Češi obešli šifrování OpenPGP

Diskuze čtenářů k článku

Michal Kašpar  |  20. 04. 2001 19:56  | 

Privátní nikomu nesmíte říci a plně odpovídá vašemu osobnímu podpisu.
X
Aby byl útok na osobní klíč úspěšný, potřebuje mít totiž útočník přístup k souboru s vaším privátním klíčem.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Michal Houda  |  20. 04. 2001 19:56  | 

Přečti si také onu tiskovou zprávu na http://www.i.cz/onas/tisk4.html. Ta říká, že lze obejít ochranu privátního klíče, který je zašifrován (a to velmi silným algoritmem), např. na sdílených zařízeních v síti nebo při přenosu (na disketě). Jenže právě chyba při použití této silné šifrovací techniky umožňuje ochranu klíče obejít. Přitom není vždy nezbytné navštívit stanici uživatele (cituji).

Máš ale pravdu, informace o tom, že případnému útoku stačí přístup i k ZAŠIFROVANÉMU privátnímu klíči, je v článku poněkud nevýrazná. Je jasné, že nezašifrovaný klíč nebudu vystavovat ve výkladní skříni...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr Souček  |  20. 04. 2001 19:56  | 

Ovšem i v onom uváděném případě se souborem na síti správci sítě stačí umístit do login skriptu spuštění klávesnicového snifferu a odečíst passphrase.
Zmíněné odhalení je možná z hlediska teoretické kryptologie významné, v praxi ale sotva.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Jaroslav Snajdr  |  20. 04. 2001 19:56  | 

Vas privatni klic je pred ulozenim na disku zasifrovan a pro jeho pouziti musite zadat heslo. Pokud toto heslo neznate, neni teoreticky mozne privatni klic desifrovat. Ukradnete-li nekomu soubor s jeho privatnim klicem, je vam bez hesla bezcenny.

Objeveny utok umoznuje tuto ochranu heslem obejit. Utocnik pouze pozmeni soubor s vasim privatnim klicem a pote co dostane prvni zpravu podepsanou timto otravenym klicem, zjisti z ni vas privatni klic, aniz by musel znat heslo.

Pokud neco takoveho format OpenPGP umoznuje, jde o velice zavaznou chybu a veskery humbuk je na miste.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Jiri  |  20. 04. 2001 19:56  | 

Stejně ve mně celý případ vzbuzuje dojem, že se jedná především o přípravnou dělostřeleckou palbu před útokem komerčních firem. Teď bude následovat celá řada vyhlášení typu: používejte náš produkt, je bezpečný...
Jiří

Souhlasím  |  Nesouhlasím  |  Odpovědět
ufak  |  20. 04. 2001 19:56  | 

Pry se to nema dotknout el. podpisu.
Nase media to ovsem prezentuji OPET jinak.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Jiri  |  20. 04. 2001 19:56  | 

Tady je docela dobrý článek na toto téma - rozhodně lepší, než zpráva ICZ!!!
http://underground.cz/598

Jiří

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zdenek Mazanec  |  20. 04. 2001 19:56  | 

Presne tak. Media se chytla senzace a delaji vlny. Jak underground vtipne glosuje, asi jedou na heroinu. Az nekdo bude mit pristup k memu privatnimu klici, tak ma minimalne moje prava. Je komicke skodit mi prave timto zpusobem, ktery zjevne poznam (nebudu mit validne zasifrovane zpravy). Mnohem jednodussi je "nacinknout" prislusne binarky tak, aby utocnikovi posilaly cokoliv bude chtit.

Souhlasím  |  Nesouhlasím  |  Odpovědět
vega  |  20. 04. 2001 19:56  | 

Článek na ungegraundu je super. Lidové noviny - a vůbec většina novin v této zemi - jsou dobré tak na vytírání zadku, protože jsou v nich novináři - tedy kategorie lidí, kteří mají v hlavách dost prd, ale musí ho umět co nejvíc prodat a dělat, že všemu rozumí. Světu budou vládnout čím dál víc primitivové v médiích. Škoda že to napsali tak vychcaně (jak to dělají vždy, když chtějí udělat bombastickou zprávu, u které si ale raděj dělaji zadní vrátka). Myslim, že by si za to zasloužili dát k soudu za šíření poplašné zprávy.

Souhlasím  |  Nesouhlasím  |  Odpovědět
asdfasdf  |  20. 04. 2001 19:56  | 

hehe, takze zase zase "vycurani" cesi svetu ukazali, co dokazu !

Souhlasím  |  Nesouhlasím  |  Odpovědět
Vrána  |  20. 04. 2001 19:56  | 

Taky mohli novináři hned napsat, že to našel Decros a ne nějaká zcela neznámá firma ICZ.

Do teď jsem to považoval za totální kachnu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
otakar schon  |  20. 04. 2001 19:56  | 

muism vas malicko poopravit. Spolecnost ICZ neni neznama, jen byla az do unora dobre utajena. Nicmene je to spolecnost s obratem 750 milionu kc, patri ji decros, internet servis a dalsi a dalsi spolecnosti. V tiskove zprave navic stoji, ze za tim je Decros

Souhlasím  |  Nesouhlasím  |  Odpovědět
Stanley  |  20. 04. 2001 19:56  | 

Po přečtení článku jsem ale nepochopil proč se autor ani jednou nezmínil o heslu. Totiž to privátní klíč (soubor na disku) je jedna věc a heslo vázané k němu je věc druhá. A nemusím mít žádný "prográmek" aby mi z privátního klíče udělal privátní klíč.

Souhlasím  |  Nesouhlasím  |  Odpovědět
knoto  |  20. 04. 2001 19:56  | 

Ked niekto ziska pristup k mojmu klucu tak to nepovazujem za obidenie sifrivacieho algoritmu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Michal Kaąpar  |  20. 04. 2001 19:56  | 

Problém je v tom, ľe kdyľ se někdo dostane k souboru s vaąím klíčem, neměl by mít ąanci s ním cokoli udělat. Je chráněný heslem a bez něj by mělo být nemoľné s ním jakkoli manipulovat.
Díky nízké ochraně při ukládání to vąak moľné je.
Ovąem jak jiľ tady bylo zmíněno a jak je uvedeno na undergroundu, kdyľ má někdo přístup k Vaąemu souboru s podpisem, můľe si s Vámi dělet i jinąí věci.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Michal Kaąpar  |  20. 04. 2001 19:56  | 

Jo taky by mě zajímalo, proč můj příspěvek z půl jedný ráno má diakritiku v pořádku a ten z poledne ne.

Souhlasím  |  Nesouhlasím  |  Odpovědět
knoto  |  20. 04. 2001 19:56  | 

Slovo nemozne by som nepouzival lebo uz dnes sa daju lamat 50-60 bitove DESy hrubou silou za niekolko minut. A podla mna sa dost rychlo blizi doba kedy sa budeme smiat pri pomysleni na RSA. V USA sa uz viac ako RSA preferuje problem diskretneho logaritmu(pokial viem).

BTW: PGP pouziva RSA ale privatny kluc je sifrovany nie RSA ale nejakou symetrickou sifrou. Neviem sice akou ale symetricke sifry su vo vseobecnosti slabsie ako nesymetricke.

Ked uz niekto ma moj privtny kluc tak sa nemozem spoliehat na to, ze sa mu nepodari ho rozsifrovat. Treba predpokladat ze ked si dal namahu ho ziskat tak pravdepodobne aj vie co s tym robit a nemozes predpokladat aku vypoctovu silu je na to odhodlany pouzit

Souhlasím  |  Nesouhlasím  |  Odpovědět
Michal Kaąpar  |  20. 04. 2001 19:56  | 

Nemoľné jsem samozřejmě mínil v mezích moľností. Co jsem chtěl říct bylo, ľe to má být co nejnemoľnějąí a ľe tady je to moľné aľ přílią .

Souhlasím  |  Nesouhlasím  |  Odpovědět
Slartibartfast  |  20. 04. 2001 19:56  | 

Symetrická šifra s klíčem délky 128 bitů je co do útoku hrubou silou ekvivalentní šifrám asymetriským s klíčem délky 3Kbity a více. Tečka.

Souhlasím  |  Nesouhlasím  |  Odpovědět
a  |  20. 04. 2001 19:56  | 

No, že i Živě tuhle mediální návnadu pěkně sežere, to jsem si nemyslel. Jedno je jasné - ICS se docela dobře povedlo zviditelnit a udělat si reklamu ... Hlavně, že nezapomněli na konci zprávy připojit, jak jsou dobří .

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tomáš Holčík  |  20. 04. 2001 19:56  | 

To, že o tom píšeme, neznamená, že bychom něco sežrali.
Pochopitelně se nejedná o nějaký dramatický průnik, který by zrušil používání PGP po celém světě.
Stejně tak, jak je v článku uvedeno, nejsou ohroženy žádné další aplikace.
Dle mého názoru se jedná o odhalení bezpečnostní díry, ale s nijak dramatickým dopadem.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Radek  |  20. 04. 2001 19:56  | 

To není závada šifrovacích algoritmů, ale to, zda je možné pod zvoleným OS vytvořit vůbec bezpečné úložiště privátních kličů.

Podle mě do počítače on-line připojeného k i-netu něco takového vůbec nepřipadá v úvahu. Prostě privátní klíč nemá v PC co dělat. Když už bych chtěl používat něco takového, tak jedině externí zařízení s čipem, které načte text a vrátí ho zašifrovaný (podepsaný) - třeba přes USB - aniž by se někam exportoval privátní klíč.

Za zmínku stojí uvaha proč v systémech mají privátní a veřejný klíč jiné velikosti ??? - panuje nepotrvzená doměnka, že to je z důvodu, aby nešly jednoduchým trikem prohodit. On by pak nic netušící uživatel se zprávou vyslal do světa privátní klíč. Kdo ví???

Souhlasím  |  Nesouhlasím  |  Odpovědět
calcal  |  20. 04. 2001 19:56  | 

toz zase jeden maly comment k Radek/NBU:
... uvaha zcela spravna, dokazu si tipnout, ze onen humbuk je prave kvuli uvedeni neceho HW k ukladani privatnich info primo od Decrosu

... protoze jsem vsak skeptik k ochrane informaci, jde jen o presunuti SW problemu do radoby mene dostupnejsi HW roviny

... nebo ze by dosud ICZ nedala nabidku na dodavku HW autorizacnich klicu od sve dcerinne spolecnosti?

... resume: je to jen a jen o penezich, byt nikomu neupiram perfektni marketingove provedeni (ICZ) a RNDr.Klimovi jeho obrovskou fundovanost (kdyz se rekne Klima, je to u me v mozku jiz povedome fixovano na kryptovani

Souhlasím  |  Nesouhlasím  |  Odpovědět
Radek  |  20. 04. 2001 19:56  | 

Jo, to víš, kdybych se rozepsal co si o tom myslím (to neznamená, že to je pravda) hned bych dostal padáka....
Takže jen stručně :
Decros + Microsoft = MicroCzech
tj. : "náhrada" a doplnění vrstvy která leží ve Windowsech pod CryptoAPI. Pro digitální podpisy ve státní správě.
Dokumentace je pochopitelně normálně nedostupná. Je zajímavé jakým způsobem se rozhoduje, komu ji Microsoft poskytne a hlavně za co?????????
Že by náhoda, že v čele Microsoftu člověk z bývalé I.správy a většina specialistů na šifry v něčem podobném také jela????
Že by náhoda, že taková firma se dostane k utajovaným informacím, které kdyby Microsoft zveřejnil bude bezpečnost všech klíčů pod systémy Windows v PRDELI??? Bezpečnost, postavená na utajení technických informací , je podle mě zcela scestné řešení (stejně to jednou někdo hackne, ale to by bylo na dlouhou diskusi)
Že by se ještě někomu chtělo důvěřovat elektronickému podpisu na platformě Windows, když k dokumentaci low-level vrstvy mají přístup osoby s možná pochybnou minulostí, tomu už lze jen těžko věřit. Přesto stát narval do vývoje MicroCzech hezkou hromadu milionů.
Že se nemluví o hlavním problému el.podpisu - to není síla šifry a zabezpečení, ale praktická a NAPROSTÁ NEPOUŽITELNOST z právního hlediska. Každý kdo chce důvěřovat el. podepsanému dokumentu, musí totiž po jeho příjmu počkat, zda se použitý podpis neobjeví na listu zneplatněných klíčů/certifitáků a vyhláška tuším že předpokládá aktualizaci tohoto seznamu 1x za 24hodin. Což je doba, za kterou dnes stihnete přejet půl Evropy, vrazit dotyčnému do ruky papír a pero a vrátit se s podepsaným dokumentem. V případě el. podpisu, pokud nepočkáte na aktuální stav zneplatněných certifikátů a neověříte si tak, že podpis dokumentu je platný (nebyl za uplynulých 24 zneplatněn), a provede nějaké právní úkony, jde vše na váš účet , protože vy jste měl povinnost si ověřit pravost podpisu. Tolik u nás platný zákon, který v reálu činí el.podpis v praxi téměř nepoužitelný...
Takže celá kausa kolem prolomení PGP se dá opravdu vnímat jako snaha starých StB struktur a Microsoftu o potlačení Open Source produktů.
PS. už se těším na toho padáka, stejně tady h.... platěj. Ale že to bude s velkým zemětřesením, jestli se skutečně naštvu!!!!! (...a nezůstane tady na kameni kámen, jak zpívají bři Nedvědi)

