Názory k článku
Nebojte se elektronického podpisu: Teorie

Často je používán systém PGP, ale my se zaměříme na použití elektronického podpisu v Thunderbirdu.

A to je jeden z problemu - masovemu rozsireni brani nejen neznalost uzivatelu, ale i nedostupnost jednotneho systemu ve vsech nejcasteji pouzivanych mailerech. Ve svem thunderbirdu mam gnupg, ale v soucasnosti mam moznost sifrovani/podpisu jenom s 2 dalsimi lidmi - nikdo dalsi ho nepouziva, nema verejne vystavene klice, jeho outlook to nema vestavene,...

Pokud by se udelala halasna reklama a snadne navody, jak to rozbehat v outlooku, evolution, thunderbirdu, aby to vsechno behalo krasne klikace / transparentne pro uzivatele, tak teprve tehdy ma vubec cenu se zamyslet nad nejakym pouzivanim. Dokud to bude "sranda" pro par guru, tak je cela akce s podpisama vesmes k nicemu.

Zminene osobni certifikaty od Thawte jsme nasadili ve firme plosne a problem nema nejen Thunderbird, ale ani Outlooky (pominu-li to, ze o kazdem podepsanem mailu tvrdi, ze ma prilohu :( ).

"Instalace" certifikatu je v podstate trivialni a samotne pouziti uz je doslova primitivni - klik -> podepsat/sifrovat -> odeslat (pripadne se nastavi podepisovani/sifrovani pro kazdy mail automaticky).

Problem s neznalosti mezi lidmi urcite je, ale chce to proste zacit vyzadovat - "chci ti poslat smlouvu, ale chci to zasifrovat. Coze, ty nesifrujes? Jsi normalni? Posilas smlouvy postou na korespondaku?" Casem se to snad poda...

Problem s neznalosti mezi lidmi urcite je, ale chce to proste zacit vyzadovat - "chci ti poslat smlouvu, ale chci to zasifrovat. Coze, ty nesifrujes? Jsi normalni? Posilas smlouvy postou na korespondaku?" Casem se to snad poda...

Take si myslim. primer s korespondakem je velmi prilehavy :) Navic dodavam, ze nam v tom pomuze mozna i to ze Česká Pošta, s.p. se chystá být veřejnou CA. A doslechl jsem se, ze to bude i za rozumny penizek... (ale Thawte to neni, to pripoustim. navic cim vice je CA nize v retezu tim klesa duveryhodnost, ze ano.) PJ.

Primer je to zajimavy, ale ma jednu vadu. Vetsina lidi s klidem posle smlouvu nesifrovanym faxem. A to proste jen proto, ze jejich smlouvy maji pro treti strany minimalni vyznam. A pokud pro nekoho nejaky vyznam maji, tak je zase velmi mala sance, ze si ten fax odposlechne (i kdyz technicky to mozne je). Sifrovani je dobre tam, kde hrozi odposlech. Ale chteli byste po lidech prilis moc, kdyby meli delat neco, co nepotrebuji. (Jsem priznivec elektronickeho podpisu, nejen kvuli ztrate soukromi pri mailovani, ale hlavne kvuli moznym podvrhum samotnych odesilatelu, predevsim pri komunikaci s urady.)

...(pominu-li to, ze o kazdem podepsanem mailu tvrdi, ze ma prilohu :( )...
--
Nejen, ze to tvrdi, ale on ji skutecne i ma :-).
Tou prilohou je prave elektronicky podpis... (nekam se ten "zasifrovany" hash a certifikat musi prilozit).

Mno, dodnes mam za to, ze v Outlooku neni treba jakekoli spojeni s podepisovanim.
Pokud to totiz (at uz firma ci jedinec) mysli s bezpecnosti vazne, tak v drtive vetsine vyradite outlook uplne, nebo snad ne?

PS: a jk jednoduseji by jste si to predstavoval?
Keywords: Enigmail gnupg thunderbird czilla ...
a to posledni jako prvni :-)

Petr Jakubec

Pokud to totiz (at uz firma ci jedinec) mysli s bezpecnosti vazne, tak v drtive vetsine vyradite outlook uplne, nebo snad ne?

Bohuzel to neni vzdy mozne - uzivatele vyzaduji groupware funkce, ktere zatim Mozilla/Thuderbird nabidnout nemuze :( - sdilene kalendare, kontakty a pod. (ano, lze nasdilet i Mozilla kalendare, ale kdyz s vama okolni svet komunikuje Outlooky, je to tezke... :( Treba to ale zmeni Thunderbird s Lightningem ohlaseny tusim na konec roku...

No když někdo používá obskurní nahrážky namísto vysoce robustní, standardizované, ověřené a široce podprované X.509 PKI, tak ať se nediví. X.509 PKI má většina služných mailerů dnes "out of the box" na rozdíl od toho pgpgp nebo jak se menuje

Shodou okolnosti jsem pred par dny posilal souhrn "PGP vs X.509 - jak to vidim ja" kamaradovi, jehoz namitka proti PGP byla, ze za X.509 certifikaty ruci CA, zatimco PGP klice si musi overovat sam. Tohle jsem mu odpovedel:

====
Typicky stejne sifrovane komunikujes jen s par lidma a tam neni problem
si klic overit.

