Vlákno názorů k článku Podepisujeme se elektronicky od petr_p - Delka platnosti certifikatu je pro prakticke pouziti prilis...
-
petr_p (neregistrovaný)Delka platnosti certifikatu je pro prakticke pouziti prilis kratka (asi zamer certifikacnich autorit - podnikatelu). Horsi je, ze zakon o el. podpisu nestanovuje povinnost casoveho razitka. Takze neni mozne usoudit, kdy byl dokument el. podepsan, a tudiz po vyprseni doby platnosti certifikatu neni mozne el. podpis overit. Je mozne namitnout, ze datum bude obsazeno v dokumentu, jenze dokumentu rozumi clovek, ne stroj - pravost el. podpisu je zalezitost automatizovana.
K duveryhodnosti: Ono kdyby si ceske CA nehraly na hrdiny, tak by si nechaly sve korenove certifikaty podepsat u nejake zname zahranicni CA. Pak by defaultne nainstalovane postovni a jine klienty nevyvedla z miry nejaka ceska CA. Chapu, ze s delkou retezce CA duveryhodnost z pohledu cloveka klesa, ale z pohledu stroje je rozhodnuti nad slunce jasne. -
Jiří Kutálek (neregistrovaný)Upřesnění: po vypršení platnosti certifikátu lze ověřit validitu el.podpisu. Jinak ale máte pravdu s časovými razítky.
K podpisu root-cert CA: Certifikační autorita musí GARANTOVAT bezpečnost svého root-certifikátu a všech od něj podepsaných certifikátů. Pro zabezpečení jsou budovány dosti sofistikované a nákladné mechanismy.
Nadefinujme si Vámi popsanou situaci: česká CA - nazvěme ji např. CZCA - si nechá svůj root-certifikát vydat "u nejake zname zahranicni CA". (Vy píšete podepsat, ale to je myslím hloupost.)
Pokud by došlo ke kompromitování privátního klíče "zname zahranicni CA", byly by rázem kompromitovány i všechny certifikáty vydané od CZCA (včetně jejího rootu).
Jelikož CZCA nemá možnost ovlivnit bezpečnostní mechanismy "zname zahranicni CA", byla by blázen, kdyby šla do takového rizika.
ČLÁNKY DO MAILU