-
Data: 2008-02-13 20:14:45
Temat: Re: Podpis elektroniczny na karcie bankomatowej?
Od: kravietz <p...@n...hush.com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 11 Lut, 12:36, "blad" <blad201@_W_Y_T_N_I_J_sezam.pl> wrote:
> a po podpisaniu dokumentu nie można sprawdzić, co podpisaliśmy?
> Chyba widac, żepodpisjest pod takim dokumentem jaki chcieliśmy,
> i dopiero potem taki dokument mozna potem komus wyslac.
Problem polega na tym, że potencjalny trojan może cały czas
modyfikować to co jest wyświetlane użytkownikowi. Wszystko jest
kwestią zaawansowania trojana.
Z tym, że jeśli budujemy środowisko do składania podpisu
elektronicznego z myślą o *wszystkich* możliwych atakach (to co
zalecają CWA) to kończymy z rodzajem małego bankomatu, który jest tak
samo jak bankomat używalny, ma podobnie "atrakcyjną" cenę i będzie
równie popularny. No i zawsze zostaje nam margines niepewności, bo
można wykraść np. wykraść PIN obserwując klawiaturę kamerą termowizyną
albo wychwytując ulot elektromagnetyczny :) Jak widać to prowadzi do
wniosku, że bezpieczniej jest w ogóle nie korzystać z komputerów.
Rzecz w tym żeby *rozsądnie* dobrać poziom bezpieczeństwa do
oczekiwanego ryzyka i to tak, żeby zabezpieczenie nie stanowiło
bariery do stosowania podpisu. Wszyscy zlecają przelewy bankowe
autoryzując je SMS-em i żyją. Niektórzy chcieli nawet wprowadzać
wybory przez Internet, nie przejmując się specjalnie kwestiami
uwierzytelnienia i tajności głosowania.
W obecnej postaci podpisu kwalifikowanego w Polsce - podobnie jak w
Niemczech - wymagania bezpieczeństwa są znacznie przesadzone. Osadzony
w prawie tylko hiperbezpieczny podpis kwalifikowany osoby fizycznej na
"bezpiecznym urządzeniu" i nic poza tym. Tymczasem rynek oczekuje
mnóstwa rozwiązań pośrednich - najbardziej oczywistym jest np. podpis
z użyciem certyfikatu kwalifikowanego (silna weryfikacja tożsamości),
ale bez "bezpiecznego urządzenia". Które to "bezpieczne urządzenie"
jest samo w sobie wielką fikcją, jak zresztą zauważyli Panowie
powyżej.
Ponieważ takich rozwiązań pośrednich nie ma, więc mało kto z niego
korzysta. W codziennych zastosowaniach biznesowych taki podpis jest
zbyt uciążliwy - to tak jakby np. podpisywać każdą fakturę notarialnie
- a tam gdzie jego poziom bezpieczeństwa może okazać się przydatny
mało kto chce korzystać z komunikacji elektronicznej.
I to widać - wg GUS z faktury elektronicznej korzysta zaledwie 5% firm
i to tych największych. Reszta też korzysta, tylko z "nielegalnej" -
po prostu wysyłając mailem bez żadnego podpisu. Tymczasem w Finlandii
z faktur elektronicznych legalnie korzysta 70 tys. firm, w Danii 70%
wszystkich faktur będących w obrocie to faktury elektroniczne, a
administracja publiczna przyjmuje tylko e-faktury i nikogo to nie
dziwi. Ale tam nie trzeba ich podpisywać podpisem kwalifikowanym tak
jak u nas. W Hiszpanii z kolei obywatel dostaje certyfikat
kwalifikowany od urzędu za darmo, podobnie jak w Estonii (w dowodzie
osobistym).
A u nas? A u nas głośno mówi się o tym, że wobec braku zainteresowania
przedsiębiorców podpisem trzeba ich do niego zmusić ustawą...
Paweł Krawczyk
http://ipsec.pl/
Następne wpisy z tego wątku
- 13.02.08 20:25 kravietz
- 13.02.08 23:30 Bartosz 'xbartx' Nowakowski
Najnowsze wątki z tej grupy
- Dlaczego takie preferencje banków?
- Awaria BNP Paribas
- Citi Handlowy promocja na kartę kredytową
- czy zablokują mi środki?
- Tak doi się "wisienkobiorców" Nie tylko w kasynach ;-)
- Zamykanie konta dziecka.
- Czy apka bankowa to gra komputerowa?
- Co nalezy do Cinkciarza, a co do Conotoxia ?
- jak tacy debile
- Konto wspólne w N26.
- Bank z archaicznym uwierzytelnianiem.
- Re: Akumulatorki...
- Usiłuję zapłacić za energetyzację...
- w Polsce jest kryzys
- mBank mKsiegowosc
Najnowsze wątki
- 2025-02-10 Dlaczego takie preferencje banków?
- 2025-02-03 Awaria BNP Paribas
- 2025-01-23 Citi Handlowy promocja na kartę kredytową
- 2025-01-21 czy zablokują mi środki?
- 2025-01-09 Tak doi się "wisienkobiorców" Nie tylko w kasynach ;-)
- 2024-12-31 Zamykanie konta dziecka.
- 2024-12-31 Czy apka bankowa to gra komputerowa?
- 2024-12-23 Co nalezy do Cinkciarza, a co do Conotoxia ?
- 2024-12-21 jak tacy debile
- 2024-12-13 Konto wspólne w N26.
- 2024-12-09 Bank z archaicznym uwierzytelnianiem.
- 2024-12-04 Re: Akumulatorki...
- 2024-12-03 Usiłuję zapłacić za energetyzację...
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc