Elektronický podpis a jeho dlouhodobé slabiny Jiří Nápravník
Uživatel si má svůj počítač ochránit sám! V zákoně 227/2000 Sb. §5 je uvedena povinnost podepisující osoby chránit prostředky pro tvorbu elektronického podpisu. V §5 odst. 2 je uvedena odpovědnost podepisujících osob za vzniklé škody Opravdu je to možné?
Uživatel si má svůj počítač ochránit sám! Opravdu je to možné? Dlouhodobé chyby v programech : ➲ Chyba v Microsoft Internet Exploreru ➲ Chyby v DNS ➲ Trojský kůň v instalačním souboru Běžný uživatel je v případě útoku přes tyto slabiny bezbranný
Uživatel si má svůj počítač ochránit sám! Opravdu je to možné? ➲ Díra v MSIE v 5,6,7 ➲ Díra, která dávala příležitost pro pharming ➲ Chybí jistota nezávadnosti při instalaci SW ➲ Přístup NĚKTERÝCH provozovatelů internetových aplikací v ČR - „Uživatelé nerozumí našemu geniálnímu řešení bezpečnosti. Uživatelé jsou povinni si sami chránit počítač.“
Zneužívání cizí identity ➲ Heslo Jednoduché pro programování i použití. Relativně jednoduché způsoby, jak heslo získat ➲ Elektronický podpis Případy vykradených účtů názorně ukázaly, jak je možné zneužít privátní klíč a heslo ➲ Jednorázové heslo Pro pharming není ani jednorázové heslo problém ➲ Heslo, privátní klíč na čipové kartě Škodlivý program ve Windows přinutí čipovou kartu podepsat podvodný soubor / transakci
Uživatel si má svůj počítač ochránit sám! Opravdu je to možné? V zákoně 227/2000 Sb. §5 je uvedena povinnost podepisující osoby chránit prostředky pro tvorbu elektronického podpisu V §5 odst.2 je uvedena odpovědnost podepisujících osob za vzniklé škody Při zavádění elektronického podpisu byl kladen obrovský důraz na důvěryhodnost certifikačních autorit a již se zapomnělo na to, co se bude odehrávat u klienta a jaká nová nebezpečí budou číhat na jeho počítač.
Uživatel si musí počítač chránit sám ➲ Organizované skupiny počítačových útočníků ➲ Slabiny v programech, které v nich byly mnoho let ➲ Nové způsoby pronikání do uživatelských počítačů ➲ Atd. To vše jsou argumenty pro to, proč není uživatel schopen si za všech okolností ochránit svůj počítač a prostředky pro tvorbu el. podpisu.
Shrnutí ➲ Prvotní nezájem bankéřů řešit problémy spojené se zneužitím elektronického podpisu ukázal na nové nebezpečí. ➲ Vážnější to může být při komunikaci se státní správou, která postupuje podle zákonů a vyhlášek. Pokud v zákonech není ustanovení o zneužití identity, tak pro úředníka takové nebezpečí neexistuje!!!
Shrnutí ➲ Zaručený elektronický podpis je možné zfalšovat a provozovatel aplikace podobně jako před lety bankéři nerozpozná, zda dokument podepsal oprávněný uživatel, nebo jeho jménem podvodník. ➲ Je možné zneužít i elektronický podpis chráněný jednorázovým heslem nebo řešení, ve kterém je privátní klíč uložen na čipové kartě.
Děkuji Vám za pozornost Jiří Nápravník