Souhlasím  |  Nesouhlasím  |  Odpovědět
calcal  |  20. 04. 2001 19:56  | 

mno, nejsu expert na byvale StB (byt par byvalych specialistu na techniku znam diky sve profesi :)
co vim, tak Decros mel vice nez cokoli jineho predevsim obrovske financni problemy, Klima rad pracoval externe a leckdy i jinde, zabezpeceni zalozene na utajovanych informacich je blbost a dava vzdy MINIMALNE podezreni o zneuzivani backdoors, prenest verifikacni proces na HW nepochybne napomuze minimalne zpocatku vyssimu utajeni diky vyssi financni narocnosti HW reseni, nikdy vsak nemuze zabranit hacku (naopak ho nekdy muze podstatne ulehcit ... z toho plyne, ze stejne vlastne nic nevim, nicemu nerozumim, jsem apoliticky, bez nazoru, bez vyznani, nenastvavam se ... a zasadne se v nicem neangazuji

jo ... a taky mi nejak nejde dohromady potreba studia s relativne obrovskou informovanosti a demonickymi vyzvami , ... no, asi paranoia ... moje, samozrejme

Souhlasím  |  Nesouhlasím  |  Odpovědět
Radek  |  20. 04. 2001 19:56  | 

Já taky nepotřebuju studovat, to jen ve státní správě se to používá jako mobbing vůči lidem s odlišným názorem, nehledě na tajný befel personalistům státních úřadů : nepovolovat státním zaměstnancům studium na prestižních privátních školách.... (možná by pak byli chytřejší než kdejaká office mouse / krysa , která to občas řídí, že)

PS. podepisovat nemušíš, znám...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Radek  |  20. 04. 2001 19:56  | 

Paranoia je bezva , já si jí řízeně pěstuju. V blázinci bude útulno a dost času na literární tvorbu.... Tak se musí vydělávat :o))

Souhlasím  |  Nesouhlasím  |  Odpovědět
MH  |  20. 04. 2001 19:56  | 

http://www.netem.cz/article.php?sid=269&mode=nested&order=0

Souhlasím  |  Nesouhlasím  |  Odpovědět
mpixel  |  20. 04. 2001 19:56  | 

To je pekna kravina. Decros si udělal reklamu. Dekros zjistil ,jinymi slovy že: Váš zámek u bytu se dá odemkonout.
.....nikoliv že máte špatnej zámek(PGP), ale stačí když vám někdo ukradne klíče .
Američani by na takovou blbost nepřišli. ;-(

Souhlasím  |  Nesouhlasím  |  Odpovědět
Boris  |  20. 04. 2001 19:56  | 

Pravda. Svata pravda. Decros si urobil reklamu, dovera v PGP bola mierne nastrbena. A to len kvoli takej somarine, ze ked vam ukradnu kluce tak ...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Marek  |  20. 04. 2001 19:56  | 

Tenhle prispevek to shrnul nejlepe a ja se pripojuji. Kdyz mi nekdo "slohne" privatni klic je to jenom moje blbost. Sifrovaci algoritmy na principu verejneho klice jsou natolik silne, ze je nelze rozlustit v realnem case (na skole nam uvadely radove stovky let na rozlusteni - to myslim je hodne slusna ochrana). Jenom lituji vsechny bezne lidi co o sifrach nevi vubec nic - tady to udela zmatky a nejistotu - se mnou to neudelalo vubec nic - jenom me to poradne nasralo jak se da udelat poradna kachna!!!

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tomáš Holčík  |  20. 04. 2001 19:56  | 

Jasně, právě proto se musí psát, že o nic nejde, že je to bezpečnostní chyba, ale v praxi je to prakticky nevyužitelné (přesněji existuje násobně více zábavnějších možností, když máte přístup k souboru s osobním klíčem).
Přítomnost laických médií (televize, noviny a podobně) na prezentaci odhalení této chyby právě hrozí tím, že se se to nafoukne do masivní likvidace principů elektronického podpisu a to by byla velká chyba.

