W sierpniu będzie można wyrobić sobie elektroniczny podpis. Koszt: ok. 10 PLN na
dyskietce lub ok. 180 PLN na karcie chipowej. Czy banki przestaną używać
tokenów, tanów, haseł jednorazowych na rzecz e-podpisu? Czy e-podpis jest dobrym
rozwiązaniem dla LGnetu (konto stanie się bardziej bezpieczne?) lub dla wysokiej
opłaty za token w Nordei?
Czy e-podpis będzie bezpieczny? Czy każdy korzystający z rachunków w internecie
będzie musiał sobie go wyrobić?

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

<m...@p...onet.pl> wrote in message
news:555c.00000ab1.3d075282@newsgate.onet.pl...
> W sierpniu będzie można wyrobić sobie elektroniczny podpis. Koszt: ok. 10
PLN na
> dyskietce lub ok. 180 PLN na karcie chipowej.

Bzdura. Koszt certyfikacja kluczy zalezy od urzędu.
W Certum (UNIZETO) certyfikat pierwszej klasy to 61 zł (bez
odpowiedzialności finansowej ze strony urzędu certyfikacji co to by nie
znaczyło), certyfikat czwartej klasy to 1830 zł (odpowiedzialnośc do 100.000
zł).
w PolCert (eTelbanku) certyfikat II klasy 50 zł, gwarancja do 2500 euro,
certyfikat III klasy180 złotych gwarancja do 37500 euro.
W Signet (TP Internet) certyfikat I klasy - roczny abonament 48 zł,
gwarancja do 400 zł.
Wszystkie wydaja bezpłatne testowe, bez potwierdzenia tożsamosci.

Koszty przechowywania w karcie to kolejne nieporozumienie. Jesli
zaawansowana karta kryptograficzna kosztuje 15$ i może przechować minimum
3-4 certyfikaty i opary kluczy, to ile kosztuje przechowanie jednego
certyfikatu w karcie ? Ano około 15 złotych.

To samo dotyczy czytnika, który nie słuzy nigdy do jednego certyfikatu, ani
nawet do jednej karty.

A generalnie to samo dotyczy sam certyfikat, który również może
(teoretycznie) służyc do wielu celów. I w tym cały kłopot. O tym póżniej.

>Czy banki przestaną używać
> tokenów, tanów, haseł jednorazowych na rzecz e-podpisu?

Nie. Banki działaja na podstawie dwustronnych umów z klientem i moga uzywać
dio autoryzacji nawet fiołki z wodą, które (fiołki) trzeba mocno ciskać w
dłoni wpisując jednocześnie pierwsze cztery cyfry które przyjda do głowy
klientowi.
Inna sprawa jest, czy sąd tego typu zabepieczenie w razie sporu uzna, i czy
w przypadku, gdy bank w umowie oznajmił, że metoda ta jest bezpieczna to czy
nie uzna to za świadomego wprowadzania klienta w błąd.

> Czy e-podpis będzie bezpieczny?

To jest inna sprawa. Dokument jest bezpieczny w okreslonym czasie. Klient
jest bezpieczniejszy, bo bank w tym układzie jest zobowiązany każdą operację
udokumentować dokumentem , którego tylko klient jest w stanie utworzyć.
(Bank nie jest i nigdy nie był w posiadaniu tych informacji, które są
potrzebne do podpisywania. Umie tylko je weryfikować).

Niebezpieczeństwo pojawia się wtedy, gdy ten sam certyfikat może słuzyć do
kilku celów. Ja na przykład mam konto w Śląskim, i klucze w pliku w żaden
sposób nie zagrażają mojemu bezpieczeństwu. Z tego prostego powodu, że (nie
mówiąc o tym, że na tym koncie mam mało pieniędzy) owe klucze do niczego
innego nie mogą służyć niż tylko do operacji na moim koncie w Śląskim. Ja
zaś mam cały czas nadzór nad stanem konta. Gdyby jeszcze wprowadzono jakieś
powiedzmy powiadomienie SMSem o dokonanych operacjach, to ja bym wiedział
natychmiast, gdyby ktoś grzebał na moim koncie. Pełna kontrola.
W przypadku, gdyby Śląski postanowił honorować klucze certyfikowane przez
jakiś Urząd Certyfikacji (może top robić w każdej chwili, nawet dziś) to ja
juz nie jestem w stanie kontrolować wszystkich instytucji, które postanowili
również honorować klucze certyfikowane przez ów Urząd. Więc może się okazać,
że ktoś w posiadaniu moich kluczy zawrze umowę w innym banku, który równiez
honoruje certyfikaty mojego Urzędu. Bez mojej wiedzy. I powiedzmy zaciągnie
kredyt w moim imieniu , ale bez mojej wiedzy. Pieniądze wyda, zaś do mnie
przyjdzie komornik. Stąd konieczność wiekszej ochrony kluczy, niż w
przypadku gdy służą one tylko do jednego celu.
Inna sprawa, że sama ochrona kluczy wszystkiego nie załatwia. Nawet jak
klucze certyfikuję w celu wysyłania dokumentów do ZUSu lub US, to nie wiem,
czy jakaś instytucja finansowa nie zechce honorować owych certyfikatów.
Więc (nie)bezpieczeństwo jest funkcją wielości celów (przeznaczeń) które
bynajmniej nie wynikają z mojej decyzji. (To nie ja postanowiłem, że na mój
certyfikat można zaciagnąć kredyt. To bank postanowił honorować certyfikatu
danego Urzędu).


