Česká pošta ztrácí dokumenty (diskuse)

Pak se může stát, že bude někdo jednat mým jménem a já proti tomu budu prakticky bezmocný. Co tedy dělat? Zneplatnit okamžitě podpis a nový si již nepořizovat (zejména ne u České pošty)?

K pořízení zaručeného el. podpisu u České pošty je zapotřebí vydat z ruky soukromý klíč?

12.11.2008 12:48 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

Nejspíš ne, ovšem copak já vím, co s tím ta jejich superaplikace dělá? Už jim nevěřím vůbec nic. Heslo na zneplatnění certifikátu ovšem každopádně k dispozici mají, takže mi teoreticky někdo může můj certifikát zneplatnit bez mého vědomí.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

12.11.2008 13:30 miro
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

O certifikátech České pošty tu kdysi proběhla nějaká diskuse, ze které vyplynulo, že by snad k vygenerování žádosti měl stačit openSSL, tudíž by ta jejich superaplikace nemusela být nezbytně nutná (snad, nezkoušel jsem to, sám zatím žádný certifikát nemám). To, že certifikát nevydají (jak jsem z vašeho příspěvku pochopil) bez bianco vystavené revokace, je věc druhá. Popravdě si ale neumím představit, jak by se jinak řešila situace, kdy certifikační autorita dodatečně zjistí, že vydala certifikát někomu, komu neměla (např. na ukradenou občanku). Ale ten revokační certifikát zřejmě neopouští síť ČP, takže v nějakém balíku s dokumenty se pravděpodobně nevyskytne.

12.11.2008 13:52 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

Ano, k vygenerování požadavku na certifikát (pro ČPoštu) stačí klasické OpenSSL. Soukromý klíč si necháváte u sebe.

Heron

12.11.2008 14:18 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

Ano, k vygenerování požadavku na certifikát (pro ČPoštu) stačí klasické OpenSSL.

To je dobře. Aspoň není potřeba používat tu jejich "čertovskou aplikaci" nebo dokonce její on-line verzi.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

12.11.2008 14:19 miro
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

Díky za potvrzení, nevíte, jestli k tomu existuje nějaký cnf soubor, podle kterého by bylo nejlíp tu žádost vygenerovat?

12.11.2008 16:31 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

To nevím, ale jeden takový (resp. žádost z něho vzešlou), který mi pošta přijala a odpověděla certifikátem, se mi někde válí. Zkusím pohledat a dám jej sem.

Heron

12.11.2008 16:45 miro
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

To by bylo super, do Postsignum tool se mi dvakrát nechce. Díky.

12.11.2008 16:56 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

Příloha:

ssl.iso.cnf (301 bytů)

Dám to do přílohy tak jak je. Není tam nic tajného ani důvěrného. Měl by být v kódování ISO-8859-2 (protože chtěli plně české jméno).

# Klíč (bez hesla - jinak je třeba jej zadat při startu třeba apache)
openssl genrsa -out mmr.key 1024
# Požadavek vytvoříme příkazem: 
openssl req -new -key mmr.key -config ssl.cnf -out mmr.csr
# Vytvořený požadavek je možné prohlédnout: 
openssl req -noout -text -in mmr.csr

To se pak nasype z hora do pošty, kde to 14 dnů bude zrát a vypadne spodem certifikát (z requestu) + kořeny CA. To se pak dodá indiánovi a do prohlížeče se naimportují CA crt. Pak to funguje.

Heron

12.11.2008 16:02 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

Ano, to se tu resilo a dokonce na to pry maji i navod, jak prijmout pozadavky vygenerovane z OpenSSL, takze by to nemel byt problem.

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

12.11.2008 14:57 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

Ovšem to heslo je (pravděpodobně zašifrované) uložené v nějaké databázi, a tady se jim ztratily nějaké papíry. Ne že by ztráta dokumentů s osobními údaji byla nějaká prkotina, ale to, co se tady stalo, podle naskenovaného dokumentu nijak přímo nesouvisí s poskytováním certifikačních služeb – souhlas se zpracováním údajů podepisujete všude možně. A s principem elektronického podpisu jako takového to nesouvisí už vůbec, princip certifikátů a certifikačních autorit umožňuje odlišit kdykoli, i kdyby došlo ke kompromitaci privátního klíče CA, co bylo podepsáno pravým klíčem a co falešným. U podpisu na papír stačí skener nebo kopírka, a nikdo nic nepozná.

12.11.2008 15:08 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

Ne že by ztráta dokumentů s osobními údaji byla nějaká prkotina, ale to, co se tady stalo, podle naskenovaného dokumentu nijak přímo nesouvisí s poskytováním certifikačních služeb – souhlas se zpracováním údajů podepisujete všude možně.

Nejde mi o to, co přesně se ztratilo. Jde o to, že tam mají zjevně příšerný bordel a lze opravdu čekat téměř cokoliv.

U podpisu na papír stačí skener nebo kopírka, a nikdo nic nepozná.

To není pravda. Nic se nepozná jen na první pohled. Znaleckými rozbory lze zjistit, zda je nějaký podpis zkopírovaný nebo ručně zfalšovaný.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

12.11.2008 15:25 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

Nejde mi o to, co přesně se ztratilo. Jde o to, že tam mají zjevně příšerný bordel a lze opravdu čekat téměř cokoliv.

Ze spisu jsem nepochopil, zda je jasné, kde se to vlastně ztratilo – zda na poště nebo u CA. Ta první varianta by mne ani moc nepřekvapila.

To není pravda. Nic se nepozná jen na první pohled. Znaleckými rozbory lze zjistit, zda je nějaký podpis zkopírovaný nebo ručně zfalšovaný.

Jenomže i zkopírovaný podpis může být pravý. Myslíte, že na nejrůznější obchodní nabídky nebo faktury se vám podepisuje generální ředitel banky nebo telekomunikačního operátora osobně?

12.11.2008 15:56 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

Ze spisu jsem nepochopil, zda je jasné, kde se to vlastně ztratilo – zda na poště nebo u CA. Ta první varianta by mne ani moc nepřekvapila.

Ono to není příliš podstatné. PostSignum QCA je součástí firmy Česká pošta, s.p., byť je to jiná organizační jednotka než ta, která doručuje balíky. Jak fungují vnitřní procesy ČP mě v podstatě nezajímá, podstatné je, jak to vypadá navenek.

Jenomže i zkopírovaný podpis může být pravý.

Pokud jde o zákonné požadavky, tak mnohdy zkopírovaný podpis použít nejde. Například zákon o účetnictví vyžaduje "vlastnoruční podpis", čili např. účetní doklad (nebavíme se o daňových dokladech - faktura je většinou jen daňovým dokladem, nikoli účetním - kde podpis být nemusí) "podepsaný" zkopírovaným podpisem není platně podepsán. Podobně u mnoha jiných případů úředního charakteru. Obecně sice občanský zákoník připouští náhradu vlastnoručního podpisu mechanickými prostředky, pokud je to obvyklé, ale pro mnoho právních úkonů je výslovně potřeba podpis. Čili pro obchodní nabídky lze zkopírovaný podpis použít, ale už ne třeba k podepsání daňového přiznání.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

12.11.2008 16:10 Milan Horák | skóre: 24 | blog: strange blog | Havlíčkův Brod
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

To není pravda. Nic se nepozná jen na první pohled. Znaleckými rozbory lze zjistit, zda je nějaký podpis zkopírovaný nebo ručně zfalšovaný.

Navíc pravý (ruční) podpis zanechává na papíru i tlakovou stopu, kterou scanerem zatím nenapodobíte :-)

Každý dobrý skutek bude po zásluze potrestán. Ale ten pocit ... ;o)

12.11.2008 16:22 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

Ano, to je jeden ze znaků. Dále samozřejmě barva (inkoust tiskárny je jiný než inkoust v tužce; o tonerech nemluvě).

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

12.11.2008 16:17 miro
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

princip certifikátů a certifikačních autorit umožňuje odlišit kdykoli, i kdyby došlo ke kompromitaci privátního klíče CA, co bylo podepsáno pravým klíčem a co falešným

To ovšem předpokádáte, že bude snadné rozeznat který klíč je pravý, a který falešný. Pokud ale je certifikát CA podepsaný sám sebou, tak to bude IMHO spíš nemožné.

12.11.2008 13:29 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

K pořízení zaručeného el. podpisu u České pošty je zapotřebí vydat z ruky soukromý klíč?

Určitě ne, soukromý klíč k zaručenému el. podpisu z ruky vydat nesmíte, bylo by to porušení zákona.

§ 5 Podepisující osoba je povinna zacházet s prostředky, jakož i s daty pro vytváření zaručeného elektronického podpisu s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití.

12.11.2008 14:18 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

Takže by snad měla být ta aplikace (Postsignum Tool) napsaná tak, aby klíč ukládala pouze lokálně. Doufám.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

12.11.2008 14:21 miro
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

Ony jsou k tomu zdrojáky? Nekoukal jsem do toho, ale soukromě jsem to tipoval na bytecode.

12.11.2008 15:08 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Česká pošta ztrácí dokumenty

Zdrojáky k tomu nejsou. Při troše štěstí by to mohlo jít dekompilovat, snad je to opravdu čistý bytecode.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly