Rendelkezel-e személyes digitális aláíró tanúsítvánnyal?

Címkék

Eat. szerinti: Minősített tanúsítvánnyal
2% (10 szavazat)
Eat. szerinti: Fokozottan biztonságos tanúsítvánnyal
1% (7 szavazat)
Egyéb hiteles, névreszóló tanúsítvánnyal, mely kívül esik az 2001. évi XXXV. trv-en (pl. startssl)
2% (14 szavazat)
Ingyenes (nem névre szóló) vagy "web of trust" jellegű aláírás (cacert, ingyenes thawte, ingyenes startssl, stb.)
13% (72 szavazat)
Nem
82% (461 szavazat)
Összes szavazat: 564

Hozzászólások

2009-be már volt egy szavazás, kíváncsi vagyok mennyit változott a helyzet.

Az elektronikus aláírásról szóló 2001. évi XXXV. törvény szerinti tanúsítvány ellátottságra vagyok kíváncsi elsősorban.

A harmadik pont esetleg magyarázatra szorul: Olyan tanúsítvány, amelyet egy mindenki által elismert kibocsájtó bocsájtott ki névre szólóan (hitelesítés után), azonban ez a kibocsájtó nem az EU területén van és/vagy nem felel meg az 1999/93/EK irányelvben foglaltaknak.

En nem sajnalom. Nem azt mondom, hogy nem jo dolog a digitalis alairas, de mire is...?

Nem hallottam meg olyanrol, hogy allami/hivatalos helyen szobaallnanak velem igy, vagy ha igen, akkor alairatlan levellel is ugyanugy. Szoval arra amire a torvenyi digitalis alarias valo nem tudom hasznalni.

Masreszt a spam-eknek hala az autentikacio nelkuli SMTP kiment a divatbol, ugyhogy egyre nehezebb mas neveben irni, alairas nelkul is. Velem pl az utobbi par evben nemigen fordult elo, hogy valakitol levelet kaptam es nem o irta volna (vagy legalabbis nem derult ki), korabban tobb ilyen volt (mind spam).

Nem allitom persze, hogy az alairas nem novelne a biztonsagot, de en nem latom azt az egeto szukseget, ami miatt terjedni kezdene. Es ha lesz ebben attores, akkor sem attol, hogy egyszeruen egyre tobben kezdjuk el hasznalni, hanem azert mert a "tuloldalrol" jelenik majd meg az igeny. Pl azt teljesen el tudnam fogadni, hogy bizonyos allami emailcimek csak alairt leveleket fogadjanak. Amig ilyesmi nincs, addig en nem szamitok drasztikus novekedesre.

Nemrég kellett leveleznem domain ügyében egy regisztrátorral, ott az volt a kérés, hogy csak arról az e-mail címről írjak, ami az ügyintézőnek meg volt adva. (Persze, kettővel előbbi kolléga, jó, megoldom.) Majd valahogy ezután sem akart megjönni a jelszó e-mailben.

Végül kezdett aktuálissá válni a dolog, így felhívtam őket telefonon, hogy akkor most mi lesz már. Végül a kedves ügyintéző leányzónak megjegyeztem, hogy vicces, hogy mindenhez e-mailben kérik a megerősítést, viszont semmihez nem kérnek semmiféle digitális aláírást vagy bármit, amivel hitelesíthetném, hogy az vagyok, akinek állítom magam és nem csak beírtam egy véletlenszerű e-mail címet. "De olyat nem lehet". Erre mondtam neki, hogy ha nagyon akarja, hogy bebizonyítsam, akár írhatok neki a saját info@ címükről is... :)

(Aztán végül csak megjött az a levél, aminek kellett.)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Marhogy melyik ketto? A spam meg az SMTP? Azok kozott egesz szoros a kapcsolat szerintem. :)
De most tenyleg, az SMTP-t nem nagyon lehetett megvaltoztatni, de rengeteg olyan dolog epult kore (SPF, DomainKeys, stb), ami megneheziti azt, hogy mas neveben kuldj. Vagy akkor kicsit pontositok: hogy mas neveben ugy kuldj, hogy az rendben meg is erkezzen a tul oldalon (nem spam-kent megjelolve, nem vilagito piros ablakkal a tetejen).

