Jarek Andrzejewski
(news:s6em019mh596g8t5oihut17qr81jr5iqkk@4ax.com)
Napisał(a):
Odpowiem wam jutro, bo wróciłem z delegacji i się w pociągu naje***...

Robert...

do góry

"Robert" <T...@i...pl> writes:

> Do czasu rozpowszechnienia biometryki - zapomnij. Zawsze gdzieś pojawi się
> PIN.

Biometria nie jest dobrym zabezpieczeniem, jest latwa do oszukania.
Powinno sie ja stosowac tylko tam, gdzie zastosowanie lepszych metod
jest malo praktyczne (i gdzie nie wymagamy specjalnego bezpieczenstwa).

W porownaniu do identyfikacji po SSN na pewno jest duzo lepsza,
ale z kryptografia to bym tego nie porownywal.
--
Krzysztof Halasa

do góry

Krzysztof Halasa (news:m3ll9vb9mk.fsf@defiant.localdomain)
Napisał(a):
> "Robert" <T...@i...pl> writes:
>> Do czasu rozpowszechnienia biometryki - zapomnij. Zawsze gdzieś pojawi
>> się PIN.
> Biometria nie jest dobrym zabezpieczeniem, jest latwa do oszukania.
> Powinno sie ja stosowac tylko tam, gdzie zastosowanie lepszych metod
> jest malo praktyczne (i gdzie nie wymagamy specjalnego bezpieczenstwa).
> W porownaniu do identyfikacji po SSN na pewno jest duzo lepsza,
> ale z kryptografia to bym tego nie porownywal.

Wszystko się da obejść. Jak dla gościa obetniesz palca, to przed stratą
drugiego wyśpiewa ci wszystkie Piny i hasła. Można mu palucha obciąć, oko
wyciąć....


R.

do góry

AP <c...@e...dyndns.org> writes:

> Chodzi mi o fakt, ze chyba hmm... bardziej legalnie rozpoznawalny bylby
> podpis kwalifikowany niz tranzakcja dokonana przy pomocy "wynalazku"
> bankowego (jakby to nie nazywac... haslami jednorazowymi... kluczami
> prywatnymi lub innimi obecnymi rozwiazaniami)

To zalezy od punktu widzenia. Na pewno bezpieczniejszym rozwiazaniem
(z punktu widzenia zarowno banku jak i klienta) byloby uzycie
kryptografii asymetrycznej, oraz (na poczatku wspolpracy) wymiana
certyfikatow/kluczy publicznych (w formie np. papierowej, podpisanej
tradycyjnym podpisem).
--
Krzysztof Halasa

do góry

"Krzysztof Halasa" <k...@p...waw.pl> wrote in message
news:m3hdkjb200.fsf@defiant.localdomain...
> AP <c...@e...dyndns.org> writes:
>
> > Chodzi mi o fakt, ze chyba hmm... bardziej legalnie rozpoznawalny bylby
> > podpis kwalifikowany niz tranzakcja dokonana przy pomocy "wynalazku"
> > bankowego (jakby to nie nazywac... haslami jednorazowymi... kluczami
> > prywatnymi lub innimi obecnymi rozwiazaniami)
>
> To zalezy od punktu widzenia. Na pewno bezpieczniejszym rozwiazaniem
> (z punktu widzenia zarowno banku jak i klienta) byloby uzycie
> kryptografii asymetrycznej,

Niekoniecznie. I to niezaleznie od punktu widzenia.

>oraz (na poczatku wspolpracy) wymiana
> certyfikatow/kluczy publicznych (w formie np. papierowej, podpisanej
> tradycyjnym podpisem).

Rozumie, ze zanim elektronicznie podpisze umowe z bankiem, to przyjdzie
kurier i wymieniamy sie certyfikatami . Dla pewnosci, bo nie ufamy centrom
autoryzacji.
Ale to czemu po prostu nie podpiszemy umowe recznie ?

Vizvary

do góry

"Vizvary II Istvan" <v...@p...onet.pl> writes:

> Rozumie, ze zanim elektronicznie podpisze umowe z bankiem, to przyjdzie
> kurier i wymieniamy sie certyfikatami . Dla pewnosci, bo nie ufamy centrom
> autoryzacji.
> Ale to czemu po prostu nie podpiszemy umowe recznie ?

Kto mowi o umowie? W kazdym razie nie ja - oczywiscie umowe podpisujemy
w sposob tradycyjny. Domyslam sie takze ze certyfikat banku, jako
publicznie dostepny, nie musi byc jakos szczegolnie przesylany, choc
trzeba takze na to zwrocic uwage.

