Odpovědi Vladimíra Mlynáře - Ano, jsem počítačově gramotný

Spočítejte si počet potencionálních uživatelů a cenu jednoho klíče na 1/2 či 1 rok.

Bombasíno? Co!

Ostatní je zcela stranou. Hlavní je vyštrachat prachy ze státní kasy a spoléhat na kamarády ministry.

Tož se mějte.

Jo a ps: KOLIK LIDÍ MÁ DNES ica CERTIFIKÁT ?

sam s XML jako serverovy vyvojar nekolik let pracuji, jeste v dobe, kdy o nem skoro nikdo neslysel.. ale mam pocit, ze spoustu amateru a tupcu si ho bere za kouzelne slovicko. Tak napr. co presne mini, ze st. zprava bude najednou otevrene protoze se pouzije "XML" :-o

XML by mohla byt jedna cesta ven z monopolnich praktik mrqo$oftu (abych kvuli tomu, ze chcu komunikovat se statni zpravou, nemusel pouzivat jejich predrazene a nekvalitni produkty)

ale to by ti hosi co tomu veli museli vedet ze operacni system neznamena windows a dos

To je právě to! Proč si to myslíte?

V XML Vám udělám tak proprietální formát, že se nebudete stačit divit. XML je velice zjednododušeno pouze zpsůob jak používat znaky <>. V principu však není problém, aby v sobě nesl třeba ActiveX prvky apod. Přesto všechno to pořád bude XML.

XML je nástroj, ne řešení.

Asi bych nepouzil slovo proprietarni, i kdyz je pravda ze jsem videl i zverstva typu do XML zabaleny binarni format..

Ale jinak na to mame asi podobny nahled, XML neni reseni pro vsechny bolesti sveta a rozhodne neporazi nadvladu MS

proč myslíš že binární data v xml jsou zvěrstvo??? dokud se používá UUENCODE nebo podobné kódóvání, je to zcela běžná praxe.

on to ten mlynář asi myslel tak, že dokumenty vytvořené v xml se pak dají snadno transformovat do pdf a jiných formátů. jinak, úplně souhlasím s tím, že se dneska lidi oháněj xml a vědí o tom kulový. zkrátka budem prosazovat xml, protože všichni to tak dělaj, že microsoft je zářný příklad - v každém dokumentu nezapomenou zmínit, že ta a ta technologie je postavená na xml. což je pro běžnýho uživatele naprosto nepodstatná věc, stejně tak nepodstatná věc je to pro člověka, který potřebuje z úřadů na webu vydolovat nějakou informaci, ne?

a taky nesnáším ty zprzněniny microsoftu a jinejch firem, píšou to většinou lidi, který chtěj ukázat jak je ta firma špatná a přitom už deset let jedou na windows

zdravim všechny, mějte se

bezna.. ale defacto k nicemu

Jednou jsem take delal s nejakym serverem co tvrdil, ze je xml-ready. Nakonec jsem zjistil, co to znamena , mel konfigurak v XML

a dalsi pan idiot co komentuje neco, o cem nic nevi.. Tak si zkus od nekoho chytrejsiho zjistit, kdo se velmi aktivne spolupodili na navrhu mnoha standardu kolem XML a kdo ma sve produkty zaSOAPovane..ktery framework z dvojice J2EE a .NET je na tom lepe v podpore XML apod

Nesnasim idiot co pisou mrqo$oftu .. ja take nepisu o_fuck_p_idiot_bastards_e_$_n $oftwade a pod.

Přesně tak, nesnáším všechny idioty, kteří místo Microsoft píšou Micro$oft, Mrkvosoft a podobné hovadiny a pak ještě Microsoft samotný

Me by zajimalo, ve kterem roce, ci desetileti (ci stoleti?) budu moct vyridit vsechny formality spojene s trvalym prestehovanim (trvaly pobyt) (v ramci CR) pouze od pocitace aniz bych chodil na nejaky urad ci k nejake prepazce... Kdy to bude??

nikdy, protze ti zkurveni urednici budou porad srat lidi aby chodili na urady, protze by pro spoustu z nich nebyla prace a vedeni by je muselo vykopat, a ty neschopne hovada by nechtel nikdo zamestnat (proste protoze jsou neschopni a hnili makat)

Může mi někdo z odborníků v čem je chyba:

Jak jsem pochopil tak EP funguje tak že nějaká státem schválená (a v podstatě kontrolovaná) instituce na moji žádost vygeneruje privátní i veřejný klíč. Oba mi poskytne, ale zároveň je má u sebe uložené a má tak možnost číst moji poštu a vydávat se za mě - s tím že co podepíše mým klíčem se ze zákona považuje za mnou podepsané. Buď to špatně chápu nebo mi to přijde totálně absurdní. Za logický systém bych považoval že si dvojici klíčů sám vygeneruju a následně si nechám ocertifikovat svůj veřejný klíč. Tento certifikát (potvrzující že majitel příslušného priváního klíče, který patří k onomu ocertifikovanému je ten za koho se vydává) sbudnluju se svým privátním klíčem a tím vznikne ověřený podpis vázaný na příslišnou CA.

Vím že to takto nefunguje. Mohlo by to být i jinak. Každopádně ale ve mě nebudí důvěru systém ve kterém má někdo A/NEBO stát k dispozici můj privátní klíč.

Prosím o informaci kde je v mé úvaze chyba.... Díky...

Nevim, jak to v realu funguje, ale u uvedeneho reseni by byl nejspis problem s nezarucitelnou kvalitou klice(viz zminene generatory NC).... i tak bych se ale nejspis spolehl radeji na takovy klic, nez na klic, jehoz kopii nekdo vlastni, at uz kdokoli.

a imho zminene jednoduche sumove generatory na zakladnich deskach ve spojeni s nekterymi matem. algoritmy a pripadne zpracovanim nekterych nahodnych deju(vstupy uzivatele ap.) poskytuji dostatecne kvalitni nahodna cisla(mozna se pletu!??), pote by bylo mozno pouzit k samostatnemu vygenerovani klicu overeny SW

Kvalita dobře navržených softwarových generátorů náhodných čísel využívajících asynchronních událostí (myš, klávesnice, chování programů, atd.) je IMO dostatečná pro generování klíčů. Problém je ale v rychlosti, jakou se náhodná data generují -- velmi pomalu. Proto je nemůže používat CA, ale pro vygenerování vlastního klíče je vše v pořádku.

Zajimave, ze bankam to staci, takze nechapu, proc by to nemelo stacit statu. Svuj klic jsem si generoval doma a banka jej pouze podepsala.

Jak jsem již dříve psal, systém ZEP je o důvěře. Vlastně se vůbec nejedná o podpis, ale o vylepšenou pečeť (z otisku nelze rekonstruovat razidlo).
Soukromou část klíče CA neukládá, měla by být zhotovena v právě jednom exempláři (pokud nepožádáš o víc) a takto ti předána. Je jen na tobě, jestli uvěříš, že nebyly činěny žádné postranní kroky. AFAIK existuje i možnost vygenerovat si vlastní klíč a ten si nechat autorizovat. (CA dáš veřejný klíč, ta jím zašifruje nějakou zprávu, ty jim sdělíš text této zprávy [máš soukromou část klíče], uzavře se smlouva a jsi autorizován.)
Klíče se také uzavírají do čipů a to těžko provedeš doma "na koleni". Zabezpečením proti CA pak zůstává jen odemykací fráze.
Když byly pečetě dost dobré pro krále, snad budou dobré i pro prostý lid.

Ty u sebe vygeneruješ soukromej a veřejnej klíč. (dělaj to přímo čipovky nebo v nějaký součásti cryptoapi, například). Vezmeš veřejnej klíč a informace o sobě a vygeneruješ žádost o certifikát. Naběhneš do CA a tam ty tvý údaje ověřej a vygenerujou certifikát, který podepíšou privátním klíčem svého certifikátu. A když dostaneš ten certifikát, tak ho nahraješ do čipovky k tomu privátnímu klíči.
Důvěryhodnost certifikátu CA mělo zajistit to, že ÚOOÚ zveřejnil ve svém věstníku jeho otisk. Myslim, že zveřejňovali SHA-1 a MD5 otisky. Kdysi to zveřejňovali i na svejch stránkách. Jak je to teď, když si to vzal na starosti ÚVIS, resp. Ministerstvo informatiky, nebo jak se to vlastně jmenuje, to netušim.

