<m...@p...onet.pl> wrote in message
news:555c.00000ab1.3d075282@newsgate.onet.pl...
> W sierpniu będzie można wyrobić sobie elektroniczny podpis. Koszt: ok. 10
PLN na
> dyskietce lub ok. 180 PLN na karcie chipowej.

Bzdura. Koszt certyfikacja kluczy zalezy od urzędu.
W Certum (UNIZETO) certyfikat pierwszej klasy to 61 zł (bez
odpowiedzialności finansowej ze strony urzędu certyfikacji co to by nie
znaczyło), certyfikat czwartej klasy to 1830 zł (odpowiedzialnośc do 100.000
zł).
w PolCert (eTelbanku) certyfikat II klasy 50 zł, gwarancja do 2500 euro,
certyfikat III klasy180 złotych gwarancja do 37500 euro.
W Signet (TP Internet) certyfikat I klasy - roczny abonament 48 zł,
gwarancja do 400 zł.
Wszystkie wydaja bezpłatne testowe, bez potwierdzenia tożsamosci.

Koszty przechowywania w karcie to kolejne nieporozumienie. Jesli
zaawansowana karta kryptograficzna kosztuje 15$ i może przechować minimum
3-4 certyfikaty i opary kluczy, to ile kosztuje przechowanie jednego
certyfikatu w karcie ? Ano około 15 złotych.

To samo dotyczy czytnika, który nie słuzy nigdy do jednego certyfikatu, ani
nawet do jednej karty.

A generalnie to samo dotyczy sam certyfikat, który również może
(teoretycznie) służyc do wielu celów. I w tym cały kłopot. O tym póżniej.

>Czy banki przestaną używać
> tokenów, tanów, haseł jednorazowych na rzecz e-podpisu?

Nie. Banki działaja na podstawie dwustronnych umów z klientem i moga uzywać
dio autoryzacji nawet fiołki z wodą, które (fiołki) trzeba mocno ciskać w
dłoni wpisując jednocześnie pierwsze cztery cyfry które przyjda do głowy
klientowi.
Inna sprawa jest, czy sąd tego typu zabepieczenie w razie sporu uzna, i czy
w przypadku, gdy bank w umowie oznajmił, że metoda ta jest bezpieczna to czy
nie uzna to za świadomego wprowadzania klienta w błąd.

> Czy e-podpis będzie bezpieczny?

To jest inna sprawa. Dokument jest bezpieczny w okreslonym czasie. Klient
jest bezpieczniejszy, bo bank w tym układzie jest zobowiązany każdą operację
udokumentować dokumentem , którego tylko klient jest w stanie utworzyć.
(Bank nie jest i nigdy nie był w posiadaniu tych informacji, które są
potrzebne do podpisywania. Umie tylko je weryfikować).

Niebezpieczeństwo pojawia się wtedy, gdy ten sam certyfikat może słuzyć do
kilku celów. Ja na przykład mam konto w Śląskim, i klucze w pliku w żaden
sposób nie zagrażają mojemu bezpieczeństwu. Z tego prostego powodu, że (nie
mówiąc o tym, że na tym koncie mam mało pieniędzy) owe klucze do niczego
innego nie mogą służyć niż tylko do operacji na moim koncie w Śląskim. Ja
zaś mam cały czas nadzór nad stanem konta. Gdyby jeszcze wprowadzono jakieś
powiedzmy powiadomienie SMSem o dokonanych operacjach, to ja bym wiedział
natychmiast, gdyby ktoś grzebał na moim koncie. Pełna kontrola.
W przypadku, gdyby Śląski postanowił honorować klucze certyfikowane przez
jakiś Urząd Certyfikacji (może top robić w każdej chwili, nawet dziś) to ja
juz nie jestem w stanie kontrolować wszystkich instytucji, które postanowili
również honorować klucze certyfikowane przez ów Urząd. Więc może się okazać,
że ktoś w posiadaniu moich kluczy zawrze umowę w innym banku, który równiez
honoruje certyfikaty mojego Urzędu. Bez mojej wiedzy. I powiedzmy zaciągnie
kredyt w moim imieniu , ale bez mojej wiedzy. Pieniądze wyda, zaś do mnie
przyjdzie komornik. Stąd konieczność wiekszej ochrony kluczy, niż w
przypadku gdy służą one tylko do jednego celu.
Inna sprawa, że sama ochrona kluczy wszystkiego nie załatwia. Nawet jak
klucze certyfikuję w celu wysyłania dokumentów do ZUSu lub US, to nie wiem,
czy jakaś instytucja finansowa nie zechce honorować owych certyfikatów.
Więc (nie)bezpieczeństwo jest funkcją wielości celów (przeznaczeń) które
bynajmniej nie wynikają z mojej decyzji. (To nie ja postanowiłem, że na mój
certyfikat można zaciagnąć kredyt. To bank postanowił honorować certyfikatu
danego Urzędu).


>Czy każdy korzystający z rachunków w internecie
> będzie musiał sobie go wyrobić?

Nie.

Vizvary Istvan