W piątek wchodzi w życie ustawa o podpisie elek...

[Gość: Aluś]

Podpis elektroniczny istnieje już od bardzo dawna. Nie rozumiem
tylko dlaczego ja muszę osobiście się udawać do jakiejś "firmy
certyfikujacej" aby go uzyskać. I do tego zapłacić jeszcze
mnóstwo kasy. PGP doskonale się sprawdził wszędzie a nasz rząd
jak na złość chce na siłę wdrażać rozwiązania oparte o zamkniętym
oprogramowaniu napisanym przez powiązane z kolesiami firmy...
Chore to państwo jest.

[Gość: zenek]

chory to ty jestes. na brak elementarnej wiedzy.
umiesz czytac ?

Bardzo śmieszne

[Gość: aluś]

Jeśli chcesz wiedzieć to na pewno wiem więcej o kluczach
elektronicznych niż ty. Pewnie nic ci nie mówią określenia RSA,
modulo czy algorytm Diffiego-Helmana. Po prostu mi się nie
podoba, że podpisy elektroniczne będą wydawane przez "uprawnione
organy". To jest chore ot co. Prawo zmierza do regulacji
najdrobniejszej nawet dziedziny życia a dodatkowo ktoś na tym
zarabia dużą kasę. (Gwarantuję ci że to nie jest wolny rynek..)

[Gość: P.Podpis]

Kolego Aluś
Dokument europejski ETSI 101 456 wymaga, aby tożsamość
przyszłego własciciela kwalifikowanego certyfikatu została
sprawdzona przez wydawcę. Sprawdzenie to musi jednoznacznie
potwierdzić dane osobowe, czyli "za pierwszym razem" wymaga się
osobistego stawiennictwa, natomiast później można "na
odległość" posługując się już posiadanym certyfikatem. Unia
Europejskia, a właściwie Europejski Komitet Normalizacyjny
(CEN) wypełniając odpowiednią delegację z Dyrektywy UE dot.
podpisu elektronicznego stworzył na jesieni ub. r. normę, która
powyższe wymaganie potwierdzenia tożsamości przyszłego
właciciela certyfikatu ("elektronicznego dowodu tozsamości" co
zapewne zrozumie każdy znawca PGP i DH) rozszerzyła również
na "zwykłe", czyli nie kwalifikowane certyfikaty.
Polska ustawa o podpisie elektronicznym jest bardziej
liberalna - "pierwsze" osobiste potwierdzenie tożsamości jest
wymagane tylko dla kwalifikowanych certyfikatów, "zwykłe" mogą
jak chcą. Jednak tylko kwalifikowane certyfikaty przekładają
się na "bezpieczny podpis elektroniczy" zrównany z podpisem
własnoręczym w polskim i unijnym znaczeniu.
Klasyczna PGP oparta jest na naiwnym założeniu, że
osoba "wprowadzająca" do sieci gwarantuje za tożsamość innej
osoby. Gdyby przyjąć takie założenie to kolego Aluś mógłbym
łatwo w Twoim imieniu składać podpisy, zrównane z podpisami
własnoręcznymi z wszystkimi tego konsekwencjami, i co byś
zrobił w sądzie? Jak byś udowodnił, że to nie Ty sprzedałeś
samochód lub .... sam dopisz.

Nie używajcie tego badziewia

[Gość: map]

Idea dobra, ale wykonanie skopane. Czyli normalność po polsku.
Dlaczego obywatel musi się udawać do firmy, aby ta wygenerowała
mu klucz prywatny ? Dlaczego obywatel nie może wygenerować sobie
obu kluczy sam, a do uwierzytelnienia zawieźć swój klucz
publiczny - np. na dyskietce ? Karta chipowa w tego typu
rozwiązaniach nie jest konieczna, ale trzeba będzie za nią
zapłacić. Po co ?
Kto jeszcze - oprócz firmy uwierzytelniającej, służb specjalnych,
ZUSu, urzędu skarbowego, wojewody, biskupa, policji, GUSu,
IPNu, banków, prokuratora, starosty powiatowego, SANEPIDu i
PROKOMu zyska dostęp do mojego klucza ptywatnego i co za tym
idzie będzie mógł podejmować zobowiązania w moim imieniu ?
Jak zabezpieczone będą te dane, jeśli już teraz płyta CD
z danymi PESEL kosztuje 50 tys. zł, a nie tak dawno można było
kupić dane klientów PZU za 2 mln dol. ?
Czy system przewiduje uznawanie niekomercyjnych certyfikatów ?
Coś blado to widzę...