"Masreszt a spam-eknek hala az autentikacio nelkuli SMTP kiment a divatbol, ugyhogy egyre nehezebb mas neveben irni, alairas nelkul is.

Bwhahahahaha. Tessen szives lenni atolvasni az SMTP protokollt, es utana visszaballagni ide hamut szorni, koszonjuk. Az SMTP protokolban ugyanis semmilyen garancia nincs a feladora, sot arra sem, hogy a boritekon azoknak a neve all, akiknek a levelen magan. A csigapostas levellel megegyezo garanciak vannak ervenyben az e-mailnel is.
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal 

Nem teljesen mond hülyeséget, ma már nem írhatsz akármilyen címről.
Például megfelelő beállítással azonnal jelezhető, ha valaki egy céges címet akar másolni.
Olvass utána: http://en.wikipedia.org/wiki/Sender_Policy_Framework

Nagyon sok levelező szerver már figyelembe veszi és azonnal dobja a levelet, ha nem engedélyezett tartományból jött (például Gmail is).
Csak ugye nem minden cég foglalkozik ezzel, de tőlem már kértek ilyet.

Természetesen ez nem tudja garantálni, hogy például a ceo@cegem.hu küldte, csak azt hogy a cegem.hu-ról küldte valaki.
Így te egyszeri mailer nem tudsz másolni semmilyen @cegem.hu címet.
Azonban megfelelő szerver beállítás esetén (a cegem.hu-nál) más címéről nem tudsz küldeni (authentikált a küldés), így a ceo@cegem.hu is biztos feladó!

Szerk:
Persze ilyenkor harmadik felen át a relay nem működik.
Gyakorlatilag ha mindenki alkalmazná ezt a technikát, akkor meg lehetne bízni az emailben.

Dehogynem tudok.


HELO mail.encegem.hu
MAIL FROM: kisspista@encegem.hu
RCPT TO: jenoke@masikceg.hu
DATA
From: Steve Jobs <jobs@apple.com>
To: Kiss Jeno <jenoke@masikceg.hu>
Subject: An awesome offer for you!

Blabla
.
QUIT

En, az encegem.hu levelezoszervererol irtam egy levelet Steve Jobs neveben Kiss Jenonek a masikceg.hu levelezoszerverere. Es ezt a levelezoszerverek 95%-a atveszi, es kezbesiti. Esetleg megjeloli SPAM flaggel.

Egyebkent, hogy a spamszuro mit csinal vele, az mar lenyegtelen. Nyilvan csigapostas levelnel is ismeretes a postazo intezmenye, ahol felbontjak a levelet, es megvizualjak, hogy mennyire valos. De ez mar messze nem az SMTP protokollrol szol.

Erre ertettem azt, hogy az e-mailnel ugyanazok a garanciak vannak ervenyben, mint a csigapostas levelnel. Altalaban csak a boritek alapjan kezbesitenek, a levelet nem mindenutt szokas felbontani (nyilvan a kotelezo From/To mezok _megletenek_ ellenorzesen tul).
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal 

Még mindig nem érted.
Tegyük fel én üzemeltetem a hosztabc.hu oldalt, ami legyen egy jól konfigurált, biztonságos tárhely szolgáltató.
Így természetesen SPF rekordot és authentikált email küldést alkalmaz minden domainre.

Te veszekedni kezdesz az ügyintézővel, hogy miért kérik hogy a hrgy84@tedomained.hu email címről küldj egy megrendelést az info@hosztabc.hu címre, hogy de hát te küldeni tudsz akárki nevében levelet.

De nincsen igazad. Megpróbálsz tegyük fel küldeni egy levelet info@hosztabc.hu feladóval nekünk. Mivel authentikált a küldés, én azonnal eldobom az üzenetet. Tegyük fel ezt más levelező szerverről próbálod meg (akár sajátról), akkor is eldobom, mert nincs az IP címed a megengedett tartományban, ami az SPF rekordban szerepel.

Ha ugyanígy megpróbálod ezt egy Gmail, Yahoo, Hotmail.. címre küldeni, ott vagy azonnal eldobódik vagy megjelenik egy figyelmeztetés (Gmail-ban például felül sárga sáv), hogy a figyelem a feladó valószínűleg hamis.

És ma már nagyon sok email szerver figyelembe veszi ezt. Most nem "Kispista és társa Bt" 16 éves rendszergarázdájának a torrentezett Windows email szerverére gondolok, hanem nagy cégekre.

Ja és az a legjobb az egészben, hogy aki ebbe beszáll az védett lesz innentől. Tehát nem úgy van, hogy ha csak mindenki alkalmazza, akkor ér valamit. Ha te alkalmazod, onnantól neked nem kell attól tartanod, hogy saját hamisított címről neked tudnak küldeni levelet. Ha pedig valaki más (nem a te adminisztrációs tartományodban lévő) kap a te címedről hamis levelet, akkor az csakis az ő, illetve szolgáltatójának a hibája. A szolgáltatóé, mert nem vette figyelembe az SPF rekordot és az övé mert egy megbízhatatlan szolgáltatót választott.

Szerk:
Persze amit az SMTP-ről írsz az jó, csak már régen nem erről szól a dolog. Én írtam SMTP és POP3 szervert is, ismerem a protokollokat, de most nem ezekről az RFC-kről van szó, hanem kiegészítő technikákról, amelyek az ezredforduló után jelentek meg. Az SPF pedig csak egy a sok közül..

Kb olyan ez mintha azt mondaná valaki, hogy a SIP nem NAT-oltható. Eredetileg valóban voltak problémák, de azóta olyan technikák jöttek be (például STUN), amelyekkel simán üzemeltethető NAT mögött is kliens. Vagy például aktív FTP. Felelőtlenül azt állíthatná egy szakember, aki sok-sok éve tanulta a protokollt, hogy tűzfal mögött úgysem megy. Csakhogy ma már a legtöbb otthoni filléres routernek is van olyan helper funkciója, ami megnyitja az adott adat portot.

De az SPF meg mindig csak az envelope-t nezi. A DATA kodba bele se szagol.

Tehat en siman tudok neked egy valid levelet kuldeni, de te az e-mail kliensedben ugy fogod latni, hogy az valojaban az Apple-tol jott. Mert ma meg nagyon keves e-mail szerver matcheli ossze a message body-t es az envelope-t.

Nyilvan en is tisztaban vagyok az SPF mukodesevel, eleg sok e-mail szerver fordult mar meg a kezem kozt, hogy legyen nemi fogalmam rola. Ugyanigy tudom, hogy a DomainKeys-t sem eszik es nem is isszak.

Ja, es ha te vagy a cimzett, a helyzet meg komikusabb (tegyuk fel, hogy a HELO oszinte):


$ telnet mail.hosztabc.hu 25
HELO mail.endomainem.hu
MAIL FROM: hrgy84@endomainem.hu
RCPT TO: info@hosztabc.hu
DATA
From: Kiss Beno (CEO) <kiss.beno@hosztabc.hu>
To: Hoszt ABC Ufszolg <info@hosztabc.hu>
Subject: Kerem a domainem!

Kerem a domainemet a megbeszeltek szerint
.
QUIT
Connection closed by peer
$

Vagyis meg mindig ott jar a tudomany, hogy en - igaz, hogy csak a sajat domainemrol - de fel tudok adni a fonokod neveben egy levelet. Es ez ellen az SPF meg mindig nem ved. Ez azert nagyon fontos, mert e-mail kliens oldalon sehol nem jelenik meg az SMTP felado. Ha van is erre kulon header, az e-mail kliensek 99.5%-a a From/To headereket fogja neked mutatni, mint felado.

Azon felul, nem minden domain SPF vedett. Sok szolgaltatonal nincs is lehetoseg ilyesmit beallitani. Marpedig azt a domaint, aminek nincs SPF rekordja, automatikusan validnak kell tekinteni.
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal 

Szerintem azért nincs erre manapság szükség, mert én személyesen pld. eddig csak az Ügyfélkapunál és az Elektronikus számlánál hallottam a használatáról, ami ennyi pénzért csekély haszon, tehát amíg nem kezdik el szélesebb körben elfogadni, addig szerintem az állás hasonló lesz.

Rendelkezem, de már elfelejtettem róla mindent :D

Software is like sex, it's better with a penguin. :D (r)(tm)(c) آكوش

Olyan pont mért nincs, hogy "én magamnak gyártom"? Ezt is enyhén szólva egy gyökér lehúzásnak tartom. A nemet választottam, de én magam gyártok / használok saját cuccokra ilyeneket. Másra nincs szükség(em).

