Użytkownik <r...@c...pl> napisał w wiadomości
news:7503.00000bc7.3e6973b0@newsgate.onet.pl...
> No jeśli prawnicy beda wypisywali takie dyrdymały jak w pierwszym
akapicie
> tego artykułu to rzeczywiście długa droga przed nami.
>
> Oto tenże akapit:
> Podpisu elektronicznego nie można wprost złamać ani sfałszować, ale można
go
> przejąć, jak każdą informację zapisaną na dyskietce, twardym dysku czy
chipie.
> Przejęty podpis elektroniczny może być wykorzystany do sygnowania dowolnej
> liczby dokumentów

To może jednak skomentuj, bo szczerze mówiąc nie rozumiem, dlaczego nie
traktujesz tego poważnie.

--
Pozdrawiam,
Washko

do góry

Kamil Jonca <k...@p...onet.pl> wrote in
news:slrnb6j5l6.hai.kjonca@kjonca.kjonca.bogus:

/ciach..../

> Dlaczego dyrdymay ?

Facet z Centrastu raczej wie, co pisze. Od kiedy to PODPIS mozna przejac i podpisywac

nim dokumenty ? Sa to dyrdymaly najnizszej proby.

W.

--
Remove >>>usun<<< and dot replying via e-mail.

do góry

Użytkownik "blad" <b...@W...pl> napisał w wiadomości
news:b49lub$2vu$1@atlantis.news.tpi.pl...
> Użytkownik "Vizvary II Istvan"
> > W tym ukladzie bezpieczniejsze powinne byc rozwiazanie oparte na
> > kryptografii asymetrycznej (BS,Fortis,BPH czy jak co),
>
> czy BS to u ciebie Bank Slaski zwany teraz ING
> jesli tak to mam r-ki we wszystkich i jednak Fortis najlepiej mi odpowiada

Ano ING. Wlasnie zlikwidowałem konto końcem lutego, ale zastrzeżeń co do
funkcjonalności nie miałem.

> dzis przeczytalem watpliwosci prawnikow nt e-podpisu w ustawie
> http://www.rp.pl/dodatki/pieniadze_030306/pieniadze_
a_7.html
> i mysle ze jednak bedzie wchodzil powoli i z oporami

Jeśli bedzie wchodzil powoli i z oporami to z dwoch przyczyn:
1. Zagłaskami dobrą metodę na śmierć próbując prawnie zrównać podpis cyfrowy
z podpisem elektronicznym (cyfrowym). Do dziś nie mielibyśmy stempla, gdyby
ktoś wówczas gdy wynaleziono, próbował zrównać co do skutków prawnych z
podpisem odrecznym. Bo to co innego, co ni znaczy nie jest pozyteczny.
drugiego zapomniałem w trakcie pisania pierwszego.
Vizvary

do góry

Użytkownik <r...@c...pl> napisał w wiadomości
news:7503.00000bc7.3e6973b0@newsgate.onet.pl...
> >
> > dzis przeczytalem watpliwosci prawnikow nt e-podpisu w ustawie
> > http://www.rp.pl/dodatki/pieniadze_030306/pieniadze_
a_7.html
> > i mysle ze jednak bedzie wchodzil powoli i z oporami
> > *** blad ***
> No jeśli prawnicy beda wypisywali takie dyrdymały jak w pierwszym
akapicie
> tego artykułu to rzeczywiście długa droga przed nami.

Prawnik wie że dzwonią, chociaż niekonecznie wie gdzie. Dokument podpisany
w sposób włąściwy można uważać za bezpieczny i niepodrabialny na poziomie
dziesiejszej wiedzy z czego nie wynika , że
1. nie można od kogoś wyłudzić podpisu
2. nie będzie mozna dokumentu w przyszłości podrobić.

Ja mam raczej wątpliwości co do słuszności ostatniego akapitu: mi się
wydaje, że własnie ograniczenie zastosowania konkretnego certyfikatu do
okreslonego tylko celu (na przykład do PITów) pozwoli rozwiać większość
wątpliwości i odblokować pewne bariery (przede wszystkim psychologiczne, w
moim odczuciu jak najbardziej uzasadnione) . Zagrożenie jest między innymi
funkcją celu. Nikt nie będzie czyhał na mój certyfikat, klucz czy podpis
służący do podpisania PITów. Jeśli może na nią kupić dom na raty - no to już
nie wiem. Wolałbym podpisać ten PIT odrecznie.