Souhlasím  |  Nesouhlasím  |  Odpovědět
paranoik  |  20. 04. 2001 19:56  | 

Je to celo o poriadne velkom hovne. Ako spravny paranoik treba mat keyring na diskete a tu stale so sebou. Ked ju stratim/ukradnu je, tak revokujem vsetky svoje kluce a tradaaaaa.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zabak  |  20. 04. 2001 19:56  | 

marek> Me zase *nastve*, kdyz nekdo placa a nevi o cem. Princip toho, s cim prisli, neni v tom, ze kdyz nekdo ma tvuj privatni klic, muze ho pouzit - to je samozrejme. PRINCIP JE V TOM, ZE UTOCNIKOVI STACI MIT PRISTUP K ZASIFROVANEMU PRIVATNIMU KLICI (A MOZNOST HO ZMENIT). ZASIFROVANY PRIVATNI KLIC (CHRANENY NAPR. TRIPLE DES) BYL PRITOM POVAZOVAN ZA BEZPECNY ZPUSOB ULOZENI PRIVATNIHO KLICE.


je to jasny ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Bohdan Linda  |  20. 04. 2001 19:56  | 

hehe, to neni celkem pravda. Poud mam data na disku zakodovana, tak je proste odkoduju, akorat zalezi na velikosti klice! Nicmene, to, na co panove prisli neni az zas tak prevratne. Pri zmene kilce znam zmenu zakododvani. Zmenu klice znam a pri dostatecne velke zmene jsem schopen rychle dopocitat zbytek klice. Co je diskutabilni, je skladovani privatnich klicu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
zabak  |  20. 04. 2001 19:56  | 

hm, tak za prve, spravne je potreba mluvit o sifrvani, ne o kodovani, a za druhe, pokud napr. na 1024 bit triple DES zasifrovany privatni klic reknes "...proste je rozsifruju", tak klobouk dolu. Passphrase, ktera se pouziva k rozsifrovani privatniho klice, je jen jednou z casti, ze kterych se konstruuje klic nutny k rozsifrovani.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Slartibartfast  |  20. 04. 2001 19:56  | 

TripleDES má klíč pevné délky 168 bitů...jsou to 3 "DES megarundy" po sobě...to jen tak na okraj...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Milan  |  20. 04. 2001 19:56  | 

Mno, rekl bych, ze spis prisli na to, jak ten klic ukradnout

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zabak  |  20. 04. 2001 19:56  | 

Hm, vetsina komentaru je trochu mimo misu... a nadava se, aniz by se premyslelo:


- jak bylo receno, staci pristup k ZASIFROVANEMU privatnimu klici, ktery je standardne povazovan za pomerne bezpecny (samozrejme zalezi na ucelu pouziti). Neni nutne mit pristup k privatnimu klici v rozsifrovanem tvaru.



- V rade pripadu (nerikam, ze to je spravne) maji uzivatele zasifrovany privatni klic bud na lokalnim disku, nebo na sdilenem sitovem. Samozrejme, ze idealni je ulozeni napr. na SmartCard - ale vzdyt spoustet exe soubor z emailu taky neni idealni, ale RADA BEZNYCH UZIVATELU TO UDELA.




- mezi instalaci nejakeho druhu key logu a obycejnou zmenou souboru (kde neni kontrolovana integrita !) je velky rozdil - hlavne v narocnosti a poctu (potencialne) zanechanych stop...



- V tiskove zprava bylo dost presne receno, o co jde - a ze z toho par pitomych novinaru udelalo buhvico ... kdyz necemu nerozumim, nemam o tom psat ! (nebo se nejdriv zeptam



Shrnuto - je to tvrde odborna vec o jedne implementaci PGP, ale opravdu to neni zadna legrace - jde o filozofickou chybu, ne o bug ve verzi xy ....

Souhlasím  |  Nesouhlasím  |  Odpovědět
mpixel  |  20. 04. 2001 19:56  | 

a proč zašifrovávat privátní klíč. Když ho nebudu nikomu posílat a nebudu ho skladovat na nějakém sdíleném disku....

