Vlákno názorů k článku Krademe kryptoměny pomocí BGP aneb proč je dobré mít HTTPS a DNSSEC od Honza - Přijde mi, že autor má až moc velkou...
-
Honza (neregistrovaný)
Přijde mi, že autor má až moc velkou důvěru v systém certifikačních autorit. Jsem bezpečnostní laik, ale až tak úplně tuhle důvěru nesdílím. Tolik certifikátů už bylo vydaných neoprávněně... V podstatě mi přijde, že u zvlášť citlivých služeb, je tohle zabezpečení málo. Že třeba certifikáty pro weby českých bank by měla vydávat jen ČNB a nikdo jiný. A u superbezpečných webů, kde jde opravdu o hodně, by se mělo pro certifikát jezdit osobně. Https tak, jak se používá, mi přijde dobré tak na facebook.
-
Proč by ČNB měla být CA? To jako budeme mít další stovku CA pro každou centrální banku?
Určitě dává smysl důvěřovat řetězci CA, který bude končit úředním ověřením v rámci státu. Nejsme v USA nebo v Indii, kde je to s osobními doklady a úřady jinak. V Evropě lze poměrně lehce ověřit totožnost žadatele a činnost národní CA vystavět na důvěryhodnosti ověřené tímto způsobem.
-
Cx (neregistrovaný)
Požadavky na bezpečnost se vyvíjejí rychleji, než jakýkoli stát dokáže reagovat. Náš stát za poslední dvě dekády nedokázal zdigitalizovat ani sám sebe a vy mu chcete svěřovat něco tak citlivého jako jsou certifikáty? Zavedením státu do celého procesu by nakonec mohlo vést k tomu, že by použití HTTPS bylo úplně bezzubé.
-
Náš stát za poslední dvě dekády nedokázal zdigitalizovat ani sám sebe a vy mu chcete svěřovat něco tak citlivého jako jsou certifikáty?
Co prosím?
Česká republika už roky vydává kvalifikované certifikáty sloužící jako elektronický podpis. Elektronický podpis má stejnou průkaznost, jako ověření totožnosti u notáře. Elektronickým podpisem lze prodat dům, podat žalobu, podat daňové přiznání. Stát umí s těmito technologiemi pracovat na vysoké úrovni. (Získat el, podpis je sice trochu otravné, stojí to člověka asi 2 hodiny na poště, ale to jen poprvé, pak už se obnovuje jednoduše).
Datové schránky jsou druhým autentikačním mechanismem. U fyzické osoby ověřují totožnost, ale mají ještě tu přednost, že u právnických osob zajištují ověření oprávnění konkrétní osoby jednat za firmu. Systém datových schránek se používá jako autentizační mechanismus k dalším službám.
Vše toto je hotové. Stačí jen vytvořit CA České republiky, která bude vydávat OV či EV certifikáty na základě ověření těmito údaji. V tomto ohledu máme my, v EU, obrovskou výhodu (jednu z mála) proti zbytku světa, ale pro jistotu neumíme tuto výhodu vůbec využívat.
-
Lol Phirae (neregistrovaný)
Elektronický podpis má stejnou průkaznost, jako ověření totožnosti u notáře.
Ne, už jsem jim to vysvětloval posledně, Šilhavý.
Stačí jen vytvořit CA České republiky, která bude vydávat OV či EV certifikáty na základě ověření těmito údaji.
Tak určitě, stát je na to vysloveně expertem. Například zatímco na Slovensku a v Estonsku pro průseru s ROCA zneplatnili eID u občanek, tak v ČR se udělalo co? Ano, správně. Velké hnědé mazlavé. Nikdo to neřešil. Ty certifikáty, u kterých jde z veřejného klíče odvodit soukromý, se nikdo neobtěžoval revokovat, pokud neexipirovala platnost, tak se stále používají. Ani MFČR, které jimi je zcela promořené nejen prostřenictvím své vlastní CA, ale ani I. CA nerevokovala prostě nic. Inkriminující materiály zmizely z webu MFČR, a "vyřešeno".
-
Cx (neregistrovaný)
To je zajímavé. Když to tak perfektně funguje, proč mi dneska přišel z finančáku dopis, i když mám datovou schránku? Proč jsem musel v pondělí stát dvě hodiny frontu kvůli žádosti o řidičák a proč mi stát není schopen říct, kolik mám zaplatit na daních, když o mě všechno ví z těch všech specialit, co za poslední dva roky zavedl? Stát není schopen mi poslat datovkou ani potvrzení, že mu nic nedlužím. Je hezké, že máme datovku a elektronický podpis, ale to je tak všechno a s polovinou věcí musím stejně za nějakým člověkem. Kdyby v tomhle měla fungovat nějaká CA, tak bych snad radši ani nepoužíval elektronické bankovnictví.
-
MB. (neregistrovaný)
Proč přišel dopis? Inu protože sice neměl ze zákona, ale nějaký chytrý soudce někde dříve ve sporu rozhodl v rozporu s logikou zákona, že měl přijít i papír a na problém je zaděláno pro všechny na roky dopředu. Takže se dnes pošle papír a vy se musíte soudit, že neměl vůbec přijít (vyhrajete, ale časové náklady jsou tak vysoké, že to neuděláte). V důležitých kauzách (měřeno množstvím peněz) tohle řeší úřad tak, že se posílá papír i e-verze.
-
Jak ale ČNB ověří vlastnictví domény?
Tak za jedno, možná ani moc nepotřebujeme ověřovat vlastnictví domény. Pro nás je důležité, že známe osobu, která certifikát získala (a taková osoba pak může odpovídat jak za škodu, tak být trestně odpovědná). Ověření domény je jakási obezlička pro tu část světa, kde je ověření totožnosti příliš složité (např. v USA mají Social Security Card, kde není podobenka, řidičák nebo cestovní pas nemá každý, jinou ID kartu (občanku) nemají).
A za druhé, ověření totožnosti se nevylučuje s tím, že se provedou i další, následné kroky k ověření vlastnictví či dispozičního práva k doméně (např. přes WHOIS či DNS). Pak už lze jen stanovit postupy pro odstranění pochybností a pravidlo, že certifikát nebude vydán, dokud pochybnosti přetrvávají.
Když vydá certifikát někdo jiný - to už jsem psal v jiném postu - muselo by se rozlišovat nějak graficky. Např. symbolem EU a státu. Uivatelé by si postupně navykli, že tento symbol něco znamená - podobně, jako označení Klasa na výrobcích, nebo CE na elektrovýrobcích atp.
Motivací pro vlastníky domén by měla být EV validace skoro zdarma (stát dokáže ověřit totožnost za desetikoruny).
-
Honza (neregistrovaný)
ČNB by neověřovala vlastnictví domény, ale to, že pan Salomon z České spořitelny je opravdu pan Salomon a že má právo v tomhle Spořku zastupovat.
Certifikáty třeba Verisignu na csas.cz (jejich neplatnost) by se řešily nastavením prohlížeče.
A taky bych v adresním řádku nezobrazoval zelený zámeček, ale logo příslušné kořenové CA. -
Certifikační autorita bude chtít potvrzení vaší identity, pokud jste banka, tak chce i to potvrzení od ČNB.
Certifikační autorita je soukromá firma, fungující pod libovolným právem. Nikdo v ČR pořádně neví, jakými právním i normami je taková autorita z USA, Indie či Číny vázána. Pokud certifikační autorita selže, budete se soudit pod americkým, indickým či čínským právem?
-
Certifikační autority se hlavně řídí Guidelines for Extended Validation, které jasně určuje, jakým způsobem se to ověřování provádí, stejně jako to, že certifikační autorita musí jasně uvádět, v jaké jurisdikci se řeší spory.
Opět, k čemu to je, když je to nepřezkoumatelné a nevymahatelné.
Když budete mít podezření, že CA pochybyla, myslíte, že zástupce americké firmy přiletí svědčit k českému soudu? -
Certifikační autorita bude chtít potvrzení vaší identity, pokud jste banka, tak chce i to potvrzení od ČNB.
S tím souvisí i druhá část uplatnění práva. Pokud by na doméně bylo "razítko" státu, že certifikát patří nějaké osobě, můžete přímo vést jakýkoliv spor vůči této straně. Pokud je identita ověřena někým cizím, tak české soudy takové ověření vůbec zajímat nebude. Je tedy ve výsostném zájmu nás všech, aby se zavedlo a ujalo, aby certifikáty domény byly spjaty s konkrétní osobou, která ponese jasnou odpovědnost.
Nyní, když si založím doménu Alza-AS.cz, s trochou dovednosti na ni získám EV certifikát. Napálení zákazníkci možná zjistí od CA, kdo si vyžádal certifikát. Ale CA možná tuto informaci ani neposkytne. A i kdyby poskytla, tak soud v ČR to vůbec zajímat nebude. Prostě bude nahlížet na doménu s EV certifikátem úplně stejně, jako na doménu s certifikátem od LE, a úplně stejně, jako na nezabezpečenou doménu.
Celé je to šaráda, ve které ve skutečnosti nikomu nejde o to udělat krok k právu. Techniká paka zde hlásají nutnost šifrovat za všech okolností a vedou se zde sáhodlouhé diskuse o tom, jak fungují certifikační autority - ale vše je to jen vata.
Quod non est in actis, non est in mundo.
-
Sten (neregistrovaný)
S tím souvisí i druhá část uplatnění práva. Pokud by na doméně bylo "razítko" státu, že certifikát patří nějaké osobě, můžete přímo vést jakýkoliv spor vůči této straně. Pokud je identita ověřena někým cizím, tak české soudy takové ověření vůbec zajímat nebude.
To jako že když vaši identitu při zakládání bankovního účtu ověřuje banka a není na tom razítko státu, tak to soudy nebude zajímat? Vážně?
Napálení zákazníkci možná zjistí od CA, kdo si vyžádal certifikát. Ale CA možná tuto informaci ani neposkytne
Vždyť je ta informace součást toho certifikátu.
-
To jako že když vaši identitu při zakládání bankovního účtu ověřuje banka a není na tom razítko státu, tak to soudy nebude zajímat? Vážně?
No to je docela podstatný rozdíl. Za jedno, svým podpisem zakládáte na právní vztah s tou konkrétní bankou. Pokud se s Vámi někdo bude o ten podpis soudit, tak jedině ta banka - takže je na ní samotné, aby si Váš podpis dobře zdokumentovala. Proto také mají banky v procesech to, že vždy znovu ofocují dva doklady, byť už v systému dávno mají kopie.
Ale česká banka nikdy nevydává potvrzení Vaší identity, které by měl někdo třetí věřit. Vaše banka nebude ověřovat Váš podpis na smlouvách např. když budete prodávat dům. I ta banka Vás požene k notáři (na matriku nebo Czech Point), aby vaši identitu ověřil stát.
Vždyť je ta informace součást toho certifikátu.
Který vydala firma, o které ve skutečnosti nic nevíme a která nemá nejmenší povinnost spolupracovat. Kdyby to byla česká CA, tak má povinnost poskytnout svěděctví soudu. Na americkou firmu se ale české zákony nevztahují.
-
Sten (neregistrovaný)
No to je docela podstatný rozdíl. Za jedno, svým podpisem zakládáte na právní vztah s tou konkrétní bankou. Pokud se s Vámi někdo bude o ten podpis soudit, tak jedině ta banka - takže je na ní samotné, aby si Váš podpis dobře zdokumentovala. Proto také mají banky v procesech to, že vždy znovu ofocují dva doklady, byť už v systému dávno mají kopie.
