Chci videt tu komedii jak overujes milion papirovych dokumentu. A pokud tu nezmenenost potrebujes overovat casteji, doporucuji po uspesnem overeni podepsat specialnim novym certifikatem a priste pak overovat jenom ten novy certifikat (opet vec, kterou na papire udelat nemuzes).
Prave v tom, ze mas v ruce ten papir. Pri el. podpisu to vetsinou nemas v jine nez datove forme.
Potizi s historii u certifikatu jsou kyble. Ono totiz napriklad pak overit "pravost" (nezmenenost) dokumentu v archivu znamena overit celou radu certifikatu az ke korenovemu. Pri nekolika milionech dokumentu uz to muze byt docela legrace, tak se delaji ruzne finty jako stromova struktur vzhledem k id dokumentu atp. A to vubec nemluvim o moznosti chyby v datech.
(Pravdepodobnost, ze dojde k poruse disku ktera zpusobi, ze kryptograficky podepsany dluzni upis na $100 se zmeni na rovnez kryptograficky podepsany dluzni upis na $10000 je rovnez nenulova. Coz nic nemeni na tom ze pri pouziti neprolomenych sifer nikdo neuveri ze to jde udelat umyslne , o nahode nemluve. A to nemluvim o tornadu, vrakovisti aut a boeingu 747, protoze to uz by bylo uplne offtopic.)
Jo, to také zahrnovala má závorka. (Ačkoli pravděpodobnost chcípnutí RAIDu v němž se disky vyměňují je nenulová, a tedy je také nenulová pravděpodobnost současného chcípnutí dvou různých RAIDů, ale to jen pro úplnost, to sem nepatří.)
Razitko na papire vybledne. Digitalni podpis zkopirovany na dva ruzne RAIDy vydrzi tak dlouho, jak dlouho v tech RAIDech budou vymenovat disky.
Nemusi to byt jedna autorita, staci existence retezu. Autorita A podepise dokument certifikatem CA ktery vyprsi v roce 2015. Autorita B ti v roce 2014 podepise dokument s poznamkou, ze to udelala v roce 2009 certifikatem CB ktery vyprsi v roce 2020. Autorita C ti v roce 2019 ... atd. Takovy retez je stejne bezpecny jako ta neprerusena rada korenovych certifikatu.
(Tedy krom toho, že razítko lze asi tak tisíckrát snáze zfalšovat.)
V čem přesně je rozdíl mezi tím, jestli notář dá razítko na papír nebo vyneruje podpis svou CA?
v tom, ze kdyz budes prikladat podepsany dokument(treba jako dukaz u soudu), tak musi existovat certifikacni autorita a musi mit po celou dobu neprerusenou radu korenovych certifikatu, abys mohl overit nepozmenenost sveho dokumentu.
Je pravda, ze certifikaty maji casove omezenou platnost, ale kde vidis problem ?
v celym tomhle retezci je jeste jeden problem: omezena platnost certifikatu a to vcetne root certifikatu cetrifikacni autority
"Certifikat zmizi z trusted listu" ... no nevim co je trusted list, nicmene autorita muze vydat jiny certifikat rusici ten predchozi.
Pripadne pokud jde o aplikace, jeden uzivatel prohlasi ze veri Microsoftu a Adobe, druhy ze veri Debianu a Adobe, treti ze veri Ubuntu a konkretne flashi ...
Kdo bude hodnotit, co je a co neni trusted? - uzivatel. Samozrejme nikoliv primo - rekneme treba ze uzivatel prohlasi, ze veri
Thawte . Jiny uzivatel prohlasi, ze Thawte neveri, ale veri Verisignu. A pokud bude banka chtit aby to fungovalo oboum, bude mit certifikat podepsany od Thawte i od Verisignu.
Podpis je hlavně o verifikaci identity člověka s kterým komunikuješ
Odhlédnu-li od té ohavné floskule (rohlík, rohlík je o mouce!), pak bych namísto "hlavně" řekl výhradně :)
Teoreticky by mohlo stačit si pořídit platný a trusted certifikát a rozjel web který imituje frontend internetového bankovnictví banky X. Z hlediska browseru a autority se jedná o ok stránku a vesele zobrazí vedle url zámek a tak
ono to ma dve strany
Pochopil jsi spatne. Tyka se to pripadu, kdy pouzivas verzi operacniho systemu ktera by teoreticky mohla mit nainstalovan BitLocker (tedy Vista Enterprise nebo Vista Ultimate), tvuj pocitac je vybaven TPM a chces pouzit jiny nez microsofti zavadec. Mit skutecne nainstalovany BitLocker nebo klic v TPM neni zapotrebi.
Pochopil jsem to tak, že se to týká jen případu, kdy se používá microsoftí šifrování disku BitLocker, klíč je uložen v TPM, a chci použít jiný než microsoftí zavaděč.
