Důležité upozornění!

Policie České republiky se zajímá o IP-adresy osob, které komentují tento blog. Ve vlastním zájmu zde proto nic nepopírejte, nezpochybňujte, neschvalujte, neospravedlňujte, nikoho a nic nehanobte, nepodporujte a nepropagujte, a pokud se přesto rozhodnete komentář přidat, pak se, prosím, ničemu nedivte.

Datové schránky, den D3

Celkem málo překvapivě ani třetí den od zřízení datové schránky mi Česká pošta zásilku s přístupovými údaji nedoručila. Kolem její aplikace se však mezitím strhla vřava, když se zjistilo, že místo důvěryhodného certifikátu je nejen demoverse, ale i "ostré" rozhraní datových schránek chráněno certifikátem vydaným certifikační autoritou České pošty. Doporučení pro uživatele uvádí, že zprávy o nedůvěryhodnosti certifikátu stačí prostě ignorovat a vše "odkliknout".

To je ovšem cesta do pekel, jak pohotově demonstroval návodem na man-in-the-middle útok blogger na ABCLinuxu.cz. Správný postup musí být opačný: když už si Česká pošta nemůže koupit certifikát od mezinárodně uznávané autority, jak běžně činí např. banky, je třeba nejprve instalovat kořenové certifikáty, ověřit jiným kanálem, na informační telefonické lince, z tištěných materiálů apod., jejich authenticitu (fingerprint) a teprve pak spustit aplikaci.

Velmi znepokojivá je i možnost přihlašovat se pouhým uživatelským jménem a heslem, bez SSL certifikátu – nemuselo by přitom jít ani o elektronický podpis, stejný účel by splnil javovým apletem vygenerovaný klíčový pár nebo certifikát generovaný ad hoc, jaké používá např. myOpenID.com. Každé podání učiněné z takto "zabezpečené" datové schránky bude možné velmi jednoduše zpochybnit, a znalecký posudek nemůže vyznít jinak než pro uživatele a proti České poště.

Na jedné straně, nepodléhejme nerealistickým očekáváním ohledně zabezpečení strojů, ze kterých bude do datových schránek přistupováno: jednotky až desítky procent budou bezpochyby stejně nakaženy malwarem (OSS fundamentalista by dodal, že 99 % bude nakaženo MS Windows) a pod kontrolou netbotů. Na straně druhé, vynaložit bezmála miliardu korun ze státního rozpočtu na něco, co je na první pohled produktem snažení týmu lidí, který zjevně není schopen vyřešit zadání na potřebné úrovni profesionality a měsíce nebo roky od spuštění bude dolaďovat, co banky umějí a s úspěchem víc než deset let aplikují (eBanka), to je investice, kterou si náš stát klidně mohl odpustit.

PS: Systém datových schránek byl nyní, po třech dnech provozu, na dva dny odstaven, prý z důvodu plánovaných změn a "zátěžových" zkoušek. Opravdu ta nejlepší visitka profesionality jeho tvůrců!
Kategorie: Úvahy a komentáře
Počet zobrazení: 1915

Komentáře   

0 # Mormegil 2009-07-04 20:34
Barevná indikace znamená trochu víc než jen to, že certifikát „uvádí i organizaci“; v podstatě se skoro dá říct, že vaše původní informace byla blíž pravdě. Vizte např. článek na Wikipedii.
0 # Tomáš Pecina 2009-07-04 20:43
Děkuji. Spíš bych řekl, že obě verse jsou nepřesné každá jinak; raději jsem závorku i aktualisaci smazal.
0 # petr 2010-07-14 09:29
Česká pošta rulez!

Komentovat články mohou pouze registrovaní uživatelé; prosím, zaregistrujte se (v pravém sloupci dole)