Vlákno názorů k článku Využití FIDO klíče GoTrust IdemKey pro digitální podpis, například DNSSEC od kallsyms - Měli byste opět přehodnotit to, co považujete za...
-
Certifikace jsou v tomto oboru často spíš takové šidítko pro ty, kdo jsou líní nebo neschopní získávat relevantní informace. Běžně se stává, že se jen kvůli bezpečnostní certifikaci musí zachovávat podpora algoritmů, které by jinak bylo lepší zakázat nebo úplně vyhodit. Nemluvě o tom, že podmínky certifikace většinou a priori diskriminují open source řešení nebo už jen to, že je možné updatovat firmware - tj. přesně to, co by naopak mělo být výhodou.
-
Filip JirsákStříbrný podporovatelTo není odpověď na mou otázku.
Asi by bylo lepší ukázat si to na konkrétním případě. Dejme tomu, že pro podání daňového přiznání nebude potřeba podpis ale bude stačit přihlášení přes NIA. (Obecně je nahrazování podpisů autentizací velmi nebezpečné, ale v případě daňového přiznání zas o tolik nejde.) Přihlásíte se na portále Finanční správy pomocí MojeID a podáte daňové přiznání. Kdo má posuzovat, zda jste se přihlásil opravdu vy? Má to být vaše referentka na finančním úřadu, která si prostuduje specifikaci tokenu a podle toho usoudí, zda se za vás někdo nemohl jen vydávat? Má to být CZ.NIC? CZ.NIC by to dělal na vlastní triko, sám by analyzoval různé tokeny, sám by nesl riziko toho, že výrobce pod stejným označením začne prodávat něco jiného?
-
Kdo má posuzovat, zda jste se přihlásil opravdu vy? Má to být vaše referentka na finančním úřadu, která si prostuduje specifikaci tokenu a podle toho usoudí, zda se za vás někdo nemohl jen vydávat?
Já si musím zaregistrovat konkrétní token (ať už fyzický, softwarový nebo něco mezi), takže by měla být moje zodpovědnost a moje volba, na základě čeho se rozhodnu konkrétnímu tokenu důvěřovat. Kdo věří na certifikace, může se řídit podle nich, to je jeho volba. A jak státní správa, tak CZ.NIC mohou klidně vydat doporučení, že se má věřit určité certifikaci nebo vybírat z nějakého seznamu. Ale mělo by to být jen doporučení.
-
Filip JirsákStříbrný podporovatel
Jenže tady nejde o to, čemu důvěřujete vy, ale čemu důvěřuje CZ.NIC. Když se přihlašujete přes MojeID, je to CZ.NIC, kdo se státu zaručuje, že jste to vy. A CZ.NIC si určitě nevezme na triko to, že vy si vyberete bezpečný token.
-
Filip JirsákStříbrný podporovatel
Když necháte token někde ležet a heslo si napíšete na lísteček, budete jediný, kdo si stěžuje, že se jeho jménem hlásí někdo jiný. CZ.NIC pak snadno obhájí, že chyba není na jeho straně a že jste vy porušil podmínky. Pokud těch uživatelů budou stovky, bude to systémové selhání a problém bude na straně CZ.NICu.
Podobně se to řeší všude možně. Auto musí být vybaveno bezpečnostními pásy, ale vy samozřejmě můžete porušit zákon a pás si nezapnout.
Mimochodem, na základě čeho byste se vy rozhodoval, že je nějaký token bez certifikace bezpečný? Že má jeho výrobce dobrou pověst, dobře se o něm píše na Rootu, na Twiteru, chválil ho někdo na InstallFestu? Ve skutečnosti ani ti lidé, kteří se v problematice orientují, by se nerozhodovali zodpovědně, ale jen na základě dojmů. A řádově víc by bylo těch, kteří by na tržnici nakoupili květák, token a boty adddidas a pak by prohlásili, že tomu tokenu plně důvěřují. Autentizace je i o obecné důvěře a kdyby se nějaký případ prolomení autentizace objevil každý den, bylo by pak marné vysvětlovat lidem, že to ale všechno byla chyba uživatelů.
-
Jinak řečeno, právě jste nechtěně potvrdil, že rozdíl v tom není naprosto žádný. Tedy kromě toho, že v jednom případě má stát možnost mi do toho mluvit, a tak ji využívá, a ve druhém (nebezpečnějším) ne, tak to holt nechá jen jako doporučení (což by měl udělat v obou případech).
Na rozdíl od vás nemám slepou víru v oficiální autority, ať už se jedná o naši dřívější diskusi na téma web of trust vs. PKI, nebo třeba o FIDO2 tokeny. Takže stejně tak jako podstatně víc důvěřuji web of trust kolem kernel.org než pochybným autoritám, které jsou oficiální jen proto, že si zaplatily, aby jejich certifikáty byly předinstalované v prohlížečích, ale v praxi se od Upřímného Achmeda liší jen tím, že nejsou tak upřímné, stejně tak jsou pro mne relevantnější faktory jako open source firmware s veřejně dostupným a auditovatelným zdrojákem a možnost ho updatovat, když se objeví problém, nebo review od lidí, kterým mám důvod důvěřovat, než razítko od nějaké aliance, která jen těžko může něco skutečně auditovat.
-
Filip JirsákStříbrný podporovatel
Ne, rozdíl je v tom, co dokáží lidé reálně posoudit. Že nemají nechávat heslo napsané na papírku chápou snad všichni, kdo diskutují zde na Rootu. Posoudit, jestli je nějaký FIDO2 token bezpečný, podle mne nedokáže posoudit nikdo z této diskuse.
Já nemám slepou víru v oficiální autority. Akorát na rozdíl od vás tuším, jaké jsou reálné schopnosti drtivé většiny lidí. Jinak celou dobu se tu bavíme o komunikaci se státem, takže vaše argumentace lidmi kolem kernel.org je dost zavádějící. Raději si jako příklad znalostí o bezpečnostních technologiích představte vaši referentku na finančním úřadě. Protože nakonec to bude ona, která musí posoudit, jestli jste to daňové přiznání s částkou 100 milionů Kč, kterou máte zaplatit na dani z příjmu (a začnou vám z toho běžet úroky, když to nezaplatíte v termínu), podal vy.
-
Ono bohužel není moc cest jak ověřovat že něco je "dostatečně bezpečné" a pokud nechceme provozovat vlastní certifikační laboratoř tak spoléhat se na certifikaci - tedy ověření nějakou důvěryhodnou třetí stranou je asi jedná možnost. U elektrických spotřebičů nebo autosedaček by si výrobce asi ani nedovolil vyrábět necertifikované výrobky a je určitě dobře že FIDO aliance kromě tvorby specifikací nabídla možnost srovnat jednotlivé parametry výrobků na trhu. Požadavek na aspoň minimální FIDO certifikaci vyžadovalo MV - v naší žádosti o akreditaci jsme toto omezení neměli.
ČLÁNKY DO MAILU