Vizvary

do góry

Użytkownik "Kamil Jonca" <k...@p...onet.pl> napisał w wiadomości
news:slrnb6j5l6.hai.kjonca@kjonca.kjonca.bogus...
> > Podpisu elektronicznego nie można wprost złamać ani sfałszować, ale
można go
> > przejąć, jak każdą informację zapisaną na dyskietce, twardym dysku czy
chipie.
> > Przejęty podpis elektroniczny może być wykorzystany do sygnowania
dowolnej
> > liczby dokumentów
> >
>
> Dlaczego dyrdymay ?


Dlatego że autor myli podpis (którego oczywiście NIE moża wykorzystać do
dowolnej liczby dokumentów) z narzędziami służącymi do składania podpisu.
Jeśli to jest skrót myslowy to to jest na granicy bezmyślności.


Vizvary

do góry

> Dnia  8 Mar 2003 05:38:09 +0100,
> osoba podpisana:
> r...@c...pl <r...@c...pl>
> napisała:
> >>
> >> dzis przeczytalem watpliwosci prawnikow nt e-podpisu w ustawie
> >> http://www.rp.pl/dodatki/pieniadze_030306/pieniadze_
a_7.html
> >> i mysle ze jednak bedzie wchodzil powoli i z oporami
> >> *** blad ***
> >   No jeśli prawnicy beda wypisywali takie dyrdymały jak w pierwszym
akapicie
> > tego artykułu to rzeczywiście długa droga przed nami.
> >
> >   Oto tenże akapit:
> > Podpisu elektronicznego nie można wprost złamać ani sfałszować, ale można
go
> > przejąć, jak każdą informację zapisaną na dyskietce, twardym dysku czy
chipie.
> > Przejęty podpis elektroniczny może być wykorzystany do sygnowania dowolnej
> > liczby dokumentów
> >
>
> Dlaczego dyrdymay ?
> KJ
Akapit ten sugeruje ,że autor nie wie wogóle na czym polega podpis. Podpisu
jako takiego przejąc nie można ponieważ jest on ściśle związany z tekstem
dokumentu, każdy dokument podpisany przez tę samą osobę ma inną postać binarną
podpisu. Przejąć można klucz prywatny służacy do wytworzenia podpisu . Z tego
właśnie powodu tzw kwalifikowany certyfikat, służący do składania
bezpiecznego) podpisu powinien byc zapisany na karcie z kryptoprocesorem. Klucz
na takiej karcie nie jest możliwy do skopiowania nawet przez właściciela
(właśnie z powodu bepieczeństwa). Bezpieczeństwo przy sygnowaniu dokumentu
bezpiecznym podpisem jest na pewno większe niż używanie kart kredytowych ,
które zresztą zapewne do 2005 będa używały podpisu przy każdej transakcji a
przynajmniej w internecie . UE wydała dyrektywę wycofujacą karty z paskiem
magnetycznym (realizacja chyba do 2004 roku)

Pozdrowienia
radon


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Użytkownik <r...@c...pl> napisał w wiadomości
news:7503.0000108f.3e6bf0f7@newsgate.onet.pl...

> Akapit ten sugeruje ,że autor nie wie wogóle na czym polega podpis.
Podpisu
> jako takiego przejąc nie można ponieważ jest on ściśle związany z tekstem
> dokumentu, każdy dokument podpisany przez tę samą osobę ma inną postać
binarną
> podpisu. Przejąć można klucz prywatny służacy do wytworzenia podpisu . Z
tego
> właśnie powodu tzw kwalifikowany certyfikat, służący do składania
> bezpiecznego) podpisu powinien byc zapisany na karcie z kryptoprocesorem.
Klucz
> na takiej karcie nie jest możliwy do skopiowania nawet przez właściciela
> (właśnie z powodu bepieczeństwa). Bezpieczeństwo przy sygnowaniu dokumentu
> bezpiecznym podpisem jest na pewno większe niż używanie kart kredytowych ,
> które zresztą zapewne do 2005 będa używały podpisu przy każdej transakcji
a
> przynajmniej w internecie . UE wydała dyrektywę wycofujacą karty z paskiem
> magnetycznym (realizacja chyba do 2004 roku)