--
openSUSE 12.2 x86_64

Ezzel csak akkor van baj, ha mukodik. En pl. meg nem biznek egy onalairt, vagy valami sufni CA altal alamaszatolt tanusitvanyban. Pedig en csak kozepesen vagyok paranoid.

Mert hat en magabiztosan allithatom magamrol, hogy szereny szemelyem maga Adolf Hitler szemelyesen, errol ki is tudok neked allitani akarmilyen papirt. Igaz, hogy szoke vagyok, igaz, hogy egy kukkot nem tudok nemetul, de allitani azert allithatok akarmit.
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal 

Attól hogy saját magadnak írod alá, a kulcsokat még tarthatod egy eldugott adatközpont offline szerverében lakó HSM modulban, amit N darab külön emberhez tartozó chipkártyával/PINnel tudsz csak elindítani, komoly jegyzőkönyvezés után. Az operatív költsége ennek is lehet ingyenes. :)

De maga a tanusitvany nem attol lesz hiteles, hogy mennyire titkos az alairo kulcsa, hanem attol, hogy egy tolem teljesen fuggetlen intezmeny/ceg/hivatal/barakarmi, amelynek presztizse van, es amelyben az emberek megbiznak, igazolja azt, hogy az vagyok aki vagyok.

A szemelyigazolvany se attol hiteles, hogy hologramos, meg rajta van a cimer, hanem attol, hogy egy mindenki altal hitelesnek elismert kozponti szerv, az allam bocsatja a rendelkezesemre. Mert pl. a berletigazolvany is hologramos (asszem) es rajta van a cimer, megse cserelheto fel a szemelyivel.
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal 

Ha magadnak hasznalod csak az mas.... de a szemelyes digitalis alairo tanusitvany nem egeszen erre valo, hanem arra, hogy masok fele a digitalis alairasoddal igazold, hogy nem a Jozsi meg a Pista irta a nevedben azt a felmondolevelet, hanem te voltal az, es enkezeddel pottyentetted be a gepbe.
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal 

Ugyan itt aláírásról van szó konkrétan, de sok mindenre használok saját certet. Többek közt autentikációra. Azaz nem jelszavazok sok helyen, hanem ez igazolja, hogy én XY vagyok és nem XZ. Aztán pl. egy-egy dokumentumot, backupokat tároláskor ezzel aláírom, hogy ellenőrizhessem, hogy valóban nem nyúlkáltak bele. Illetve van még sok más is, amire nem is érné meg pénzért vett certeket használni.

--
openSUSE 12.2 x86_64

és ha én nem bízom meg abba a szervezetbe? és mért egy olyan valaki akarja megmondani, hogy én én vagyok, aki nem is ismer? mert ha még esetleg az anyám mondaná meg, hogy én én vagyok, akkor azt eltudnám fogadni. Vagy ha amúgy nem kell semmi olyanhoz amihez másnak is köze van, minek kellene egy külsőst bevonni?

--
openSUSE 12.2 x86_64

"és ha én nem bízom meg abba a szervezetbe? "

Ezt a problémát beszéld le az oprendszered és a böngésződ/levelezőrendszered szállítójával.

"és mért egy olyan valaki akarja megmondani, hogy én én vagyok, aki nem is ismer? "

Mert az a valaki ad neked egy olyan kulcsot, amit (ha csak nem vagy balfék és elszórod másnak) csak te tudsz használni. Aztán ha ezzel a kulccsal bemutatkozol egy random helyen, akkor ez a fél fogja bizonyítani, hogy igen, az a kulcs az valós és a tied.

"mert ha még esetleg az anyám mondaná meg, hogy én én vagyok"

Akár anyukád is lehetne az a 3. fél, aki hitelesít téged, csak akkor anyukád érje el azt, hogy őt elfogadják mindenhol hivatalos hitelesítőnek. (Na meg ehhez teljesítse a szükséges követelményeket.)

"Vagy ha amúgy nem kell semmi olyanhoz amihez másnak is köze van, minek kellene egy külsőst bevonni?"

