Názor ke zprávičce Třetina českých e-shopů má bezpečnostní problémy od Filip Jirsák - Asymetrická kryptografie sama o sobě neověří že jste...

Asymetrická kryptografie sama o sobě neověří že jste to skutečně Vy
Jste si jist, že znáte kontext, ve kterém diskutujete? Heslo také neověří, že jsme to skutečně já. Heslo se ovšem používá tak, že provozovatel webu má u mého účtu uložené údaje, na základě kterých mne dokáže pomocí hesla ověřit. A místo těchto údajů může mít uložený veřejný klíč a ověří, že já vlastním odpovídající privátní klíč.

Stručně řečeno: to, k čemu se dnes na webu používají hesla, lze nahradit (mimo jiné) asymetrickou kryptografií.

pokud server zveřejní to co jste mu poslal (ten váš "podpis" užitím asymetrické kryptografie) jako to heslo, máte zhruba stejný problém
Vždyť jsem vám v předchozím komentáři vysvětloval, jak autentizace pomocí asymetrické kryptografie funguje. Pokud to nechápete, tak se prostě jen smiřte s tím, že není pravda vaše tvrzení, že pokud server něco zveřejní, je to stejný problém, jako když unikne (byť unikátní) heslo. Naopak, žádný problém to není – veřejný klíč se jmenuje „veřejný“ proto, že je opravdu veřejný, může ho znát kdokoli, můžete ho vystavit na internetu. Např. každý HTTPS server, včetně např. root.cz, posílá při navázání HTTPS spojení svůj veřejný klíč klientovi – a ničemu to nevadí, ten klíč je určený ke zveřejnění.

něco stejného jako jste tu argumentovat u elektronických občanek
Ne, ničím takovým jsem neargumentoval – já vím, jak funguje asymetrická kryptografie.

pak ale začnete na uživatele klást pro ně bohužel absolutně nesrozumitelné požadavky
Já nechci na uživatele klást žádné nové požadavky, já bych dokonce chtěl na uživatele klást méně požadavků, než dnes – aby nemuseli řešit, že mají pro každý web používat jiné heslo, aby nemuseli složitě zjišťovat, kam heslo mohou zadat a kam ne, aby nemuseli kontrolovat, zda heslo nezadávají do jiného webu atd. Já mám požadavky jen na autory webových prohlížečů, webových standardů, webových serverů a posléze by prohlížeče měly požadavky na provozovatele webů.

S HTTP Digest sice přenesete odpovědnost ze serveru, ale naložíte ji na běžného klienta
Nikoli, oproti dnešku by se ta odpovědnost uživatele zmenšila. Mimochodem, ten současný stav bych nenazýval odpovědností uživatele, ale alibismem tvůrců prohlížečů.

Svůj komentář jste vyplýtval na rádoby poučné, spíš výsměvné, poučení o základech asymetrické kdryptografie
Které bohužel evidentně nedopadlo na úrodnou půdu, když si stále myslíte, že zveřejnění veřejného klíče je problém.

k tomu jak skutečně vyřešíte jste nenapsal zhola nic
Ale napsal, a už jsem to napsal mnohokrát dříve. Heslo si má uživatel vyříkat s prohlížečem, prohlížeč je ten nástroj, kterému uživatel musí z principu důvěřovat. Prohlížeč to heslo má chránit jako oko v hlavě, nesmí heslo ani jeho ekvivalent zpřístupnit nikomu jinému. Uživatel má heslo zadávat do GUI prohlížeče, které bude snadno odlišitelné od webové stránky tak, aby jej nešlo napodobit, prohlížeč pak má uživateli umožnit i vytvoření účtu, změnu hesla a odhlášení. Po uživateli se pak bude chtít jediné – aby heslo nepsal kamkoli, kam napsat jde, ale jenom do toho speciálního dialogu prohlížeče. Už je pak implementační detail, zda tam bude psát master heslo, nebo heslo ke konkrétnímu webu (které klidně může být shodné s heslem pro jiné weby).

jenom popsal řešení které přenáší odpovědnost někam jinam, IMHO na slabší článek řetězu
Moje řešení přenáší odpovědnost na prohlížeč. Kam ta odpovědnost patří. Prohlížeč píší odborníci, používají ho laici.

IMHO je jednoduší vyškolit správce serverů a programátory v bezpečnosti než běžné uživatele
Není, správci serverů a programátoři webových aplikací jsou na tom se znalostmi bezpečnosti úplně stejně, jako běžní uživatelé. Je naivní myslet si, že jsou na tom výrazně lépe, než uživatelé. A pokud si to snad někdo kdysi myslel, měly ho z toho dávno vyléčit neustálé a další a další úniky hesel.