On Sun, 20 Feb 2005 15:14:32 +0100, And <A...@...pl> wrote:

>podpisanie ID, ok - ale czego w tym ID, konkretnie? chcesz żeby

danych i zdjęcia?

>potwierdzać że "ja to ja" przedstawiając CO? i jak chcesz potem zapewnić
>że to "coś" jest właśnie tego kogoś, a nie kogoś innego, jeśli nie

a jak jest teraz? Też przedstawiam tekst i zdjęcie.

>zakładasz uwierzytelnienia się z wykorzystaniem klucza prywatnego, czyli
>czegoś co NIE WYCHODZI z karty?

hmmm, sądziłem, że nie mówimy o podpisywaniu dokumentów a jedynie o
funkcji karty jako dowodu osobistego: "Dowod osobisty nie musi w ogole
zawierac (w czesci bedacej dowodem) zadnego klucza prywatnego.".


--
Jarek Andrzejewski

do góry

Jarek Andrzejewski wrote:
>
> hmmm, sądziłem, że nie mówimy o podpisywaniu dokumentów a jedynie o
> funkcji karty jako dowodu osobistego: "Dowod osobisty nie musi w ogole
> zawierac (w czesci bedacej dowodem) zadnego klucza prywatnego.".
>
>


Mówimy (patrz kilka postów wstecz) o CAŁYM Digital ID, czyli dowodzie
wyposażonym w chip. I o tym, co na tym chipie się umieszcza i do czego
taki dowód służy. A wg wszelkich prognoz, będzie służył do:
- uwierzytelniania się (authentication)
- składania podpisów (digital signing)
A co z tego wynika, nie muszę tłumaczyć.

--
== And.
==
== "Fire, walk with me.."

do góry

On Sun, 20 Feb 2005 16:41:41 +0100, And <A...@...pl> wrote:

>Jarek Andrzejewski wrote:
>>
>> hmmm, sądziłem, że nie mówimy o podpisywaniu dokumentów a jedynie o
>> funkcji karty jako dowodu osobistego: "Dowod osobisty nie musi w ogole
>> zawierac (w czesci bedacej dowodem) zadnego klucza prywatnego.".
>>
>>
>Mówimy (patrz kilka postów wstecz) o CAŁYM Digital ID, czyli dowodzie

to na co odpowidałem zacytowałem powyżej

>- składania podpisów (digital signing)
>A co z tego wynika, nie muszę tłumaczyć.

nie musisz

--
Jarek Andrzejewski

do góry

And <A...@...pl> writes:

> uhahaha.. Digital ID bez klucza.. :) Poczytaj może sobie trochę na
> temat idei tego pomysłu to Ci się trochę rozjaśni. Polecam strony w
> Estonii, Finlandii, albo firm Setec OY, G&D, ORGA, Gemplus.

To raczej sam do siebie kierujesz?
Dokument poswiadczajacy cokolwiek nie potrzebuje zawierac zadnego
klucza. Potrzebny jest tylko certyfikat, zwykle zreszta skrotu
a nie samego dokumentu.

Jesli wciaz masz na mysli swoja karte platnicza to nie jest to
rownoznaczne z dowodem osobistym, i wyraznie to zaznaczylem.

> oczywiście że posiadacz, a po to by chronić obiekty danych na karcie.
> A tak, posiadam taki dokument.

O, posiadasz prawdziwy polski dowod osobisty? Mialem wrazenie ze
takich na razie nie wydaja i ze to sa rozwazania w czasie przyszlym?

Choc wiem ze niektorzy podpisywali juz ustawy elektronicznie przed
wejsciem w zycie ustawy o podpisie elektronicznym...

> Oj chyba nie miałeś styczności z kartą chipową..

Mialem i mam, aczkolwiek sama z nia stycznosc nie jest od razu
automatycznie zrodlem jakiejs glebszej wiedzy. Karta jak kazda inna,
kawalek plastiku.

