Hlavní navigace

Názor ke zprávičce Podvodný e-mail napodobuje Českou poštu od Filip Jirsák - V reálném prostředí to vedlo k tomu, že...

  • 19. 10. 2020 12:19

    Filip Jirsák

    V reálném prostředí to vedlo k tomu, že jedno vytěsnilo druhé.
    Nikoli.

    Ověření osoby musí proběhnout - např. mimoelektronicky.
    Bavíme se pod zprávičkou o případu, kdy by bohatě stačilo, pokud by e-mail byl podepsán zaměstnaneckým certifikátem České pošty. Ověření osoby tedy proběhne v okamžiku, když je jí vytvářen účet do firemních IS.

    Tento mechanismus byl ověřený už v hluboké minulosti.
    A také se stále používá. Akorát má docela vysoký vstupní práh.

    Automatické vystavování (prvotních) certifikátů, pokud jde o potřeby ověření, je zcela k ničemu.
    Pokud jde o potřebu ověření, že daná osoba má právo odesílat e-maily z dané domény, stačí automatické vystavení certifikátu při založení účtu. Což se běžně děje. A nic víc není pro tenhle případ potřeba. Mimochodem, zaměstnanci České pošty, se kterými jsem komunikoval, automaticky podepisovaly e-mail svým kvalifikovaným certifikátem od PostSignum. Takže tam je ta úroveň zabezpečení mnohem vyšší, než by bylo potřeba v tomto případě. Jenže jaksi chybí ta strana ověření – aby to reálně fungovalo.
    Navíc tady se nebavíme o e-mailu zasílaném nějakou osobou, ale robotem. Takže by bylo opět potřeba ověřit jenom to, že ten robot má právo odesílat e-maily z dané domény.

    Není to postup, který by se byť přibližoval k "neprůstřelnosti".
    Tohle je právě ten problém. Chcete neprůstřelnost, tak nemáte nic.

    A to nemluvím o zanedbatelné právní váze, kterou potřebujete v obraně proti podvodníkům.
    Proti podvodníkům potřebujete především to, že nepůjde zfalšovat adresu odesílatele. Cokoli dalšího můžete vymýšlet teprve nad tímto základem.