Fakt si myslíte, že když přes ten účet budete krást třeba tak, že si necháte zaplatit předem a nedodáte zboží, že ta identita, kterou ta banka ze zákona musí uchovávat, bude nepoužitelná a žádný soud to neakceptuje?
Ale česká banka nikdy nevydává potvrzení Vaší identity, které by měl někdo třetí věřit.
Už jste někdy platil třeba za dům převodem? Banka vám vydá potvrzení, že došlo k převodu a komu patří účet, ze kterého to bylo poslané, a to potvrzení je potom použitelné u Katastrálního úřadu.
Který vydala firma, o které ve skutečnosti nic nevíme a která nemá nejmenší povinnost spolupracovat
Ale víme a má. Nebo si vážně myslíte, že do systémového úložiště kořenových certifikačních autorit se ty firmy dostaly jen tak bez toho, aby se identifikovaly a zavázaly se, že budou splňovat nějaké povinnosti?
-
že ta identita, kterou ta banka ze zákona musí uchovávat, bude nepoužitelná a žádný soud to neakceptuje
Banka není úplně správný případ, protože tam jsou údaje ověřovány na více úrovních (kvůli AML - anti money laundering) a něco se dnes už odesílá i přes ČNB (např. CEÚ - centrální evidence účtů). Ale když tohle odmyslíme.
Ano, soud to NEAKCEPTUJE. Soud to přijme jako jeden z důkazů, které bude hodnotit svojí úvahou. V případě banky bude listině pravděpodobně věřit víc, než když předloží nějakou podobnou evidenci majitel zastavárny. Naproti tomu dokument, na kterém je ověřený podpis (ověřený notářem, matrikou, nebo Czech Pointem) soud AKCEPTUJE. Úřední ověření má status tzv. veřejné listiny. Veřejnou listinou není samotný dokument - ale ta ověřovací doložka, na které notář prohlašuje, že ověřil totožnost. Věřejná listina taktéž neznamená, že je k dispozici veřejnosti. Veřejná listina je pojem práva, který znamená, že skutečnosti na takové listině uvedené se a priori považují za pravdu (ve Vašem slovníku "AKCEPTUJÍ"). Veřejnou listinou je např. rodný list, technický průkaz vozidla nebo výpis z katastru nemovitostí.
Omlouvám se, jestli Vám vysvětluji pojmy zbytečně, ale přišlo mi, že v tom trochu lítáte.
Pak je zde jeden ale opravdu zásadní rozdíl. U soudu platí tzv. zásada ústnosti. Každý důkaz musí být proveden před soudem a musí být přednesen i ústně (může se od toho upustit, když obě strany souhlasí). Když je potřeba, aby byl u soudu proveden důkaz např. dožádáním z banky, banka vystaví patřičné dokumenty a pověřený zástupce banky se dostaví k soudu, aby mohl být případně i vyslechnut. Myslíte, že Thawte a podobní vůbec zašlou soudu nějaké dokumenty, nebo přijedou? Ani náhodou, proč by to proboha dělali? Z dobré vůle? Nebo kvůli vlastní potěše? České firmy a osoby mají podle českých zákonů povinnost svědčit, jsou-li předvoláni. Na Američana a americkou firmu se nic takového z Česka nevztahuje!
Už jste někdy platil třeba za dům převodem? Banka vám vydá potvrzení, že došlo k převodu a komu patří účet, ze kterého to bylo poslané, a to potvrzení je potom použitelné u Katastrálního úřadu.
