Názor k článku Datové schránky (zatím) nemailují od Petr Menšík - On problém neleží vůbec v rovině vystavení certifikátu od...

On problém neleží vůbec v rovině vystavení certifikátu od Thawte. Já byl třeba strašně zvědavý, jak zvládnou před zavedením podle mě asi nejobtížnější část datových schránek. Tou IMHO není vytvoření jakékoliv aplikace, infrastruktury, zabezpečení financí pro projekt nebo vyškolení správců. Podle mě nejtěžší úkol ležel v poučení laické veřejnosti o správném nakládání s elektronickými dokumenty, v tom, co je potřeba udělat pro bezpečný přístup k nim. Bohužel jsem nebyl překvapen, tedy úkol nebyl vůbec obstojně vyřešen a laikové stále mají minimum informací. I když je taky jasné, že oni to nechtějí „složitě“, oni to chtějí JEDNODUŠE! Až mě ukradnou dokumenty nebo vloží nějaké cizí, budeme se soudit a nadávat na neschopnost…

Ale, ten blábol z ČT24 je naprostá kravina. Nevím odkud vy máte certifikát Thawte, ale já nikdy, NIKDY, nikde neověřil jeho věrohodnost a správnost. Pokud instalujete Firefox, který obsahuje i vestavěný balík „důvěryhodných“ certifikátů, jak jej získáváte? Jak víte, že už při jejím stažení nemáte staženou podvženou aplikaci, s podvrženými certifikáty? Jak jste schopen zaručit, že certifikát Thawte je ten certifikát, který by jím měl být? To jako poznáte podle toho, že adresní řádek zezelená, nebo podle čeho?

On není problém vůbec v tom, že autorita PostSignum není ve výchozí instalaci instalována v balíku „důvěryhodných“ certifikátů autorit. Problém je, že uživatel není poučen, jak si bezpečně získat certifikát, jak jeho pravost ověřit, a jak se zachovat, pokud má podezření na podvrhnutí certifikátu.

Kromě toho, tento stát ručí za to, že certifikáty s klíči budou mít k dispozici jenom a pouze oprávněné osoby a nikdo jiný. Taky že údaje zapsané v certifikátu si člověk nevymyslel, ale opravdu někde doložil, a lze opak trestat. I když asi málokdo věří tomu, že stát je opravdu schopen zaručit, aby to takhle fungovalo, může se o to alespoň snažit. Snad chápete, že akreditované certifikační autority stát k něčemu nějak (zkusit) přimět může. Snad taky chápete, že náš stát nějakou Thawte velmi těžko donutí k čemukoliv, nemůže si klást požadavky na cokoliv, nemůže tedy převzít záruky za firmu, kterou není schopen nijak ovlivnit. Prostě Thawte je hezké, ale právní vymahatelnost proti PostSignum bude teoreticky asi o mnoho vyšší, i když asi jen teoreticky. Jistě, kdyby naše státní certifikační autority byly šířený s důvěryhodnými certifikáty našich autorit, nebylo by to špatné. Ale ve výchozí instalaci, pokud nemáte opravdu důvěryhodné instalační médium, opravdu není instalovaný certifikát „důvěryhodný“. Věc je totiž trochu složitější, než „koupíme certifikát od XY a je to!“