Autor: Dariusz (dariusj_at_poczta.onet.pl)
Data: Thu 22 Mar 2001 - 16:25:17 MET
> No tak. Tyle ze przeciez nie od dzisiaj wiadomo ze to zabezpieczenie
> klucza prywatnego nie nadaje sie do powaznych rzeczy - oczywiscie,
> chroni w jakis sposob w przypadku np. kradziezy komputera czy dysku,
> ale nie ma wiekszego sensu w przypadku gdy ktos inny ma dostep
> np. do komputera czy konta (np. root).
Rozumiem, ze kolega mial co innego na mysli, a co innego napisal.
Zatem wlasnie dobrze ze Icz upowszechnil problem
glebokiego sensu zabezpieczania klucza prywatnego.
Bo to ze komputery pracuja w sieciach to juz wie kazde dziecko i taki
trend sie jedynie poglebia.
W sieci pracuja komputery uzywajace internetu przez 0202122, komputery
podlaczone do kablowek, w firmach, szkolach, bankach.
Dodatkowo kompy sa wspoluzywane przez osoby dorosle, dzieci, kolegow.
I wlasnie sens PGP i przyszlosc opiera sie na mozliwosci dalszego
skutecznego zabezpieczania klucza prywatnego.
Bo bez tego nalezy sie powstrzymac od uchwalania ustawy o podpisie
cyfrowym, bo nie bedziemy mieli narzedzia do skladania cyfrowego
podpisu.
A ustawodawca - sejm, nie moze brac odpowiedzialnosci za wadliwosc
procedury przechowywania kluczy prywatnych i dostepu do nich osob
trzecich.
A niestety stoi przed taka odpowiedzialnoscia, ze za szkody i
nieuprawnione uzycie podpisu cyfrowego, firmy, instytucje, osoby
prywatne, beda skarzyly ustawe do trybunalu konstytucyjnego i
mozliwe ze wygrywaly odszkodowania zasadzane w postepowaniach cywilnych.
Moze juz czas pomyslec, czy mozna sie obejsc bez PGP
i jak podpisywac cyfrowo bez PGP.
Nowe technologie sa juz znane i niestety jedynie monopol PGP nie
pozwolil im sie rozwinac i przejac udzialu w rynku.
Moze trzeba zapytac Zimmermana, PGP Company, Computer Associates i
innych, dokad mamy dalej pojsc.
Przechowywanie czegokolwiek na pececie czy w sieci, gdy produkty M$ same
deklaruja wylaczenie odpowiedzialnosci za szkody w maksymalnym zakresie
a jak juz to maksymalnie do 5-10$,
to trzeba uznac i przyznac sie, ze procedura szyfrowania jest tak
bezpieczna jak dostep do maszyny cryptograficznej, jaka jest ten pecet
wraz z programem.
A skoro dostep do peceta jest powszechny, to nalezy oczekiwac ze taki
pozostanie, i setki tysiecy pecetow z kluczami prywatnymi bedzie
stalo otwartych w instytucjach, szkolach, firmach, domach prywatnych,
kawiarenkach internetowych, bibliotekach.
I niestety nie istnieja procedury ochrony tych pecetow i zabezpieczenia
przed dostepem intruzow.
zatem PGP i podpis cyfrowy przez osoby fizyczne staje sie nieprzydatny.
Gdyz wiarygodnosc podpisanego cyfrowo dokumentu jest taka sama,
jak moje przekonanie, ze wiem kto teraz siedzi za klawiatura peceta
i sie zalogowal na koncie Jacek Placek
Po latach moich komentarzy nt. PGP, mam nadzieje ze coraz wiecej osob
zdaje sobie sprawe z nieprzydatnosci PGP do powszechnego uzytku.
Poza tym niepotrzebne sa klucze prywatne dla osob fizycznych.
Wystarczy ze zostana wygenerowane przez firmy, ktora maja srodki aby
trzymac pecety w szafie pancernej i w sali za pancernymi drzwiami,
zamykanej na noc szyfrem, jak sejf.
Klienci rownie dobrze moga szyfrowac korespondencje kluczem publicznym
firmy, a ta odczytywac je prywatnym.
A podpis cyfrowy i certyfikaty pozostana produktem dla bankow , urzedow
ale abstrakcyjnym dla osob fizycznych.
Kto mogl w ogole zakladac i przypuszczac, ze pecet jest bezpieczny jako
maszyna szyfrujaca ?
Kto mogl zakladac takie abstrakcje.
Pecet ktory mozna rozkrecic srubokretem na czesci.
Pecet ktorego pamiec RAM mozna zczytywac on-line i zapisywac, po
umieszczeniu dimow na przejsciowce jest najgorszym narzedziem
dla zapewniania jakiegokolwiek bezpieczenstwa.
A juz Pecet podlaczony do internetu jest calkiem be ;)
Gdy napisano dziesiatki dekompilatorow na rok 2000, ktore moga
dekompilowac kazdy program do asemblera to
jak jeszcze mozna mowic ze cos pecetowego jest bezpieczne.
Szansa sa chipy identyfikacyjne, wszczepiane pod skore, ustawowo
wprowadzone w Stanach i Kanadzie.
U nas na razie testowane na psach.
Zatem Icz poszedl w dobrym kierunku, gdyz pokazal co nas czeka po
uchwaleniu ustawy o podpisie cyfrowym.
Ustawa bedzie, tylko nie bedziemy mieli bezpiecznego narzedzia do
skladania tego podpisu.
dariusz
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:45:51 MET DST