Ja u S/MIME (X.509) vidim proti PGP tyhle nevyhody:
- je min rozsireny nez PGP a praticky jedine verejne pouzivane
certifikaty jsou od Thawte
- neni centralni registr certifikatu
- podpis je vzdycky jako attachment, takze kdyz posles zpravu do
konference ktera k ni prida paticku, podpis se ti zneplatni. PGP umi
in-line, coz se nekdy hodi.
- k podpisu je pribalen cely retez certifikatu, takze je vzdycky
ohromny.
- pokud rucne neproberes seznam duveryhodnych CA, tak ma podpis stejnou
vahu jako kdyby nebyl. Leda ze bys u kazdeho kontroloval ktera CA ho
vydala.

U PGP zase tyhle:
- Postovni klienti ho vetsinou nativne nepodporuji.
- Duveryhodnost klice si musis napoprve sam overit.

Nerikam, ze S/MIME je z principu spatnej, ale v soucasne podobe se mi
nezda obecne pouzitelnej. Mozna tak s kvalifikovanym certifikatem pro
komunikaci s uradama, ale to je rekneme "specializovana aplikace", a
nikoliv obecna verejna komunikace.
====

Nesměšovat S/MIME a X.509 PKI, X.509 PKI je Public Key Infrastructure, S/MIME jen sintaktická konvence jak X.509 požít v EMailech.

- míň rošířený a přitom ho podporuje více mail klientů - nějak si protiřečíte.

- jediné free certifikaty od thawte - to je spíš pozitivum, s X.509 si nemáže tak snadno každý jouda hrát na CA.

- cetrální registr by se hodil, ovšem nevím jak moc jsou registry PGP centrální a globální.

- jo to se občas může hodit, niméně podepisovat do konferencí mi přijde dost zbytečné. IMHO by příloha měla být preferovaný způsob, pro uživatele je to přehlednější, pokud mail klient nerozumí PGP podpisu, zobrazuje se takto matoucí smetí. To ale rovněž není otázka přímo PKI, ale jen syntaxe balení podpisů do mailů

- to je ale jediný způsob jak instantně ověřit validitu podpisu bez dohledávání veřejných klíčů, certifikát má pár kilo, což dneska vážně není problém.

- zkontrolovat si řetěz důvěry je nutné vždycky bez ohledu na použitý systém PKI.

Nicméně todle sou všecno takové ty drobnosti v palikování a moc nesouvisí s klíčovými vlastnostmi PKI

> Nesměšovat S/MIME a X.509 PKI, X.509 PKI je Public Key Infrastructure, S/MIME jen
> sintaktická konvence jak X.509 požít v EMailech.

Doufam, ze se nebudem tahat za slovicka. Jelikoz se zde bavime o mailech, tak je IMHO pomerne snesitelne oba terminy zamenovat, protoze treba vytky ohledne podpisu v priloze se tykaji S/MIME a nektere jine X.509, ale porad jde o podpis jednoho konkretniho mailu.

> míň rošířený a přitom ho podporuje více mail klientů - nějak si protiřečíte

Kdepak, neprotirecim. Podporuje ho sice vic klientu, ale pouziva (dle meho pozorovani) min lidi. Relativne casto se mi stane, ze dostanu mail podepsany PGP, ale mail podepsany X.509 certifikatem opravdu jen zridkakdy. A i kdyz, tak v polovine pripadu je certifikat podepsan bud sam sebou, nebo "certifikacni autoritou Franty Novaka", takze je to stejny jako kdyby tam nebyl vubec.

> jediné free certifikaty od thawte - to je spíš pozitivum

Placene certifikaty si lidi neporidi - proc taky platit desitky dolaru rocne, kdyz podepsane maily nikdo nevyzaduje? A free certifikaty od Thawte zase overuji jen jmeno a jaks taks e-mailovou adresu. To muze byt malo.

> nevím jak moc jsou registry PGP centrální a globální

> Registr PGP klicu je globalni a mirrorovany po celem svete. Presneji - kazdy si samozrejme muze zalozit registr svuj, ale prakticky se pouziva jen pgp.net.

> niméně podepisovat do konferencí mi přijde dost zbytečné

Verte tomu nebo ne, v nekterych konferencich je to zvykem. A navic - kdyz neco napisu, je slusne se podepsat, ne?

> Nicméně todle sou všecno takové ty drobnosti v palikování a moc nesouvisí s klíčovými
> vlastnostmi PKI

Klicove vlastnosti PKI jsou sice pekna vec, ale v praxi si musime vystacit s X.509 od par CA a S/MIME zpravami. A me vytky se tykaly prave teto kombinace. Co na tom, ze teoreticky by svet mohl byt idealni? Prakticky takovy proste neni. Navic jsem ve svem predchozim prispevku zduraznil, ze proti S/MIME+X.509 v principu nic nemam, ale v soucasnem stavu se mi proste zda hur pouzitelne nez PGP.

