Vlákno názorů k článku Podepisujeme se elektronicky od MarBen - Po pečlivém zvážení současné situace a praktické možnosti...

Po pečlivém zvážení současné situace a praktické možnosti využití elektronického podpisu jsem se rozhodl prozatím používat freewarový produkt PGP pro osobní použití verze 8.
Zdá se mi situace kolem el. podpisu v ČR poměrně chaotická a nepříliš přehledná, o informovanosti občanů nemluvě.
Tak přemýšlím - copak asi teď dělá "Truhlář" na jednom nejmenovaném ministerstvu ... a možná že je to tak lepší - kdo nic nedělá, nic ...

Vážený pane inženýre,

děkujeme Vám za informace z praktického používání elektronického podpisu a předávání žádosti cestou elektronické podatelny Magistrátu města Kladna. V současné době registrujeme řadu stížností, že orgány veřejné moci odmítají přijímat elektronicky podepsané dokumenty. Z hlediska kompetencí však Ministerstvo informatiky nemá oprávnění toto řešit jako stížnosti, jedná se o výhradní kompetence příslušných ministerstev.

Ke zlepšení stavu odbor elektronického podpisu Ministerstva informatiky provedl dílčí průzkum možností elektronického doručování dokumentů státním orgánům a na základě výsledků zpracoval "Doporučení Ministerstva informatiky ČR k používání elektronického podpisu", které by orgány veřejné moci měly využít k nastolení požadovaného stavu. Rovněž se připravují nové právní předpisy včetně "Vyhlášky k upřesnění požadavků na elektronické podatelny orgánu veřejné moci".

S pozdravem Ing. Václav Vaněček
odbor elektronického podpisu



BTW jako občana platícího daně mne napadá, že ministerstvo bez kompetencí je naprosto k hov** a mělo by být zrušeno.

A sme u toho zase, atrapa jmenem PGP. Tedy aby bylo jasno PGP je jednak sifrovaci infrastruktura a druhak softwarovy produkt, ktery tuto infrastrukturu podporuje, krom toho ale take podporuje X.509 PKI infrastrukturu (o ktere byla rec v clanku).

Takze pouzivate PGP produkt pro PGP infrastrukturu nebo pro X.509 infrastrukturu? Mohu-li se zeptat, proc tak cinite? V obou pripadech mi to prijde silne neprakticke?

1. pripad - PGP infrastruktura je hezka hracka pro demonstraci asymetricke kryptografie, protoze pouziva obdobny system asymetrickeho sifrovani jako X.509, avsak zcela postrada prvek certifikacnich autorit, coz je pri "hrani si" vyhoda, nicmene certifikat vyznamne svetove certifikacni autority pro system X.509 lze ziskat zdarma a snadno, takze bych to nevidel jako dulezity argument pro pouziti PGP i pro demonstracni ucely. Diku absenci prvku CA v PGP systemu mohu bezpecne komunikovat pouze s clovekem, se kterym se nejprve sejdu (treba v hospode) a vymenime si diskety se svymi verejnymi klici. Pokud se vas protejsek takto sesel jeste s dalsimi lidmi, za vsechny lidi se "zarucil" a vsichni mu veri, ze by se nezarucil za nikoho kdo neni tim kym se zda byt, pak muzete komunikovat bezpecne i s nimi, ten protejsek zde vystupuje do urcite miry v roli takove jako pidicertifikacni autority. Nicmene tady asi tak moznosti konci.

2. Pouzivate X.509 a tedy mate PGP jen jako jednu vybranou z mnoha existujicich implementaci X.509, pak mi ovsem prijde lepsi pouzivat program, ktery X.509 implementuje nativne a to je dnes vetsina vyznamnych mailovacich softwaru, nez roubovat PGP na mail klienta, ktery sifrovani neumi. Jedine snad nejake specialni duvody, ktere by vas nutily pouzivat nejaky konkretni mailovy program.

Možná jsem se nepřesně vyjádřil - sw PGP nepoužívám jako náhradu CA. Prostě systém CA je pro mě velmi málo v praxi využitelný a pro účel zašifrování či podepsání mi bohatě PGP postačuje. Například NIC PGP uznává. Samozřejmě, že je to o tom, že podepsáním prakticky identifikuji svou emailovou schránku a ne sebe jako osobu. Ověření osoby při vzájemné komunikaci je pak nutno provést vzájemně bez prostředníka (CA). Je to prostě jen o dohodě.

A jak NIC pozna, ze ten verejny klic je opravdu vas? Popravde PGP do detailu moc neznam, protoze nez sem do nej stacil proniknout objevil jsem X.509 a tim padem pro me PGP ztratilo smysl. Ja si PGP verejny klic predstavuji v principu jako selfsigned certifikat a tam si muzu vyplnit cokoliv.

No, popravde me osobne tim nepozna, ale opet jen mou autorizovanou emailovou adresu. NIC pro mensi zmeny nabizi zabezpeceni heslem, PGP ci kodem zaslanym na registrovanou emailovou schranku. Napriklad pro zmenu vlastnika domeny je jiz potreba uredne potvrzeny dopis - zde by mel mit sve misto system CA - treba v budoucnu :-)
Jak jsem jiz psal, PGP neslouzi jako nahrada systemu CA, pro jiste ucely je vsak zcela postacujici. Pokud budu pomoci PGP chtit komunikovat se znamym, s nimz se osobne stykam ci alespon telefonicky, neni problem si navzajem predat vygenerovane verejne klice a zkontrolovat, napr. pres telefon, "otisky". Pak jiz mohu v podstate bezpecne s timto znamym komunikovat vcetne moznosti sifrovani. Odpada tak prostrednik (CA). To same lze samozrejme treba uvnitr firmy ci podobne. Pro firemni ucely vsak jiz odpada vyhoda freewarove verze PGP.
Prestoze a mozna prave proto, ze nejsem v tomto oboru odbornik, me tak trochu moznost el. podpisu i trosku desi - stejne jako vidina, ze bude vse propojeno (viz. film Sit) :-)