On Tuesday 11 April 2006 09:05, [EMAIL PROTECTED] wrote: > Seveda pa se lahko tudi motim :)
Obstaja moznost, ja. Vse, kar za omenjen obseg tveganj potrebujes, je z zasebnim kljucem osebnega certifikata zagotovljena identiteta odjemalca pri seji SSL, ki prek te seje odda napoved in dobi od streznika z zasebnim kljucem DURSa podpisano povratnico (katere del je seveda tudi sama napoved oz. katerikoli drug dokument). To je vse. Drzava ocitno ne potrebuje garancije s podpisovanjem, saj smo ze desetkrat ugotovili, da ponarejanje napovedi ni dovolj smiselno in predvsem ni nekaj, kar bi kdorkoli pocel masovno, vsekakor pa drzavljan potrebuje garancijo, da je njegova napoved srecno prispela k drzavi, saj sicer odgovarja za prekrsek in ne more dokazat, da ga ni storil. Drzava vsekakor lahko dokaze, da je bila vzpostavljena seja SSL z dolocenim certifikatom, saj se izmenjava certifikatov in zacasnih kljucev za sejo SSL podpisuje ravno z uporabnikovim (in strezniskim) zasebnim kljucem. Se to: drzava bi morala (!) poleg certifikata drzavljanu, ki se nima pametne kartice, izdati tudi to, saj v nasprotnem primeru precej po nepotrebnem mocno zmanjsa varovanje zasebnega kljuca. Ceprav je rec malo off-topic, bi s tem bistveno zmanjsali verjetnost, da so Janezu Mlinarju njegov zasebni kljuc odtujili, pa on tega ne ve, kar nam seveda zvisa integriteto metode dokazovanja istovetnosti prek SSL seje. -- Jure Koren, unix developer Hehe d.o.o.
pgp2flTeEl0fu.pgp
Description: PGP signature
_______________________________________________ lugos-list mailing list lugos-list@lugos.si http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list