Ano, už jsem nějaké nemovitosti i kupoval, i prodával. Opět se mýlíte. Odesílací banka Vám nevydá žádné potvrzení, které by zaručovalo, že peníze dojdou. Dokud nejsou na účtu příjemce, lze je odvolat, a v krajních případech to lze i poté (jsou na to procedury mezi bankami - např. když úředník udělá chybu a upíše se v čísle účtu). Jediné potvrzení je, že jsou připsány na účet příjemce. Běžně si ale strany dostatečně nevěří, proto se využívá buďto tzv. bankovního akreditivu, nebo notářské úschovy, nebo advokátní úschovy. Ale tam je postup PŘESNĚ OPAČNÝ :). Uschované peníze banka, notář nebo advokát vyplatí druhé straně až poté, co katastr provede změnu. A jen tak mimochodem, katastr neposuzuje a ani není oprávnně posuzovat takové věci, jako jestli si dvě strany zaplatily. Katastr má za povinnost zkontrolovat určité formální stránky převodu a zaknihovat nový stav. To se dělá tak, že se katastru předkládá oboustranně podepsaná kupní smlouva a prohlášení obou stran o tom, že si přejí zapsat do katastru změny. Jakmile Katastr v dokumentech najde vše, co potřebuje (převodce, nabyvatel, datum a další), převede a je to nevratné.
Ale víme a má. Nebo si vážně myslíte, že do systémového úložiště kořenových certifikačních autorit se ty firmy dostaly jen tak bez toho, aby se identifikovaly a zavázaly se, že budou splňovat nějaké povinnosti?
Nemá. Zahraniční firmy a osoby nemají žádnou povinnost dostavit se svědčit k českému soudu nebo i jen poskytovat součinnost. Schválně si zkuste oslovit třeba Thawte aby potvrdilo pravost nějakého certifikátu a poskytlo údaje o procesu jeho vydání. Dají Vám kulové nebo Vám pošlou nějaký cár papíru bez ověření a ověřitelnosti o tom, jak jsou nejlepší a nejbezpečnější CA na světě.
-
Lol Phirae (neregistrovaný)
A jen tak mimochodem, katastr neposuzuje a ani není oprávnně posuzovat takové věci, jako jestli si dvě strany zaplatily. Katastr má za povinnost zkontrolovat určité formální stránky převodu a zaknihovat nový stav.
To si musíte napsat příště lepší smlouvu. (Hint: Když si do smlouvy napíšete, že nabývá účinnosti dnem připsání kupní ceny na účet prodávajících, tak to bez dokladu o zaplacení ten katastr ne a ne a nezapíše.)
-
To si musíte napsat příště lepší smlouvu. (Hint: Když si do smlouvy napíšete, že nabývá účinnosti dnem připsání kupní ceny na účet prodávajících, tak to bez dokladu o zaplacení ten katastr ne a ne a nezapíše.)
Ano, ale toto potvrzení bude Katastr vyžadovat od nabyvatele. Pokud by tam nabyvatel donesl pouze potvrzení z banky, nezapíše stále nic. Katastr bude požadovat prohlášení nabvyvatele - např: Já, Jiří Novák, potvrzuji, že jsem obdržel kupní cenu na svůj účet č. XXXX/YYYY ve výši ZZZZ Kč ke dni DD. MM. YYYY a smlouva ze dne dd.mm.yyyy tak nabyla účinnosti.
Celá tato diskuse je o tom, že Katastr nebude posuzovat dokumenty třetích stran - tedy např. banky. Banka není účastníkem správního řízení o zápisu do KN a KN na sebe nebude brát odpovědnost za to, že přijme padělek. Proto chce mít vše podepsané od samotných účastníků a s ověřenýmí podpisy.
Tady je kdyžtak popis: https://www.cuzk.cz/Katastr-nemovitosti/Zapisy-do-KN/Zapisy-do-KN.aspx
To, jakou činnost vykonává KN je pak popsáno v § 17 Katastrálního zákona https://www.zakonyprolidi.cz/cs/2013-256. Povšimněte si prosím, že nikde není ani slovo o tom, že by Katastr zkoumal Vaše smluvní podmínky převodu nemovitosti - katastr zkoumá pouze to, jestli jste oprávněni nemovitost prodat a na druhé straně koupit. Katastr dokonce ani nerozlišuje, jestli ze smlouvy vyplývá, že byla darována, převedena bezúplatně, prodána, vyměněna, nebo částka započtena.Takže jinými slovy, když si do smlouvy napíšete: nemovitost se převádí až po zaplacení kupní ceny - tak katastr nezkoumá, jestli byla kupní cena OPRAVDU zaplacena, ale pouze to, jestli toto prohlásí převodce.