Odamegyek hozzád, átadok egy névjegykártyát, hogy én Kovács Béla vagyok. (Pl. megnyitod a www.kedvencbankom.hu-t, az oldal pont ezt teszi.) Te mégis mi a jó fenéből fogod eldönteni, hogy én valóban Kovács Béla vagyok, ha azt nem ellenőrzi le olyan valaki, aki ismer? (Erre van pl. a verisign, aki igazolja, hogy igen, az valóban az.)

Hja igen, az meg pénzbe kerül, hogy valaki hajlandó legyen felvenni az adataid és kérésre hitelesítse.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Ez rendben is van. Alapesetben ellenőrzik, hogy te vagy Kovács Béla. De mi van akkor, ha másik Kovács Béla is van, aki kiadja magát neked, és ezt esetleg "véletlen hibásan" ellenőrzi az a cég akinek ez a dolga?
Mondjuk neked a fent említett verisign adja ki, aki meg nekem bemutatkozik annak a kisjóskaBt. adta ki. Nekem mind2 megbízhatóként van megjelölve, akkor hogy döntsem el, hogy valójában ki is az aki nekem lecsapta a certet?...
Az én problémám ezzel az egésszel pont ez a fent említett dolog. Szerintem akkor lenne ennek értelme, ha én magam dönthetném el, hogy valójában megbízom-e egy-egy ilyen kibocsájtóban, vagy nem. Utólag természetesen lehet pucoválni a böngészőt (kicsit kanyarodva az https-hez való certhez) aztán felvenni azokat, akik nekem szimpik, de ez egy mezei júzernél nem járható út, mert a böngésző egyből ordibál velük, hogy átvannak épp baszva, mert nem milliókba került certje van egy szervernek.
De ez most épp lényegtelen. Amire nekem kell, arra feleslegesnek tartok egy ilyen fizetős certet. Főleg, hogy magam is eltudom készíteni. Majd ha épp szükség lesz olyanra, akkor majd talán. De túlságosan megbízni ezekben akkor sem tudok.

--
openSUSE 12.2 x86_64

" De mi van akkor, ha másik Kovács Béla is van"

Semmi, másik Kovács Bélának más kulcsa van.

"és ezt esetleg "véletlen hibásan" ellenőrzi az a cég akinek ez a dolga?"

Jobb esetben a hitelesítő összes tanúsítványa egyből megy a kukába. (Firefoxnál is volt már arra példa, hogy tanúsítványok cseréje miatt adtak ki új patchet.)

"Mondjuk neked a fent említett verisign adja ki, aki meg nekem bemutatkozik annak a kisjóskaBt. adta ki."

És mégis miért a kisjóskaBt.-nél ellenőrzi a verisignes certet? Maga a feltételezés is nonszensz...

"Szerintem akkor lenne ennek értelme, ha én magam dönthetném el, hogy valójában megbízom-e egy-egy ilyen kibocsájtóban, vagy nem. "

(Általában) te döntöd el. Te mész oda egy kibocsájtóhoz és neked kell kulcsot venned tőle.

"Főleg, hogy magam is eltudom készíteni. "

Csak 0 ember fogja komolyan venni.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

"Semmi, másik Kovács Bélának más kulcsa van."
Másik kulcs ez ok. De amíg én egyszer sem láttam a kulcsoddal aláírt cuccot, lehet azt is hitelesnek tartani amit a másik mutat be.

"És mégis miért a kisjóskaBt.-nél ellenőrzi a verisignes certet? Maga a feltételezés is nonszensz..."
Ezt nem igen értem. Az én feltételezésem az volt, hogy A személy (Te) a Verisign-nél ellenőrizted, B személy pedig kisjóskaBt-nél. Azért feltételeztem 2 külön kibocsájtót, mert így nagyobb a hiba lehetősége. (azaz valaki valamit nem jól ellenőriz)

"(Általában) te döntöd el. Te mész oda egy kibocsájtóhoz és neked kell kulcsot venned tőle."
Tudomásom szerint Magyarországon 1 db olyan cég van akinek a kibocsájtott aláírását elfogadják bármire is.

A másik pedig, hogy https esetén a böngésző elfogadja helyettem. A legjobb az lenne, ha elfogadáskor is lenne kérdés a felhasználó felé, hogy elfogadja-e. Nem pedig a kamuduma, hogy "te most épp át vagy baszva" mint ahogy FFox mondja, ha nem ismeri a kibocsájtót. Tudom, ez a témától igencsak eltérő dolog.

"Csak 0 ember fogja komolyan venni."
Ez is abban a speciális esetben fordul elő, mikor magamnak kell. Azaz csak én veszem komolyan, és én 1 egységnyi helyet foglalok a térben és időben, azaz 1 ember legalább komolyan veszi...

Mint az látszik, nem bízom semmiben amit én magam nem ellenőrizhetek. De erre meg vannak az okaim.

--
openSUSE 12.2 x86_64

Mindegy, azt hiszem Findernek van igaza...

Szerinted mi a tokomert kerul annyiba egy VeriSignes cert es miert van annyi biztositas bizonyos esetekre, mint amennyi? Hogy utana nyiltan atbassza az ugyfeleket?

Meg egyebkent is, sorolhatnam meg, hogy miben nem lehetne megbizni.

De ha mar gyanakvas... Miert bizzak meg _en_ a te altalad kiallitott hulyesegben (amit nem tudok ellenorizni) ahelyett, hogy elfogadnek valamely bevallt hitelesito cegnek a szavat? Na erre mondj egy jo ervet es ne azt szajkozd, hogy mert te nem bizol meg masban (az kb. senkit nem erdekel).

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Nem az volt a feltételezés, hogy a kibocsájtó átbassza a vevőt, hanem, hogy nincs is tudomása arról, hogy vevő bassza át a kibocsájtót. Azt tudom, hogy azért kerül sokba, mert személyesen ellenőrzik, hogy az az illető valóban az akinek mondja magát. Vagy az a domain valóban az övé-e. No de a valamiért nem sikerült a érthetően fogalmaznom a problémát, úgyhogy abba is lehet fejezni. Ahogy Zeller mondja, utánaolvasok valahol.

"De ha mar gyanakvas... Miert bizzak meg _en_ a te altalad kiallitott hulyesegben (amit nem tudok ellenorizni) ahelyett, hogy elfogadnek valamely bevallt hitelesito cegnek a szavat? Na erre mondj egy jo ervet es ne azt szajkozd, hogy mert te nem bizol meg masban (az kb. senkit nem erdekel)."
Neked nem is kell. Nem is adnék. Mint azt írtam is fentebb, amire én ezeket használom, arra nem kell más által kiadott. Volt egy eset, ahol olyan kellett, amit egy ilyen szervezet írt alá. Ott a startssl-t használtam is. Mert amire kellett, arra nem kellett a sokba kerülő, és nem volt jó a saját.

--
openSUSE 12.2 x86_64

Az eredeti kérdés úgy hangzott, hogy mér nincs olyan opció, hogy magamnak gyártom. Mert gyártok magamnak sokféle certet, különféle dolgokra.(most felesleges részletezni).
Majd mivel erre alkalmasnak találtam a témát, előkerült egy feltételezés, hogy mi van ha valaki félrevezeti a certet kiállító céget, aki pedig hanyagul ellenőrzi a dolgokat. Tehát ezen az alapon meglehet-e bízni bennük, vagy sem. Majd mivel nem sikerült értelmezni a kérdést / feltevést (mivel letrolloztak sokan, gondolom ez lehet), inkább úgy döntöttem, hogy nem érdekel tovább a téma. Ugyanis a lényege a fentieknek nem az volt, hogy minden szar, kivéve az amit én csinálok.

--
openSUSE 12.2 x86_64

"Az eredeti kérdés úgy hangzott, hogy mér nincs olyan opció, hogy magamnak gyártom. "

Amit szerintem sokan megválaszoltak, hogy mert az egész rendszer arra van építve, hogy nem te gyártod, különben nem működne...

"Majd mivel erre alkalmasnak találtam a témát, előkerült egy feltételezés, hogy mi van ha valaki félrevezeti a certet kiállító céget, aki pedig hanyagul ellenőrzi a dolgokat"

Most egy konkrét cégről van szó, vagy az összesről? (De amúgy tudod a választ: csinálj magadnak aztán érd el, hogy mindenhol elfogadják. Aztán majd ki fog derülni, hogy nem is olyan egyszerű jogosultságot szerezni arra, hogy valakiben megbízzanak, mint kibocsájtó.

De az, hogy egy céget sem tudsz elképzelni, hogy pénzért (és helyenként kőkemény biztosításért - akár a cert árának sokszorosáért) neked oda fog figyelni az adataidra, az már nettó trollkodás.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Ok. Az alapkérdést megválaszolták, de utána ragaszkodtál az eredeti kérdésben megfogalmazott "saját gyártáshoz" a további gondolat menetben is. De mint említettem 2-vel arrébb, már megtudtam ami érdekelt, úgyhogy felesleges tovább ragozni. és kösz neked is, és másoknak is, akik megírták a tutit.

--
openSUSE 12.2 x86_64

Nagyon nem vagy tisztában ezzel a témával... Van kettő darab kulcs, az egyikben ott van, hogy "Kis Jóska, kisjoska@kisjoska.hu tanusítványa (publikus kulcsa:1234...FDE), kiadta a verisign", a másikban meg "Kis Jóska, kisjoska@nemkisjoskamertazfoglalt.hu tanusítványa (publikus kulcsa:12345...CDEF), kiadta a kisjoskabété" Mindkettőn van egy elektronikus aláírás, amit az adott kibocsátó publikus kulcsával ellenőrizhetsz. Nem a másikéval, azzal, ami abban szerepel.
Az, hogy a kibocsátó mit és hogyan ellenőriz, az az ő dolga, ezt az adott szintű tanusítási folyamat leírásában (publikus információ) közzé is teszi. Ha ennek nem tesz eleget, és kiderül, akkor a kibocsátó és általa kibocsátott certek mennek a kukába. Nagyjából. De a hibásan kiadott cert mindenképp megy visszavonási listára.

A tanusítványok elfogadása/el nem fogadása a böngészőben egyszerű: vond meg a böngészőben a bizalmat (tanusítványkezelő, bizalom szerkesztése) és egyedileg engedd vissza, ha a kibocsátó kulcsának fingerprintjét a kibocsátó (számodra megbízható módon azonosított) munkatársával egyeztetetted. Ellenőrizheted a kibocsátók aláírását: ott van a fingerprint, rákérdezhetsz, elolvashatod a weboldalukon, etc, etc.

Szerintem olvass utána a témának, hasznos lehet a jövőre nézve.

Nem neked kell bennük megbízni, hanem annak, akinek te az általuk kiadott tanusítvánnyal igazolod, hogy te te vagy. Normális esetben bár valóban nem ismernek, de az adott tanusítási szintnek megfelelő azonosítást végeznek. Te ismered, és megbízol abban a személyben, aki a levelezőpartnered anyjának mondja magát? Hogyan azonosítod, hogy tényleg az, akinek mondja magát? (Csak megfordítottam az általad felvetett megoldást...) Ismeretlenek között kell egy (vagy több), a résztvevők által megbízhatónak elfogadott harmadik fél, aki hitelesen igazolja a résztvevők személyazonosságát. Ha ismerik egymást, akkor persze jöhet a wot, de ennek alapvető feltétele az, hogy az új belépők számára legyen legalább egy hiteles személy a bizalmi hálóban, akinek a tanusítását elfogadja, és aki az ő személyazonosságát a bizalmi hálóban mások számára is igazolja.

Itthon az a legnagyobb gond, hogy a NAV elektronikus beküldő rendszerén kívül senki nem használ aktívan ilyet. Illetve amíg a b2b szektorban a cégek 99%-a fax alapú hiteles nyomtatványokat őriz, addig egy elektronikus rendszert soha nem fognak használni.
Vagy ha kijön a revizor, és nincs semmi nyomtatva meg pecsételve akkor becsuk a bolt...

A decade ago, I observed that commercial certificate authorities protect you from anyone from whom they are unwilling to take money. That turns out to be wrong; they don't even do that much. ...

Aki nem találja kedvenc beszállítóját a listán, az bátran fordulhat a Geotrust, Diginotar, Comodo vagy a Trustwave-hez. Vagy barkácsolhat a romokból valamit GNU/Linuxon.

Teljesen felesleges az egész CA színház, a CCC-nek is teljesen jó a CAcert amire elegendő.

