Użytkownik "Jacek Osiecki" <j...@c...pl> napisał w wiadomości
news:slrnaf40h7.3tp.joshua@pingwin.ani...
> Dnia 24 May 2002 15:27:53 +0200, i...@p...onet.pl napisał(a):
> >Jeżeli wartość funkcji skrótu oblicza aplikacja to rozwiązanie to w
zakresie
> >bezpieczeństwa i pewności działania różni się od rozwiązania z kartą z
> >koprocesorem kryptograficznym tylko tym że jest bardziej uciążliwe.
>
> Bynajmniej - mam do wklepania 8 cyfr na tokenie i wklepuję potem odpowiedź
> do formularza... i gotowe. Nie muszę się bać, że ktoś zainstalował w
> komputerze trojana który podglądnie wklepywany PIN do karty
procesorowej...
>
> >Jak ufam aplikacji to zewnętrzny token nie jest potrzebny.
>
> Widzisz - a ja z tokenem nie muszę się bać, idąc do np. kawiarenki
> internetowej...
>
> > Jak jej nie ufam to skąd wiem co podpisuję?.
>
> Aplikacji mogę ufać - a czy komputerowi, systemowi? To zmienić dużo
> łatwiej...

Wszystko zależy do czego używasz - do podpisywania to tylko karty
procesorowe, jeśli do autentykacji to tokeny (BTW. są specjalne klawiaturki,
gdzie wkładasz kartę czipową i masz token - normalny łosz'en'goł). Co do
podpisów dochodzimy do kwestii, która w ustawie nosi nazwę bezpieczne
urządzenie. Wg ustawy urządzenie takie w cale nie musi być bezpieczne de
facto. Ma mieć certyfikat, że jest bezpieczne, a to co innego. Brak jest
ciągle odpowiednich przepisów wykonwaczych, które pozwolą na przeprowadzenie
takiej certyfikacji. Możemy się jedynie domyślać, jak to będzie wyglądać.
Rozwiązanie jest w zasadzie jedno:
urzadzenie prezentuje cały podpisywany tekst (bo podpisuje się tekst, a nie
tekst + formę) przed podpisaniem. Do tego cała operacja (czyli generacja
skrótu, podanie PIN'u, podpisanie) odbywa się na urządzeniu podpisującym,
podczas której nie odbywa się, żadna komunikacja z komputerem, do którego to
urządzenie jest podpięte.
Można domniemywać, że rozporządzenie będzie zawierać taką definicje. A to z
kilku powodów:
- jest to jedyne rzeczywiście bezpieczne rozwiązanie dla podpisującego
- cała odpowiedzialność za podpisany tekst spada na podpisującego
(niezaprzeczalność)
- odpowiedzialność za bezpieczeństwo urządzenia spada na podpisującego
(prawdopodobnie częściowo poza wyjątkami typu banki i inne instytucje
zaufania publicznego, które będą musiały udostępnić odpowiednie urządzenia
swoim klientom)
- 99% transakcji nie będzie wymagało podpisu kwalifikowanego (a więc
bezpiecznego urządzenia podpisującego)
- duża część istotnych transakcji (np. wszystkie umowy notarialne) będą
dalej musiały mieć formę tradycyjnej, papierowej umowy.

Pozdrawiam



--
Serwis Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/