Souhlasím  |  Nesouhlasím  |  Odpovědět
Karol  |  20. 04. 2001 19:56  | 

Neviem ci som tomu spravne porozumel, ale pre zmienovany utok treba
1. mat pristup k onomu suboru
2. pozmenit ho
3. odchytit email zasifrovany s takto zmenenym PK ???
4. s takto ziskanych udajov a suboru s PK ziskam kluc pomocou specialneho programu
Asi to teda nie je az taka "technologicka bomba" ako to vyzera podla reakcii. Jednoducho by ziadny soft nemal dat moznost pracovat s modifikovanymi subormi, kde su ulozene citlive udaje, zvlast kluce. Autori zrejme nasli cestu ako PGP kontrolu, ktoru predpokladam ma, oklamat.
Pre mna je skor velmi cudny sposob prezentacie chyby, byva zvykom presne popisat problem pripadne dat k dispozicii ukazku a netrusit okolo toho tolko odborneho balastu. Takto to potom vyzera, ze vsetko okrem RSA je nanic ...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Hynek Olchava  |  20. 04. 2001 19:56  | 

Máte pocit, že oficiální tisková zpráva a reakce objevitelů z Decrosu nejsou dostatečně přesné? - Nesouhlasím. A jestli máte pocit, že některá média či přispěvatelé do diskusí (je jich na webu ohledně OpenPGP a ICZ dost) zkreslila nebo překroutila fakta, pak s Vámi souhlasím.

Souhlasím  |  Nesouhlasím  |  Odpovědět
vega  |  20. 04. 2001 19:56  | 

Vylézá mimoděk na povrch jedna věc - která je dost lidem známá už déle, ale nikdo jí zatim asi nebere jako vážnou. Elektronickej podpis, kdy je privátní klíč uložen na počítači v síti (nebo na pc, ke kterýmu má příštup víc než jeden uživatel) je nebezpečnej! Útočník nainstaluje lehce čmuchač klávesnice a pak, když nachytá potřebný hesla, se prostě vydává za vás. Jak prostý (a sprostý, ale co na tom, účel světí prostředky)... Můžete mít v počítači heslo třeba 100 znaků dlouhý a soubor s privátním klíčem zašifrovanej supr šifrou, která se nedá rozlomit ani za kvadriliardu let. Stejně všechno na hovno. El.podpis může bejt absolutně bezpečnej jen když je privátní klíč na chráněnym médiu mimo počítač. Jinak je mnohem nebezpečnější, než podpis obyčejnej, protože když ho někdo zneužije (je třeba si uvědomit, že časem bude možný takhle podepsat cokoliv s plnou právní vahou - vlastně to jde už dneska, ale zatim chybí infrastruktura, která to umí absorbovat), tak jste v háji a nikomu nedokážete, že to co jste podepsal, jste nepodepsal! Můžete si jít hodit mašli, to je tak všechno... S důvěryhodnym mechanismem, kterej se dost podobá správně použitýmu elektronickýmu podpisu, jsem se potkal u eBanky, u který mám k webovýmu účtu elektronickej klíč (taková podivná malá modrá kalkulačka, kterou mám v kapse a musím do ní pokaždé zadávat pin). Pani na přepážce mi tvrdila, že když bych klíč chtěl zkoumat zevnitř, tak se samozničí, tak to má bejt. Každej úkon s účtem potvrzuju tim klíčem tak, že něco z obrazovky do něj napíšu a ten klíč zas sám něco s těmahle datama udělá a vyplivne kód, kterej já zas píšu zpátky do obrazovky (de-facto ten přenos elektronicky podepisuju, když se pak nedejbože něco podělá - např. se na účtě místo 500 Kč objeví 5000 tak s bankou dohledám ten podpis a podle toho se zjistí jak to fakt bylo). Takže s pomocí toho klíče takhle spolehlivě chránim každej aktivní krok na tom účtu (ten klíč se používá i na přepážce a vůbec všude, když se něco s účtem dělá). Myslim, že žádná jiná banka takovouhle bezpečnost transakce nenabízí. U internet účtů ostatní maji certifikáty - takže to je problém ala elektronickej podpis s klíčem v počítači - a nebo v horšim případě nějaké podivnosti až hrůzy - např.Citybank - to je skutečně pošušňáňí... Můj známej se tam k účtu svý firmy přihlašuje na webu skrze jedno neměnný heslo, který nosí v kapse. Může dělat s takhle blbym zabezpečením přes web limitně neomezený transakce... Já se pak hypoteticky přihlásim na počítači vedle, použiju jeho heslo, co jsem si odchytnul a jdu si něco poslat do svojí ukrajinský banky -haha. A známej ať si uváže provaz, protože ve smlouvě ze sitinou má určitě něco o tom, že takovejhle případ mu banka nezaplatí, dokud něco nedokáže.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Radek  |  20. 04. 2001 19:56  | 

