CAST2.Toto dle EU jeste stale nestaci k uznani rovnosti 'normalniho' podpisu a elektronickeho!Cili operovani pouze s pojmem zaruceny elektronicky podpis skutecne z bezpecnostni hlediska je malo a je nedostatecne. Ten 'spravny' podpis(z hlediska bezpecnosti a prava) je az kvalifikoany podpis (definice v ZoEP sice uvedena neni, ale mluvi o nem paragraf 3, odstavec 2.). Tedy je nutne pouzivat :
ZEP+QC+ prostredek pro bezpecne vytvareni EP !
Tim odpada rada moznych utoku na data pro vytvyreni EP (u digitalniho podpisu predstavovana privatnim/soukromym klicem).
Zda je nebo neni dany prostredek bezpecny se bude overovat (validace) a bude zverejnovano ve vestniku UOOU. Bezpecnost se chape komlexne tedy nejen procesu podepisovani, ale celkovou praci se soukromym klicem.
Z tohoto hlediska je velice zajimavy paragraf 11, ktery sice narizuje v oblasti verejne moci pouzivat certifikaty pouze od akreditovanych PCS (tedy s nejvetsi duverou a pod
CAST3.
Z tohoto hlediska je velice zajimavy paragraf 11, ktery sice narizuje v oblasti verejne moci pouzivat certifikaty pouze od akreditovanych PCS (tedy s nejvetsi duverou a pod nejvetsim dohledem UOOU) a ZEP, ale jiz nenarizuje povinnost pouzivat bezepecny podpisovy prostredek !
Coz je vzhledem k tomu, ze pri lamani chleba u 'soudu' bude platit (tak jako v EU), ze viz paragraf 3, velice zajimavy moment :
Pouziti ZEP+QC+prostredku pro bezp. vytvareni podpisu umoznuje overit, ze datovou zpravu podepsala osoba uvedena na tomto QC (mimochodem muze tam byt pseudonym - pak je treba dohledat data u PCS).
Pavel Vondruska, kryptolog
http://www.mujweb.cz/veda/gccump
Dekuji za velmi podnetny prispevek. Mel bych pouze jednu malou poznamku tykajici Vaseho tvrzeni, ze ...'Ten 'spravny' podpis(z hlediska bezpecnosti a prava) je az kvalifikoany podpis. '
Z hlediska prava totiz nemusi byt za 'spravny' povazovan ani podpis s 50ti ruznymi kvalifikovanymi certifikaty. Pocet kval. certifikatu, stejne jako duveryhodnost jednotlivych PCS (CA) pouze zvysuje bezpecnost a prukaznost toho konkretniho podepsaneho Emailu. V nasem pravnim radu (viz. clanek) nikdy nelze vyloucit, že by se v konkrétním případě podařilo dokázat, že datovou zprávu podepsala či naopak nepodepsala osoba uvedená na certifikátu. V praxi to ale nebude rozhodně bez komplikací, jak se ostatne tvrdi v clanku.
J
nám zde pouze pomáhá potvrdit to, že zpráva byla podepsána autorovým soukromým (tajným ?) klíčem, který odpovídá jeho deklarovanému veřejnému klíči - a nikoli t