Jeste par poznamek:

* V diskuzi zaznelo, ze X.509 je standard, zatimco PGP/GPG je bastl. Na to lze odpovedet jen takto: RFC2440 (OpenPGP Message Format)

* Dovedu si predstavit pouziti X.509 ve "specialnich" aplikacich - stat, banka, atd, vytvori svou CA a bude uznavat jen ji vydane certifikaty. To se ostatne uz deje - viz. kvalifikovany certifikat nebo bankovni certifikaty. Ty samozrejme nebudou dobre k nicemu jinemu, ale mohou vyrazne usnadnit komunikaci v ramci definovane skupiny uzivatelu.
Nicmene pro verejne pouziti "kazdy s kazdym" to zatim podle meho nazoru neni.

- Jistě, oba termíny jsou zaměnitelné, asi jako hodinky a holinky. Bavíme se o systémech pro elektronické podepisování čehokoliv a o infrastrukturách asymetrické kryptografie obecně, o PGP a X.509 jako PKI, jaká syntaxe se používá zrovna u e-mailů je pro principy fungování obou systémů zcela podružné.

- to záleží na tom, kde se člověk pohybuje, je pochopitlné, že například Linuxoví fandové/fanatici mají poměrně blízko k anarchii a proto tak nějak z principu zvolí PGP a jeho implementaci gpg. Já pracuji pro přední českou banku. Tam polovina zaměstnanců má X.509 klíče na čipových kartách, to jsou tisíce lidí, akorát nemají potřebu machrovat podpisy v konferencích.

- Podepsat se lze i "normálně", tj. tak, že napíši své jméno, pro potřeby konferencí je to dostatečně důvěryhodné. Navíc když jsme u PGP, CA tam nejsou, v konferenci skoro nikdy neznám nikoho osobně a stěží bych našel společného známého, takže když pod mail napíšu Bugs Bunny a když pomocí PGP podepíšu jako Bugs Bunny, tak to co do důvěryhodnosti vyjde úplně nastejno.

- čili když postavíme drobné nepraktičnosti X.509 jako cena certifikátů a pouze jeden typ free certifikátů a "ukecanost" S/MIME proti zásadním nedostatkům ve výstavbě sytému důvěry v PGP díky absenci CA, tak Vám přijde lépe použitelné PGP? No proti gustu žádný dišputát.

- RFC2440 je jen maličký střípek do mozaiky dokumentů, které jsou nutné pro pokrytí PKI systému tak, aby mohl být považován za důvěryhodný. PGP má těch RFC pět, X.509 dvacet a RFC zdaleka nejsou všechno, jsou to jen standardy týkající se převážně Internetu.

- v rámci definované skupiny - jenže právě u těch kvalifikovaných certifikátů to jsou všichni občané ČR (patrně krom nezletilců) a každý s každým nemá problém, protože kvalifikovanému certifikátu prostě mohu věřit, kdežto u PGP mohu věřit maximálně "certifikátům" svých kámošů a v omezené míře jejich kámošů a tím to hasne, což jsou typicky tak desítky lidí. Čili pro aplikaci každý s každým právě jednoznačně vede X.509

Muj puvodni prispevek se tykal e-mailu a tim padem pouziti X.509 v S/MIME zpravach. Nic vic nic min, zadne podepisovani obecnych dokumentu, zadne prokazovani autenticity pri logovani do systemu nebo kdekoliv jinde, jen e-mail. Proto jsem si dovolil malou nepresnost se S/MIME a X.509. Je to myslim v tomto kontextu podobna "hrubka" jako rict, ze pouzivam Linux a ne GNU/Linux.

Samozrejme X.509 certifikaty take pouzivam - napr. pro autentizaci road-warriors u VPNek, pro autentizaci uzivatelu do webove aplikace pres SSL, atd. Ale to jsou prave ty specializovane aplikace pro definovanou skupinu lidi.

Vsichni obcane CR v souvislosti s kvalifikovanym certifikatem jiste jsou definovana skupina. Zkuste timto certifikatem neco podepsat a chtit pouzit v zahranici - myslim, ze vas poslou ... pryc ;-)

Ja myslim, ze obecny system podepisovani uznavany vsemi hned tak nevznikne. Kdyz dva lide chteji komunikovat sifrovane/podepsane, tak se nejdriv musi dohodnout na "parametrech" - pouzijeme PGP nebo X.509? Kdyz X.509, tak podepsane jakou CA? Nejakou nasi vlastni/firemni/statni, nebo nejakou komercni? Proste i kdyz existuje jeden "technologicky" standard, tak se bohuzel v praxi vyskytuje v mnoha variantach s ruznymi parametry a ty je pred zapocetim komunikace treba dojednat.

