Forum » Informacijska varnost » Sigen-CA in osebni podatki
Sigen-CA in osebni podatki
neres ::
Nekaj časa nazaj sem se mučil s temi certifikati.. pustimo ob strani da navodila ipd izgledajo zelo zastarelo.. no, kot del reševanja težav sem naletel na to stran, kjer lahko najdeš svoje potrdilo:
https://www.sigen-ca.si/cda-cgi/clientc...
Kar se mi zdi zanimivo, je da lahko vpišeš ime poljubne osebe, preneseš njegovo potrdilo in najdeš v le-tem vsaj njegov email naslov, če ne še kaj več. Če se prav spomnim postopka sem to potrdilo iz RAW DER v Windowsih nekako odprl z urejevalnikom certifikatov (kjer se mi zdi da že prideš do vseh podatkov) in shranil v eno drugo datoteko. Le-to pa lahko odpreš z Notepadom in vidiš ime, priimek, email in veljavnost certifikata (do katerega datuma velja). Če se da dobit še kake druge podatke pa ne vem. Nisem se dosti ukvarjal s tem, ker se ne spoznam na to in mi vse skupaj deluje preveč šlampasto, da bi to uporabljal.
Zanima me če se da še kaj videt razen email naslova in veljavnosti certifikata. Je javna razpoložljivost teh podatkov v skladu s politiko poslovanja?
edit: Pravzaprav že to, da lahko vidiš kdo sploh ima potrdilo se mi ne zdi ravno dobro iz vidika preprečevanja zlorab..
https://www.sigen-ca.si/cda-cgi/clientc...
Kar se mi zdi zanimivo, je da lahko vpišeš ime poljubne osebe, preneseš njegovo potrdilo in najdeš v le-tem vsaj njegov email naslov, če ne še kaj več. Če se prav spomnim postopka sem to potrdilo iz RAW DER v Windowsih nekako odprl z urejevalnikom certifikatov (kjer se mi zdi da že prideš do vseh podatkov) in shranil v eno drugo datoteko. Le-to pa lahko odpreš z Notepadom in vidiš ime, priimek, email in veljavnost certifikata (do katerega datuma velja). Če se da dobit še kake druge podatke pa ne vem. Nisem se dosti ukvarjal s tem, ker se ne spoznam na to in mi vse skupaj deluje preveč šlampasto, da bi to uporabljal.
Zanima me če se da še kaj videt razen email naslova in veljavnosti certifikata. Je javna razpoložljivost teh podatkov v skladu s politiko poslovanja?
edit: Pravzaprav že to, da lahko vidiš kdo sploh ima potrdilo se mi ne zdi ravno dobro iz vidika preprečevanja zlorab..
- spremenil: neres ()
BlueRunner ::
Če ti podatki ne bi bili dostopni, kako bi pa potem našel ustrezno kvalificirano digitalno potrdilo, da bi lahko naslovniku poslal zaščiteno sporočilo?
Glede dostopnosti pa si se strinjal z njihovo politiko za fizične osebe. Konretno pa se v povzetku glasi: "Spletno kvalificirano digitalno potrdilo je povezano z enim parom ključev, ki se tvori z imetnikovo programsko ali strojno opremo. SIGEN-CA nikoli ne hrani in tudi nima dostopa do zasebnega ključa. Javni ključ se pošlje izdajatelju SIGEN-CA, ki izda potrdilo, katerega sestavni del je javni ključ. Spletno potrdilo se shrani pri imetniku, dostopno pa je tudi v javnem imeniku potrdil."
To, da dejansko vidiš kdo ima potrdilo in, da je ta podatek na voljo pri izdajatelju potrdil, pa je lahko iz vidika preprečevanja zlorab dejansko tudi dobra zadeva.
Glede dostopnosti pa si se strinjal z njihovo politiko za fizične osebe. Konretno pa se v povzetku glasi: "Spletno kvalificirano digitalno potrdilo je povezano z enim parom ključev, ki se tvori z imetnikovo programsko ali strojno opremo. SIGEN-CA nikoli ne hrani in tudi nima dostopa do zasebnega ključa. Javni ključ se pošlje izdajatelju SIGEN-CA, ki izda potrdilo, katerega sestavni del je javni ključ. Spletno potrdilo se shrani pri imetniku, dostopno pa je tudi v javnem imeniku potrdil."
To, da dejansko vidiš kdo ima potrdilo in, da je ta podatek na voljo pri izdajatelju potrdil, pa je lahko iz vidika preprečevanja zlorab dejansko tudi dobra zadeva.
