Portál AbcLinuxu, 15. května 2025 14:46
ne, nepotřebuji (63%)
Jsem progresivni, protoze v teto oblasti jsem konzervativec. Nemam ani platebni kartu a je to perfektni. Vypadek elektrickeho proudu v lednove vichrici mi umoznil ve Vrchlabi bezproblemu platit hotove (benzinka, hotel....) a ostatni tam cumeli na drat.
Elektronicky podpis s dnesnim pristupem uredniku (vytvorene civilizacni byrokracie) je v podstate dalsi se zapleteni do byrokracie. Nekoncici a prohlubujici se kruh.
1.3.2007 23:11
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
1.3.2007 20:50
freshmouse | skóre: 42
| blog: Bruno Banány
1.3.2007 20:57
Max | skóre: 72
| blog: Max_Devaine
To je jednoduchý . Místo "ČerstváKrysa" se podepíšeš jen nulama a jedničkama . Na tom nic nejni :)
1.3.2007 21:13
freshmouse | skóre: 42
| blog: Bruno Banány
4.3.2007 03:50
Max | skóre: 72
| blog: Max_Devaine
...
...když se návrh zákona o elektronickém podpisu schvaloval ve vládě, tak si někteří poslanci mysleli...
Ale v těchto věcech jsem vždycky plaval.
2.3.2007 22:48
freshmouse | skóre: 42
| blog: Bruno Banány
2.3.2007 01:32
xkucf03 | skóre: 49
| blog: xkucf03
Kéž by to bylo tak snadné!
Mám certifikát od České pošty, konkrétně od jejich kvalifikované certifikační autority. Ten ale bohužel neumožňuje šifrování. Je to absurdní, neboť právě při komunikaci s úřady by mělo být šifrování povinné, nikoliv zakázané.
Pak existují komerční certifikační autority, jejichž klíče a certifikáty umožňují i šifrování. Jejich uznání ale závisí výhradně na dohodě. Z toho důvodu mají stejnou váhu, jako kdybych si vytvořil certifikát pomocí OpenSSL. Nemají absolutně žádnou oporu v zákoně.
Nejhorší rozčarování zažije ten, kdo se pokusí vynutit uznání svého podpisu v praxi. Je to marné. Telefonní operátoři ho neuznávají. Dokonce ani oficiální instituce si s ním hlavu nelámou. Už třikrát jsem psal na informační mail systému IZIP. Ten sice teoreticky umožňuje vyplnit přihlášku online za použití kvalifikovaného certifikátu, ale příslušná webová aplikace nefunguje a certifikát vůbec neumí najít. Dodnes mi nikdo na mé stížnosti neodpověděl. Smutná pravda: Šest let po zavedení příslušného zákona e-podpis v našem státě v praxi neexistuje.
Nejčastěji používám vlastní klíč + certifikát vygenerovaný pomocí OpenSSL. Vygeneroval jsem si taky certifikační autoritu a k ní pár klíčů pro lidi z rodiny a vesele šifrujeme.
Žijeme v podivné době, kdy čmáranice na papíře, kterou dokáže vytvořit každý, má větší váhu, než nezfalšovatelný e-podpis. Ba nejen to! Dokonce ji kdekdo přijímá poštou bez jakýchkoliv potvrzení. Kdokoliv může poslat například nějakému operátorovi objednávku na drahé služby na mé jméno, což se dozvím až od exekutora... (To není pohádka. Takových případů se už stalo mnoho. Stačí jen znalost základních osobních dat oběti.) Uf, to jsem se ale rozohnil! 
Kvalifikovaný certifikát nesmí umožnit šifrování. To je dáno zákonem o elektronickém podpisu. Samozřejmě to lze různými způsoby obejít a rád věřím, že některé autority umožňují (v rozporu se zákonem) šifrování i u kvalifikovaných certifikátů.
V každém případě je příslušná zákonná norma špatná, protože mě nutí k tomu, abych s úřady komunikoval nešifrovaně. To je problém, o kterém tu píšu.
Prostředky pro bezpečné vytváření podpisu nesmí měnit data, která se podepisují,? Alebo máš na mysli niečo iné?
3.3.2007 17:58
xkucf03 | skóre: 49
| blog: xkucf03
4.3.2007 01:34
xkucf03 | skóre: 49
| blog: xkucf03
4.3.2007 10:34
xkucf03 | skóre: 49
| blog: xkucf03
Polozky KeyUsage v X.509 cerifikatu jsou jen polozky. Vzadnem pripade nemohou donutit software, aby se jimi ridil. Takze aplikace/knihovna, ktera na ne dlabe nebo jim nerozumi, vam umozni delat s klici cokoliv.
Souhlas. Jak už jsem tu psal, stačí mít svůj pár klíčů a něčí veřejný klíč a hned můžu (teoreticky) šifrovat i dešifrovat. Ovšem v praxi například Thunderbird s kvalifikovaným certifikátem od České pošty (PostSignum QCA) odmítne šifrovat. Certifikát je z října 2006. Od té doby se mohly podmínky změnit.
Jistě by se našly programy, které by šifrování neodmítly. Nebo je v about:config položka, která Thunderbirdu řekne, aby zákaz ignoroval. To jsem nezkoumal... S komerčním certifikátem (PostSignum VCA) samozřejmě lze i šifrovat, ale podpis jištěný tímto certifikátem nemá oporu v zákoně.
Mně tu ale nejde o to, co je technicky možné a co nikoliv. Jde mi o to, že sice můžu šifrovat, ale žádný úřad není povinen takovou zprávu číst a už vůbec není povinen na ni šifrovaně odpovědět.
To stále ještě platí? Měl jsem pocit, že už je to povolené…Kvalifikovaný certifikát nesmí umožnit šifrování. To je dáno zákonem o elektronickém podpisu.
Též je docela dobře možné, že je to pouze problém zkostnatělé České pošty, zatímco ostatní dvě autority už to umožňují. Když jsem důkladně četl zákon o elektronickém podpisu, dospěl jsem k názoru, že jde o nekonkrétní blábol. Nikde v něm bohužel nefiguruje slovo "šifrování".
Zato je tam na několika místech podivná klauzule o "čitelnosti" a "změně" podepisovaných dat, která se dá vykládat různými způsoby. Podobně nejasná vyjádření jsou i ve vládních vyhláškách, které k tomuto zákonu patří.
Jednoduše řečeno, ať je to jakkoliv, v zákoně chybí toto:
Nic takového ale v zákoně není. Děsím se při pomyšlení, že moje osobní data by teoreticky mohl číst nějaký BFU se svým webmailem, který si ten den zrovna nechal přeposlat práci domů. Bohužel k tomu může dojít, protože zákon i příslušné vyhlášky hovoří pouze o podpisu. Úřady nemají povinnost šifrovat a přijímat šifrované zprávy.
Jiná věc je, že v elektronickém světě je jak zachycení zprávy určené někomu jinému, tak šifrování, snazší než ve světě „papírovém“, takže se dá očekávat, že se na šifrování bude postupně přecházet. Ale jme teprve na začátku…
4.3.2007 01:28
xkucf03 | skóre: 49
| blog: xkucf03
Věc mohu nejdříve zašifrovat, přičemž vím, co šifruji, a až potom, nezávisle na šifrování ji následně podepsat. Nazvěme tedy daty zašifrovanou věc -- tím se podpisem data nezmění.Ano, ale ta zašifrovaná data už nejsou pro člověka normálně čitelná. My technici víme, co to je za data, jak vznikla a jsou pro nás „srozumitelná“, ale vědí to i právníci? Podobné je to i s různými binárními formáty – podepisuju změť bytů, ale Word mi to ukazuje jako můj dopis. Je to OK? Budu důvěřovat Wordu, že to zobrazuje správně? U OOo už je to o něco lepší, tam se můžu podívat na zdrojové XML. Ale teoreticky to jde dovést až k otázce, jestli mi počítač vůbec správně předvádí ty bity z disku a paměti, když si ve vimu prohlížím plaintext soubor. Otázka je, kde je ta hranice. Ale to jsou všechno případy, kdy si tu podepsanou zprávu můžu kdykoli po podepsání zkontrolovat (ten podepsaný dokument ve Wordu znovu otevřu, nebo pro kontrolu v jiném prohlížeči podporující příslušný formát). Ale zašifrovanou zprávu už si takhle znova zkontrolovat nemůžu. Tu prostě jednou zašifruju, a musím věřit, že ten šifrovací program udělal přesně to co měl udělat. Už ale nemám žádnou šanci překontrolovat si, že mi ten šifrovací program nenahradil moje přání k narozeninám směnkou na 10 milionů a nezašifroval to. A můžu tuhle změť bajtů s klidným svědomím podepsat? Těžko. Takže pro účely bezpečného elektronické podepisování je nutné nejprve podepsat, pak až šifrovat. Pokud chcete svým podpisem stvrdit i to, komu je dokument určen (jakým veřejným klíčem jej zašifrujete), musíte udělat trojici podpis-šifra-podpis. Pokud tedy věříte svému šifrovacímu programu, že šifruje správným veřejným klíčem.
