"Marcin Cenkier" <m...@p...fm> wrote in message
news:3CF18146.80907@poczta.fm...
> Vizvary II Istvan wrote:
>

Tamte informacje o dynamice JAVA Card pochodzą z
http://www1.slb.com/smartcards/news/02/sct_trends180
3.html
Póki chodzi o przeszłość to im wierze. W końcu maja informację z pierwszej
reki. Inna sprawa jest progrnoza.

> >> JacaCard to specyfikacja karty wedle Sun. Obecnie karty są
> >> dostepne wedle specyfikacji 2.1.2, zapowiadana jest specyfikacja
> >> 2.2. Karty wedle 2.1.2 istnieja w wersji kompatybilnej z
> >> OpenPlatform (obecnie Global Platform) VISA.
>
> Czyli niezgodne z OP VISA też istnieją?

Ależ oczywiście. Na przykład karty GSM zgodne z JAVA, nie majace nic
wspólnego z Open Platform. Najbardziej rzucajaca się w oczy róznica jest
taka, że wersja zgodna z Open Platform w ogóle nie przewiduje dosep do
danych
w sposób inny niz przez aplety, za to karty GSM z Java ze względu na
wymagana
kompatybilność ze standardem GSM 11.14 oczywiscie taki dostep zapewniaja.

> Czyli rozumiem, że:
> 1. nie istnieje już wspólna grupa Sun, IBM i MS, która zajmujmowała się
> standardem PC/SC a OCF jest już historią.
> 2. VISA dalej utrzymuje swoją wersję OCF, z którą jest kompatybilna
> _część_ kart JSC w specyfikacji 2.1.2
> 3. Istnieje część kart zgodnych _tylko_ ze specyfikacją 2.1.2, która to
> specyfikacja zostanie zastąpiona wersją 2.2 i prawdopodobnie znów tylko
> część będzie kompatybilna z OCF VISA.
>
> Czy dobrze kombinuję?

Dokładniej MS, Sun i IBM w 1997 utworzyły PCSC worgkroup razem z
producentami
kart. (http://www.pcscworkgroup.com/) Rok pózniej powstała konkurencyjna
OpenCard Framework ( http://www.opencard.org/ ) inicjatywa odrebna Sun i
IBM.
Jednocześnie Sun i IBM wystapiły z PCSC Workgroup. Standardy te dotyczą
komunikację
cztnik (karta) - PC. Również model realizacji sprzętowego wspomagania
kryptografii w PC.

Java Card to zupełnie inna sprawa. Wcale nie musi być obsługiwana
narzędziami z OCF.
Istnieje bowiem pewne "wąskie gardło" w postaci rozkazów wysłanych do karty
i odebranych
z karty. Nawet jeśli zdefiniujesz to jako rozbudowaną klasę JAVA, to w końcu
efektem jest
wysłanie kilku bajtów do karty, które możesz wysłać w jakikolwiek sposób.
Nawet wystukując z terminala w sposób szestnastkowy. Efekt bedzie ten sam.

>Spodziewam się, że wygodniejsze
> technologie (a za razem mniej bezpieczne) będą do tego tańsze. Wyprą
> więc z rynku rozwiązania bezpieczniejsze, ale mniej wygodne i do
> tego droższe... I nie ma prostego rozwiązania problemu - bo chcąc
> rozpowszechnić technologię i przekonać ludzi do rozwiązań niestety
> trzeba iść na ustępstwa w łatwości użytkowania rozwiązań.
> Alternatywą byłoby narzucenie przez państwo rozwiązań
> bezpieczniejszych, ale prawdopodobnie w ogóle niezrozumiałych dla
> przeciętnego śmiertelnika.

Jeszcze inaczej jest.
Dochodzi bowiem do tego
walka wielkich producentów,
zjawisko dosyc niewygodne dla Amerykanów, mianowicie fakt, że masowe
podpisywanie danych to przy okazji masowe ich szyfrowanie - więc brak
mozliwości śledzenia w czasie rzeczywistym ruchu w Internecie.
Dodaj do tego narcyzm srodowisk opiniotworczych (ze tak po prostu kazdy
bedzie podpisywal i szyfrowal?) i
brak przyjaznego sposobu przekazywania informacji o zastosowanych metodach
(patrzcie no Panstwo jaki to ja jestem mądry ...) Efekt taki, że gdy ludzie
usłyszą słowo "matematyka" to natychmiast przestaną słuchać. To samo dotyczy
dziennikarzy, którzy jak juz cokolwiek pojęli (lub im się wydaje że pojęli)
ze
szczegółów technicznych (zresztą często zupełnie niepotrzebnie) to zamiast
starać
sie wytłumaczyć w sposób przystepny po co to jest, co to daje i na czym to
polega,
zaczynają się popisywać jakimś absolutnie hermetycznym językiem, często
myląc
zresztą pojęcia.

[...]
> > A tak na prawde mnie to wszysko nie przekonuje. Dla mnie ważne byłoby
> > przede wszystkim by podpisane cyfrowo dokumenty można było PO
podpisaniu
> > ale przed wysłaniem archiwizować i zweryfikować własnymi narzędziami
> > (niezaleznych producentów) , więc by i dokument i podpis były
> > generowane w sposób standardowy.
>
> Nie widzę problemu, żeby aplikacja do podpisu mogla tez weryfikowac
> podpisany dokument. W gruncie rzeczy wystarczy miec dwa rozne programy,
> zeby byc prawie pewnym, ze dokument zostal prawidlowo podpisany.

Nie chodzi o to, by ta sama aplikacja lub inna aplikacja z tego samego
żródła weryfikowała postu, ale bym nazędziami niezaleznego producenta mógł
sprazwdzić co takiego podpisałem zanim decyduję wysłać w świat coś , czemu
nie mogę w przyszłości zaprzecić.


Vizvary Istvan