> Dostęp do danych na
> karcie jest determinowany przez to gdzie są zapisane - część danych
> umieszcza się w części chronionej (właśnie PINem). I tylko dane w
> części "otwartej" są dostępne po włożeniu karty do czytnika - o resztę
> dana aplikacja może "zapytać", co spowoduje wywołanie zapytania o PIN
> (PINów może być kilka, chroniących różne typy informacji).

Mam wrazenie ze masz jedna karte i na tej podstawie myslisz ze
wszystkie sa takie same. A nie sa - sa karty, ktore w ogole nie
maja kryptografii asymetrycznej (aczkolwiek do Twojego opisu moga
pasowac).

> Hmm.. Chyba trochę mało znasz się na technologiach związanych z
> smartcards i PKI, bo z tego co piszesz wyłania się jakiś dziwny
> krajobraz - brak klucza prywatnego na karcie, klucze (prywatne?) w
> rękach CA, "zdrada" CA..

Gdybys byl laskaw pokazac konkretny blad merytoryczny w moim liscie,
to oczywiscie mozemy do tematu wrocic.

Z pewnoscia certyfikaty nie zawieraja kluczy prywatnych (a przynajmniej
nie musza, choc oczywiscie moga zawierac dowolne rzeczy).
Nie wiem takze czego nie rozumiesz w zwiazku z kluczami (zarowno
prywatnymi jak i publicznymi) CA - wydaje Ci sie, ze CA nie posluguje
sie m.in. kluczem prywatnym?
A moze uwazasz za niemozliwe takie zdazenie jak np. wystawienie
certyfikatow przeznaczonych dla chyba malo znanej firmy Microsoft przez
inna malo znana firme Verisign na podstawie żądania wystawienia
certyfikatow dostarczonego przez przypadkowe osoby? Jesli to jednak
jest mozliwe, to o ile bardziej mozliwe jest takie cos w wykonaniu
innej firmy certyfikujacej i w odniesieniu do np. jakiejs "osoby
prywatnej", ktora w gruncie rzeczy nawet sama nie jest w stanie
specjalnie mocno udowodnic, ze jest tym kim jest naprawde?
--
Krzysztof Halasa

do góry

rany, już myślałem że dacie sobie spokój z pomysłami.. :)

Krzysztof Halasa wrote:

> Dokument poswiadczajacy cokolwiek nie potrzebuje zawierac zadnego
> klucza. Potrzebny jest tylko certyfikat, zwykle zreszta skrotu
> a nie samego dokumentu.
>

powtórzę, poczytaj na temat idei Digital ID i zadań jakie ma spełniać.
Wtedy zrozumiesz dlaczego na karcie będą klucze prywatne (prawdopodobnie
dwa).

> Jesli wciaz masz na mysli swoja karte platnicza to nie jest to
> rownoznaczne z dowodem osobistym, i wyraznie to zaznaczylem.
>

mam wciąż na myśli "elektroniczny dowód osobisty", bo takie nazewnictwo
jest proponowane do stosowania w Polsce.

>
> O, posiadasz prawdziwy polski dowod osobisty? Mialem wrazenie ze
> takich na razie nie wydaja i ze to sa rozwazania w czasie przyszlym?
>

Posiadam, choć nie polski, ale "prawdziwy" - czyli identyczny z
prawdziwym z dokładnością do pewnych właściwości certyfikatów (dla
odróżnienia od używanych w rzeczywistości).
W Polsce to oczywiście pieśń przyszłości, ale przygotowania, szczególnie
podmiotów z branży, już w toku.. :)

>
> Mam wrazenie ze masz jedna karte i na tej podstawie myslisz ze
> wszystkie sa takie same. A nie sa - sa karty, ktore w ogole nie
> maja kryptografii asymetrycznej (aczkolwiek do Twojego opisu moga
> pasowac).
>

Masz całkowicie mylne wrażenie - kartami zajmuję się zawodowo. A opisuję
akurat taki typ karty który będzie (na 99%) wykorzystwany przy Digital ID.