Umowa musi zawierac certyfikat (albo inne żądanie wystawienia certyfikatu)
klienta.

Elektronicznie podpisujemy tylko korespondencje - np. zlecenia dla
banku, wyciagi itp.
--
Krzysztof Halasa

do góry

Krzysztof Halasa (news:m3hdkjb200.fsf@defiant.localdomain)
Napisal(a):

> kryptografii asymetrycznej, oraz (na poczatku wspolpracy) wymiana
> certyfikatow/kluczy publicznych (w formie np. papierowej, podpisanej
> tradycyjnym podpisem).

certfikaty/klucze publiczne, sa publiczne i ogóglnodostepne z repozytorium
wystawcy.

R.

do góry

"Krzysztof Halasa" <k...@p...waw.pl> wrote in message
news:m37jleht52.fsf@defiant.localdomain...
> "Vizvary II Istvan" <v...@p...onet.pl> writes:
>
> > Rozumie, ze zanim elektronicznie podpisze umowe z bankiem, to przyjdzie
> > kurier i wymieniamy sie certyfikatami . Dla pewnosci, bo nie ufamy
centrom
> > autoryzacji.
> > Ale to czemu po prostu nie podpiszemy umowe recznie ?
>
> Kto mowi o umowie? W kazdym razie nie ja - oczywiscie umowe podpisujemy
> w sposob tradycyjny.

Bo Ty myślisz cały czas w kategoriach PGP.
Kryptografia asymetryczna znana jest od 30 lat. Tam, gdzie w bankowości się
przyda, tam jest od wielu lat wykorzystana. Jesli w stosunku do klienta
detalicznego nie stosuje się to dlatego, że jest za droga (a konkurencja nie
stosuje), nie ma też takiej potrzeby ze strony klientów. Zalety kryptografii
asymetrycznej (niewątpliwe przy "powaznej" bankowości, chociazby
niezaprzeczalność korespondencji ale nie tylko) są znikome w stosunku do
upierdliwości jakie stwarza. W przypadku w bankowości on-line nie wpływa też
w sposób istotny na bezpieczeństwo (co innego, gdy .system bankowy jest
zasilane dokumentami generowane na pzykład przez system FK).

Gdyby certyfikaty stały się masowo stosowane (nic na to nie wskazuje, że
będą) i powstałaby infrastruktura pozwalająca w sposób bezpieczny by z nich
korzystac, niewątpliwie banki musiałyby to uwzględnić. A tak to jest po
prostu za drogie dla masowego klienta.

Przy czym ja cały czas pisę o masowym kliencie (jakim sam jestem - mBank).
Co innego instytucje i owa "poważna bankowość".

Vizvary

do góry

Vizvary II Istvan (news:cul04h$9hi$1@news.onet.pl)
Napisał(a):
Jesli w stosunku do
> klienta detalicznego nie stosuje się to dlatego, że jest za droga (a
> konkurencja nie stosuje), nie ma też takiej potrzeby ze strony klientów.

Co rozumiesz przez "za droga" Token na rok to 100zł. Sprzęt do
kwalifikowanego certa - 329 zł (około), czy te 100 zł to już jest
opłacalne??

> Zalety kryptografii asymetrycznej (niewątpliwe przy "powaznej"
> bankowości, chociazby niezaprzeczalność korespondencji ale nie tylko) są
> znikome w stosunku do upierdliwości jakie stwarza.

Jak najbardziej się zagadzam. Tak więc cały czas pozostaje pytanie - jaka
jest granica opłacalności.

R.

do góry

Vizvary II Istvan (news:cul04h$9hi$1@news.onet.pl)
Napisał(a):
Gdyby certyfikaty stały się masowo stosowane
> (nic na to nie wskazuje, że będą) i powstałaby infrastruktura
> pozwalająca w sposób bezpieczny by z nich korzystac, niewątpliwie banki
> musiałyby to uwzględnić. A tak to jest po prostu za drogie dla masowego
> klienta. Przy czym ja cały czas pisę o masowym kliencie (jakim sam
> jestem - mBank). Co innego instytucje i owa "poważna bankowość".
> Vizvary

Co powiesz na to:

Jeśliby bank zaoferował się dostarczyć popyt, w postaci swoich użytkowników
bankowości internetowej, na zajebiste certyfikaty, to myślę że przy 500tys
sztuk stanęłoby na 2ojro za certa, 2 ojro za czytnik i jakaś kasiejka za
licencję do oprogramowania....co ty na to?? Czy to jest drogo? A potrzeba w
zasadzie tylko jednego klienta...

A specjalistycznej infrastruktury nie trzeba...

R>

do góry