4.3.2007 10:38
xkucf03 | skóre: 49
| blog: xkucf03
A ještě k pojmům data-informace-znalosti: o definici by měli rozhodovat odborníci (informatici) -- a právníci (a potažmo veřejnost) by tuto definici měli přijmout. Já taky nekecám doktorům do toho, jak se má která kost jmenovat, prostě přijmu jejich definice
§ 17 Prostředky pro bezpečné vytváření a ověřování elektronických podpisůTo je současné znění. Už vidím tu novelu:
…
(4) Prostředek pro bezpečné ověřování podpisu musí za pomoci odpovídajících technických a programových prostředků a postupů minimálně zajistit, aby
a) data používaná pro ověření podpisu odpovídala datům zobrazeným osobě provádějící ověření,
b) podpis byl spolehlivě ověřen a výsledek tohoto ověření byl řádně zobrazen,
c) ověřující osoba mohla spolehlivě zjistit obsah podepsaných dat,
d) pravost a platnost certifikátu při ověřování podpisu byly spolehlivě zjištěny,
e) výsledek ověření a totožnost podepisující osoby byly řádně zobrazeny,
f) bylo jasně uvedeno použití pseudonymu,
g) bylo možné zjistit veškeré změny ovlivňující bezpečnost.
(5) Podmínka uvedené v odstavci (4) písmeno a) nemusí být splněna, používá-li podepisující osoba k přípravě dat programové prostředky s otevřeným zdrojovým kódem a je schopna posoudit správnou funkci těchto programových prostředků. Podmínka uvedená v odstavci (4) písmeno c) nemusí být splněna, používá-li osoba ověřující podpis programové prostředky s otevřeným zdrojovým kódem a je schopna posoudit správnou funkci těchto programových prostředků.Takhle nějak byste si to představoval?
4.3.2007 14:45
xkucf03 | skóre: 49
| blog: xkucf03
Mám certifikát od České pošty, [...]. Ten ale bohužel neumožňuje šifrování.Však taky šifrovat musíte pomocí certifikátu příjemce vašeho mailu, ne svým vlastním certifikátem! Takže váš problém může být ten, že vám úřad odpoví nešifrovaně. Ale na směr Vy->úřad to nemá vliv. Tam záleží pouze na certifikátu úřadu, který si musíte naimportovat dřív než se budete snažit něco zašifrovat.
Nemusíte mě poučovat, jak fungují asymetrické šifry.
Takže váš problém může být ten, že vám úřad odpoví nešifrovaně. Ale na směr Vy->úřad to nemá vliv. Tam záleží pouze na certifikátu úřadu, který si musíte naimportovat dřív než se budete snažit něco zašifrovat.
Bohužel to není pravda. Jak už jsem psal, zákon zakazuje šifrování pomocí kvalifikovaného certifikátu a certifikáty od České pošty skutečně šifrování neumožňují. Problém jsem samozřejmě řešil s jejich technickou podporou, kde mi tento fakt potvrdili. Certifikáty lze vystavit a podepsat k různým (i omezeným) účelům. Podrobněji je to popsáno například v manuálových stránkách a další dokumentaci pro OpenSSL.
I v materiálech České pošty se o tom píše jasně. Pro šifrování je potřeba komerční certifikát, nikoliv kvalifikovaný. Ostatní dvě certifikační autority neznám. Nabízejí-li kvalifikovaný certifikát s šifrováním, je to v rozporu se zákonem. Žádný úřad ode mě nepřijme (resp. není povinen přijmout) šifrovanou zprávu.
Zkrátka a jednoduše: Chci-li šifrovat, raději si na to vytvořím certifikát z OpenSSL podepsaný vlastní autoritou a mám klid.
S komerčním osobním certifikátem lze šifrovat, ale úřady ho neuznávají. Naopak s kvalifikovaným certifikátem, uznávaným úřady, šifrovat nelze. Samozřejmě každý, kdo má svůj soukromý klíč a něčí veřejný klíč, může (z ryze technického hlediska) šifrovat. Pokud se ale certifikát k danému klíči nevztahuje na šifrování (což se dá nastvit při podepisování autoritou), aplikace sice může i přesto šifrování umožnit, ale k čemu to je?
Šifrovat si můžu "podomácku" nebo v rámci rodiny vlastní sadou klíčů a vlastní autoritou. (A skutečně tak činím.) Pokud ale posílám oficiální E-mail úřadu státní správy, musím ho poslat nešifrovaně. O to tu běží. Mně je vzásadě jedno, zda se zákaz šifrování dá obejít či nikoliv. Jde mi o to, že zákon je špatný a nutí mě posílat například svá osobní data nešifrovaně, chci-li elektronicky komuikovat s úřady.
První je výsledkem použití druhého.
Takže otázka měla znít "Vlastníte digitální podpisový klíč?"
2.3.2007 01:31
xkucf03 | skóre: 49
| blog: xkucf03
Dal jsem: ano, osobní
-----BEGIN PGP MESSAGE----- Version: GnuPG v1.4.3 (GNU/Linux) owGbwMvMwCQYIMJ5bMG/iB2Mp/2SGFyfP7zkkZNYnF+WmKNQnJ+rUJWocHhhXr6O Qu7hhbkKpUf3KRSkZucd3pucoVBweGGRQlF+dn6ZQn5xfhJQUME9wF0h+8i+w7uO 9Opxddgzs4IMvAKzQZBprxbDgmkJ65fd2WVfe2r+gWyGJ1qFlh33BRkWTAlxk1jY bPdAaM1KK/O/LBo18xdOAAA= =D/FU -----END PGP MESSAGE-----
2.3.2007 14:48
xkucf03 | skóre: 49
| blog: xkucf03
Jenže ve většině (asi spíš ve všech) klientů potřebuješ pro PGP/GPG zásuvný modul. Kdežto S/MIME šifrování/podepisování bude fungovat v každém běžném emailovém klientovi.eh, ty ses právě vrátil z Marsu? (omlouvám se zdejším puristům, ale korektnější vyjádření odtrženosti výše uvedeného od reality mě nenapadá ... nevím, co jsou to dle autora běžné prací prášky, hm, tedy mailovací klienti, ale všechny verze kmailu/thunderbirdu/utlouk espresu, které jsem zatím potkal, s/mime "od přírody" neuměly ... o tom, že firemní s/mime mi s kmailem nechodí doteď, anžto používá PKCS divného čísla, se kterým si celý slavný německý obyvatel země na Nilu nerozumí, zatímco GPG něma problema už několik let, raději taktně pomlčím)
3.3.2007 15:07
xkucf03 | skóre: 49
| blog: xkucf03
Měl by jsi se lépe informovat.
Taky by sis mohl projít zdrojáky svých mailů, zkus se tam porozhlédnout po: "This is an S/MIME signed message."
Můj předchozí příspěvek nebyl o tom, kolik lidí používá S/MIME a kolik PGP/GPG, ale o tom, která technologie funguje v e-mailových klientech "od přírody" (ale to snad pochopil i mimoň kavol)*
Zatímco pomocí S/MIME můžeš šifrovat/podepisovat s emailovým klientem hned po jeho čisté instalaci (stačí importovat patřičné klíče a certifikáty). Tak s PGP/GPG můžeš totéž dělat až po doinstalování doplňku -- např. Enigmail pro TB + import klíčů/certifikátů.
*) P.S. rovněž nehodnotím, která technologie je lepší/bezpečnější. Používám obě dvě přibližně stejně a bylo by fajn, kdyby většina lidí začala používat alespoň jednu z nich.
Můj předchozí příspěvek nebyl o tom, kolik lidí používá S/MIME a kolik PGP/GPG, ale o tom, která technologie funguje v e-mailových klientech "od přírody"a to je přesně to, nač reaguju ... uvedené odkazy jsou na nic, neb dané tvrzení nijak nepodporují - chybí jaksi to srovnání s PGP/GPG ... jestli půjde o plugin nebo věc zadrátovanou do kódu je otázkou koncepce projektu a nikoliv výběru RFC - ostatně pro ilustraci mohu ocitovat hned z prvního odkazu: "Eudora has a plug-in architecture which can support S/MIME."
Zatímco pomocí S/MIME můžeš šifrovat/podepisovat s emailovým klientem hned po jeho čisté instalaci (stačí importovat patřičné klíče a certifikáty). Tak s PGP/GPG můžeš totéž dělat až po doinstalování doplňku -- např. Enigmail pro TB + import klíčů/certifikátů.viz výše, je to otázka koncepce daného klienta ... toto (TB) je jeden konrétní příklad - dolož to pro všechny, abychom viděli, jak vypadá ta "většina" ... nebo ještě lépe, vezměme původní tvrzení: "Jenže ve většině (asi spíš ve všech) klientů potřebuješ pro PGP/GPG zásuvný modul. Kdežto S/MIME šifrování/podepisování bude fungovat v každém běžném emailovém klientovi." rozumím-li dobře česky, že slovem "kdežto" se míní vyloučení podmínek předchozí věty, pak se to dá přeložit jako "V každém běžném emailovém klientovu bude S/MIME šifrování/podepisování fungovat, aniž bys potřeboval zásuvný modul.", není-liž pravda? ovšem v kmailu pro S/MIME plugin potřeba je ... což nám dává spor ledaže bychom kmail nepovažovali za "běžný poštovní klient" - což by mi ovšem na tomto serveru přišlo krajně podivné navíc třeba takový Outlook možná S/MIME papírově podporuje, ale bez instalace jakýchsi doplňků (nikoliv pouze certifikátů!) mi to v práci prostě nešlo a nešlo ... :-p
4.3.2007 01:11
xkucf03 | skóre: 49
| blog: xkucf03
Moje příspěvky tu nejsou od toho, abych vyvolával flamewar, zda je lepší PGP/GPG nebo S/MIME (o což se asi snaží kavol).ó jak šlechetné - a teď mi ještě ukaž, kde v této diskusi říkám, co z toho je nějak obecně lepší? bavíme se snad celou dobu pouze o tom, co je jak podporované, ne? ... ale o těch diskutérských podpásovkách viz níže, nemá smysl to znova rozmazávat :-/
1. Ujasněme si, co považuji za "běžného emailového klienta" -- je to ThunderBird/Mozilla, Outlook, Outlook Expres, KMail.ok, definujeme-li si množinu, pak lze hovořit o tom, co umí nebo neumí "většina" nebo "všechny" ... na druhou stranu se pak můžeme ptát, zda tato množina je skutečně representativní vzorek
2. V uvedených odkazech se píše o klientech, kteří umí S/MIME. Jako oponenturu můžeš uvést klienty, kteří po čisté instalaci umí PGP/GPG. Nic takového jsi neuvedlv uvedených odkazech se nepíše prachnic o "čisté instalaci" (spíše naopak: "Pine - Requires patching ...") a už vůbec nic o tom, jestli je to implementováno jako plugin nebo jako základní součást programu
3. Praktické pokusy jsem provedl mezi TB a TB a mezi TB a Outlookem. Podepisování/šifrování bezproblémové fungovalo bez jakýchkoli instalací doplňků (stačilo mít patřičné certifikáty). Není problém toto doložit i pro další klienty, ale to už si může vyzkoušet každý sámdovolím si parafrázi oblíbeného výroku - zkušenosti jsou od toho, aby se lišily v mém případě si šifrování Outlook-Outlook s firemními certifikáty bez nějaké 3rd party aplikace ani neškrtlo
4. KMail -- zde se píše o podpoře S/MIME. Takže buď oficiální web lže, nebo je v tvém případě problém mezi klávesnicí a židlí.ano píše - a kde se tam píše o tom, že to není implementováno jako plugin? kmail mám zrovna spuštěný: Nastavení => Nastavit Kmail => Bezpečnost => Moduly šifrování ... hm, pročpak asi mám možnost jednotlivé věci zaškrtnout nebo odškrtnout a proč mi chce prohledávat disk, když to má být v programu natvrdo zadrátováno? tož na které židli že je ten problém?
5. Thunderbird -- tady se píše o přímé podpoře S/MIME a o tom, že pro používání PGP/GPG je potřeba zásuvný modul.já tam tedy nikde to, že ta podpora S/MIME není implementována coby plugin, nevidím, nicméně akceptuju to tedy coby postačující argument z hlediska té "čisté instalace" (viz bod 2) - nicméně reálná zkušenost se opět liší, u mě měl TB asi před rokem stejný problém jako kmail, a to že firemní certifikát vůbec nenačetl
Thunderbird považuji za jeden ze dvou nejpoužívanějších emailových klientů (společně s utloukem)ok, souhlas - ale jak už jsem naznačil výše, toto je poněkud málo ve srovnání se silnými slovy "v každém běžném"
Snažím se tu jen popsat současnou situaci, která vyznívá příznivěji pro S/MIME -- po čisté instalaci ji podporuje více běžně používaných klientů než PGP/GPG.tento "popis" je ovšem v přímém rozporu se zkušeností mojí a ostatně zdá se že i kolegy kesona, který tento thread otevřel ... druhá část je na vybrané množině, viz bod 1, zřejmě "papírově" pravda, nicméně co se týče reálných zkušeností a použitelnosti, jeví se mi, že PGP/GPG je na tom významně lépe vezmeme-li si ty tabulky z RIPE a mrkneme li na podporu PGP/GPG: Mozilla - Enigmail Mulberry - dle webu se tváří, že linux verze není, wokenní by si měla poradit s instalovaným gnupg; btw našel jsem mimochodem "S/MIME support is added by a separate plug-in that is wrapped into our Mulberry installer." Mutt - umí Pine - přehršel možností Sylpheed - umí (naopak neumí S/MIME :-p) Evolution - umí (a konečně už i to S/MIME ...) Eudora - něco pro Mac, na woknech by snad mělo fungovat gpg4win a gpgrelay, příp. PGP for Business Privacy (i Mac) Lotus Notes - PGPNotes Outlook - gpg4win, gpgoe a samozřejmě kupa dalších The Bat! - již tu byl odkaz že umí ... QuickMail Pro - neumí (existuje Entrust Lite pro S/MIME) k otázce "lepší podpory" by navíc stálo zato vzít v úvahu délku ("zažitost") této podpory a ne to, jestli je patřičný plugin "wrapped into installer" ...
4.3.2007 11:40
xkucf03 | skóre: 49
| blog: xkucf03
4.3.2007 12:05
xkucf03 | skóre: 49
| blog: xkucf03
Co považuji za běžné/nejpoužívanější programy jsem ti napsal výše. Všechny umí hned po instalaci S/MIME a jen jeden z nich umí hned po instalaci PGP/GPG. Takže ano, moje slova "v KAŽDÉM běžném..." platí.
Ten tvůj výčet na konci je poněkud nešťastný -- uvedením dodatečných zásuvných modulů těžko někoho přesvědčíš, že PGP bude fungovat hned po čisté instalaci programu.
3.3.2007 16:34
xkucf03 | skóre: 49
| blog: xkucf03
4.3.2007 01:14
xkucf03 | skóre: 49
| blog: xkucf03
*) Nereaguji na příspěvky na raft.cz, ale obecně.
4.3.2007 10:43
xkucf03 | skóre: 49
| blog: xkucf03
5.3.2007 14:34
xkucf03 | skóre: 49
| blog: xkucf03
Řešením je rozdělení na minimálně tři karty:
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
1.3.2007 22:33
2.3.2007 01:13
2.3.2007 00:50