Bezpieczenstwo kluczy wcale nie rozwiązuje wszystko. Weż i przymocuj grubym
łańcuchem klucze do drzwi : klucze beda bezpieczne.Nawet właściciel nie może
ze sobą wziąć do pracy. Drzwi niekoniecznie.
Przynajmniej dwie sprawy (korzystanie z kluczy bez wiedzy właściciela i
wiarygodna wizualizacja ) bynajmniej nie są rozwiązane.
Do tego dochodzi wyłudzenie certyfikatu na czyjeś nazwisko (kradzież
tożsamości) w urzędzie certyfikacji.
A Autorowi chodziło prawdopodbnie o kradzież kluczy razem z kartą, czego też
nie mozna wykluczyc.


Vizvay Istvan
v...@p...com.pl

do góry

> Bezpieczenstwo kluczy wcale nie rozwiązuje wszystko. Weż i przymocuj grubym
> łańcuchem klucze do drzwi : klucze beda bezpieczne.Nawet właściciel nie może
> ze sobą wziąć do pracy.  Drzwi niekoniecznie.
> Przynajmniej dwie sprawy (korzystanie z kluczy bez wiedzy właściciela i
> wiarygodna wizualizacja ) bynajmniej nie są rozwiązane.
> Do tego dochodzi wyłudzenie certyfikatu na czyjeś nazwisko (kradzież
> tożsamości) w urzędzie certyfikacji.
> A Autorowi chodziło prawdopodbnie o kradzież kluczy razem z kartą, czego też
> nie mozna wykluczyc.
>
>
> Vizvay Istvan
> v...@p...com.pl
>
>
Autor odpisał mi i twierdzi, że chodziło mu o przejęcie podpisu a nie
dokumentu podpisanego. Naprawdę zapewne chodziło mu o przejęcie klucza czyli
korzystanie z klucza bez wiedzy właściciela. No cóż kłaniają się np
zabezpieczenia biometryczne karty i coś silniejszego niż 4 cyfrowy PIN ( to
lepsze niż w kartach kredytowych).
Co do wizualizacji - chodzi zapewne o to , aby byc pewnym, że podpisuje sie to
co się widzi . Przy prawidłowym algorytmie weryfikacji podpisanego dokumentu
właściciel też może go weryfikować . Muszę się skonsultować, aby powiedzieć coś
więcej.
Autor opowiada się za różnymi poziomami certyfikatu tylko, że to jest
wprowadzone. Ja sie tylko boję, że certyfikat gorszy może być byle jaki i łatwy
do kompromitacji co uderzy w cały system PKI. Kradzież tożsamości to podstawowa
kwestia , trzeba sie przekonać jak z tym będzie, chyba mogą pomóc doświadczenia
bankowców .

Pozdrowienia
Radon

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Użytkownik <r...@c...pl> napisał w wiadomości
news:66ce.00000762.3e6e4608@newsgate.onet.pl...
> Autor odpisał mi i twierdzi, że chodziło mu o przejęcie podpisu a nie
> dokumentu podpisanego. Naprawdę zapewne chodziło mu o przejęcie klucza
czyli
> korzystanie z klucza bez wiedzy właściciela. No cóż kłaniają się np
> zabezpieczenia biometryczne karty i coś silniejszego niż 4 cyfrowy PIN (
to
> lepsze niż w kartach kredytowych).

Kłania się nie tylko zabezpieczenie karty.
Tak na prawdę o co chodziło autorowi jest mało istotne. Jego obawy są
ogólne, nie bardzo jest w stanie ich wyrazić, bo nie zna dokładnie
technologii.
Mógł coś przeczytać na temat ataku urodzinowego na algorytm skrótu (lub co
innego) i rzeczywiście mówić o "przjęciu podpisu" - tzn. skopiowanie jednego
podpisu do innego dokumentu, specjalnie spreparowanego i pasującego do
danego podpisu. Mógł też coś czytać na temat jakości kluczy lub mozliwości
łamania algorytmu RSA.
Popełnia błąd w tym, że koncentruje się na już gotowym dokumencie, (który
przy zachowaniu pewnych standardów można uznać za bezpieczne, oczywiście
przez jakiś czas) lub na kradzieży kluczy, który z kolei w przypadku kart
mogą się czuć w miarę bezpiecznie.
Nie zwraca uwagi na bezpieczne wykonanie podpisu, a tu jest według mnie
właściwe zagrożenie.

