Lukas Zapletal wrote: > Napadaji me dva "hacky". Pokud by byla moznost overit certifikat > zpetne, tj. pokud by nekdo po 10 letech potreboval overit platnost > podpisu, tak by se zkratka nastavilo datum na den, kdy se > podepisovalo, a pote se podpis overil. Nedovedu si vsak predstavit, > jak to udelat a zda-li by to vubec slo - napriklad by mohl vzniknout > problem v pripade, ze by byl certifikat zarazen do CRL. > > Druhe reseni meho problemu (server jako centralni uloziste podepsanych > dokumentu) by mohlo spocivat tak, ze by server podepisovane dokumenty > v den podepsani a overeni podpisu jeste jednou podepsal - svym > vlastnim certifikatem, ktery by mel nekonecnou platnost. Tim by > potvrdil, ze dokument byl v te dobe korektne podepsan danym > certifikatem. Po uplynuti doby by bylo alespon mozne overit podpis > serveru.
Oboji pomiji to, ze za 7, 10, 20 ... let mam dostatek casu, abych hrubou silou nasel tajny klic prislusejici certifikatu, ktery byl pouzit k podpisu. A kdyz budu mit tajny klic, muzu falsovat, az se hory zelenaji. Dalsi vec je, ze technologie postupuje, a bezpecnost daneho druhu el. podpisovani muze byt prolomena. Takze za 10 let muze byt dnesni zpusob podepisovani pro smich, a dnes podepsane dokmenty nebudou mit zadnou platnost. Stale neni nad poctivy husi brk s inkoustem, nebo aspon propisovacku :-) Makub -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Supercomputing Center Brno Martin Kuba Institute of Computer Science email: [EMAIL PROTECTED] Masaryk University http://www.ics.muni.cz/~makub/ Botanicka 68a, 60200 Brno, CZ mobil: +420-603-533775 --------------------------------------------------------------
smime.p7s
Description: S/MIME Cryptographic Signature