-
Honza (neregistrovaný)
Jo. Kdybych byl Andrej Babiš a investoval třeba miliardu do kryptoměn, tak bych si pro ten certifikát klidně dojel. Ne do servrovny, ale na pobočku. A kdybych byl ruský krtek u amerických jednotek v Sýrii nouzově používající jejich wifi, tak bych taky úplně nevěřil, že https://putin.ru s certifikátem, kde je v kořeni nějaká běžná americká CA, které Chrome věří, je opravdu putin.ru a ne nějaký server CIA. A upřímně, přijde mi to trochu slabé zabezpečení i "jen" na poslání řekněme pěti mega za nějakou nemovitost v Praze. Nejsem paranoidní, prostě tomu věřím o trochu méně než běžné občance s fotkou. Na běžné věci to stačí. Na mimořádné záležitosti nebo pro lidi s vyššími nároky na bezpečnost mi to přijde slabé. Ne technicky, ale lidsky.
-
Y, (neregistrovaný)
Možná ne přímo CA, ale bylo by hezky, kdyby certifikát byl signed-off duveryhodnymi institucemi, cili banka by si nechala vydat certifikát od ca a poté např ČNB by ho "potvrdila". Pro komerční subjekty pak by potvrzovalo MPO a třeba financak. Takovej v zasade WOT. I když bojím se, že by se nepovedlo nastavit ten proces tak, aby naše ministerstva nepodepisovala kde co, když vidím, jakej je tam bordel .
-
Takovej v zasade WOT. I když bojím se, že by se nepovedlo nastavit ten proces tak, aby naše ministerstva nepodepisovala kde co, když vidím, jakej je tam bordel .
Všechny technologii jsou aspoň v ČR hotové. Stát dokáže on-line ověřit totožnost osoby jak elektronickým podpisem, tak skrz autentikační mechanismus datové schránky. U právnických osob navíc mechanismus datových schránek slouží jako ověření oprávnění osoby jednat (ve stanoveném rozsahu) za firmu. Nebylo by vůbec nic složitého vytvořit CA České republiky, kde by byla takto jednoduše, přitom spolehlivě ověřena totožnost žadatele o certifikát. Když můžu digitálním podpisem prodat dům a poslat žádost na Katastr nemovitostí, proč nemůžu získat takovou sračku, jako TLS certifikát?
-
Když o tom přemýšlím, tak to ale neřeší ten problém, že lidi jsou ochotný odkliknout kde co.
Ano, přesně tím směrem přemýšlím. Víceméně by se dal zavést znáček EU, případně s vlaječkou konkrétní země, který, kdyby se objevil, byl by známkou toho, že vše je ověřené. Ne všichni by tomu rozuměli, ale postupně by přibývalo lidí, kteří by chápali, že je dobře mít "zelený řádek se znakem EU". Pro návštěvníka by to reálně znamenalo to, že existuje provozovatel, na kterého se lze obrátit v případě jakéhokoliv sporu (ať už půjde o e-shop a spotřebitelské spory, nebo spor na ochranu soukromí, ...).
Nyní zelený řádek dostanete za pár stovek dolarů, ale v právu se to nijak uplatnit nedá. Soud Vás se "zeleným řádkem" pošle do háje, protože český soud vůbec nezajímá, že nějaká americká, indická nebo čínská soukromá firma "ověřila" identitu (totožnost) českého subjektu.
-
Lol Phirae (neregistrovaný)
Víceméně by se dal zavést znáček EU, případně s vlaječkou konkrétní země, který, kdyby se objevil, byl by známkou toho, že vše je ověřené. Ne všichni by tomu rozuměli, ale postupně by přibývalo lidí, kteří by chápali, že je dobře mít "zelený řádek se znakem EU".
Kristova noho!!!
