eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiE-podpis a token
Ilość wypowiedzi w tym wątku: 5

  • 1. Data: 2002-06-12 13:54:11
    Temat: E-podpis a token
    Od: <m...@p...onet.pl>

    W sierpniu będzie można wyrobić sobie elektroniczny podpis. Koszt: ok. 10 PLN na
    dyskietce lub ok. 180 PLN na karcie chipowej. Czy banki przestaną używać
    tokenów, tanów, haseł jednorazowych na rzecz e-podpisu? Czy e-podpis jest dobrym
    rozwiązaniem dla LGnetu (konto stanie się bardziej bezpieczne?) lub dla wysokiej
    opłaty za token w Nordei?
    Czy e-podpis będzie bezpieczny? Czy każdy korzystający z rachunków w internecie
    będzie musiał sobie go wyrobić?

    --
    Wysłano z serwisu OnetNiusy: http://niusy.onet.pl


  • 2. Data: 2002-06-12 20:15:58
    Temat: Re: E-podpis a token
    Od: "Vizvary II Istvan" <v...@p...onet.pl>


    <m...@p...onet.pl> wrote in message
    news:555c.00000ab1.3d075282@newsgate.onet.pl...
    > W sierpniu będzie można wyrobić sobie elektroniczny podpis. Koszt: ok. 10
    PLN na
    > dyskietce lub ok. 180 PLN na karcie chipowej.

    Bzdura. Koszt certyfikacja kluczy zalezy od urzędu.
    W Certum (UNIZETO) certyfikat pierwszej klasy to 61 zł (bez
    odpowiedzialności finansowej ze strony urzędu certyfikacji co to by nie
    znaczyło), certyfikat czwartej klasy to 1830 zł (odpowiedzialnośc do 100.000
    zł).
    w PolCert (eTelbanku) certyfikat II klasy 50 zł, gwarancja do 2500 euro,
    certyfikat III klasy180 złotych gwarancja do 37500 euro.
    W Signet (TP Internet) certyfikat I klasy - roczny abonament 48 zł,
    gwarancja do 400 zł.
    Wszystkie wydaja bezpłatne testowe, bez potwierdzenia tożsamosci.

    Koszty przechowywania w karcie to kolejne nieporozumienie. Jesli
    zaawansowana karta kryptograficzna kosztuje 15$ i może przechować minimum
    3-4 certyfikaty i opary kluczy, to ile kosztuje przechowanie jednego
    certyfikatu w karcie ? Ano około 15 złotych.

    To samo dotyczy czytnika, który nie słuzy nigdy do jednego certyfikatu, ani
    nawet do jednej karty.

    A generalnie to samo dotyczy sam certyfikat, który również może
    (teoretycznie) służyc do wielu celów. I w tym cały kłopot. O tym póżniej.

    >Czy banki przestaną używać
    > tokenów, tanów, haseł jednorazowych na rzecz e-podpisu?

    Nie. Banki działaja na podstawie dwustronnych umów z klientem i moga uzywać
    dio autoryzacji nawet fiołki z wodą, które (fiołki) trzeba mocno ciskać w
    dłoni wpisując jednocześnie pierwsze cztery cyfry które przyjda do głowy
    klientowi.
    Inna sprawa jest, czy sąd tego typu zabepieczenie w razie sporu uzna, i czy
    w przypadku, gdy bank w umowie oznajmił, że metoda ta jest bezpieczna to czy
    nie uzna to za świadomego wprowadzania klienta w błąd.

    > Czy e-podpis będzie bezpieczny?

    To jest inna sprawa. Dokument jest bezpieczny w okreslonym czasie. Klient
    jest bezpieczniejszy, bo bank w tym układzie jest zobowiązany każdą operację
    udokumentować dokumentem , którego tylko klient jest w stanie utworzyć.
    (Bank nie jest i nigdy nie był w posiadaniu tych informacji, które są
    potrzebne do podpisywania. Umie tylko je weryfikować).

    Niebezpieczeństwo pojawia się wtedy, gdy ten sam certyfikat może słuzyć do
    kilku celów. Ja na przykład mam konto w Śląskim, i klucze w pliku w żaden
    sposób nie zagrażają mojemu bezpieczeństwu. Z tego prostego powodu, że (nie
    mówiąc o tym, że na tym koncie mam mało pieniędzy) owe klucze do niczego
    innego nie mogą służyć niż tylko do operacji na moim koncie w Śląskim. Ja
    zaś mam cały czas nadzór nad stanem konta. Gdyby jeszcze wprowadzono jakieś
    powiedzmy powiadomienie SMSem o dokonanych operacjach, to ja bym wiedział
    natychmiast, gdyby ktoś grzebał na moim koncie. Pełna kontrola.
    W przypadku, gdyby Śląski postanowił honorować klucze certyfikowane przez
    jakiś Urząd Certyfikacji (może top robić w każdej chwili, nawet dziś) to ja
    juz nie jestem w stanie kontrolować wszystkich instytucji, które postanowili
    również honorować klucze certyfikowane przez ów Urząd. Więc może się okazać,
    że ktoś w posiadaniu moich kluczy zawrze umowę w innym banku, który równiez
    honoruje certyfikaty mojego Urzędu. Bez mojej wiedzy. I powiedzmy zaciągnie
    kredyt w moim imieniu , ale bez mojej wiedzy. Pieniądze wyda, zaś do mnie
    przyjdzie komornik. Stąd konieczność wiekszej ochrony kluczy, niż w
    przypadku gdy służą one tylko do jednego celu.
    Inna sprawa, że sama ochrona kluczy wszystkiego nie załatwia. Nawet jak
    klucze certyfikuję w celu wysyłania dokumentów do ZUSu lub US, to nie wiem,
    czy jakaś instytucja finansowa nie zechce honorować owych certyfikatów.
    Więc (nie)bezpieczeństwo jest funkcją wielości celów (przeznaczeń) które
    bynajmniej nie wynikają z mojej decyzji. (To nie ja postanowiłem, że na mój
    certyfikat można zaciagnąć kredyt. To bank postanowił honorować certyfikatu
    danego Urzędu).


