PingPong ;) On Mon, 10 Apr 2006, Rok Krajnc wrote:
> > Certifikat za banko sem dvignil tako, da sem po e-pošti dobil eno kodo, po > > navadni pošti (priporočeno) drugo kodo in s tema dvema kodama prek SSL > > seje prevzel certifikat. > > > In kje piše, da tega ni mogel nekdo videti? Piše? Ti dobiš po pošti v zaprti ovojnici (takšni kot za plačo - kjer se kar čez ovojnico tiska) kodo, ki je bila naključno generirana in je ni mogel nihče videti, tako kot tvoje plače nihče pred tabo ne vidi. > > Nikjer ne piše, vendar je za pristnost te naprave nekdo odgovoren in to > > nisi ti. Ta nekdo bo tudi štrafan, če se bo slučajno našla luknja v tej > > napravi. > > > Si pa optimist, če misliš, da bo nekdo dejansko odgovarjal za svoje > napake :) No, to ni več moja stvar. Point je v temu, da JAZ nočem odgovoarjat za tuje napake! Kdo bo pa dejansko odgovarjal in mogoče tudi plačal je pa vprašanje za projekt LUKENDA. > Ne resno ... za varnost svojega računalnika, certifikatov ipd si > odgovoren sam. Pika. Država ravnotako ne skrbi za varnost tvoje osebne > in potnega lista. Za to moraš skrbeti sam. Ja. Ko pa ti država naroči, da si zinštaliraj nek applet si pa odgovoren še za to. Jaz pa nočem bit odgovoren še za to in imam pravico do tega! Saj JAZ plačujem ta sistem oziroma državo. > >> Kje piše, da neki zlobni osebek ne sodeluje recimo z debianom al kar kol > >> že uporabljaš, in ti podtakne popravljeno verzijo os-a? > >> Kje piše, da isto ne naredijo za brskalnik? > >> > > > > Nikjer, samo to vse si mel že preden ti je "država" podturila svoje. > > > Grda grda država. Kako veš, da ti niso podturili že v operacijski > sistem? Ali kam drugam? OS ni stvar države ampak moja osebna stvar. Applet je pa od države ampak so mi ga poturili! Nič me niso vprašali. > Ne ne. Ko se prijaviš v sistem, je to analogno temu, da se osebno > pojaviš na banki. Potem hočeš opraviti neko storitev, recimo prenesti > denar iz enega računa na drugega. Če si fizično na banki, izpolniš nek > obrazec, *se podpišeš*, daš na okence in dobiš kopijo obrazca. V spletni > banki, če parafraziram, pomoliš nepodpisan listek, in ti pač zaupajo (in > ti njim!, kar je po moje še bolj pomembno, če se nekje znajde kakšna > transakcija, ki je sploh nisi opravil), ker prepoznajo tvojo 'faco'. Neeeeee! Analogno temu, da se pojaviš v banki je to, da se pojaviš na internetu. Ko si na internetu si dejansko v banki!!!!!!!!!! Oziroma če hočeš banka pride k tebi - kot vsi radi poudarjajo. Ko pa se identificiraš s svojim privatnim ključem pa si že dal žegen za transakcijo. Isto ko utipkaš pin na bankomatu... si dal žegen za katero koli transakcijo. > Ko se podpišeš na nek dokument, to v bistvu pomeni, da se strinjaš s > tistim, kar je na njem napisano. Zato davčna (ali kdorkoli drug) > *potrebuje* tvoj podpis. To je bistvo vseh pogodb in podobnih Ko si se prijavil v sistem (ali ko si utipkal pin od bančne kartice) si se že strinjal z vsem kar naštevaš. Dodaten podpis je odveč. > dokumentov. Ko se ti s svojim certifikatom prijaviš v sistem, s tem še > nisi podpisal dokumenta. To je isto, kot da se osebno zglasiš na davčni > in nič več. Šele podpisana pogodba (ali v tem primeru napoved) ima veljavo. No tukaj sva si očitno različnih mnenj. > Drugače je pa postopek, uporabljen pri oddaji dohodnine, čisto običajen > za podpisovanje dokumentov. To si ni izmislila davčna ali naša država. > Tisti SSL in tvoja 'prijava' s certifikatom sploh nimata nobene veze > (razen če gre za zaupne dokumente). Postopek je tak: dobiš nek XML > dokument, ki je lahko že podpisan in s tem zagotavlja, da je njegova > vsebina prava. Tako ti veš, da izpolnjuješ pravi dokument. Potem ga ti > izpolneš in podpišeš s svojim ključem - s tem zagotavljaš, da stojiš za > napisanim in preprečuješ komurkoli, da bi dokument spreminjal (tudi če > bi ga 'man-in-the-middle dobil v roke, mu to nič ne pomaga, ker ne more > potvoriti tvojega podpisa). S tem podpisovanjem v bistvu bolj ščitiš > sebe, ker potem nihče ne more potvoriti podatkov. Dokument oddaš (magari > preko HTTP), kjer ga mora (teoretično - nekako tako kot radius) časovno > podpisati zaupanja vredna tretja oseba. Podpiše ga lahko še izdajatelj > in s tem je stvar opravljena. Tako kot odgovarjaš za lastnoročni podpis, > ravno tako odgovarjaš za elektronski podpis (in varnost svojega ključa). Ja, vse vem, poznam obstoječ postopek za katerega menim, da je nepotreben in brezpredmeten. Tako pač jaz mislim - glede na to da jemljem za dejstov, da je moja prijava v sistem enako mojemu podpisu. > Drugače pa ... kot je že nekdo pred mano omenil ... pripravite se na > DRM, ker bo v eni ali drugi obliki slej ko prej prišel. Mogoče je res ta DRM bo pa od države 100% zahteval black-box, ki pa ga bo v tem primeru morala zagotoviti država, če ne ne bo prišla skozi, ker se bo open source srenja "zbunila". > postopek s certifikati in podpisovanjem preveč zakompliciran za > navadnega uporabnika. Preveč stvari gre lahko narobe, preveč različnih > oken in napak se lahko pojavi, da bi se dalo v nekih preprostih > navodilih to razložiti. Zato bo DRM v bistvu rešitev za non-geek > uporabnike, ker bodo lahko brez problemov uporabljali vse e-soritve, ki > jih bo (upajmo) naša država ponudila. Drugi se pa bomo (boste) že nekako > temu ognili :) Ja, amapak DRM bo moral biti v tem primeru en blac-boxed kalkulator, ki ga bo lahko vsak priključil na kateri koli OS oziroma PC. Zame je zadeva v trenutni obliki izjemno preprosta in uporabna, da se ne bomo narobe razumeli. Stvar je v tem da mi krati pravice oziroma če hočeš nalaga nove obveznosti in odgovornosti, kar pa jaz ki sem el države, od države tega nočem. lp,B _______________________________________________ lugos-list mailing list lugos-list@lugos.si http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list