"Piotr W" <t...@p...onet.pl> writes:

> Użytkownik Maciek Pasternacki <j...@h...org.pl> w wiadomości do grup
> dyskusyjnych napisał:8...@l...localdomain...
>> W podpisie elektronicznym masz do czynienia z tzw. kluczem prywatnym i
>> publicznym. Klucz prywatny masz tylko ty, klucz publiczny zna cały
>> swiat
>
> tego nigdy nie można być pewnym ;-)

Tego pierwszego, czy teog drugiego?

>> W przypadku podpisu elektronicznego hasło, ani żadna inna wrażliwa
>> wiadomość, nie jest przesyłana przez sieć przy każdej transakcji (ani
>> w postaci czystej, ani w zaszyfrowanej), bo autoryzacja nie opiera się
>> na znajomości wspólnego sekretu (hasła), tylko na posiadaniu
>> odpowiednich połówek sekretu (klucza publicznego i prywatnego).
>
> mam jednak wątpliwości czy przesyłanie klucza prywatnego
> w trakcie jego nadania przez i-net nie umożliwia jego przechwycenie
> ( mimo że przekaz szyfrowany SSL )

Nie wiem, kto generuje parę kluczy (Ty, czy bank - sensowniej byłoby,
gdybyś Ty sobie generował i wysyłał do banku tylko klucz publiczny),
ale jeden z kluczy zawsze musi być przesłany i tu jest właśnie
najwrażliwszy punkt. W wersji, w której bank generuje parę kluczy,
ktoś może podsłuchać po drodze klucz prywatny; w wersji, w której Ty
wysyłasz klucz publiczny do banku, ktoś może go po drodze podmienić.

SSL jest podatny na ataki typu MITM (Man In The Middle). Polega to,
wdużym skrócie, na tym, że atakujący siedzi gdzieć po drodze między
Tobą a bankiem i przedstawia się Tobie jako bank, a bankowi jako Ty.
Jako że autoryzacja w SSL opiera się na kluczach asymetrycznych, u
Ciebie, o ile masz włączone odpowiednie ustawienia, pokaże się okno,
że klucz banku się zmienił lub że nie jest certyfikowany -- napastnik
nie dysponuje kluczem prywatnym banku (chyba, że łączysz się z bankiem
po raz pierwszy, wtedy - sorry, Winnetou). Ogromna większość ludzi w
takiej sytuacji klika ,,OK'' i łączy się dalej... Wniosek: trzeba
przy sprawdzać fingerprint klucza banku (widać go gdzieś w ,,opcjach
zabezpieczeń'', o ile pamiętam) i nie klikać ,,OK'' na wszystkich
okienkach. Prawidłowy fingerprint klucza powinien być udostępniony na
stronie banku... tylko, z drugiej strony, jeżeli ktoś może przedstawić
Ci się jako bank, nie stanowi dla niego problemu podstawienie nieco
zmienionej strony (ze swoim fingerprintem). Problem prędzej czy
później sprowadza się do bezpiecznego przekazania klucza. Z
fingerprintem klucza SSL-owego jest o tyle łatwiej, że (teoretycznie)
powinieneś móc zapytać pracownika banku, albo bank mógłby go drukować
na ulotkach, reklamach itp... jak to u nas wygląda w praktyce -
wiadomo... :(

> trojany , sniffery . . .
> czy dobry antywiral , i bezwzględny brak dostępu osób trzecich
> są w stanie zabezpieczyc skutecznie komp
> No . . . prawie

Dobry antywir, dobry (i dobrze skonfigurowany) firewall, dobra
przeglądarka i klient maila (czytaj: jak chcesz mieć bezpiecznie,
zapomnij o Explorerze i Outlooku). Plus, w ramach dodatkowej paranoi,
szyfrowanie we własnym zakresie co wrażliwszych plików. A najlepiej
to nie korzystać z windowsów, tylko postawić (dobrze skonfigurowanego)
Linuksa/BSD/dowolnego innego Uniksa.

Pozdrawiam,
--japhy

--
__ Maciek Pasternacki <m...@j...fnord.org> [ http://japhy.fnord.org/ ]
`| _ |_\ / { ...so I talked about conscience, and I talked about pain,
,|{-}|}| }\/ and he looked out of window, and it started to rain, and
\/ |____/ I thought, maybe - I've already gone crazy... } ( Fish ) -><-