Ne, tak tomu není. Technicky je to realizováno tak, že si generujete pár  - soukromý+veřejný klíč - na své počítači.  Jim pak předáváte vytvořenou žádost, která již neobsahuje soukormý klíč.  Je ovšem problém praktické ověřitelnosti tohoto...

Tak nas pan ministr informatiky je pocitacove gramotny. Tak at mi vysvetli, jak to myslel pred cca 3 mesici v televizi v poradu Zavinac,kdyz obhajoval pocitace dodavane v projektu "Internet do skol", kdy nefunguje prave tlacitko mysi a nas pan ministr prohlasil, ze to dobra vec, nebot to zakum zabrani stahovani viru !!!! Kde na tohle prisel to teda fakt nevim.

Tak teď jsi mne dostal... to opravdu lidi na PC ve školách nemohou používat pravé myšítko??? Já žil v domněnce, že si na této "technologické fjučurce" Mrkvosoft celkem zakládá a jsou funkce, které v některých aplikacích jinak než přes položku v menu pod pravým myšitkem nepoužijete...

...dost dobrý, jak lidi naučit pracovat s PC...

Jde o jednu z typických polopravd o INDOŠI neustále se objevující a zase zapadající v průběhu věků.

Pravé tlačítko je neaktivní v prohlížečích, nikoliv všude jak je snaživě prezentováno a chápáno. Proč tomu tak je? Na to je potřeba vznést dotaz na zadavatele.

Díky za upřesnění, ale i v prohlížečích s oblibou používám pravé myšítko a zdaleka to není pro "Uložit cosi jako...", a pokud má někdo problém s tím, že se přes pravé myšitko dají "stahovat viry", tak má špatnou antivirovou ochranu a měl by jí zvláště u PC připojených do internetu urychleně řešit... Ale ono je jednodušší něco zakázat a zrušit, než lidem vysvětlit jak věc používat a jak se chovat, že?

Ale teď mne tak napadá, tahla otázka by se měla asi položit především naší politické garnituře, u nich mám především pocit, že jsou tak nějak mimo a nevědí, jak věci používat a hlavně, jak se chovat k lidem, jako ke svým voličům... a to už vůbec nemluvím o nějaké politické a jiné zodpovědnosti za to, co dělají..., ale to by bylo na jiné diskuse...

Zablokované pravé myšítko mě vždycky rozesměje. Co se takhle doTabovat na odkaz a použít Shift+F10

 - jasně, přesně o tomhle to je, někdo se snaží něco vehementně (nebo dementně) zakázat a pčitom je to naprosto kontraproduktivní...

Presne, navic ty klavesnice jsou "woknowsi" => maji tlacitko na kontextove menu.

Mam pocit ze je to prave z duvodu aby se zaci naucili alespon zaklady toho, jak obchazet ruzne "ochrany"  .

PRACHY a MOC ....to je to , oč "nejvyšším" politikům běží. Ostatní jde stranou (včetně lidí) a lidi jsou záměrně udržováni v nevědomosti a neinformovanosti a žáměrně se oblbujou různými politickými prohlášeními. A určitá skupina lidí na tom bohatne a bohatne ....    ...mor a choleru na ně!!!

....to by mě docela zajímalo? Zdá se, že cokoliv může být lukrativní budou dělat soukromé subjekty a kde budou jen náklady tak to zůstane státu. Protože lukrativní záležitosti stát přeci dělat "neumí"...no ta občanka od nějaké SRO asi bude dražší, ale rád podpořím podnikání v této naší malé, krásné a z******* zemi...

Tak to je i můj názor, co nevydělává platí stát, zbytek dostanou soukromé subjekty z okolí ministerstva (známí, bývalí pracovníci, atd..)

Klidne zaplatim za obcanku, pokud mi ji daji zitra, a ne az za mesic, jak je dneska zvykem.

Za tohle muze ta jejich "reforma". Pred tim jsem dosel na okresni policii a na pockani mi do PETI minut udelali novou na zaklade te stare.

Byl jsem jedním z těch kdo ji prosadily.

Buď jsem zapomněl "jaxe pise spravne cesky" nebo nevim.

