocit, ze se jejich vyznam precenuje. Predpokladejme, ze
(dobre) sifrovane spojeni je samozrejmost. Za takovych podminek se zakaznik
smerem ke me muze identifikovat jakymkoliv jednoznacnym retezcem (tedy i
heslem). Certifikat, vsak toho dokaze vic nez pouhe heslo a ma potencial byt
pomerne duveryhodnym "prukazem" NEZNAME osoby. Toto vyuziti certifikatu,
ktere je velmi zadouci pro nektere typy aplikaci (typicke je to u
elektronickych obchodu) pak ale skutecne vyzaduje VELMI duveryhodnu CA. Tato
duveryhodnost je zcela neporovnatelna s naroky na CA, ktera zajistuje "jen"
jednoznacnost ...
-----------------------
Prosim, nevylozte si tento dopis jako utok na PVT a jeho sluzbu. To, co
PVT dela dela pravdepodobne dobre. Ja jen uz v prvni reakci chtel rict, ze
Internet by potreboval "jeste neco navic", ze uz nebude dlouho trvat nez to
nekdo poskytovat zacne, a ze je skoda, ze u nas to bude trvat jeste dlouho.
Ale treba se mylim.
S pozdravem
Dan
Dan Lukes, Patkova 3/A1703, Praha 8, Czech Republic
tel +420-(2)-8551040 ext 330, E-Mail: dan at obluda.kolej.mff.cuni.cz,
aka: LUKES(or Postmaster)@Menza.MFF.CUNI.CZ and others
More information about the net
mailing list