Zaczynam korzystać z ich usług. Dostałem mejlem certyfikat do
zainstalowania, aby móc odczytywać wyciągi elektroniczne. Trochę mnie to
dziwi.

Dziwi mnie przysłanie mi mejlem (który może tylko udawać, że jest od
nich) ich certyfikatu, któremu mam ufać. Właściwsze byłoby, gdybym ten
certyfikat (klucz weryfikujący) pobrał sobie sam od jakiegoś VeriSigna,
albo z ich certyfikowanej strony.

... albo "oni" powinni mi zaproponować przysłanie im mojego klucza
publicznego.

Dobrze kombinuję?


--

Dziękuję. Pozdrawiam. Ten Maruda.

do góry

On Tue, 05 Jul 2011 07:31:26 +0200, Maruda <m...@n...com> wrote:

>Dziwi mnie przysłanie mi mejlem (który może tylko udawać, że jest od
>nich) ich certyfikatu, któremu mam ufać. Właściwsze byłoby, gdybym ten
>certyfikat (klucz weryfikujący) pobrał sobie sam od jakiegoś VeriSigna,
>albo z ich certyfikowanej strony.

tak

>... albo "oni" powinni mi zaproponować przysłanie im mojego klucza
>publicznego.

to bez sensu.
Istota kryptografii niesymetrycznej polega na tym, że to jedna strona
generuje parę kluczy - prywatny (ten nigdy nie "wychodzi") i publiczny
- i ten drugi wysyła drugiej stronie.
Klucze są generowane parami.
--
pozdrawiam,
Jarek Andrzejewski

do góry

W dniu 2011-07-05 08:09, Jarek Andrzejewski pisze:
> On Tue, 05 Jul 2011 07:31:26 +0200, Maruda<m...@n...com> wrote:
>
>> Dziwi mnie przysłanie mi mejlem (który może tylko udawać, że jest od
>> nich) ich certyfikatu, któremu mam ufać. Właściwsze byłoby, gdybym ten
>> certyfikat (klucz weryfikujący) pobrał sobie sam od jakiegoś VeriSigna,
>> albo z ich certyfikowanej strony.
>
> tak
>
>> ... albo "oni" powinni mi zaproponować przysłanie im mojego klucza
>> publicznego.
>
> to bez sensu.
> Istota kryptografii niesymetrycznej polega na tym, że to jedna strona
> generuje parę kluczy - prywatny (ten nigdy nie "wychodzi") i publiczny
> - i ten drugi wysyła drugiej stronie.
> Klucze są generowane parami.

Chyba mnie nie zrozumiałeś.
"Oni" powinni mnie poprosić, abym przysłał im (czy w inny sposób
przekazał) mój klucz publiczny. Można go też przecież zweryfikować po
sygnaturce przez telefon, czy z użyciem choćby i haseł 1-razowych. Np
wklejam ten mój klucz publiczny do formularza w serwisie trans. i
potwierdzam hasłem 1-r, czy tokenem. Tym kluczem będą szyfrować mejle do
mnie, a ja sobie odkoduję moim kluczem prywatnym.

Innym mechanizmem jest tylko "potwierdzanie autorstwa", czyli podpis.
Ten też powinien być "zaufany", a wysłany w mejlu, który łatwo
sfałszować, nie-za-bałdzo jest zaufany.

Nie wdaję się w niuanse funkcjonowania GPG czy czego-tam, ostatni raz to
czytałem w połowie lat '90, w epoce PGP, jeszcze tego "niedostępnego"
nawet dla CIA. ;)
Roztrząsam jedynie kwestię "zaufania do certyfikatu/klucza".

Dla pełniejszej jasności wklejam cały mejl :


---<citata begina>
Prosimy o dokonanie instalacji załączonego Certyfikatu Bezpieczeństwa
zgodnie z załączoną instrukcją instalacji.

Podczas instalacji Certyfikatu Bezpieczeństwa niezbędne jest podanie
numeru klienta, jako hasła wymaganego w procesie certyfikacji. Numer
klienta znajduje się w Umowie o prowadzenie rachunków bankowych oraz na
wyciągach papierowych - w lewym, górnym rogu wyciągu (patrz rysunek
obok) - jeśli dotychczas korzystaliście Państwo z tej formy wyciągu.

W przypadku jakichkolwiek wątpliwości lub problemów związanych z
instalacją Certyfikatu Bezpieczeństwa prosimy o kontakt z Infolinią pod
numerem telefonu 0 801 123 456.
cid:image013.gif

W celu zapewnienia maksymalnego bezpieczeństwa przekazywanym
informacjom, wszelka korespondencja mailowa, zawierająca dane dotyczące
Państwa wyciągu elektronicznego będzie szyfrowana 128 bitowym kluczem
szyfrującym. Taką korespondencję będziecie Państwo mogli otwierać
wyłącznie na stanowiskach komputerowych, na których zainstalowany
zostanie Certyfikat Bezpieczeństwa.

Instrukcja instalacji jest przygotowana w postaci pliku PDF (Portable
Document Format). Do jej odczytania należy posłużyć się programem
Acrobat Reader firmy Adobe. Szczegółowe informacje na temat programu
Acrobat Reader oraz dokumentów PDF można znaleźć na stronach firmy Adobe
pod adresem http://www.adobe.com.

Jeśli skrzynkę poczty e-mail, na którą będą przysyłane wyciągi
elektroniczne obsługują Państwo za pośrednictwem przeglądarki
internetowej, to do odczytywania e-maili z wyciągami niezbędne jest
zainstalowanie również programu CryptoView. Proszę kliknąć tutaj, żeby
zainstalować program CryptoView i zapoznać się z instrukcją jego
instalacji.

---<citata finita>


--

Dziękuję. Pozdrawiam. Ten Maruda.

do góry

Użytkownik "Maruda" <m...@n...com> napisał w wiadomości
news:iuu7je$ccj$1@news.onet.pl...

> Zaczynam korzystać z ich usług.

No ja tez zaczynam, i wylapuje pierwsze knoty :[
- brak wykazu transakcji kartowych niezaksiegowanych, /blokady/
z dnia wczorajszego - zarowno bankomat jak i op. bezgotowkowe
widac tylko ze saldo srodkow dostepnych sie zmniejszylo

A moze nie wiem gdzie szukac ?

- lekkie zdziwko przy probie doladowania telefonu
mam przyzwyczajenia z mTransferu czy Inteligo
a tu trzeba sie zalogowac i wypelnic recznie normalny przelew :(
wiec w efekcie olalem, zakladajac ze moge czekac do jutra na realizacje

to na razie tyle z tego co mi sie juz nie podoba.......

do góry

W dniu 2011-07-06 00:23, Waldek pisze:
>> Zaczynam korzystać z ich usług.
> No ja tez zaczynam, i wylapuje pierwsze knoty :[

Przelewy wewnętrzne nie są online :)
Wymóg 3 transakcji zrealizowałem dziś w tramwaju kupując trzykrotnie
bilet jednorazowy :D

--
radar

do góry