Vlákno názorů k článku Podepisujeme se elektronicky od Michal Ludvig - U vetsiny zminenych certifikacnich "autorit" narazi uzivatel na...

U vetsiny zminenych certifikacnich "autorit" narazi uzivatel na jeden zasadni problem - pro prijemce podepsane zpravy nemusi byt spolecnost, ktera certifikat vystavila duveryhodna. Proc bych mel verit nejake firme provozujici webhosting, ze skutecne bude vydavat certifikat jen tomu, kdo patricnym zpusobem prokaze, ze je to skutecne on? Co kdyz ho vyda kazdemu, kdo o to pozada a zaplati?

Od toho se odviji i druhy problem - pokud nekomu poslu mail podepsany certifikatem vydanym touto "autoritou", velmi pravdepodobne jeho Outlook/Mozilla/cokoliv bude rvat, ze podpis neni duveryhodny, protoze nemuze najit patricny korenovy certifikat teto autority. Velka cast prijemcu se zalekne, protoze sice nerozumi co to ten outlook chce, ale kdyz rika ze je to neduveryhodne, tak to radsi rovnou smaze.

Cili misto aby digitalni podpis zvysil duveryhodnost zpravy, tak v techto pripadech duveryhodnost znacne snizuje. Zejmena u nezasvecenych prijemcu, kterych je naprosta vetsina.

IMHO certifikaty techto spolecnosti jsou dobre tak maximalne pro komunikaci mezi nimi a zakaznikem.

Jedina vyjimka jsou kvalifikovane certifikaty I.CA, u nichz jsou pozadavky na vystaveni dane zakonem. Nevsiml jsem si, ze by v clanku bylo zmineno, ze toto jsou jedine certifikaty, ktere je mozne pouzit pro elektronicky podpis uznavany statni spravou. Kdyz si poridite kterykoliv jiny, je vam to k nicemu a nedoufejte, ze jim budete moci podepsat treba tolikrat omilane danove priznani. Statni sprava stejne jako kdokoliv jiny nema duvod verit hned tak nekomu, ze vystavuje "pravdive" certifikaty.

Nicmene ani kvalifikovany certifikat I.CA nijak vyrazne "nezduveryhodni" podepsany mail v ocich prumerneho uzivatele, jehoz outlook zacne prskat, ze nezna tuhle certifikacni autoritu. Ze nas stat povazuje nejakou spolecnost za dveryhodnou jeste neznamena, ze ji musi verit i strycek Sam z Ameriky.

Pokud tedy chcete bezpecne komunikovat s lidmi ze sveta (nebo treba provozovat zabezpeceny webovy server), aniz by si jejich programy stezovaly, ze podpis neuznavaji, nezbyde vam, nez si poridit komercni certifikat od nektere "velke" a "uznavane" certifikacni autority: Verisign, Thawte, RSA, ... jejichz korenove ceritfikaty jsou nainstalovane v prohlizecich a mailovacich programech jiz "od vyrobce".

Pro vyzkouseni si muzete poridit treba osobni certifikat od Thawte - nejen ze je na rozdil od osobnich certifikatu uvedenych ve clanku zdarma, ale navic bude automaticky uznan beznymi mailovacimi programy, takze takto podepsany dopis skutecne muze mit vyssi duveryhodnost nez nepodepsany: http://www.thawte.com/html/COMMUNITY/personal/index.html

ach ano, vyjadril se odbornik. verisign je duveryhodny: http://www.cert.org/advisories/CA-2001-04.html ??? a obecne - verite vic lidem z velke spolecnosti na druhe strane zeme, ze dokazi overit vasi identitu lepe, nez nejaka domaci certifikacni autorita? to ze si vam outlook stezuje je chyba mechanismu certifikatu, nebo vyrobce outlooku? legracni. mozna priste zkuste chvilku premyslet, nez zacnete psat.

Dekuji za arogantni podnet k diskuzi ;-)

1) Jestli je Verisign podle CERTu duveryhodny nebo nikoliv neni pro 99% lidi az tak dulezite. Dulezite je, ze verisigni root-cert je v outlooku pritomen, zatimco root-cert Czechia.cz nikoliv. Jiste, kazdy se muze rozhodnout ktere CA bude verit a do maileru/browseru si nainstalovat jen vybrane korenove certifikaty techto autorit, ale kolik lidi to tak skutecne dela? Takze pro naprostou vetsinu uzivatelu jsou duveryhodne ty podpisy, ktere outlook bez kecu overi a neduveryhodne ty, u kterych si stezuje. A jelikoz u czechia.cz certifikatu si stezuje a u verisigniho ne - ktery podpis je pro naprostou vetsinu prijemcu duveryhodnejsi? Aha?

2) Pouzivajic Mozillu jsem na vlastni oci stezovani outlooku nevidel, ale co jsem se o tom doslechl, tak se ani uzivatelum nedivim, ze zpravu radeji smazou. Nicmene bezhlave verit blbe podepsane zprave (=kdyz nemuzu podpis overit) taky neni to prave, takze se vyrobcum Outlooku zase tak moc divit nemuzeme. Chyba je opet v tom, ze nektere podpisy se chovaji jinak nez jine v zavislosti tom, jestli mam nebo nemam nainstalovan root-cert autority. Timto zpusobem "nekdo jiny" rozhodne, komu bude uzivatel duverovat.

V idealnim pripade by nemely byt nainstalovany zadne certifikaty a bylo by na uzivateli, komu explicitne vyjadri svou duveru jejich nainstalovanim. Bohuzel naprosta vetsina uzivatelu neceho takoveho neni schopna, takze zvoleny pristup je i se vsemi zapornymi dusledky prijatelnym resenim.

Takze asi tak, 'tyjardo' :-)

Ta reakce BFU u prisleho mailu je sice logicka, ale irrelevantni. Pokud si s nekym sifruji/podepisuji, predpokladam, ze obe strany vedi co delaji a proc to delaji a proto je takova blbost jako chybejici root-cert naprosto nerozhodi.

Nejprve jeden rýpanec: skutečnou konkurenční výhodou každé CA není cena certifikátu, ale právě její DůVĚRYHODNOST!

A nyní blíže ke vztahu důvěry k certifikátům dané CA a k systémům fungujícím na základě takové důvěry:
Úplně jinou důvěru lze mít k CA, která Vám nevydá certifikát, aniž by zkontrolovala Vaše osobní doklady. Ale to již bylo v diskusi vysvětleno (viz třídy certifikátů).

Ale to hlavní je:
Zapomeňte na VŠESTRANNĚ použitelné a uznávané certifikáty. Každý systém může používat certifikáty od CA, které (provozovatel) důvěřuje. A pokud Vy chcete využívat služeb tohoto systému, musíte se rozhodnout: buď dané CA důvěřujete, zaregistrujete si její root-cert do Svého OS a pak můžete v daném systému fungovat. Anebo tomu celému nedůvěřujete a pak prostě v daném systému nefungujete. Berte nebo nechte být.
Např. česká státní správa důvěřuje pouze kvalifikovaným CA. Pokud tedy chcete se státní správou komunikovat elektronicky, musíte takové CA důvěřovat taky (a nechat si od ní vydat certifikát a zaregistrovat si její root). Pokud to neuděláte, komunikujete přes papíry. Vaše volba.

PS: Souhlasím, že cena kvalifikovaných certifikátů je nesmyslně vysoká.