A praxe stoji 700 Kc na rok. Pro BFU. Pro nas je jasne, ze nepotrebujete hned kvalifikovany certifikat nebo dokonce ani osobni certifikat od Thawte, ale muzete si vystacit se svoji CA. Jenze k cemu to pak je mit x certifikatu? Akorat zmatek pro obycejne uzivatele. A to ani nemluvim o tom ze Verising vam podepise skoro co chcete. No mozna uz ne, ale je preci vice tech "duverychodnych" CA.

Píšete :
...To, jaký z klíčů (šifrovací, nebo dešifrovací) si necháme, záleží na povaze úkonu, který se s nimi chystáme provádět....

V tom případě Vás prosím o zaslání Vašeho soukromého klíče.
--
Teď vážně:
Asi jste chtěl napsat, že použití klíče veřejného nebo soukromého závisí na úkonu, který se provádí...

1) při podpisu se používá soukromý klíč podepisující se osoby
2) při šifrování se používá veřejný klíč příjemce (!)

V žádném případě se soukromý klíč nepředává ..

---

Nejedná se o chybu jen o jiný zápis téhož. Jde o to, který klíč se stává veřejným a který soukromým: V případě podpisu se veřejným klíčem stává klíč dešifrovací, kdežto v případě šifrování se jím stává klíč šifrovací. Ten klíč, který je označen jako soukromý se samozřejmě nepředává.

Myslim, ze jste to napsal nestastne, ne-li spatne. Kdybych o tom nic nevedel, tak v tom mam ted gulas.

"To, jaký z klíčů (šifrovací, nebo dešifrovací) si necháme, záleží na povaze úkonu, který se s nimi chystáme provádět."

Pri generovani klicu neni jeden sifrovaci a druhy desifrovaci. Obema lze jak sifrovat, tak i desifrovat.

"Jde o to, který klíč se stává veřejným a který soukromým:"

Proste se jeden klic oznaci za soukromy (a ten si uzivatel uchova) a druhy za verejny (ten nejakym zpusobem predava ostatnim).

"V případě podpisu se veřejným klíčem stává klíč dešifrovací, kdežto v případě šifrování se jím stává klíč šifrovací."

Me pripadne, ze odvolavate na sifrovaci a desifrovaci klic z pohledu podpisu. Bylo to asi dobre mineno , ale nelze napsat, ze v jednom pripade je toto verejny klic a v druhem to je jinak.

Proc to nenapsat nejak tak: Pri podepisovani emailu pouzijete svuj soukromy klic (zasifrovani otisku) a uzivatel overujici pravost podipisu tento overi vasim verejnym klicem (desifruje otisk).

Pri sifrovani dat sifrujete verejnym klicem uzivatele kteremu zpravu posilate a ten nasledne desifruje zpravu svym soukromym klicem.

Tot muj nazor.

bman

Myslim, ze pan vondruska presne vystihl popiranou "chybicku". Take mi tato "nelibozvucna" a nejasna formulace v clanku upoutala.

"Jde o to, který klíč se stává veřejným a který soukromým". Je IMHO dalsi nestastna formulace. Ktery z klicu je skoukromy a ktery verejny je jednoznacne dano. Zde jde o to, ze je pouzito komutativni sifry, pro kterou plati m = D(E(m)) = E(D(m)), tedy misto abychom zpravu sifrovali verejnym klicem, muzeme otevreny text nejprve "desifrovat" svym soukromym klicem. Naslednou aplikaci verejneho klice ziskavame puvodni zpravu.

Jde tedy prinejlepsim o to, ze role se obraceji - pri jednom pouziti smi kazdy sifrovat a pouze vlastnik klice desifrovat (kryptovani), o opacnem muze kazdy desifrovat (overovat) a pouze vlastnik vytvaret zasifrovane zpravy (podpisovat).

S pouzivanim elektronickeho podpisu vidim 2 problemy:
1. jeho ziskanie je bezneho obcan drahe (bavime sa ziskani podpisu pre komunikaciu s uradmi a podobne - pre pripad komunikacie s par priatelmi to je samozrejme hracka)
2. ked odoslem dokument elektronicky - a prijemca povie "ja som nic nedostal" - co potom? Aky mam doklad o tom, ze som ten dokument odoslal? A aky mam doklad o tom, ze som ho odoslal vcas?

Aby som nebol len za pesimistu: sucasna doba sa zvrhava a sukromia mame menej a menej. Pouzivanie sifrovania tomu moze pomoct. Vhodne by bolo tiez sirsie pouzivanie sifrovania tak aby jedna sifrovana sprava netrcala medzi milionom nesifrovanych ako bolavy palec.

Je to stejné, jako když řeknu, že vše budu podepisovat modrou propiskou číslo výrobní XXXYYYZZZ. Co se stane, když propisku ztratím či mi dojde náplň? Certifikát bude označen za neplatný. Za jak dlouho? Co když někdo stihne s nim něco udělat? Nebo něco zašifruji, platnost vyprší, co pak s takovým dokumentem za 10 let, kdy už budu žít např. na Bahamách anebo 10 stop pod drnem :-) A co teprve, až se celá CA stane nedůvěryhodnou?
Prostě na některé věci je papír, papír a nic než papír. OK, ještě to můžeme napsat na "kůži".
:o)

Je to stejné, jako když řeknu, že vše budu podepisovat modrou propiskou číslo výrobní XXXYYYZZZ. Co se stane, když propisku ztratím či mi dojde náplň? Certifikát bude označen za neplatný. Za jak dlouho? Co když někdo stihne s nim něco udělat?

Kdyz dojde k vyzrazeni certifikatu, tak vytvorim takzvany "revocation certificate" (cesky ekvivalent by mohl byt "odmitavaci certifikat") a ten nejakym zpusobem rozsirim (napriklad keyservery). Pokud dojde ke "ztrate" certifikatu (tj. k dispozici ho nema uz vubec nikdo), nic se nedeje.

Nebo něco zašifruji, platnost vyprší, co pak s takovým dokumentem za 10 let,

Evidentne jsi platnost certifikatu/klicu pro sifrovani dostatecne nepochopil, takze RTFM.

kdy už budu žít např. na Bahamách anebo 10 stop pod drnem :-) A co teprve, až se celá CA stane nedůvěryhodnou?

Jestlize uz mezitim doslo k privatnimu kontaktu mezi Tebou a Tvym komunikacnim partnerem, neni problem pouzivat stejny klic, ten totiz CA nemusi dostat do ruky. Overeni od CA je v podpisu de facto jenom dalsi ucastnik, ktery tvrdi "jo, je to fakt on".

Prostě na některé věci je papír, papír a nic než papír. OK, ještě to můžeme napsat na "kůži".

Na nektere veci je proste pouze osobni kontakt.

Evidentne jsi platnost certifikatu/klicu pro sifrovani dostatecne nepochopil, takze RTFM.

Tuto větu nemám rád, nenásleduje-li za ní link na ten FM! Já jen tvrdím, že některé dokumenty musí existovat "navěky" (smlouvy o koupi nemovitosti, ...). A to zatím ty el. podepsané nesplňuji. Další věc je, že ta nepopiratelnost není až tak jednoznačná.

Nahrada za onen FM. "Vyprseni PGP/GnuPG klice" nezamezi desifrovani dokumentu.

A jeste pro uplnost - zde odkaz, jak to resit, az si budete chtit zapracovat s el. podpisem z dlouhodobeho hlediska http://webapp.etsi.org/exchangefolder/ts_101733v010501p.pdf (je treba registrace emailu ;-) )

Vyzrazení certfikátu - máte patrně na mysli privátní klíč, certifikát (veřejný klíš s podpisem CA) je z principu veřejný.

když dojde k vyzrazení privátního klíče, provede se revokace certifikátu (zneplatnění), to se dělá tím, že kompromitaci ohlásím důvěryhisným způsobem CA a ta vystaví ID certifikátu na CRL - certifikate revocation list (seznam zneplatněných certifikátů), příjemce by si pak měl při ověřování platnosti podpisu ověřit i zda certifikát podepisujícího není zneplatněn (uveden v CRL).

Pokud se dostanu do kontaktu, není problém si navzájem vyměnit selfsigned certifikáty, každý však má i nadále svůj vlastní pár klíčů.

Důvěryhodná CA je tu právě od toho aby svým podpisům mohli věřit lidé, kteří se jinak nikdy nepotkali a o tom to je, situace, kdy si komunikující strany mohou pohodlně a bezpečně vyměnit potřebná data aby pak mohly bezpečně komunikovat je velmi řídká, navíc by musel prakticky každý s každým, prostě prakticky nepoužitelné

Problem je v tom, ze neexistenciu revokacneho certifikatu pre adresata by si si mal overit vzdy pred tym, nez mu sprav posles. A podobne by si si mal overit ci nedoslo k odvolaniu kluca pouziteho na podpis spravy, ktorej pravost overujes. V praxi to ale nikto nerobi.

Podstatné je, že tyto klíče jsou různé a není možno jeden od druhého odvodit

To neni pravda, naprikald PGP/GnuPG pouziva system, ve kterem se z privatniho klice da verejny vygenerovat zcela bezne.

Na abclinuxu vysel pomerne pekny clanek. Svym prispevkem jsem narazel na chybne tvrzeni v clanku zde na root.cz, je to tam ocitovane.