> Co do wizualizacji - chodzi zapewne o to , aby byc pewnym, że podpisuje
sie to
> co się widzi . Przy prawidłowym algorytmie weryfikacji podpisanego
dokumentu
> właściciel też może go weryfikować . Muszę się skonsultować, aby
powiedzieć coś
> więcej.
Podstawowa kwestia to oddzielenie podpisu od wysłania dokumentu. i możliwość
archiwizowania dokumentów po stronie klienta.
Druga - to podpisywanie już wstepnie podpisanych przez bank dokumentów.
Trzecia to posługiwanie się po stronie klienta oprogramowanie dostarczanym
nie przez bank, lecz przez niezaleznych (od banku) dostawców oprogramowania
(posługiwanie się przez bank standardowymi dokumentami). Przynajmniej
powinno być to umozliwione.
Dalej mozna wmieszać w to bezpieczeństwo samego stanowiska do podpisywania
dokumentów i ciągnąć w nieskończoność.
A wątpliwości właściciela firmy-nieinformatyka i tak pozostaną.

> Autor opowiada się za różnymi poziomami certyfikatu tylko, że to jest
> wprowadzone. Ja sie tylko boję, że certyfikat gorszy może być byle jaki i
łatwy
> do kompromitacji co uderzy w cały system PKI. Kradzież tożsamości to
podstawowa
> kwestia , trzeba sie przekonać jak z tym będzie, chyba mogą pomóc
doświadczenia
> bankowców .

Niekoniecznie inny poziom i niekoniecznie gorszy.
Wezmy dla przykładu PITy.
1. Jesli certyfikat do kluczy służących do podpisania PITów wyrażnie mówi,
że np. służą do autoryzacji korespondencji z organami MF lub z
administracją państwową to ja wchodzę.
2. Jesli można przy okazji zawrzeć umowę z jakimś bankiem i zaciągnąć kredyt
w moim imieniu to ja się wypisuje.
Jesli zakładamy, że zagrożenie jest funkcją celu ( a możemy to założyć
spokojnie) to ograniczenie dopuszczalnych celów zawsze zmniejsza zagrożenie.
I w rzeczywistości, i w w psychyce klientów. Szczegóbnie wobec ich
wątpliwości co do bezpieczeństwa technologii.

> Pozdrowienia
> Radon

Vizvary Isvtan
v...@p...com.pl

do góry

WOJSAL <w...@g...pl> napisał(a):

>
> Użytkownik "Bartol Partol" <b...@p...c> napisał w wiadomości
> news:b47rd4$k3e$1@atlantis.news.tpi.pl...
> > Użytkownik WOJSAL napisał:
> > >
> > > Ja mowie o transakcjach internetowych, telefonicznych.
> > > I to jest realne.
> >
> > No to podaj wreszcie jakis konkretny przyklad. Jak cos takiego mialoby
> > dzialac. Dokladnie i po kolei.
> >
>
> Wariant 1
> 1. Kupujesz cos w sklepie, wybierasz towary
> 2. Przychodzi do placenia
> 3. Podajesz numer karty plus jednorazowy kod uwierzytelniajacy
> transakcje.
> Kod masz z jakiegos tokena (raczej nie zdrapka) czy czegos tam
> 4. Sklep ma numer karty+jednorazowy kod+IP+czas +wartosc kwoty
> (kwota powinna byc zaszyta w kodzie uwiezrytelniajacym)
> Zwraca sie do banku by przelal kwote transakcji z Twojego
> konta na swoje
>

Tak mniej więcej działa eKarta mBanku.
1. Wybierasz towar w sklepie (niestety tylko wirtualnym)
2. Pojawia się formatka z pytaniem o numer karty i datę jej ważności
3. W 2 oknie logujesz się do mBanku i ładujesz na eKartę kwotę którą
ma cię obciążyć sklep. Transakcję potwierdzasz hasłem jednorazowym.
4. Wracasz do sklepu i podajesz numer i datę ważności Twojej karty.
5. Sklep dokonuje autoryzacji i blokuje odpowiednią kwotę.
6. Jeśli zostały jakieś środki na Karcie rozładowujesz ją do zera.

Proste i skuteczne

GAP

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry