Vlákno názorů ke zprávičce Elektronická část nových občanských průkazů zatím jen s Windows od Jarda_P - A ktery genius zase vybral tak zhovadile reseni?...
-
A ktery genius zase vybral tak zhovadile reseni? Proc banky muzou pouzivat ctecky, ktere jsou uplne off-line, strci se do nich bankovni karta a pak se udela chalenge-response autentikace, ale na obcanky musi byt ctecka pripojena k PC??? A proc, kurva, neni na tyhle veci standardni ctecka fungujici s nejakymi standardnimi protokoly, aby jich clovek nemusel mit i nekolik?
-
Ondřej CaletkaZlatý podporovatelTa čtečka je standardní, podporující standard PCSC. Bude fungovat v podstatě jakákoli USB čtečka, případně i jakákoli čtečka vestavěná v počítačích.
-
Ondřej CaletkaZlatý podporovatel
Jakákoli smart karta vyžaduje specifický middleware, to opět není nic nestandardního. Jen jsou middlewary open sourcové a ty ostatní.
-
Filip JirsákStříbrný podporovatelak nieco podpsujes u seba musis byt online kvoli Trust listom, OCSP a podpisovym politikam, ci casovym peciatkam
Nic z toho pro podpis nepotřebujete. Politiky jsou zapsané přímo v certifikátu, seznamy důvěryhodných autorit pro podpis nepotřebujete (jsou potřeba pro ověření) a máte je stažené v počítači, OCSP pro podpis nepotřebujete. Časové razítko se po podpisu použít může, pak je potřeba pro to získání časového razítka být online. Ale jinak samotný podpis je čistě offline záležitost. -
harrison314 (neregistrovaný)
Hej a potom sa stava, ze ludia podpisuju neplatnymi certifikatmi alebo vyrabaju neplatne podpisy...
Na Slovensku este podla starej legislativy sa k ZEP podpsiom pridavali aktualne zoznamy revokovanych certifkatov, takisto v Estonsku.
Podpisat offline nie je problem, ale je lepsie byt online. -
Filip JirsákStříbrný podporovatel
Aby se nepodepisovalo expirovaným certifikátem, na to stačí, aby šly na počítači správně hodiny. A pokud byl certifikát revokován, měl by o tom jeho majitel snad vědět. Celé seznamy revokovaných certifikátů se asi nepřidávaly, ony mohou být docela velké. Přidat se případně může OCSP potvrzení, že ten jeden konkrétní certifikát nebyl revokován. Akorát to u podpisů nedává moc smysl – u online komunikace (např. HTTPS) se tím mohou získat ty nejaktuálnější údaje a ušetří se případný dotaz na nejaktuálnější CRL. Ale při ověřování podpisu je naopak rozumné ještě nějakou dobu počkat, protože pokud budu mít elektronicky podepsaný dokument a certifikát byl za hodinu po podpisu odvolán, dával bych si na ten podpis setsakramentský pozor. Česká legislativa dokonce vyžadovala čekání 24 hodin (i když to bylo pravděpodobně kvůli chybné interpretaci toho, že kvalifikované CA měly povinnost vydávat CRL aspoň jednou za 24 hodin).
