Re: Bankowosc Internetowa - sposob zapisu klucza - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Bankowosc Internetowa - sposob zapisu klucza › Re: Bankowosc Internetowa - sposob zapisu klucza

Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!warszawa.rmf.pl!news.rmf.pl!news.one
t.pl!lublin.pl!news.nask.pl!news.internetia.pl!newsfeed.gazeta.pl!news.gazeta.p
l!not-for-mail
From: "Stefan" <stefanUSUNTO@ito_tez.interia.pl>
Newsgroups: pl.biznes.banki
Subject: Re: Bankowosc Internetowa - sposob zapisu klucza
Date: Mon, 27 May 2002 13:15:47 +0200
Organization: Portal Gazeta.pl -> http://www.gazeta.pl
Lines: 58
Message-ID: <act4gv$loo$1@news.gazeta.pl>
References: <3...@p...fm> <0...@n...onet.pl>
<s...@p...ani>
NNTP-Posting-Host: ssegw-1.comarch.pl
X-Trace: news.gazeta.pl 1022498144 22296 195.116.193.131 (27 May 2002 11:15:44 GMT)
X-Complaints-To: u...@g...pl
NNTP-Posting-Date: Mon, 27 May 2002 11:15:44 +0000 (UTC)
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Priority: 3
X-Newsreader: Microsoft Outlook Express 6.00.2600.0000
X-User: gstefan
X-MSMail-Priority: Normal
Xref: news-archive.icm.edu.pl pl.biznes.banki:184561
[ ukryj nagłówki ]

Użytkownik "Jacek Osiecki" <j...@c...pl> napisał w wiadomości
news:slrnaf40h7.3tp.joshua@pingwin.ani...
> Dnia 24 May 2002 15:27:53 +0200, i...@p...onet.pl napisał(a):
> >Jeżeli wartość funkcji skrótu oblicza aplikacja to rozwiązanie to w
zakresie
> >bezpieczeństwa i pewności działania różni się od rozwiązania z kartą z
> >koprocesorem kryptograficznym tylko tym że jest bardziej uciążliwe.
>
> Bynajmniej - mam do wklepania 8 cyfr na tokenie i wklepuję potem odpowiedź
> do formularza... i gotowe. Nie muszę się bać, że ktoś zainstalował w
> komputerze trojana który podglądnie wklepywany PIN do karty
procesorowej...
>
> >Jak ufam aplikacji to zewnętrzny token nie jest potrzebny.
>
> Widzisz - a ja z tokenem nie muszę się bać, idąc do np. kawiarenki
> internetowej...
>
> > Jak jej nie ufam to skąd wiem co podpisuję?.
>
> Aplikacji mogę ufać - a czy komputerowi, systemowi? To zmienić dużo
> łatwiej...

Wszystko zależy do czego używasz - do podpisywania to tylko karty
procesorowe, jeśli do autentykacji to tokeny (BTW. są specjalne klawiaturki,
gdzie wkładasz kartę czipową i masz token - normalny łosz'en'goł). Co do
podpisów dochodzimy do kwestii, która w ustawie nosi nazwę bezpieczne
urządzenie. Wg ustawy urządzenie takie w cale nie musi być bezpieczne de
facto. Ma mieć certyfikat, że jest bezpieczne, a to co innego. Brak jest
ciągle odpowiednich przepisów wykonwaczych, które pozwolą na przeprowadzenie
takiej certyfikacji. Możemy się jedynie domyślać, jak to będzie wyglądać.
Rozwiązanie jest w zasadzie jedno:
urzadzenie prezentuje cały podpisywany tekst (bo podpisuje się tekst, a nie
tekst + formę) przed podpisaniem. Do tego cała operacja (czyli generacja
skrótu, podanie PIN'u, podpisanie) odbywa się na urządzeniu podpisującym,
podczas której nie odbywa się, żadna komunikacja z komputerem, do którego to
urządzenie jest podpięte.
Można domniemywać, że rozporządzenie będzie zawierać taką definicje. A to z
kilku powodów:
- jest to jedyne rzeczywiście bezpieczne rozwiązanie dla podpisującego
- cała odpowiedzialność za podpisany tekst spada na podpisującego
(niezaprzeczalność)
- odpowiedzialność za bezpieczeństwo urządzenia spada na podpisującego
(prawdopodobnie częściowo poza wyjątkami typu banki i inne instytucje
zaufania publicznego, które będą musiały udostępnić odpowiednie urządzenia
swoim klientom)
- 99% transakcji nie będzie wymagało podpisu kwalifikowanego (a więc
bezpiecznego urządzenia podpisującego)
- duża część istotnych transakcji (np. wszystkie umowy notarialne) będą
dalej musiały mieć formę tradycyjnej, papierowej umowy.

Pozdrawiam

--
Serwis Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/