"Piotr W" <t...@p...onet.pl> wrote in message
news:agb629$c96$1@news.tpi.pl...
> Coraz bardziej powszechne są dostępy do konta przez i-net
> Jak to wygląda pod względem bezpieczeństwa dla tzw podpisów
> elektronicznych np oferowany obecnie system SBE w InvestBanku
> Nie jest to jakikolwiek token lub lista haseł jakie są oferowane przez
inne
> banki
> ( tokena używam od roku i jest OK )

Co do tokenow, list hasel jedno i wielorazowych : wszelkie tego typu
narzedzia sa oparte na zasadach takich, że bank jest w posiadaniu tych
samych informacji (sluzacych do autoryzacji) co uzytkownik. W efekcie
rozmywa sie odpowiedzialnosc - w razie udanego ataku na bank (czy tez raczej
na konto klienta) nie wiadomo czy dokonal to cwany klient i sie wypiera
transakcji, jego znajomy (tesciowa ?) - czy tez dokonal to jakis pracownik
banku podszywajac sie pod tozsamosc klienta. Ten aspekt sprawy z oczywistych
wzgledow nie jest to zbytnio naglosniony przez bankow .
W przypadku prawidlowo zrealizowanego systemu opartego o podpis cyfrowy
roznica jest taka, ze
1. bank nigdy nie byl i nie jest w posiadaniu tej "tajemnicy" co klientowu
sluzy do autoryzacji (Bank jest w posiadaniu tylko danych służacych do
weryfikacji podpisu, ale nie danych służacych do ich sporzadzania)
2. bank do kazdej transakcji posiada autoryzowany przez klienta dokument.
Dokument którego autentyczność można bez kłopotów sprawdzić.
W razie udanego ataku na bank(na konto klienta) sprawa jest jasna
- jest dokument : "atak" dokonał klient, niech szuka winowajce u siebie (w
firmie)
- nie ma dokumentu : przepraszamy klienta, "zle zaksiegowana operacja",
idzie w straty, dochodzenie jest wewnetrzne.

Bynajmniej nie wynika z tego, że klient jest bardziej bezpieczny. To znaczy
jest całkowicie bezpieczny od manipulacji ze strony pracownikow banku. Bank
też jest bezpieczny - nawet cien podejrzenia nie może paść na pracownikow
banku - oni fizycznie nie sa w stanie podrobic podpisu klienta. Nawet
wszyscy najbardziej uprawnieni informatycy bankowi na kupie.

> Jaka jest szansa na złamanie klucza elektronicznego ?

Już podpisany dokument jest pewny. Kradziez klucza tez można wykluczyć (gdy
jest w karcie kryptograficznej). Inne ataki nie sa jeszcze znane, ale
teoretycznie sa mozliwe (wyłudzenie podpisu)
Generalnie jest taka zasada - podpis cyfrowy nie uwalnia od dbania o
bezpieczenstwo komputera. Wprost przeciwnie. Stacja robocza, która służy do
tego by na nim dokonac poważne operacje finansowe, niezaleznie od rodzaju
stosowanej autoryzacji, powinno być maksymalnie bezpieczna.


Vizvary Istvan