    >Czy każdy korzystający z rachunków w internecie
    > będzie musiał sobie go wyrobić?

    Nie.

    Vizvary Istvan


  • 3. Data: 2002-06-13 13:25:29
    Temat: Re: E-podpis a token
    Od: "Krzysztof Kowalski" <k...@b...pl>

    > Nie. Banki działaja na podstawie dwustronnych umów z klientem i moga
    uzywać
    > dio autoryzacji nawet fiołki z wodą, które (fiołki) trzeba mocno ciskać w
    > dłoni wpisując jednocześnie pierwsze cztery cyfry które przyjda do głowy
    > klientowi.

    ROTFL :-))))
    Akapit roku dla mnie ;-)))

    K. Kowalski



  • 4. Data: 2002-06-14 20:49:23
    Temat: Re: E-podpis a token
    Od: Marcin Cenkier <m...@p...fm>

    Vizvary II Istvan wrote:
    > Więc (nie)bezpieczeństwo jest funkcją wielości celów (przeznaczeń) które
    > bynajmniej nie wynikają z mojej decyzji. (To nie ja postanowiłem, że na mój
    > certyfikat można zaciagnąć kredyt. To bank postanowił honorować certyfikatu
    > danego Urzędu).

    Pragnę tylko zauważyć, że podmiot świadczący usługi certyfikacyjne,
    wydając kwalifikowany certyfikat, jest obowiązany zawrzeć w tym
    certyfikacie dodatkowe dane na wniosek osoby składającej podpis
    elektroniczny. Tak więc spodziewam się że można samodzielnie określić,
    że dany certyfikat będzie tylko i wyłącznie stosowany do danego celu (w
    danej instytucji).
    Choć wydaje się, że byłoby to mało wygodne posiadać 20 certyfikatów na
    5-ciu kartach chipowych, a każdy certyfikat po średnio 100zł...

    --
    Greetings, -- mailto:m...@p...fm --
    Marcin Cenkier "Let's assume that there's only one truth."


  • 5. Data: 2002-06-14 22:31:06
    Temat: Re: E-podpis a token
    Od: "Vizvary II Istvan" <v...@p...onet.pl>


    "Marcin Cenkier" <m...@p...fm> wrote in message
    news:3D0A56D3.3090208@poczta.fm...
    > Vizvary II Istvan wrote:
    > > Więc (nie)bezpieczeństwo jest funkcją wielości celów (przeznaczeń) które
    > > bynajmniej nie wynikają z mojej decyzji. (To nie ja postanowiłem, że na
    mój
    > > certyfikat można zaciagnąć kredyt. To bank postanowił honorować
    certyfikatu
    > > danego Urzędu).
    >
    > Pragnę tylko zauważyć, że podmiot świadczący usługi certyfikacyjne,
    > wydając kwalifikowany certyfikat, jest obowiązany zawrzeć w tym
    > certyfikacie dodatkowe dane na wniosek osoby składającej podpis
    > elektroniczny. Tak więc spodziewam się że można samodzielnie określić,
    > że dany certyfikat będzie tylko i wyłącznie stosowany do danego celu (w
    > danej instytucji).

    POdejrzewam, że byłoby to pozyteczne. Certyfikaty, które służą do
    rozliczania wobec ZUS czy US, ale zastrzezeniem, że na przykład nie mogą być
    stosowane wobec instytucji finansowych.
    Tak na prawdę te moje obawy są dosyć wydumane, ale chyba ilustrują czym się
    różnią klucze dedykowane do jednej aplikacji od kluczy certyfikowanych,
    których akceptacja zależy (jesli są one bez wspomnianych zastrzeżeń ze
    strony posiadacza) tylko od woli akceptanta.
    Bo przecież (jest to jeszcze dalej idący wniosek) można by ustanowić urząd,
    gdzie mogliby obywatele oświadczać, że nie korzystają i nie będą nigdy
    korzystac ... a "podmioty swiadczące" by musiały sprawdzić czy dany obywatel
    przypadkiem nie figuruje na liście.

    Vizvary

strony : [ 1 ]


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1