Forum » Programska oprema » manipulacija datuma digitalnega podpisa
manipulacija datuma digitalnega podpisa
Malcolm_Y ::
Je še kdo drug ugotovil, da če spremeniš datum in čas na računalniku, potem digitalno potrdilo (npr. sigenca) vzame spremenjeni datum in čas? Tako da je popolnoma zlahka izvedljivo kak .pdf podpisati za nazaj - digitalno potrdilo izkazuje, da je .pdf veljavno in pravilno podpisan recimo pred dvema letoma, čeprav sem ga podpisal danes.
Tako bi se lahko lepo koga okrog prineslo.
Res pa je, da tudi pri ročnem podpisu lahko napišem karkoli hočem pri "Datum" in "Podpis". In se tudi ne da dokazati, da je bil "1.1.2016" z roko napisan danes, ne takrat.
Tako bi se lahko lepo koga okrog prineslo.
Res pa je, da tudi pri ročnem podpisu lahko napišem karkoli hočem pri "Datum" in "Podpis". In se tudi ne da dokazati, da je bil "1.1.2016" z roko napisan danes, ne takrat.
Vanquish ::
kaj je tocno tvoja poanta? :)
Ce imas podpisan dokument samo za sebe ti je isto kot da pogodbo podpisujes samo za sebe. Ce pa ga posljes ven pa te ze prejemnik opozori, da ti datum ne stima - enako kot na pogodbi, ki si jo rocno podpisal :D
Ce imas podpisan dokument samo za sebe ti je isto kot da pogodbo podpisujes samo za sebe. Ce pa ga posljes ven pa te ze prejemnik opozori, da ti datum ne stima - enako kot na pogodbi, ki si jo rocno podpisal :D
Ziga Dolhar ::
Zato se pa, kadar je čas podpisa pomemben, uporabljajo "trusted timestamping" rešitve.
V praksi sicer to ni preveč razširjeno, saj je čas podpisa le zelo redko pomemben. V poslovnem prometu je praviloma ključen trenutek, ko naslovnik prejme sporočilo. V obeh primerih, ko je trenutek podpisa oz. oddaje sporočila, ali pa trenutek prejema sporočila, res pomemben, se uporablja kar pošta (oz. vročanje z detektivi, ali pa vročanje proti potrditvi prejema). V primerih, ko pa trenutek podpisa lahko vpliva tudi na pravice tretjih oseb (npr. v izvršbi :)), pa se praviloma zahteva overitev pri notarju.
Skratka - s tehničnega vidika problem, ki ga omenjaš, obstaja. S praktičnega vidika (potreb gospodarstva) pa ne gre za kak hud problem :).
V praksi sicer to ni preveč razširjeno, saj je čas podpisa le zelo redko pomemben. V poslovnem prometu je praviloma ključen trenutek, ko naslovnik prejme sporočilo. V obeh primerih, ko je trenutek podpisa oz. oddaje sporočila, ali pa trenutek prejema sporočila, res pomemben, se uporablja kar pošta (oz. vročanje z detektivi, ali pa vročanje proti potrditvi prejema). V primerih, ko pa trenutek podpisa lahko vpliva tudi na pravice tretjih oseb (npr. v izvršbi :)), pa se praviloma zahteva overitev pri notarju.
Skratka - s tehničnega vidika problem, ki ga omenjaš, obstaja. S praktičnega vidika (potreb gospodarstva) pa ne gre za kak hud problem :).
https://dolhar.si/
kow ::
S prakticnega vidika to ni problem samo za to, ker smo navajeni, da placujemo strosek pravne in postne infrastrukture.
Malcolm_Y ::
Vanquish: "Kaj je točno tvoja poanta?"
Ziga Dolhar: "S tehničnega vidika problem obstaja."
No, poanta je, da bi morali izdajatelji potrdil preprečiti kaj takega? To, da lahko jaz samo s spremembo datuma v Win na nek .pdf namestim veljaven digitalni podpis, za katerega sigen-ca popolnoma brez zadržkov jamči, da je bil podpisan pred par leti, dejansko pa danes, je vseeno malo nenavadno.
Ziga Dolhar: "S tehničnega vidika problem obstaja."
No, poanta je, da bi morali izdajatelji potrdil preprečiti kaj takega? To, da lahko jaz samo s spremembo datuma v Win na nek .pdf namestim veljaven digitalni podpis, za katerega sigen-ca popolnoma brez zadržkov jamči, da je bil podpisan pred par leti, dejansko pa danes, je vseeno malo nenavadno.
Vanquish ::
oni ne jamcijo, da je ta datum pravilen, ampak da si ta datum ti navedel na tak al drugacen nacin v casu podpisa.
To pa je vlka razlika
To pa je vlka razlika
Wrop ::
jamči, da si to ti podpisal in/ali da se vsebina ni vmes spremenila. Kaj si ti za en datum notri vpisal in ali je ta čas res pravi ob podpisu, pa ne jamči.
sniff ::
no v bistvu je problem, ker je polovičarsko in dopušča možnosti manipulacije - je kup birokratskih obrazcev, kjer je datum podpisa lahko pomemben in glede na to, da naj bi se vse počasi digitaliziralo in ker je z vidika tehnične rešitve verjetno trivialna stvar za nardit je bedarija, da ni nekega centralnega preverjanja datuma in ure.
Ziga Dolhar ::
+1 @ Vanquish in Wrop. Z digitalnim podpisom se potrjuje identiteta podpisnika.
Ampak še enkrat: v pravnem prometu je trenutek podpisa zelo zelo redko pomemben. Praviloma je pomembno, kdaj ti določeno izjavo (npr. na podpisani listini) "podaš" svoji nasprotni stranki. Šele takrat namreč učinkuje, ne pa s trenutkom, ko si jo podpisal.
Ampak še enkrat: v pravnem prometu je trenutek podpisa zelo zelo redko pomemben. Praviloma je pomembno, kdaj ti določeno izjavo (npr. na podpisani listini) "podaš" svoji nasprotni stranki. Šele takrat namreč učinkuje, ne pa s trenutkom, ko si jo podpisal.
https://dolhar.si/
tone31 ::
https://www.si-trust.gov.si/sl/kvalific... pri nas uporablja se za stempljanje nekaterih arhivskih dokumentov da se ne more z datumi ponarejati nekaj
Malcolm_Y ::
Res je, tudi ročno se lahko datum seveda potvori. Mislim samo, da bi lahko elektronski podpis manipulacijo datuma preprečil, pa je (še) ne.
Vanquish ::
Res je, tudi ročno se lahko datum seveda potvori. Mislim samo, da bi lahko elektronski podpis manipulacijo datuma preprečil, pa je (še) ne.
ampak se enkrat - obstajajo vzvodi kjer je to pomembno in tam tudi zahtevajo uporaba katerega od servisa, ti pa to gledas pri servisu, ki ni nic drugega kot samo garancija, da to kar si ti podpisal ni bilo spremenjeno, se pa s kvaliteto ali verodostojnostjo podatkov ne ukvarja.
kow ::
Ziga Dolhar je izjavil:
+1 @ Vanquish in Wrop. Z digitalnim podpisom se potrjuje identiteta podpisnika.
Ampak še enkrat: v pravnem prometu je trenutek podpisa zelo zelo redko pomemben. Praviloma je pomembno, kdaj ti določeno izjavo (npr. na podpisani listini) "podaš" svoji nasprotni stranki. Šele takrat namreč učinkuje, ne pa s trenutkom, ko si jo podpisal.
Trenutek podpisa ni pomemben, ker ni tehnologije, kjer bi lahko z gotovostjo dolocili trenutek podpisa. Ne pa, ker to ni potencialno koristna informacija.
WhiteAngel ::
Ziga Dolhar je izjavil:
Zato se pa, kadar je čas podpisa pomemben, uporabljajo "trusted timestamping" rešitve.
Tole.
Torej za trusted timestamping rabiš neko tretjo osebo, ki ji oba zaupata, da potrdi čas podpisa. Lokalno ti lahko trdiš, da si podpisal pred kristusom.
Zimonem ::
Nič drugače ni kot pri vseh dokumentih. Če je datum pomemben moraš prek notarja(CA servisa). Sicer lahko podpisuješ sam, ampak temu noben ne zaupa.
solatko ::
Malcolm_Y - Zakaj sprašuješ na forumu, kaj ne znaš narediti preizkusa - spremeni datum in poizkusi podpisat, potem pa poročaj.
Delo krepa človeka
Malcolm_Y ::
Zimonem ::
The time stamp acts as a locking mechanism for both the signer's identity and the document itself. Identity can be established in a number of ways (certificate, logon, id card ...) but the time stamp has to be provided by a trusted and authorized time stamping authority (TSA). TSAs are for profit companies that provide their services to clients like Adobe through PKI infrastructure. Adobe configures time stamps at the application level, at the shard level and at the account level.
Karen ::
Datum je pač vsebina dokumenta - lahko je resnična ali pa ne. Tudi če podpišeš listino in v njej piše da si bedak - mogoče si, mogoče pa nisi... podpis še ne dokazuje resničnosti vsebine, pa naj bo to datum ali kaj drugega - dokazuje pa, da listina od podpisa dalje ni bila spremenjena (in to je tudi edino kar dokazuje - to ljudje pogosto mešajo, tako kot npr. pri javnih naročilih mislijo da če varno podpišejo vsebino ponudbe je nihče ne more videti pred rokom - kar sploh nima nobene zveze). Kot so že ostali napisali, za ugotavljanje trenutka podpisa se uporablja timestamping s pomočjo ustreznega servisa za časovno žigosanje - država ga ima, Pošta ga ima recimo pri nas...
Zimonem ::
Stvari so dobro definirane.in tudi piše da je dokument lokalno poštempljan ne pa prek ca-tsa.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Uradna stran monera delila viruse, ki so kradli kriptovalute (strani: 1 2 )Oddelek: Novice / Varnost | 15868 (11790) | MrStein |
» | Sluzba za nedolocen cas-odpovedOddelek: Loža | 2353 (1595) | xx23 |
» | "Digitalni" podpisOddelek: Loža | 2623 (2356) | BlueRunner |
» | Prihajajo novi spamerjiOddelek: Novice / Zasebnost | 5635 (3630) | BlueRunner |