No, ono je to tak, že stát se rozhodl na funkci CA rezignovat a svěřit ji komerčním subjektům. Ale protože se dodnes nerozhoupal k tomu, aby se s ním dalo rozumně komunikovat elektronicky, tak to použití je poněkud omezené. No, a proto se do toho nikdo jiný nehrne. V důsledku je tu faktický monopol, tedy certifikáty jsou drahé. A proto si je kupuje málo lidí. Tudíž je malý tlak na stát, aby se s ním dalo rozumně komunikovat. Až se podaří dosáhnout toho, že se bude dát opravdu kvalitně komunikovat se státem elektronicky, bude zájem o certifikáty, potom se objeví další zájemci o akreditaci CA. Podívejte se do zákona, kolik ten proces stojí jenom na poplatcích...

to mi přijde hodně divné, ale nepoužívám a nejsem z hlavy schopen vysmahnout důkaz, že po popírá princip šifrování, takže netvrdím, že to je blbost. Každopádně se bavíme o dospělých systémech a ne o hračkách pro nadšence.

Fakt to tak je :-). V cem se ti PGP a/nebo GnuPG nezda? Konkretni bezpecnostni problemy?

Nejde o konkrétní bezpečnostní problém, je to mnohem horší, jde o problém v samotném návrhu systému, ten totiž postrádá koncept Certifikačních Autorit - naprosto klíčový prvek pro existenci důvěryhodnosti systému. PGP je dobré když si dva kámoši v hospodě vymění své veřejné klíče, nepotřebují k tomu asistenci CA, použitelné je to i pro partičku lidí či malou firmu, ale je to naprosto nepoužitelné ve větších firmách, mezifiremní komunikaci a veřejné sféře.

PGP/GnuPG jak ho znam a pouzivam funguje priblizne tak, ze kdyz osoba, ktere nejak dostatecne duveruji (coz muze klidne byt CA) podepise klic nejakeho cloveka, tak mam zaruceno, ze ten dany clovek je opravdu ten, za koho se vydava.

Tak? Tak si predstav, ze kazde policajne oddelenie kde sa vydavaju obcianske preukazy ma svoj PGP/GPG kluc. Podpisany PGP/GPG klucom ministerstva vnutra. Prides na oddelenie predlozis obciansky a povies: prosim, podpiste mi tento moj PGP/GPG kluc.
Jednoduche, prakticke, lacne.
Aku chybu ma v takomto systeme PGP/GPG? (okrem toho, ze sa na tom nejaka firma nenabali)

Ano, takovouto jako simulaci PGP dovoluje, MV by v tomto pripade vytupovalo jako root CA a jednotliva oddeleni jako podrizene CA. problem je v tom, ze CA je zdrojem veskere duvery a musi byt sakra dobre zabezpeceno, takze to nemuze byt PC sekretarky ze zjevnych duvodu. Nejde jen o kryptografickou bezpecnost, tam celkem o PGP nemam duvod pochybovat, pokud by byl zavazny problem, hned by se o tom organizace sledujici bezpecnostni diry v SW zminily a urcite by se to bjevilo i na tomto serveru, problem je ze kryptografie neni vse, musi to byt bezpecne i fyzicky a procesne, X.509 ma stohy bezpecnostnich dokumentaci obsahujici provadeci nalezitosti resici od pristupu lidi, pridelovani opravneni, certifikace HW a SW az po tloustky plechu a kvalitu a silu betonu. Navic je to vsechno standardizovano a akceptovano korporatni sferou a overeno v praxi. Nevim o tom, ze by takoveto komplexni zalezitosti byly vypracovany i pro PGP, PGP konecne bylo mysleno pro paranoiky a anarchisty nesnesoucí instituce, takže pokud je účel použití dotatečně banální, lze použít PGP v režimu, který popisujete, pokud to začíná být o něčem důležitém, kdy kompromitace té "CA" může někomu přinést významný prospěch čí způsobit vážné škody je nutné to udělat od podlahy a na je prostě stavěné X.509 na rodíl od PGP.

Nebo jinak :-) - v cem se Ti zda spatne, ze mam moznost ze sveho privatniho klice/certifikatu/blablabla vygenerovat novy verejny klic?

Je to jen pocit, když jsem asymetrické šifrování studoval, prostě to byla základní poučka a tak nějak mi přišlo, že to samo z použitého algoritmu vyplývalo. Už je to ale nějaký čas a mám to trochu zaprášené, takže teď z fleku nejsem schopen tvrdit a dokázat, že samotný fakt, že z privátního klíče lze odvodit klíč veřejný je problém. Na druhou stranu, když se nad tím člověk zamyslí, je to vlastně kravina, umět odvodit veřejný klíč od soukromého není k ničemu dobré.