Nyugtass meg, hogy az elso kommentet a topikban elolvastad. Ugyanis itt nagyon nem az a kerdes, hogy a digitalis alairas mennyire jo vagy nem jo otlet, ezen mar amugy reg tul vagyunk. Van itt egy torvenyadta lehetoseg, a kerdes pedig az, hogy kik elnek vele. Ha szerinted nem jo otlet, ikszeld be hogy nem elsz vele, es kesz.
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal 

"Egyéb hiteles"-em van (Trustcenter), de nagyon ritkán használom.

----------
rohamkocka

kulso, ceges, tranzakcios alairo hardware szamit? :)

Nem értek hozzá milyen kérdéseket kéne pontosan feltenni, de azért át gondoljátok mikor a kérdéseket kitaláljátok hogy ennek mi is lesz az értelme?
Ha van saját gondolatotok mellé vagy hogy miért vagytok erre kíváncsiak akkor nyugodtan biggyesszétek oda hogy mi is a célja ennek.

Volt már Netlock-os tanúsítványom, de csak e-mail aláírásra használtam. Arra viszont jó az ingyenes is. ( technikailag nézve, a jogi részről persze koránt sem ugyan az )

Sziasztok!

Egy kerdesem lenne az ingyenes cert-et hasznalokhoz: melyik szolgaltatoval mukodik ez tenylegesen?
A Thawte oldalan nem talaltam ilyet, szerintem ingyeneset mar nem ad, a CACert-nek nincs root certificate-je, StartSSL-t meg nem neztem.

A CACert-nek van root certificate -je, a fooldalon baloldalt irja is, hogy "Gyokertanusitvany telepitese"

Technikailag egyebkent mindegy, hogy melyik szolgaltatotol valo tanusitvannyal irsz ala, mindegyik mukodni fog, amennyiben maga a tanusitvany jogosult e-mail alairasara, illetve az adott e-mail cimre van kiallitva.

Amit te kerdezel, hogy melyik szolgaltato tanusitvanya az, ami a legjobb esellyel talalhato meg a potencialis cimzetteknel. Ugy tudom, hogy a StartSSL tanusitvanya mar eleg penetrans.

Egyebkent meg meg lehet azt is jatszani, hogy biztos ami biztos alapon a szolgaltatod gyokertanusitvanyat csatolod a digitalisan alairt levelben (nyilvan ez _NEM_ az Eat. felhasznalasrol szol), igy biztos lehetsz abban, hogy tudjak ellenorizni. Viszont ezt csak olyan cimzettnel lehet megtenni, ahol teljesen bizonytalan, hogy meg tudja-e nyitni ES fontos a digitalis alairas.
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal 

ezen most kicsit felsirtam. meselj, ha generalok magamnak egy "ca" certet, majd alairok vele egy masik certet, azzal alairom a levelet, akkor ez hogy is ved egy mitm ellen?

(btw, te valami security for dummiest olvasol mostanaban? mert ha igen, tudok ajanlani igazi crypto/secu konyveket helyette...)

Nem, en egy sokkal egyszerubb scenariora gondoltam. Mivel nem mindenki akar kolteni ilyesmire, sokan csak egy CACert-es tanusitvanyt allitanak ki maguknak alairasra. Mivel a CACert tipikusan nem az a fajta tanusitvany, ami minden gepen ott van, ezert celszeru lehet a root certet is csatolni.

Bar az is igaz, hogy lehet egyszerubb kulon levelben certet cserelni - de ugye itt megint felmerul a mitm lehetosege.

Sajnos addig, amig nincs minden tanusitvanyszolgaltato tanusitvanya benne minden oprendszerben, addig ez az egesz nyugos marad.

Oszinten szolva egyebkent en jobban szeretem a PGP-t, mert ott ez az egesz sokkal egyszerubb, nem kell a gyokertanusitvanyokkal kinlodni. Csak hat ez is olyan technologia, hogy egy csomo levelezo nem ismeri alapbol, meg a Thunderbird is csak pluginnel.
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal 

Tudom, szojatek volt. Regen a kulonbozo mediumokban nagyon sokszor szerepelt az "elterjedt" szo helyett a "nagy a penetracioja" kifejezes, ebbol volt egy vicc valahol, hogy ha valaminek nagy a penetracioja, akkor az penetrans? - Es innen jon.

Penetrans, mert mindenutt erezni a jelenletet (tekintve, hogy az ezzel alairt tanusitvanyok mindenutt hitelesnek mutatkoznak).
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal