Autor: Vizvary II Istvan (vizys_at_poczta.onet.pl)
Data: Tue 03 Apr 2001 - 00:11:07 MET DST
Uzytkownik "Krzysztof Halasa" <khc_at_intrepid.pm.waw.pl> napisal w wiadomosci
news:m3vgoncv8d.fsf_at_intrepid.pm.waw.pl...
> "Vizvary II Istvan" <vizys_at_poczta.onet.pl> writes:
> > Jakichs tam pracownikow. Dyskietke przechowuje sie w biurku (przeciez
jest
> > zabezpieczony "haslem") , co prawda nowe kompakty w postaci wizytowki
mozna
> > przechowac (chyba) w portfelu, ale mozliwosc skopiowania (zdalnie czy
majac
> > na chwile dostep) zawsze istnieje, a wlasciciel sie nawet nie orientuje
ze
> > juz nie jest jedynym posiadaczem swoich kluczy.
>
> Blad. Powinien to wiedziec.
Co powinien wiedziec ? Powinien wiedziec, ze inni moga byc w posiadaniu jego
kluczy ? Caly czas powinien postepowac tak, jakby inni rowniez byli w
posiadaniu moich kluczy ?
> > Gdybys nie slyszal o tym(?), to ci opowiem ze Sejm wlasnie ma zamiar
> > uchwalic prawo o podpisie cyfrowym. Czy uchwala czy nie i co uchwala, na
to
> > ani ja ani Ty wplywu nie mamy. Do czego mozna wykorzystac swoj lub
zdobyty
> > podpis tez nie od nas zalezy. I czy Ty ufasz czy tez nie, tez przestaje
miec
> > jakiekolwiek znaczenie.
>
> To Ci sie cos chyba pomylilo. Jak wyobrazasz sobie podpisanie (za kogos)
> czegos cyfrowo, jesli ten ktos w ogole nie wygenerowal i nie zdeponowal
> nigdzie swojego klucza publicznego?
Po prostu wyludzi sie certyfikat z urzedu certyfikacji na skradziony dowod.
Tak jak sie do tej pory zlodziejstwo poslugiwalo sie kradzionymi dowodami.
Tyle ze w przypadku podpisu odrecznego i dowodu osobistego rykowali za
kazdym razem.
Gdyby trzymac sie filozofii PGP, kazdy certyfikat nalezaloby jeszcze
uwiarygodnic w jakis sposob przez samego delikwenta. Zgodnie z zasadami PKI
urzedowi certyfikacji wierzy sie bez ograniczen. Dlatego zreszta prawie cala
ustawa "o podpisie" mowi o urzedach certyfikacji a nie o podpisie. Nie wiem
czy to dobrze, nie wiem tez jak bedzie wygladac praktyka.
> A moze myslisz ze jesli ten ktos jednak wygeneruje taki klucz i umiesci
> go w banku (klucz -> certyfikat - bedzie oczywiscie podpisany przez CA
> banku), to automatycznie notariusz bedzie mogl go uzywac do sprawdzania
> wiarygodnosci np. oswiadczen woli przy zbywaniu nieruchomosci?
Dyrektywa UE chyba mowi o sprawach rozwodowych i testamentach jako tych, co
do ktorych podpis odrezny ma byc stosowany w dalszym ciagu... Ja bym kilka
rzeczy jeszcze pododawal.
> > > W banku tez np. mozna otrzymac blankiety czekow ktore moga byc
> > > zrealizowane na okreslona maksymalna sume. Nawet jak ktos ukradnie
> > > czeki i sfalszuje podpisy, to suma jaka moze podjac z konta jest
> > > z gory ograniczona. Nikogo nie trzeba obdarzac nieograniczonym
zaufaniem.
> >
> > Sobie ograniczasz , ale ktos, kto posluguje sie twoim podpisem moze
> > zaciagnac kredyt w twoim imieniu. I Ty bedziesz splacac.
>
> Nonsens. Nie sobie ograniczam, bo ja moge miec rozne blankiety czekow
> na rozne maksymalne sumy.
Dobrze, ale jesli ktos posiada "twoj podpis", moze dokonac inne operacje niz
te twoje ograniczne do roznych kwot czeki. Na przyklad moze zaciagnac kredyt
w twoim imieniu w banku, ktorego nazwe po raz pierwszy poznasz, gdy zaczyna
Ciebie scigac za raty (i zapewnie karne odsetki - zdaje sie zaczynam sie
powtarzac)
Bank zreszta tak na prawde jest niezbyt dobrym przykladem, bo jako
instytucja prywatna moze w dalszym ciagu na przyklad przy zaciaganiu kredytu
domagac sie osobistej wizyty.
> A kredytu i tak nikt na mnie nie zaciagnie (pomijajac taka mozliwosc
> w przypadku karty kredytowej, ale te nie opieraja sie na kryptografii),
> bo nie zamierzam uzywac kluczy, ktorymi mozna podpisac dowolne
> oswiadczenie woli. Co nie oznacza oczywiscie ze akurat w moim przypadku
> - tj. osoby ktora rozumie plusy i minusy roznych rozwiazan w tej
> dziedzinie - ktos moglby uzyskac dostep do takiego klucza.
Zrozum! Podpis cyfrowy w takim ukladzie jak sie szykuje, nie ma byc
pomocnicza metoda autoryzacji po osobstej wizycie, ale w relacji
urzad-obywatel (czy w relacji bank-klient tez to zalezy od banku, mam
nadzieje) moze byc nawet jedyna i pelnoprawna (czy jak to powiedziec)
autoryzacja przeslanych dokumentow. Wiec nie od Ciebie zalezy do czego
mozna wykorzystac twoj skradziony (lub wyludzony) podpis. I nie ode mnie
zalezy do czego mozna wykorzystac moj podpis.
> Krzysztof Halasa
> Network Administrator
Vizvary
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:46:52 MET DST