Jinak jak mám chápat to "privatniho klice/certifikatu/blablabla"? Privátní klíč, veřejný klíč a certifikát jsou tři různé i když související věci a bez nalosti a pochopení těchto pojmů se můžeme težko o tomto tématu bavit.

u RSA to problem neni privatni klic jsou vlastne jen 2 prvocisla a verejny jejich soucin... ale uz je to taky nejakej cas co sem to studoval takze uplne jistej si tim nejsem

Privatni klíč není součin dvou velkých prvočísel, tím součinem je tzv. modul ze kterého se klíče odvozují ...
---
Zde je strucny popis ...
-------
Popis algoritmu RSA

Postup při vytváření dvojice veřejný a soukromý klíč pro RSA je následující:
a)nejprve náhodně (a nepredikovatelně ) vygenerujeme dvě dostatečně velká prvočísla (jejich přibližná velikost, tj. počet bitů, se zadává)

b) Vypočteme
N = p*q a
F(N) = (p-1)*(q-1)
(Poznámka 1: F(N) je Eulerova funkce určující počet přirozených čísel nesoudělných s N a menších než N).
Poznámka 2: V praxi lze číslo F(N) nahradit číslem L = NSN (p-1, q-1) tj. nejmenším společným násobkem čísel p-1 a q-1).

c) Zvolíme náhodné číslo e, kde
1 < e < F(N), tak, že NSD (e, F(N)) =1 (tj. e a F(N) jsou nesoudělná) .
Zde NSD značí největšího společného dělitele.

d) Užitím Eukleidova algoritmu vypočteme jednoznačně definované číslo d takové, že
1 < d < F(N) a
e*d = 1 mod F(N) .
( Pozn. Zápis A = B mod C, znamená, že A - B je dělitelné C beze zbytku. Nebo lze také číst tak, že A děleno C dává zbytek B)
Existence takového čísla d je dána Bautzovou větou.

Veřejným klíčem je potom dvojice (N,e), soukromým klíčem uživatele je dvojice (N,d).

Možné to samozřejmě je (vazba mezi soukromým a veřejným klíčem musí existovat), ale je to výpočetně složité :-).
-
Např. u RSA to závisí na tom, zda se vám podaří faktorizovat modul N. Pokud ano, pak odvodit z veřejného klíče klíč soukromý je již "hračka". Ta složitost je právě dána složitostí faktorizace modulu. Pokud např. je modul velikosti 512 bitů - pak to jde (byl již faktorizován i modul 663 bitů - http://crypto-world.info/news/index.php?prispevek=1415), ale při velikosti modulu 1024 - to "nejde" (přelož si, že nejsme schopni provést v reálném čase).

> PGP/GnuPG pouziva system, ve kterem se z privatniho klice da verejny vygenerovat zcela
> bezne.

Spis bych rekl, ze ve strukture, kterou gnupg nazyva "soukromym klicem" je ulozen i verejny klic. Takze se nejedna o "vygenerovani" verejneho klice ze soukromeho, ale o jeho "extrahovani" z patricneho souboru soukromych klicu.

No, ono je důležité hlavně to, že z veřejného se nedá vygenerovat tajný. Někde (DSA? Musel bych se podívat) je veřejný klíč dokonce součástí klíče tajného...

Přijde např. klient do banky.

1. Vymění si fyzicky veřejné klíče podepisovací a odvolávací.
2. Udělají si dva papírové exempláře smlouvy (třeba i notářsky ověřenou) která též obsahuje:
a/ SHA1 hash všech veřejných částí klíčů.
b/ Ujednání že každý podepsaný platný dokument musí být datovaný (náhrada časového razítka) a elektronicky podepsaný oběma stranami (jinak je neplatný).
3. Na šifrování se bude používat jiná sada klíčů.
4. Paranoický uživatel soukromého klíče si pořídí něco jako kalkulačku s USB ocáskem obsahující jeho soukromý klíč, do které zapíše sha1 hash podepisovaného dokumentu a po zadaní PIN na kalkulačce z ní vypadne podepsaný sha1 hash dokumentu.
5. Extrémně opatrný uživatel napálí klíče na CD (zlaté)- 3x. CD , ověřené smlouvy a hexdump klíčů na jehličkové tiskárně na hlinikovou folii a zaletuje do zinkové bedny a nikým nepozorován zakope na neznámem místě :-) .

Pokud se takto smluvní strany mohou fyzicky potkat myslíte si že je potřeba CA?
A nestojí to 700Kč ročně....
Má tohle bezpečnostní schéma chybu ?
Já, jako fyzická osoba, nepotřebuji komunikovat s desítkami subjektů.

Proc rovnou uzivatel A nezasifruje hash zpravy pro B nejprve svym soukromym klicem A a pak verejnym klicem uzivatele B. Potom pouze uzivatel B bude schopen svym soukromym klicem B a nasledne pak verejnym klicem A hash desifrovat a overit, jestli je zprava nepozmenena a jestli pochazi skutecne od A. Pak vlastne neni potreba zadne fyzicke setkani A a B, neni potreba ani CA.
Vyuzije se pri tom fakt, ze ve skutecnosti je jedno, ktery ze dvou vygenerovanych klicu je prohlasen za soukromy a ktery za verejny.
Je preci jedno, kterym klicem je zprava zasifrovana, vzdycky ji lze desifrovat tim druhym.

