Vlákno názorů k článku Datové schránky (zatím) nemailují od Pan Smolík - Nic, jen shrábnou prachy. Je to zas jen...
-
Pan Smolík (neregistrovaný)
Nic, jen shrábnou prachy. Je to zas jen další tunel. Nechápu proč si nevystaví certifikát od Thawte za 6000,– nebo kolik nyní stojí, aby byl klid a pořád tu prosazují, tu pro celý svět nedůvěryhodnou, postsignum. A pak je to na uživateli že si nedošel osobně na poštu kde mu mají jako sdělit ten hash certifikátu, aby nebyl pochyb. Kde to jsme? Jenže co se dá čekat od takového okecálisty jako je Radek Smolík.
-
Expert může být jakej chce, ale v tom krátkým rozhovoru hnedka udělal jednu zásadní chybu:
Zavádíte si kořenový certifikát? Tak si ověřte hash podpisu podle web stránek CA. Jistě můžete zajít i na poštu, kde hash dostanete do ruky – „až takhle daleko jde zajít“ [nicméně, kdo by to dělal, že? – řekl mezi řádky] – WTF?!
Ke zdárnýmu útoku toho druhu, na kterej reaguje, je dobrý podvrhnout DNS server – takže hash z webu CA bude pochopitelně pravděpodobně taky podvrženej…
Na datových schránkách už mě fakt nic nepřekvapuje – ani takovýhle rady „bezpečnostních expertů“…
(pro rejpaly – jakou odpověď bych očekával:) 1. hash je uveden v dopise, který vám přišel poštou 2. vysvětlení, proč není podpis podepsaný nějakou pořádnou CA, bez nutnosti instalace jakýhokoliv certifikátu 3. převzetí odpovědnosti za blbý řešení a ne oznámení uživatelům, že jsou idioti, když se stali obětí phishingu…
-
On problém neleží vůbec v rovině vystavení certifikátu od Thawte. Já byl třeba strašně zvědavý, jak zvládnou před zavedením podle mě asi nejobtížnější část datových schránek. Tou IMHO není vytvoření jakékoliv aplikace, infrastruktury, zabezpečení financí pro projekt nebo vyškolení správců. Podle mě nejtěžší úkol ležel v poučení laické veřejnosti o správném nakládání s elektronickými dokumenty, v tom, co je potřeba udělat pro bezpečný přístup k nim. Bohužel jsem nebyl překvapen, tedy úkol nebyl vůbec obstojně vyřešen a laikové stále mají minimum informací. I když je taky jasné, že oni to nechtějí „složitě“, oni to chtějí JEDNODUŠE! Až mě ukradnou dokumenty nebo vloží nějaké cizí, budeme se soudit a nadávat na neschopnost…
Ale, ten blábol z ČT24 je naprostá kravina. Nevím odkud vy máte certifikát Thawte, ale já nikdy, NIKDY, nikde neověřil jeho věrohodnost a správnost. Pokud instalujete Firefox, který obsahuje i vestavěný balík „důvěryhodných“ certifikátů, jak jej získáváte? Jak víte, že už při jejím stažení nemáte staženou podvženou aplikaci, s podvrženými certifikáty? Jak jste schopen zaručit, že certifikát Thawte je ten certifikát, který by jím měl být? To jako poznáte podle toho, že adresní řádek zezelená, nebo podle čeho?
On není problém vůbec v tom, že autorita PostSignum není ve výchozí instalaci instalována v balíku „důvěryhodných“ certifikátů autorit. Problém je, že uživatel není poučen, jak si bezpečně získat certifikát, jak jeho pravost ověřit, a jak se zachovat, pokud má podezření na podvrhnutí certifikátu.
Kromě toho, tento stát ručí za to, že certifikáty s klíči budou mít k dispozici jenom a pouze oprávněné osoby a nikdo jiný. Taky že údaje zapsané v certifikátu si člověk nevymyslel, ale opravdu někde doložil, a lze opak trestat. I když asi málokdo věří tomu, že stát je opravdu schopen zaručit, aby to takhle fungovalo, může se o to alespoň snažit. Snad chápete, že akreditované certifikační autority stát k něčemu nějak (zkusit) přimět může. Snad taky chápete, že náš stát nějakou Thawte velmi těžko donutí k čemukoliv, nemůže si klást požadavky na cokoliv, nemůže tedy převzít záruky za firmu, kterou není schopen nijak ovlivnit. Prostě Thawte je hezké, ale právní vymahatelnost proti PostSignum bude teoreticky asi o mnoho vyšší, i když asi jen teoreticky. Jistě, kdyby naše státní certifikační autority byly šířený s důvěryhodnými certifikáty našich autorit, nebylo by to špatné. Ale ve výchozí instalaci, pokud nemáte opravdu důvěryhodné instalační médium, opravdu není instalovaný certifikát „důvěryhodný“. Věc je totiž trochu složitější, než „koupíme certifikát od XY a je to!“
-
>> Pokud instalujete Firefox, který obsahuje i vestavěný balík „důvěryhodných“ certifikátů, jak jej získáváte? Jak víte, že už při jejím stažení nemáte staženou podvženou aplikaci, s podvrženými certifikáty?
Uživatel může třeba předpokládat, že „kdysi na začátku“ měl skutečně pravý Firefox. Od té doby instaloval jen automatické aktualizace, které se stahují z ověřeného zdroje.
Jistě, je to jistá míra rizika, jenže pokud bych šel do větších důsledků, potom nemůžu NIKDY věřit tomu, co vidím na obrazovce. Ano, může být podvržený FF, který mi (podvodně) ukáže jakoukoliv informaci – správný hash, zelený pruh, přitom komunikuji s man in the middle. Nebo úplně jiný dokument, když podepisuju generální plnou moc komusi…
A jak to děláte Vy? Když koupíte PC s předinstalovanými Windows, jak si ověříte jejich pravost? Jak ověříte pravost libovolného jiného instalačního média (instalační CD Linuxu nevyjímaje)? Jak zjistíte, že do PC nikdo nic nenainstaloval, když jste zrovna na PC nekoukal, ale spal doma v posteli? Máte kompletně zprovozněný trust boot a šifrovaný disk? A co pravost HW komponent? Ověřoval jste? A magnetické vyzařování je správně odstíněno? A co zvuky stisknutých kláves? atd. atd. :)
Myslím, že všichni fungujeme tak nějak s rozumnou mírou rizika – předpokládáme prostě, že Prýmek ani Menšík nejsou Pentagon, tak je nikdo nebude nad míru obtěžovat :)
