W nawiązaniu do #86442, o absolutnym zapóźnieniu polskich urzędów w kwestii korzystania z nowoczesnych technologii.
Dotarło niedawno do mojej firmy pismo od Ministra Cyfryzacji czy też Spraw Wewnętrznych na temat zagrożenia cyberatakiem - w sumie dla historii nieważne skąd i o czym. Ważne jest, że pismo zostało przesłane do nas mailem. W sumie i tak dobrze, ze nie faksem.
Dla niezorientowanych - podpis cyfrowy to coś na kształt "opakowania" pliku PDF czy Worda, gwarantujące, że nikt w nim nic nie zmienił, oraz że podpisał je faktycznie właściciel tegoż podpisu cyfrowego. Co jest do zweryfikowania - klika się w odpowiednim miejscu "weryfikuj podpis" i pokazuje się ścieżka: podpisał Jan Kowalski, którego tożsamość potwierdza wystawca jego certyfikatu np. Sigillum, którego tożsamość potwierdza Narodowe Centrum Certyfikacji. Ot, taka ścieżka "podpis jest ok, bo ważniejsi od niego to kolejno potwierdzają, a ten na końcu to jest wiarygodny z mocy ustawy".
Pod warunkiem, że jest gdzie kliknąć.
Do nas dotarło pismo w postaci pliku PDF, z widoczną wstawką "podpisano cyfrowo przez X.Y, aktualnie Ministra Spraw Wewnętrznych i Niewdzięcznych". Ale nie - to nie był oryginalny podpisany plik, który mógłbym sam sobie sprawdzić. To był chamski skan wydrukowanego wcześniej dokumentu, z przybitą zajebiaszczą pieczątką o treści "potwierdzam zgodność z podpisem cyfrowym" i parafką jakiegoś bliżej niezidentyfikowanego urzędnika, w dodatku z innego ministerstwa.
Gdzie sens, gdzie logika - jak mawiał Jasio z dowcipu. Podpis cyfrowy jest właśnie po to, żebym mógł osobiście potwierdzić, że plik faktycznie podpisał Minister. Skan wydruku nie jest wiarygodny, mimo nawet stu pieczątek krzyczących że jest. To jaskrawy przykład kompletnego niezrozumienia jak to wszystko działa. Ale urzędnik nie jest od tego, żeby myśleć, on ma procedurę napisaną przez innego urzędnika. Lokalnych informatyków raczej nie pytali o co chodzi z tym podpisem, bo to nolife'y których nikt nie rozumie. I takie są efekty.
A urzędnik zamiast stawiać pieczęć i parafkę, powinien oryginalnego PDFa od Ministra po prostu przesłać dalej mailem do zainteresowanych. Każdy odbiorca sam otworzyłby je w Adobe Readerze, wyskoczyłby od razu komunikat "plik podpisany cyfrowo - czy zweryfikować podpis?" I wtedy wszystko byłoby jasne, czy to faktycznie Minister podpisał. Ale nie, pieczęć jest bardziej wiarygodna. Nadal, niestety...
Pod warunkiem jeszcze, że po drodze 'coś' nie podmieniło certyfikatu tej zaufanej trzeciej strony ;)
Odpowiedz@Michail: Podmiana certyfikatu jest trudniejsza niż podrobienie odręcznego podpisu.
Odpowiedz@kartezjusz2009: Dokładnie. Jakakolwiek ingerencja w dokument źródłowy powoduje utratę certyfikatu.
Odpowiedz'coś' nie podmieniło certyfikatu tej zaufanej trzeciej strony ;)\ Ścieżka certyfikatów jest po to żeby nic nie podmieniło. Jakby ktoś potrafił to byłby BARDZO bogaty. Wszystkie szyfrowania i podpisy właśnie na tym się opierają, że się nie da. Komunikacja między bankiem a bankomatem też. Jakakolwiek ingerencja w dokument źródłowy powoduje utratę certyfikatu. Nie, certyfikat jest, ale podpis już się nie zgadza. Jak zgubisz certyfikat to zgłaszasz i wszystko po dacie zgłoszenia skompromitowania certyfikatu nie działa.
Odpowiedz@vezdohan Co do utraty certyfikatu użyłem zbyt dużego skrótu myślowego. Kiedyś (w sumie dzisiaj też) dla wielu urzędników certyfikatem oryginalności i autentyczności dokumentu jest przystawiona pieczątka (a im większa tym ważniejsza). Pisząc utrata certyfikatu miałem na myśli coś w stylu: ingerencja w dokument powoduje "zniknięcie" tej pieczątki lub zmianę jej koloru na jakiś dziwny.
Odpowiedzdo tego ktoś niedawno zarejestrował domenę poczta-poiska.pl wystarczy tylko zapisać "i" dużą literą i można kombinować jak tu wyłudzić dane
Odpowiedz