>>Hmm.. Chyba trochę mało znasz się na technologiach związanych z
>>smartcards i PKI, bo z tego co piszesz wyłania się jakiś dziwny
>>krajobraz - brak klucza prywatnego na karcie, klucze (prywatne?) w
>>rękach CA, "zdrada" CA..
>
> Gdybys byl laskaw pokazac konkretny blad merytoryczny w moim liscie,
> to oczywiscie mozemy do tematu wrocic.
>

Nie będę łaskaw, może tylko przykłady "kwiatków":
- "klucze dostępu" do dowodów osobistych
- PIN, a właściwie jego brak, lub nieznajomość przez właściciela
- dowód bez klucza prywatnego, ale z certyfikatem

> A moze uwazasz za niemozliwe takie zdazenie jak np. wystawienie
> certyfikatow przeznaczonych dla chyba malo znanej firmy Microsoft przez
> inna malo znana firme Verisign na podstawie żądania wystawienia
> certyfikatow dostarczonego przez przypadkowe osoby? Jesli to jednak
> jest mozliwe, to o ile bardziej mozliwe jest takie cos w wykonaniu
> innej firmy certyfikujacej i w odniesieniu do np. jakiejs "osoby
> prywatnej", ktora w gruncie rzeczy nawet sama nie jest w stanie
> specjalnie mocno udowodnic, ze jest tym kim jest naprawde?

Taaa.. wszystko jest możliwe, ale poczytaj sobie CPS-y poszczególnych
CA, to może sobie uświadomisz z jakim prawdopodobieństwem.

PS. już mi się nie chce pisać na ten temat
--
== And.
==
== "Fire, walk with me.."

do góry

And <A...@...pl> writes:

> Nie będę łaskaw, może tylko przykłady "kwiatków":
> - "klucze dostępu" do dowodów osobistych
> - PIN, a właściwie jego brak, lub nieznajomość przez właściciela
> - dowód bez klucza prywatnego, ale z certyfikatem

Mialem na mysli konkrety, a nie kwiaciarnie.

Jesli okreslenie "w czesci bedacej dowodem osobistym" jest dla Ciebie
niezrozumiale to niestety nic na to nie poradze (choc staralem sie,
i wlasnie dlatego napisalem te slowa - by ktos bez nich nie rozciagal
znaczenia "dowodu osobistego" w taki sposob, jak wlasnie Ty to zrobiles
pomimo ze je tam umiescilem).

> Taaa.. wszystko jest możliwe, ale poczytaj sobie CPS-y poszczególnych
> CA, to może sobie uświadomisz z jakim prawdopodobieństwem.

A co ma do rzeczy prawdopodobienstwo? Np. jakie jest prawdopodobienstwo,
ze ktos podrobi akt notarialny albo "papierowy" dowod osobisty?

Istotny jest nie wspolczynnik ilosc oszustw / ilosc normalnych zdazen
(bo nie zajmujemy sie np. ubezpieczeniami), a raczej latwosc, z jaka
mozna wykonac oszustwo, jesli ma sie odpowiednia motywacje. Wybacz,
ale ta latwosc - zwlaszcza w odniesieniu do osob fizycznych - jest duza.
I co gorsza nie za bardzo jest mozliwosc by ja zmniejszyc.

Podobnie jest zreszta w przypadku "papierowych" dowodow osobistych,
choc mozliwosci oszustwa sa nieco inne. Tyle ze tam ryzyko jest dosc
dobrze znane.

> PS. już mi się nie chce pisać na ten temat

Przymusu nie ma.
--
Krzysztof Halasa

do góry

W zasadzie nie powinna mieć, bo to obniża bezpieczeństwo (ryzyko skimmingu),
ale ponieważ wymiana terminali i czytników (m.in. w bankomatach) jest
procesem długotrwałym (zwłaszcza w USA) jeszcze przez pewien czas na kartach
ze względów praktycznych będą oba nośniki z tym, że chip ma priorytet tzn.
jeśli czytnik w POSie obsługuje chipy to można wykonać transakcję tylko za
pomocą chipa. Z tego wniosek, że karta tylko z chipem byłaby
trudnoakceptowalna zwłaszcza w krajach w których infrastruktura kartowa
itnieje od wielu lat i nadal trwa jej modernizacja.

do góry