>Czy każdy korzystający z rachunków w internecie
> będzie musiał sobie go wyrobić?

Nie.

Vizvary Istvan

do góry

> Nie. Banki działaja na podstawie dwustronnych umów z klientem i moga
uzywać
> dio autoryzacji nawet fiołki z wodą, które (fiołki) trzeba mocno ciskać w
> dłoni wpisując jednocześnie pierwsze cztery cyfry które przyjda do głowy
> klientowi.

ROTFL :-))))
Akapit roku dla mnie ;-)))

K. Kowalski

do góry

Vizvary II Istvan wrote:
> Więc (nie)bezpieczeństwo jest funkcją wielości celów (przeznaczeń) które
> bynajmniej nie wynikają z mojej decyzji. (To nie ja postanowiłem, że na mój
> certyfikat można zaciagnąć kredyt. To bank postanowił honorować certyfikatu
> danego Urzędu).

Pragnę tylko zauważyć, że podmiot świadczący usługi certyfikacyjne,
wydając kwalifikowany certyfikat, jest obowiązany zawrzeć w tym
certyfikacie dodatkowe dane na wniosek osoby składającej podpis
elektroniczny. Tak więc spodziewam się że można samodzielnie określić,
że dany certyfikat będzie tylko i wyłącznie stosowany do danego celu (w
danej instytucji).
Choć wydaje się, że byłoby to mało wygodne posiadać 20 certyfikatów na
5-ciu kartach chipowych, a każdy certyfikat po średnio 100zł...

--
Greetings, -- mailto:m...@p...fm --
Marcin Cenkier "Let's assume that there's only one truth."

do góry

"Marcin Cenkier" <m...@p...fm> wrote in message
news:3D0A56D3.3090208@poczta.fm...
> Vizvary II Istvan wrote:
> > Więc (nie)bezpieczeństwo jest funkcją wielości celów (przeznaczeń) które
> > bynajmniej nie wynikają z mojej decyzji. (To nie ja postanowiłem, że na
mój
> > certyfikat można zaciagnąć kredyt. To bank postanowił honorować
certyfikatu
> > danego Urzędu).
>
> Pragnę tylko zauważyć, że podmiot świadczący usługi certyfikacyjne,
> wydając kwalifikowany certyfikat, jest obowiązany zawrzeć w tym
> certyfikacie dodatkowe dane na wniosek osoby składającej podpis
> elektroniczny. Tak więc spodziewam się że można samodzielnie określić,
> że dany certyfikat będzie tylko i wyłącznie stosowany do danego celu (w
> danej instytucji).

POdejrzewam, że byłoby to pozyteczne. Certyfikaty, które służą do
rozliczania wobec ZUS czy US, ale zastrzezeniem, że na przykład nie mogą być
stosowane wobec instytucji finansowych.
Tak na prawdę te moje obawy są dosyć wydumane, ale chyba ilustrują czym się
różnią klucze dedykowane do jednej aplikacji od kluczy certyfikowanych,
których akceptacja zależy (jesli są one bez wspomnianych zastrzeżeń ze
strony posiadacza) tylko od woli akceptanta.
Bo przecież (jest to jeszcze dalej idący wniosek) można by ustanowić urząd,
gdzie mogliby obywatele oświadczać, że nie korzystają i nie będą nigdy
korzystac ... a "podmioty swiadczące" by musiały sprawdzić czy dany obywatel
przypadkiem nie figuruje na liście.

Vizvary

do góry