Jani Monoses wrote:
Art 12
Furnizorii "c) să depună la ANRCTI [...] sau o poliţă de asigurare la
o societate de asigurări, în favoarea ANRCTI, în valoare cel puţin
egală cu echivalentul în lei al sumei de 100.000 Euro."
Comentariu:
Probabil trebuie garantii de seriozitate, dar o asemenea suma exclude
ONGurile, caminele studentesti sau primariile mici mentionate ca
exemple , nu ?
Pai ... ONG-urile, caminele studentesti si primariile mici n-au nici un
motiv sa devina FURNIZORI DE MARCA TEMPORALA , ci eventual beneficiari.
Furnizorul de marca temporala este ala care are servere sincronizate cu
serverul de timp stratum 1 al MCTI, primeste query-uri (atribute sau
semnaturi ale unor documente) , ia ora exacta si semneaza tot pachetul
asta cu semnatura lui privata.
E un soi de garantie pe care-l ofera furnizorul marcii ca acel query a
fost cerut (de ONG-uri, de primarii) la ora 13:45:30 si nu mai tarziu.
Tocmai de aia ziceam ca gasesc normal sa existe un furnizor PUBLIC de
marca temporala, accesibil GRATUIT si SIMPLU, pentru ca orice sistem
informatic sa poata folosi acel serviciu fara dureri de cap.
Art 14
"(4) Furnizorul de servicii de marcare temporală, aflat în unul dintre
cazurile prevăzute la alin. (1) şi (2), ale cărui activităţi nu sunt
preluate de un alt furnizor de servicii de marcare, este obligat să
depună la ANRCTI cheia privată aferentă certificatului utilizat pentru
marcarea temporală "
Comentariu:
De ce este nevoie de predarea cheii private? Daca furnizorul nu
mai functioneaza si nu e preluat de altcineva nu va mai fi nevoie sa
semneze nimic acea cheie privata. Iar pentru accesarea documentelor
existente cheia publica este suficienta
Cred ca ar fi necesar pentru mentinerea serviciului de verificare al
unei marci temporale emise anterior, in timp ce el functiona.
" Art. 18. – (1) Furnizorul de servicii de marcare temporală este
obligat să pună la dispoziţia utilizatorilor software-ul necesar
pentru utilizarea serviciului.
(2) Furnizorul trebuie să ofere utilizatorilor următoarele informaţii
despre software-ul pus la dispoziţie:
a) condiţiile in care este disponibil software-ul
b) instrucţiuni de folosire
c) obligaţiile utilizatorului
d) orice alte limitări privind utilizarea software-ului "
Comentariu:
aici ar trebuie zis clar ca softul pus la dispozitie sa nu aiba
limitari care exclud o parte din utilizatori. Pentru ca conform
acestei formulari limitarile si conditiile in care este disponibil
softul pot fi
pretul serviciului sau dependenta de o anumita versiune de Windows sau
de Internet Explorer.
Precizarea este corecta, voi prelua sugestia.
Deci o cerinta de bun simt ar fi ca softul pus la dispozitie sa fie
open source si cross platform, iar protocolul pentru serviciu clar
definit.
Faptul in sine ca e prin HTTP nu garanteaza asta.
Ar fi mai bine ca sa existe un protocol comun pentru toti furnizorii,
iar daca vor extensii si servicii in plus sa poata fiecare face ceva
specific.
Sa vedem cum se poate face asta. E acolo un paragraf unde spune ca
furnizorul trebuie sa implementeze MINIM o solutie folosind protocolul
HTTP, cum am descris eu, un query intr-o cerere HTTP si rezultatul in
format XML, minim anumite campuri. Eu cam asa vedeam problema.
Furnizorii comerciali pot sa implementeze si alte mecanisme daca vor, cu
alte servicii adaugate.
Art. 21. – Lungimea minimă a cheii private folosite la semnatura
electronică aplicată mărcii temporale este de 1024 biţi.
Comentariu:
in momentul de fata pentru RSA este recomandat sa se foloseasca
minim 2048 biti. Avand in vedere ca acest soft va rula de acum incolo
o vreme, e mai bine sa se evite un upgrade in doar 2-3 ani cu toate
problemele de compatibilitate ce vor aparea. Zic mai bine din punct de
vedere al publicului, nu neaparat a firmelor ce primesc contractul :)
Studiem, daca e cazul, preluam sugestia.
Art. 22. – Furnizorul foloseste doar funcţia hash-code SHA1 (opţional
SHA2)
Comentariu:
la fel, SHA2 e o solutie mai sigura pentru urmatorii ani decat
SHA1 facut in 1994.
Ambele comentarii de mai sus sunt din articolele wikipedia pt SHA1 si
RSA.
Desi nici la RSA nici la SHA1 nu se stie de vulnerabilitati serioase
in momentul de fata a mai bine sa se mearga pe varianta precauta.
Timpul in plus pentru a calcula cu variantele pe mai multi biti e
nesemnificativ pe calculatoarele actuale.
Problema zic eu ca depinde de importanta acelei marci temporale.
Daca e vorba de asigurarea prioritatii pentru biletele de tratament
pentru pensionari sau ordinea ocuparii locurilor la cazare in caminele
studentesti, eu zic ca SHA1 e suficient.
Daca vorbim de ordinea in care au fost depuse niste cereri de brevete de
inventie ... s-ar putea sa merite SHA2.
Eu zic ca ar fi cazul sa lasam loc si pentru furnizori mai firoscosi ,
daca vor sa ofere servicii comerciale.
Teo
.
_
===========================================================
Pentru a renunta la abonament trimiteti un mail catre [EMAIL PROTECTED]
incluzind in corpul mesajului: "unsubscribe tic-lobby <adresa_email>".
Pagina web a listei se afla la http://beta.agora.ro/agora-bin/lwgate/TIC-LOBBY/
Arhiva se afla la http://beta.agora.ro/agora-bin/lwgate/tic-lobby/archives/