HACKING: SECURITY EXPERTS SAY CITIBANK IS NOT ALONE
When a group of Russian hackers reportedly led by 24 year-old Vladimir
Levin-were arrested for cracking Citibanks electronic money transfer
system and, over a period of four months last year, attempting to
transfer more than $10 million to various accounts around the world, the
news likely struck fear in the hearts of bank IT managers around the
globe. But that alarm may well have been as much a reaction to the
publicity surrounding the event as it was to the theft itself. At least
one security expert says that Citibank is hardly the first bank to
suffer significant losses at the hands of computer-savvy criminals, but
perhaps the first to make international headlines. In February 1998
Levin pleaded guilty to illegaly transferring money from Citybank to his accounts at  Finland, Israel and BankAmerica Corp.  He has been locked
up for three years in a New York jail and has been ordered to pay
Citibank $240,000.

Nepochabně měli v bance instalované OS a SW s bezpečnostními certifikáty ... ehm...ehm... he he he .... to je ale humus bordel dezolát....

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr Souček  |  20. 04. 2001 19:56  | 

Všechno je o lidech, když budete používat elektronický klíč ebanky a necháte ho na stole, tak vám taky kdokoliv vyluxuje účet. Stejně tak když si u Citibank nebudete měnit heslo. Mimochodem - jak ho chcete odchytit?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Vasek  |  20. 04. 2001 19:56  | 

No, ale kdyz ten dotycny nezna muj PIN, tak do toho e-klice naklepe 3x nejaky nesmysly a klic se proste blokne. Problem by byl, kdyby se nahodou trefil (pravdepodobnost 1/10000)

(Autorizani kod plati 2 minuty a jakoukoli transakci je nutne podepsat -- certifikovat)

Souhlasím  |  Nesouhlasím  |  Odpovědět
vega  |  20. 04. 2001 19:56  | 

Zeptejte se každého schopnějšího ITmana, on vám vysvětlí, jak je to složité zacházet se snifferem, o kterém vy jako user na síti nemáte žádné ponětí.... Citybank má HROZNOU úroveň zabezpečení účtu na internetu a v životě bych k ní nešel. To už jsou snad bezpečnější free-maily. Banky problémy s klienty pochopitelně nezveřejňují...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Bohdan Linda  |  20. 04. 2001 19:56  | 

na underground.cz se zas objevil trefny odkaz:
http://www.pgp.cz/openpgpbug.html

doufam, ze vam to uz konecne objasni, v cem je problem

Souhlasím  |  Nesouhlasím  |  Odpovědět
Bohdan Linda  |  20. 04. 2001 19:56  | 

Tady je videt jake mame "odborniky".

Pro Zive: kouknete se tam taky, jak se pisou clany s touhle tematikou. Aspon se snazit kontaktovat kompetentni lidi o nazor.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tomáš Holčík  |  20. 04. 2001 19:56  | 

Také jsme se snažili kontaktovat kompetentní lidi o názor :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
vega  |  20. 04. 2001 19:56  | 

Místo světové senzace o geniálních českých vědcích se do cizích médií dostane trapas o pitomých českých novinářích a vyčůrané marketingové kampani upatlané české IT firmyčky.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Hynek Olchava  |  20. 04. 2001 19:56  | 

Na iDNES se objevil fundovaný názor. Původní zprávu naleznete ZDE.
Jinak vybírám:
Elektronický podpis nebyl rozšifrován, byl jen nalezen špatně ukrytý privátní klíč

(Vyjádření Sdružení pro informační společnost k narušení bezpečnosti elektronického podepisování programem PGP - Pretty Good Privacy)

V úterý v odpoledních hodinách zveřejnila společnost ICZ tiskovou zprávu v níž popisuje možné zneužití elektronického podpisu, pokud je k podepisování používán známý program PGP.

Sdružení pro informační společnost oceňuje špičkovou odbornou práci obou zainteresovaných odborníkù a oceňuje i to, že svůj objev zveřejnili, protože o chybách je lépe vědět, a podniknout proti nim opatření, než před nimi schovávat hlavu do písku.