Taky mě to prásklo do očí  

Pan "ministr" Mlynář je populista ženoucí se pouze za dobrým křeslem a funkcemi podloženými zajištěnými příjmy. Ministerstvo informatiky je jeden velký chaos, který je měsíce za termíny u řady věcí, které měly být již dávno hotové. Nepomůže ani vymetání neschopných (měnící se ve vyhazovy schopných) a ani snaha najít kostlivce ve skříních.

Prozatím je výsledek činnost MIČR jedna velká nula (v optimistickém případě), realisticky ale daleko spíše jenom zbytečný byrokratický aparát komplikující všechno co ještě nebylo dostatečně zkomplikováno.

IMHO je to dalsi zcela zbytecne ministerstvo, ktere svou praci zivime.

No myslim,ze jestli se clovek povazuje za pocitacove gramotneho jenom kvuli tomu ze umi surfovat po internetu nebo ze umi odeslat mejla.Tak je potom pocitacove gramotne kazdy decko od 7 let (respektive od te doby co umi cist a psat).

No tenhle clovicek (Mlynar) alespon nejak komunikuje, atd. Co  dokazal ten obtloustlej prasopes pred nim? Brezina?

Prockpak ten pan lze? Na jeho strankach zadne diskusni forum neni, sam ho zrusil, protoze se mu nelibily otazky.

Pane ministře vaše odpověď na otázku o cenách a monopolu ČTc - byla moc obecná - nic nového jsem se nedozvědel. Pouze vím, že například ve vaší novele chybí bitstream - který by umožnil skutečnou konkurenci. Také tam alespoň podle včerejšího článku pana Peterky na Lupě chybí docela důležitá věc - a to aby ČTU mohlo předcházet sporům a nemuselo čekat až si někdo bude stěžovat.Svalujete vinu na ČTU to však má také díky vám dost omezené pravomoci.

Vím že se budete bránit - ale všichni uživatelé dobře vědí že vláda chce držet nad Telecomem ochrannou ruku alespoň do té doby než ho konečně nesprivatizuje!!! Proto podle mého názoru například ta absence bitstreamu v novém zákoně. Vy do té doby nechcete a ani nemůžete připustit konkurenci - protože ze současným vedením by Telecom do roku padnul na kolena a vy by jste se ho už nezbavili. Jste v nezávideníhodné situaci - ale realita je taková, že na to doplácí koncový uživatel - který musí využívat předražené a ne zrovna kvalitní služby Českého Telecomu.

Přesně tak. Stát nemá zájem na tom, aby ČTc snížil ceny, protože to plní státní pokladnici. A co my, občani? Jak nás "stát" ochraňuje před "státem"? Nijak, prostě na nás SERE. Chcou prodat telecom a vydělat na tom a do tá doby chtěj telecomu udržet monopol, sv*ně jedny. Stejně se jim ho nepodaří prodat.

taky souhlasim,

nechapu proc kvuli telekomunikacim vznika nove ministerstvo kdyz na jednoduchou otazku,je jednoducha odpoved.

Proc neni internet vsude a pro vsechny? protoze je pres Telecom drahy!

A proc je Telecom drahy? protoze nema konkurenci a reg. urad mu ty ceny dovoli!

ja bych navrhoval zridit ministerstvo duchodu aby se tim vyresil problem s duchody co nas cekaji

Obecně k „výrobě“ elektronického podpisu je zapotřebí poměrně složité a drahé technologické vybavení, do jehož nákupu je nutné investovat velké finanční prostředky.


Vazeny pane ministre,

Vami zminene zarizeni k vyrobe el.podpisu vlastni kdokoli, kdo ma k dispozici napriklad OpenSSL. Lze pomoci neho vygenerovat certifikat standardu X509. Pokud si myslite, ze na jeho vytvoreni je potreba mnoho hodin strojoveho casu na dnes jiz beznem pocitaci (P500 a vyse) pak se velmi mylite, tato operace je hotova prakticky okamzite. Cena v soucasne dobe prumerneho osobniho pocitace nepresahne 20000 Kc. Jsou toto ony "velke financi prostredky"?

Cekal jste snad od nej neco inteligentniho? Zatim vsechno, co predvedl, byly akorat prachsproste a nesmyslne zvasty. Jestli je ministr Mlynar pocitacove gramotny, tak snim vlastni ponozky.

Ono totiž jako počítačově gramotný se dneska označuje každý, kdo umí kliknout na ikonu.

No, ono nejde ani tak o to technologicke vybaveni jako spis o nastaveni procesu ktere zaruci, ze certifikat bude vydan opravdu opravnene osobe, ze si nebude moct Franta po praci zajit vedle do mistnosti a vygenerovat si tam certifikat znejici na jmeno nekoho jineho atp.

Neni problem vygenerovat ZADOST o certifikat. Neni dokonce problem ani vydat certifikat. Problemy - a dost velke - nastanou v okamziku, kdy chceme, aby certifikat byl vic ne e-carem e-papiru. Pokud mame mit jistotu, ze Franta Voprsalek je opravdu Franta Voprsalek a ne Pepa Slunicko, ktery se nekde sikovne protahl...

Víte, jaké požadavky klade vyhláška na technické vybavení? Já ne. Ale zase vím, že normální PC sice stojí 20000, ale "náhodná" čisla, které vygeneruje nejsou zase až tak náhodná. Je proto klidně možné, že je potřeba samostatný generátor náhodných čísel a takové mašinky jsou celkem drahé. Rozhodně stojí více než 20kKč.

Ehm, jaký je rozdíl mezi softwarovou a hardwarovou generací náhodných čísel. Vždyť v tom hardwaru stejně musí být  "zadrátován" nějaký software.
Žádný generátor náhodných čísel nevygeneruje absolutně náhodné číslo, ale pro tu kterou oblast použití se použije takový algoritmus, který vygeneruje dostatečně náhodné číslo.

Treba procesory VIA generuji nahodne cisla ze sumu tranzistoru (nejak tak).

Tak to jste naomylu. HW udělátka generují náhodná čísla opravdu náhodně. Nebavíme se tady o nějakém jednočipu, který má naflashovaný nějaký kongruentní generátor pseudonáhodné posloupnosti, ale o sofistikovaných zařízeních, které měří šum na polovodičové diodě (snem většiny konstruktéru je dioda, která nešumí. Existuje nicméně malá, ale dobře placená skupina vývojářů, kteří sní o diodě, co šumí co nejlépe :)), počítají impulsy z rozpadu radioaktivního materiálu a já nevím co ještě. Jak bylo zmíněno, VIA teď něco takového dělá, mám pocit, že Intel taky, ale jsou to pořád ještě hračky. Drahé je nejenom nákup pořádného generátoru, ale i jeho údržba (aby pořád generoval dostatečně náhodně).

Myslite neco jako ten generator nahodnych cisel, co je v chipsetu Intel a generuje je z tepelneho sumu? Tak tenco takoveho doma mam

Nejsem odborník přes tyhle záležitosti, to skutečně ne, ale je trošku rozdíl, když si koupíte stroj, který vám zaručuje určité statistické vlastnosti čísel, a nějaké šumítko na desce (jehož vlastnosti jsou pořád ale lepší, než vlastnosti jakkoliv sofistikovaného SW generátoru). Ty ceny jsem si nevymyslel, ale ani bych se za to příliš nehádal, máme jeden u nás ve škole a někde jsem zaslechl kolik to stálo :).

Pan ministr mel mozna na mysli, ze certifikat se na kolene urcite vyrobit da, ale CA musi mit infrastrukturu jak certifikaty spravovat (uchovavat informace o jejich drzitelich, zajistovat jejich revokaci ... atd atd ...). Ale ne druhou stranu pane ministre zas tak drahe zarizeni vcetne odpovidajici infrastruktury to take nebude. Rozhodne mnohokrat levnejsi, nez nektere nejmenovane informacni systemy dnesni doby

To by klidně mohl být i námět na zajímavý článek pro Živě. Kontaktovat 1CA a vyzvědět nějaké technické detaily. Drahé může být jak HW vybavení, tak vybudování infrastruktury, tak i prostě zajištění kvality celého procesu. Jenže na zajímavý článek tady člověk pomalu nenarazí, asi se živě spíše věnuje tomu, čemu se věnuje i dalších milión serverů po celém světě :(

CA krom toho ze musi mit nekolik serveru v hodnote radove v milionech korun, tak musi mit i dohledove centrum (kde sedi 24/7/365 tri az pet lidi) a cela serverova mistnost musi byt v budove chranene asi jako bankovni trezor, chranene proti vypadku napajeni (dieselagregatem), a samozrejme proti zivelnym pohromam (povoden a podobne shity)

-nemyslim si ze to vsechno bude levna sranda (generator nahodnych cisel je korunova polozka = I51 + ADprevodnik + dioda)

Souhlas s tímto názorem - nevím, jestli to certifikační úřad bude generovat zrovna na nějakém speciálním univerzitním generátoru pro skoumání fraktálů

Pan ministr neni informatik, ale aspon se nechal informovat od poradcu o principu certifikatu.

Certifikat (at na server nebo osobni pro podpisy v mailu) musi byt vystaven a potvrzen nejakou certifikacni autoritou. Nad tou certifikacni autoritou musi byt dalsi autorita. Certifikaty maji casove omezeni a musi byt zpetne overitelne az u te nejvyssi CA (cert.autority). Napriklad banka muze mit povoleni pro vydavani certifikatu od Verisignu (nebo podrizene CA), ktery ruci nejen za certifikat te banky, ale i za jednoho kazdeho klienta s certifikatem vydanym tou bankou. To je proste princip, jinak by byl chaos. Zkratka nemuze pepa rucit frantovi, ale nad pepou musi byt nekdo dalsi (a pripadne dalsi), ktery ruci za pepu i za vsechno co pepa ruci.

Tohle vsechno se samozrejme plati a penize tecou az k te nejvyssi autorite. Ten s certifikatem ma jistotu, ze jeho certifikat je kdekoliv a kdykoliv overitelny na vsech urovnich "rucitelu".

Pracoval jsem v jiste organizaci, ktera letech 99/2000 vydavala certifikaty pro bankovni instituce a pro jejich klienty. pro tyto potreby bankovniho sektoru v CR jsme byly autoritou, nad nami byl Verisign. Nerikam, ze tou nejvyssi musi byt zrovna Verisign, jen popisuji prinicp.

Dokazu si predstavit, ze by ceska vlada zridila nejvyssi CA a potvrzovala komercni cert.autority, ktery by vydavali klice svym zakaznikum/klientum. Statni CA by mela zakazano vystavovat klice koncovym zakaznikum (neco jako princip  CNB a komercni bankovni sluzby). Otazkou je, jestli by takovy klic platil i za hranicemi CR (kdyby vladni CA byla podrizena nejake globalni CA, tak jo).

O ZEP se lehce zajímám a řekl bych, že tvoje vyjádření není zcela přesné.
Kdo je nejvyšší CA? Jakou má oporu v zákonech? Odpovím podle svého mínění -- jednoznačná neexistuje, žádnou.
Princip ZEP je založen na důvěře. Mějme nějakou společnost, která vydává certifikáty. Tato společnost svou práci dělá správně a zodpovědně a já to vím. Budu proto věřit všem certifikátům, které vydala. Vůbec mě nebude zajímat, že její certifikát není podepsaný nikým jiným, když jsem ho získal z důvěryhodného zdroje. Taková společnost může být ustavena zákonem, který bude dále upravovat její činnost. Asi nebude důvod, proč by tvůrci webových prohlížečů nezařadili tuto CA do důvěryhodných a zajistili tak celosvětovou důvěru v její certifikáty.
Můžou se vytvářet polosoukromé kruhy (rings) či zcela autonomní společenství (velká firma). Takový kruh vytvářím např. se svými známými pomocí GnuPG. Když zná někdo mně a důvěřujeme mi natolik, že když uvidí můj podpis na cizím klíči, může si být jistý, že ten člověk je skutečně tím, za koho se vydává, protože já jsem jeho identitu zkontroloval a ručím za ni. Když mě nezná nebo mi natolik nedůvěřuje, nepřikládá mému podpisu význam.

Presne tak. Pokud chce stat pouzivat certifikaty a podpisy, musi sam zridit CA. Sem zvedav, jake sankce uplatni vuci te firme, pokud se zjisti, ze danove priznani podvrhl nekdo jiny. Jinak si myslim, ze v tech vyhozenych miliardach by se par milionu na vydani certifikatu vsem obcanum naslo. I pokud je to zarizeni "drahe" pri rozpocitani na vsechny obcany to jiste zase tak drahe nebude abych musel platit 800Kc rocne vlastne za par cisel. Navic kazda banka ma totez a zajimave je, ze levneji.

"Kdo je nejvyšší CA? Jakou má oporu v zákonech?" - To je otazka, na kterou je asi dost tezka odpoved.

O tom rezimu vzajmenosti co pises se tusim nejak realne uvazovalo v plosnem nasazeni, neni-li jiz nasazeno - byly by ruzne stupne overeni podle toho kdo a kolik lidi by daneho cloveka/certifikat potvrdilo jako duveryhodny a v jakym levelu duveryhodnosti by dani "potvrzovaci" byly = cim vic a na cim vyssi urovni, tim vyssi uroven certifikatu. Vyhodu to ma v decentralizovanem debyrokratizovanem systemu, nevyhodu v te hranici, co uz pokladat za duveryhodny potvrzeny certifikat a co jeste ne.

Naproti tomu pyramidove reseni je sice tezkopadne ale neprustrelne v principu; ze systemu lze kdykoliv vyradit neplatny klic nebo CA, vyssi ochrana proti neduveryhodnym CA, vyssi ruci a kreje nizsi stupen. O legalnosti a vaznosti svedci i to, ze tehdy mohl Verisign dostat povoleni  od vlady USA na vyvoz silne sifry do vychodni evropy (platil zakaz o vyvozu silnych sifer z USA do "neduveryhodnych" oblasti, kam patrila i CR v te dobe) byt s omezenim pro bankovni sektor. O vyznamu a duveryhodnosti Verisignu jako CA myslim neni treba diskutovat (byt to neni institut ale soukroma firma, certifikaty od nich jsou brany jako 100%duveryhodne).

Z logiky veci vyplyva, ze i statni CA by nad sebou musela mit nadrizenou autoritu - jinak je to opet proprietarni system byt na urovni celeho statu. Nebo vy snad ochotne prijmete dokument s certifikatem potvrzeny CA Kokosove ostrovy nebo Nigerie?

Systém vzájemnosti má význam pro osobní korespondenci (třeba přes GnuPG). Funguje tak myslím i Thawte pro soukromé klíče, které jsou zdarma. Certifikační autoritou může být i personální oddělení ve větší firmě, které vydává certifikáty užívané uvnitř této firmy.
Pyramidové řešení není tak úplně pyramidové. Většinou se totiž jedná o více pyramid (více CA), některé z nich jsou kruhově svázány (A ručí B, B ručí A), jiné stojí mimo.
K Verisign. Vzpomínám na aféru, kdy Verisign dala klíče podepsané jako Microsoft někomu cizímu. Důvěryhodnosti to jistě nepřidalo. Kredity u mě ztrácí také proto, že se jedná o US společnost.
Z tvého předchozího textu vůbec neplyne, že státní CA by musela mít nad sebou nějakou jinou nadřízenou CA. Sama by mohla stát na vrcholu pyramidy. Minimálně pro EU není ČR to samé co Nigerie (Nebo snad do EU potřebuješ krátkodobá turistická víza?) a certifikáty CA ČR by byly přijímány bez rozpaků. Nebo ty bys snad nepřijal certifikát potvrzený CA Spolková republika Německo? Nabízí se srovnání s cestovními pasy. Většina států věří jiným, když tvrdí, že držitel pasu se jmenuje Josef Opička. Když už bych měl volit podřízení národní CA, tak zcela autonomní a nepodřízené CA EU.
Složité (ne-li nemožné) je celosvětově se dohodnout na nějaké primární CA. A s tím to stojí a padá. Dohodnout se nikdy lidstvu nešlo. Proto se třeba válčí a do 48 hodin (IMO) začne válka další. Ale to jsem hodně OT.
Díky za příjemnou a kultivovanou diskusi, na živě téměř rarita. Tím nechci říct, že ve výměně postřehů nechci pokračovat.

"Kdo je nejvyšší CA? Jakou má oporu v zákonech?" - To je otazka, na kterou je asi dost tezka odpoved.

Odpověď je naopak jednoduchá a najdete jí v zákoně o el. podpisu. Certifikáty pro zaručený elektronický podpis dle tohoto zákona může vydávat pouze AKREDITOVANÁ certifikační autorita.  Tato je z našeho pohledu nejvyšší a není potřebné, aby se u nějaké jiné certifikovala. Čili odpověď zní: všechny akreditované CA (zatím pouze I.CA) jsou nejvyšší, kořenové.

to je presne ono.

nekdo mu nakuka, jak je to e-podpis desne drahe a slozite.

jine mu zase tvrdi, ze bez uzasneho softwaru od mrchosoftu se v zadnem pripade neda pracovat.

treti prihraje dodavku na govbone Ceskemu Telecomu, ktere je pruzne jako noha v sadre (v dobe, kdy jinde zacinali s ADSL, nam teprve laskave zacal nabizet ISDN) a jeho ceny obvykle prevysuji veskere ostatni nabidky (pravda, statu jako castecnemu vlastnikovi se mozna neco odpusti). a to v dobe, kdy spousta uradu ma jiz sve pripojeni, mnohdy rychlejsi, nez jake by zrejme meli dostat v ramci govbone, a pritom levnejsi nez od CTc.

o centralnim trzisti skoda mluvit. jednak to samozrejme obejit lze. navic, kdo ma kupovat od mnoha ruznych firem z cele republiky, kdyz odberem od jednoho ci nekolika malo mistnich dodavatelu muze dosahnout ruznych slev a hlavne lepsi podpory (servis, reklamace atd.).

jen at se danovi poplatnici pod tema danema poradne prohybaji ((

Vazeny pane,

mozna vygenerovat elektronicky podpis "jen tak pro zabavu" je vec relativne jednoducha.  Ale vybudovat system verejne certifikacni autority obecne uznavane vyzaduje splneni rady zakonnych podminek m.j. Zakona o elektronickem podpisu 227/2000sb., Zakona o ochrane osobnich udaju 101/2000Sb, Vyhlasky  UOOU 366/2000Sb., Smernice EU 199/93/ES a ja nevim ceho jeste. System musi zajistit, ze ke zneuziti podpisu nemuze dojit ani jeho majitelem, ani vydavajici autoritou ani kymkoli jinym. Pokud by to system pripoustel nebo dokonce pokud by existovalo jen realne podezreni, ze muze byt EL vydany prave timto mistem zneuzitelny, znamenalo by to totalni diskreditaci zcela jiste konktretniho vydavaciho mista a mozna celeho institutu el. podpisu. Plati rada pravidel nejen pro vydavani, ale i pro overovani podpisu, jeho zneplatneni resp. ukonceni platnosti, pro uroven bezpecnosti podle ISO/IEC 15408 EAL04 a pod. Proto i vytvareni takoveho systemu je mnohem z hlediska kvality, nastroju projektovani a programovani, dokumentace, prukaznosti a opakovatelnosti mnohem slozitejsi, nez vytvareni nejakeho "obecneho" informacniho systemu. Na splneni vsech podminek dohlizi a "licenci" takove instituci na provoz dava prave Ministerstvo informatiky. Pan ministr tedy jiste vi, o cem mluvi. Rozhodne investice jsou radove v desitkach milionu.

S pozdravem

Pavel Reich

Boze ty si ale trouba, jiste, sw pro CA si muze na kazdym PC rozjet kazdy, ale vybudovat opravdu duveryhodnou a bezpecnou CA stoji milinoy.

pokud jste si vsiml tak slovo vyrobe je v uvozovkach, nejde jen o to certifikat vygenerovat, ale provozovat certifikacni autoritu, videl jsem serverovou mictnost I.CA a neni to jenom jedno P500, ale nekolik sestiprocesorovych serveru HP s procesory Alpha (jeden stoji okolo 2 mil. Kc) to uz je 100 vice nez uvadite

s vasim P500 by se asi certifikacni autorita provozovat nedala (neberte to zase tak zle) )

Otazka ovsem je, zda jsou takoveto stroje skutecne potreba. Znam totiz hodne mist, kde diky tomu ze ten kdo plati tomu nerozumi je HW velmi naddimenzovan.