[Gość: Donald]

Oczywiście że 'polskie' rozwiązanie podpisu elektronicznego to
wielka porażka!
1. Zarobi na tym rząd - przecież wpisanie firmy na listę
uprawnionych do wydawania kluczy nie będzie za darmo. Przy
okazji na tym samym zarobią też co niektórzy urzędnicy
ministerstw (-;
2. Na listę dostaną się te firmy, które będą wygodne i
spolegliwe, czyli nie będą utrudniać komu trzeba dostępu do
gromadzonych przez nie danych.
3. Właśnie dla tego co wyżej nie może być mowy o zdalnym
generowaniu sobie klucza. Na czymś takim nie zarobiłby ani rząd,
ani urzędnicy, ani nie skorzystaliby Ci, którym na tym zależy.
4. Karty z kluczem też przecież nie będą za darmo. Na ich
wykonywaniu też ktoś zarobi. I to nie tylko ich producent.
Przecież ktoś tego producenta będzie musiał wybrać spośród
sporej pewnie grupki chętnych (-;
I tak możnaby jeszcze trochę na ten temat napisać.
Ale jest też i dobra strona tego wszystkiego: pracuję otóż w
firmie teleinformatycznej i już się cieszymy na całe to
przedsięwzięcie! Właśnie obmyślamy usługę typu 'doradztwo i
pomoc', by i dla siebie wykroić kawałek tego torcika. Mniam,
mniam... (((-:

[Gość: m]

Ta... Dlaczego tak drogo???
1.Karta chipowa kosztuje pare PLN.
2.Do tego doliczmy koszty oprogramowania:
no, załóżmy 3 mln PLN, do tego 4 mln na łapówki
(przepraszam, 'marżę') dla urzedników ministerialnych i
polityków. W przetargach na oprogramowanie dla firm
państwowych 'marża' wynosi 30-50%, zakładam, że dla rządowych
jest wyższa, bo więcej rąk się wyciąga.
3.Załóżmy optymistycznie, wydane zostanie 50 tys certfikatów.
4.Na jeden wypadnie: 140 PLN + 10 PLN za karte.

Razem 150PLN.
To jest, oczywiście, żart?!
pozdrawiam

[Gość: Kasia]

a powiedzcie mi jak jest na Zachodzie z tym podpisem? płaci się
czy sie samodzielnie generuje?
wiecie co ja mam powoli dość tego kraju...

[Gość: Ekspert]

Kasiu (i Donaldzie)
Polska ustawa i rozporządzenia wykonawcze pozwalają na oba
podstawowe modele generowania kluczy prywatnych:
zcentralizowany (wydawca certyfikatów - CA - generuje
centralnie) oraz rozproszony (każdy z użytkowników tworzy sam).
W każdym przypadku generacja klucza wymaga losowej liczby
pierwszej, przynajmniej przy obecnych algorytmach podpisu. W
typowych aplikacjach losowość uzyskuje się z ruchów myszki,
czytania sektora dysku, kliknięć w klawiaturę, itp. Można
uzyskać w ten sposób max. kilkadziesiąt losowych bitów. Co
prawda są one później "rozdmuchiwane" przy pomocy generatorów
pseudolosowych do potrzebnych kilkuset, ale nie zmienia to już
podstawowej wady tego typu rozwiązań - entropia takiego klucza
jest NIEWYSTARCZAJĄCA. Zgodnie z rozporządzeniem wykonawczym
jeśli chcesz 500-bitową losową liczbę pierwszą to musisz całe
500 bitów wziąć z fizycznie (opartego o zjawisko fizyczne)
losowego generatora. Kosztuje to dobrze ponad tysiąc złotych i
nie warto kupować tylko dla jednego użytkownika - ekonomiczniej
jest użyć dla wielu, czyli model zsentralizowany, albo...
pośredni. A mianowicie można generację klucza z fizycznego
generatora robić w Punktach Rejestracji (taki "dział obsługi
klienta" w banku), które w imieniu CA będą obsługiwać
przyszłych właścieli certyfikatów. Przypominam, że w
certyfikacie następuje połączenie klucza publicznego (tego od
weryfikacji podpisu) z konkretną osobą - to właśnie za
certyfikat się płaci, jego generowanie i utrzymywanie
możliwości jego natychmiastowego (z opóźnieniem 1-godzinnym)
unieważnienia, a nie za samo generowanie klucza. W RA można to
zorganizować w ten sposób, że to użytkownik inicjuje proces
tworzenia swojego klucza prywatnego i fizycznie go posiada "od
samego początku".
Jak to jest na Zachodzie? Oba modele działają, ale z przewagą
zcentralizowanego i pośredniego. Pozwolenie na tworzenie klucza
w domu w oparciu o infantylne klikanie myszką to nieuniknione
spory z włascieielem certyfikatu - "ja tego nie podpisałem" i
ty (CA) jesteś za to winny. Przy czym wina CA byłaby pośrednia -
właśnie za dopuszczenie do tworzenia kluczy, które można
byłoby odgadnąć na podstawie małej ich entropii.
Zanim Kasiu wyemigrujesz do Niemiec to dowiedz się, że w
Niemczech nie uzyskasz kwalifikowanego certyfikatu zanim nie
przedstawisz w Punkcie Rejestracji dowodu, że posiadasz
bezpiecznego urządzenia do składania podpisu elektronicznego,
które również ma możliwość generacji kluczy, jeśli nie
korzystasz z modelu zsentralizowanego lub pośredniego - w
Polsce jest większy liberalizm.
Warto jeszcze dodać, że aktualnie karty elektroniczne posiadają
(wg reklamy dostawców) fizyczne generatory. Niestety żaden z
dostawców tych kart nie posiada jeszcze certyfikatu
potwierdzającego to. Więcej, w raportach z niezależnych badań
obecnych kart mikroprecesorowych podkreśla się, że właśnie
generator losowy jest do d.