Zgodovina sprememb…
- spremenilo: BlueRunner ()
Karen ::
Jasno je logično da je tako. Osebni podatki (ime in priimek) morajo biti enolično povezani s certifikatom, namreč certifikat uporabljaš za "lastnoročno" elektronsko podpisovanje. Če mi elektronsko podpišeš pogodbo z menoj mi nič ne pomaga če mi CA pove da je podpis pristen če ne vem kdo ga je podpisal, a ne? Zato mora biti ta podatek nujno javen, preverijo pa ga osebno ko zahtevaš certifikat - tudi to je obvezno, da prideš osebno podati vlogo, da ugotovijo identiteto in da podpisa ne povežejo s kom drugim - tako mora biti po ZEPEP in z vidika pravne varnosti je to edino prav.
BlueRunner ::
Jasno je logično da je tako.
No, s tem se ne strinjam. Dejansko to ne bi nujno bilo potrebno narediti tako, saj obstajajo tudi načini rešitve tega problema.
Je pa res, da je ta najbolj neposreden in ga ni težko upravičiti (opravičiti?).
Za začetek in za izziv, naj mi nekdo pojasni, zakaj vsi izdajatelji kvalificiranih digitalnih potrdil zahtevajo e-mail naslov in ga tudi vstavijo v tako generirano potrdilo.
Ali je to smiselna zahteva iz vidika namena potrdil? Ali je to sploh smiselna zahteva? Če da, zakaj da? Če ne, zakaj ne?
Zgodovina sprememb…
- spremenilo: BlueRunner ()
Tear_DR0P ::
zakaj vsi izdajatelji kvalificiranih digitalnih potrdil zahtevajo e-mail naslov
mene bolj zanima kaj lahko narediš, če spremeniš e-mail naslov? 10 let je dolga doba in včasih kak ISP propade v tem času in ostaneš brez naslova, s katerim si registriral
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain
Samuel Clemens aka Mark Twain
robbe ::
Certifitikat mora biti povezan z enim email naslovom zato, da lahko pošto iz tega naslova podpišeš s tem certifikatom. Javni ključ pa normalno da je javen, saj če ti hočeš meni poslati šifrirano pošto, uporabiš moj javni ključ.
BlueRunner ::
Certifitikat mora biti povezan z enim email naslovom zato, da lahko pošto iz tega naslova podpišeš s tem certifikatom.
Kvalificirano digitalno potrdilo naj bi potrjevalo tvojo digitalno identiteto. Če vztrajaš na temu, da mora vsebovati e-mail naslov, potem mu na silo vsiljuješ še podatek o temu s katerim poštnim predalom je ta identiteta povezana. Kakšno vezo ima npr. moj e-mail naslov pri e-bančništvu? Pri e-davkih? Pri e-nakupovanju? Pri navadni TLS seji?
Edino, kar si pravilno opazil je to, da bodo vsi programi, ki podpirajo podpisovanje in/ali šifriranje elektronske pošte čisto prebledeli, če bodo naleteli na potrdilo brez navedenega identičnega e-mail naslova. Kar je seveda bedarija. Ker moj podpis velja, če ga pošljem od doma, iz Zgornje Kungote, Kanade ali pa Marsa. Moj podpis bi moral biti samo moj podpis in ne moj_podpis_plus_neločljivo_povezan_naslov_pošiljanja.
Zato je posiljevanje z e-mail naslovom v kvalificiranem digitalnem potrdili semantično gledano navadna bedarija. Osebno imam cca. 50 e-poštnih naslovov. Ali to sedaj pomeni, da moram za vsakega izmed njih pridobiti novo kvalificirano digitalno potrdilo z novim parov ključev in potem z vsem tem posmetiti imenik in posredno cel svet? Duh! Vse kar hočem je to, da je moja identiteta dokazana, ne pa, da je dokazano, da nek e-mail naslov priprada moji identiti. Kaj šele, da moja digitalna identiteta v tem trenutku v tej državi zaradi ravnanja izdajateljev kvalificiranih digitalnih potrdil sploh ne more obstajati brez poštnega predala.
Vse to pa samo zato, ker so neke "brihtne buče" več kot desetletje nazaj zlorabile X.500 serijo standardov, ugrabile X.509, ga iztrgale iz njegovega konteksta in potem pričakovale, da ne bo zaradi tega nič hudega. No, ni jim uspelo. Zaradi univerzalno zanič programske opreme, ki bazira na izvorni zmoti, je sedaj stanje takšno, da tudi pri nas izdajatelji posiljujejo z nekom podatkom, ki nima zveze z identiteto.
Žal...
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Certifikat !Oddelek: Informacijska varnost | 9313 (4117) | SeMiNeSanja |
» | Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )Oddelek: Novice / NWO | 85331 (59526) | MrStein |
» | Digitalno podpisan mailOddelek: Loža | 3085 (2755) | mk766321 |
» | e-bančništvo: PIN "kalkulator" v. kvalificirano digitalno potrdiloOddelek: Informacijska varnost | 8277 (7331) | krneki0001 |
» | Prihajajo novi spamerjiOddelek: Novice / Zasebnost | 5635 (3630) | BlueRunner |