Je to pravda co říkáte - až na maličkost. Jak se uživatel A dostane k veřejnému klíči uživatele B důvěryhodnou cestou a obráceně uživatel B k veřejnému klíči uživatele A?
Z hlediska např. legislativních dopadů toto musí fungovat cestou, která umožní případné soudní dokazování. A k tomu nestačí jen jakási výměna veřejných klíčů na dobré slovo.
Podepisující strana nesmí mít možnost popřít svůj podpis (nepopiratelnost), musí být bezpečně identifikována (autentizace).
S tímto cílem fungují registrační autority, které právě provádí takovou vazbu veřejného klíče (digitálního certifikátu) a totožnosti uživatele, kterou je potom následně možné bezpečně ověřit.

Certifikační autorita je nahražena jednorázovým fyzickým setkaním strany A a B , kde si vymění podepisovací klíče a ve smlouvě (papírové a podepsané smluvními stranami) je uveden hash veřejných částí klíčů. Jestli smluvním stranám nevadí, že jejich dokumenty může někdo jiný číst, nemusí je šifrovat. Podepsaný dokument může, ale nemusí být šifrovaný.

Sice ANO, ale ma to nevyhodu, ze se musi pred zahajenim komunikace setkat a podepsat prislusnou smlouvu.
-
Pokud budete provozovat napr. ON-LINE obchod (nebo e-sazkovou kancelar), pak to bude pro zakaznika dost nerijemna "komplikace" (a pro Vas jako provozovatele take a navic to odradi uzivatele, zvlaste ty, kteri jiz maji Vami akceptovatelny certifikat - napr. kvalifikovany..) .
--
Vas navrzeny system odpovida predstavam pred vznikem systému CA a prislusnych zakonu , cca 1996 (USA).
--
Na druhou stranu uznavam, ze pro omezeny pocet situaci je to system mozny a pouzitelny.
--
Pripominka 1: Vyhody PKI a asymetricke kryptografie jste nevyuzil. Musite si predat klice jako u symetricke kryptografie :-).
----
Pripominka 2: Budete-li chtit takto komunikovat (kazdy s kazdym) s N partnery, pak pri CA bude potreba celkem N navstev na CA (kazdy ucastnik jedna navsteva). Ve vasem systemu (pokud se nesetkaji ucastnici na jednom miste v jednom čase) to bude N*(N-1)/2 smluv a N*(N-1) výměn ...

Psal jsem, že je to pro běžného občana, který nepotřebuje komunikovat s mnoha partnery zaručeně pověceně pomocí garantovaného veřejného deanonymizátora (CA) za peníze. Stačí jedna osobní návštěva banky, FO, SSZ, VZP.. (bohužel to ne všude funguje). Pro běžného občana ne-obchodníka je to levnější a jistější a do všech úřadů se alepoň jednou musí... . Věšina lidí nejsou obchodníci, tak proč jim předražovat a komplikovat život.
ad/ připomínka 1. Výhody asymetrické kryptografie (narozdíl od symetrické) jsem využil tím, že ztráta veřejné části mého klíče komunikujícím parnerem neohrozí důvěryhodnost v podepisovací schopnosti mého soukromného klíče.
ad/ připomínka 2. Já osobně nechci a nepotřebuji komunikovát s N partnery, pouze stát(úřady) a banka.

Vazeny pane Jardo, mate pravdu na pravnicke terminy jako je napr. "nepopiratelnost podpisu" jsem jako napotvoru nepomyslel :-)

Vazeny pane Jardo, mate pravdu na pravnicke terminy jako je napr. "nepopiratelnost podpisu" jsem jako napotvoru nepomyslel :-)

Vazeny pane Jardo, mate pravdu na pravnicke terminy jako je napr. "nepopiratelnost podpisu" jsem jako napotvoru nepomyslel :-)

Vazeny pane Jardo, mate pravdu na pravnicke terminy jako je napr. "nepopiratelnost podpisu" jsem jako napotvoru nepomyslel :-)

Vazeny pane Jardo, mate pravdu na pravnicke terminy jako je napr. "nepopiratelnost podpisu" jsem jako napotvoru nepomyslel :-)

Zrejme trochu mimo tema, ale presto otazka. Snizuje se bezpecnost pouziti RSA tim, ze pouziju verejny klic x-krat treba i na celkem predikovatelna data (struktura, delka apod.). Jedna se mi o situaci, kdy mam jeden par (privatni a verejny klic) a verejny klic pouzivam pro kryptovani vseho mozneho (stale tentyz). Jedna se o data, ktera nepotrebuji cist pravidelne, ale pouze v pripade nutnosti a libilo by se mi, mit pouze jeden privatni klic, kterym bych v pripade nutnosti data dekryptoval. Nesnizuje se tim bezpecnost, kdyz potencialni utocnik ziska vsechna data a vi, ze jsou kryptovana stejnym verejnym klicem? Pripadne dokonce tusi, jakou strukturu data priblizne maji?

Myslím si, že pokud by elektronické podpisy byly zdarma, tak by se zvýšilo množství jejich uživatelů. Jistě by bylo fajn, kdyby každý občan ČR (po předložení dokladu totožnosti) měl právo na 1 elektronický podpis zdarma (až do konce svého života).