Tisková zpráva vydaná společností ICZ obsahuje objektivní hodnocení situace, ovšem média, která se těchto informací chopila, jej začala šířit jako „poplašnou zprávu o nebezpečnosti elektronického podpisu“. Zjednodušující způsob, jakým o tomto objevu referují některá média je poněkud zavádějící a případná mediální kampaň může budoucímu užívání elektronického podpisu ublížit více, než nalezená bezpečnostní díra.

Sdružení pro informační společnost jako iniciátor vzniku zákona o elektronickém podpisu proto považuje za nutné zdůraznit, že oba kryptologové sami konstatují, že nenašli chybu v samotném mechanismu elektronického podpisu, ani elektronický podpis nerozluštili. Prokázali však, že tzv. privátní klíč, což je důvěrný prostředek k vytvoření elektronického podpisu, je programem PGP chráněn špatně a mùže být neoprávněnou osobou získán a zneužit.

Použijeme-li přirovnání s bezpečně zamknutým trezorem, pak oba pánové neodemkli samotný trezor žádným páčidlem ani paklíčem, ale zjistili, že pokladník si zamyká klíč od trezoru ve špatnč zamčené zásuvce nebo že jej ukládá pod rohožku. Díky tomu, že klíč pod rohožkou našli, trezor bez problému klíčem odemkli.

Poučením by tedy mělo být, že „elektronický podpis je bezpečný“, ale že si uživatelé musejí soubor se svým privátním klíčem hlídat lépe, než se domnívali (podobně jako klíč od trezoru). A konečně, že tvůrci softwaru pro elektronické podepisování by se měli poučit a lépe dbát na implementaci elektronického podpisu.

V Praze 21.3.2001
Jménem Sdružení pro informaèní spoleènost

Zbyšek Bahenský, prezident
mailto:zbysekb@spis.cz

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zabak  |  20. 04. 2001 19:56  | 

vsichni chytry> Byl zverejnen podrobny popis ... jeste nekdo tvrdi, ze to je marketingova bublina a ty lidi nicemu nerozumi ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
magda  |  20. 04. 2001 19:56  | 

I zde ve francii to vypada jako pekna ptakovina. S timto nazorem souhlasim. At zije pivo !!!

Souhlasím  |  Nesouhlasím  |  Odpovědět
magda  |  20. 04. 2001 19:56  | 

To je teda uroven ! Nemato nic jinyho na praci ? Co takhle jit treba na pivo !

Souhlasím  |  Nesouhlasím  |  Odpovědět
vega  |  20. 04. 2001 19:56  | 

Velmi zajímavé je dále sledovat vývoj této aféry v LN, které jí jako jediné apokalypticky vyblily senzačně před týdnem na celou první stránku : Téměř za týden se objevil na stránce 11 článek uznávaného člověka z oboru (Vladimíra Smejkala), který opět vysvětlil, jaký blábol to LN vypustily. Pod tím bylo na šest řádek (...) "stanovisko" LN, ktere skutečně stojí za to...:
Problém elektr.podpisu jsme se snažili popsat způsobem, který by byl srozumitelný co nejširšímu počtu čtenářů, tedy i těm, kteří s internetem nemají zkušenosti. Posun ve vyznění článku vznikl také tím, že jsme v počátku o bádání dvou českých programátorů měli jen kusé informace. K přesným údajům jsme se dostali teprve na jejich tiskové konferenci. TAKŽE MILÉ LIDOVÉ NOVINY, PŘÍŠTĚ SI NEJDŘÍVE DEJTE PRÁCI ZKOMPLETOVAT INFORMACE A PAK SE SERTE DO NĚČEHO, ČEMU NEROZUMÍTE A ČÍM MŮŽETE V DŮSLEDKU SVÉ ZHOVADILOSTI A SENZACECHTIVOSTI POŠKODIT JINÉ !!!

Souhlasím  |  Nesouhlasím  |  Odpovědět
fero kovar  |  08. 06. 2001 14:29  | 

nemam nic proti cechom ale zas je vidno ze si myslia ze maju len oni zlate rucicky a pritom cely ten objav je uplne odveci trosku sa schopne a najprv si overejte co pisete

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor

Aktuální číslo časopisu Computer

Test 9 bezdrátových reproduktorů

Jak ovládnout Instagram

Test levných 27" herních monitorů

Jak se zbavit nepotřebných věcí na internetu