Καλησπέρα Χάρη στους υπόλοιπους, α) -Θα συμφωνήσω ότι η "κεντρικοποίηση" προκαλεί αυτά τα προβλήματα. Από την άλλη δυστυχώς ο καταναλωτής δεν θέλει με τίποτα να κουβαλάει κάτι παραπάνω (USB Token). Ακόμα και στην περίπτωση eID, που τα πιστοποητικά θα είναι σε Smart Cards στην ταυτότητά μας θα πρέπει να γεμίσουμε το κόσμο με readers. Από τη μία μου αρέσει η λύση του USB, Smart Card διότι παρέχει απόλυτη εξουσία του δικαιούχου του και συνάδει με το 910/2014, από την άλλη ως άνθρωπος που ασχολείται με την αρχιτεκτονική λογισμικού, η λύση απομακρυσμένης υπογραφής είναι πιο ενιαία και δεν περιπτωσιολογεί (Desktop App, Web app, Mob App, etc.) -Σχετικά με την διαφύλαξη των CAs, ακόμα και σε USB Token να είναι τα τελικά πιστοποιητικά, υποχρεωτικά ανακαλείς το σύνολο αυτών εάν εκτεθεί η CA. Σε περίπτωση έκθεσης των CAs, θα μπορούσε ο καθένας να εκδόσει πιστοποιητικό για τον καθένα ασχέτως με το μέσο φύλαξης των ιδιωτικών κλειδιών. -Ισχύει ότι και την προηγούμενη πρόταση. Το μέσο αποθήκευσης δεν σε προστατεύει σε περίπτωση που έχουν παρασχεθεί δυνατότητες έκδοσης πιστοποιητικών από τρίτες "μη έμπιστες" πηγές β) Δεν αντιλαμβάνομαι πλήρως τι θες να πεις. Όπως και να 'χει, το eIDAS θέτει ένα πλαίσιο σχετικά τις υπηρεσίες των TSPs. Είναι κάτι το οποίο αναπόφευκτα θα γινόταν απλά κινεί τις διαδικασίες πιο γρήγορα ώστε να υιοθετηθεί από όλα τα μέλη κράτη. Βέλγιο, Λουξεμβούργο κτλ, μην μιλήσω για Εσθονία, έχουν υιοθετήσει την ψηφιακή υπογραφή σε πολλές δημόσιες υπηρεσίες. γ) Πιστεύω ότι το μεγαλύτερο πρόβλημα είναι αυτό της διαλειτουργικότητας. Όπως και να έχει πέρα από το eIDAS ένα αξιοπρεπές Trust Center πρέπει να φέρει και πιστοποίηση κατά Webtrust που καλύπτει και διαδικασίες πέρα από υποδομές. Με εκτίμηση, Σπύρος Υ.Γ.: Αν η HTML5 υποστήριζε την ανάγνωση USB Token (HSM) τα πράγματα θα ήταν πολύ πιο απλά και ευέλικτα (Food for Thought) Στις 21 Ιουλίου 2016 - 12:00 μ.μ., ο χρήστης Charalampos Koutsouris < harisk [ at ] iit [ dot ] demokritos [ dot ] gr> έγραψε: > Καλημέρα Σπύρο, > Συμφωνώ με την πληροφορία που παραθέτεις. Ο βασικός προβληματισμός > είναι : > α) Με την συγκέντρωση όλων των κλειδιών σε έμπιστους παρόχους ανοίγει > ακόμη μια τρύπα στην συλλογική ασφάλεια. Μην ξεχνάμε τις πρόσφατες αστοχίες > των υπαρχόντων PKI Trust providers να διαφυλάξουν τις δικές τους CA ή ακόμη > και τις επιλογές τους να παρέχουν υπερβολικές δυνατότητες έκδοσης > πιστοποιητικών από τρίτες οντότητες (ή τέταρτες αν θέλετε). > > β) Όλο το περιβάλλον απαιτεί εκτός από λογισμικό μια δυνατότητα > λειτουργίας (operational capability) που περιλαμβάνει τεχνολογία, > τεχνογνωσία-ανθρώπους και διαδικασίες. Το κόστος της τεχνολογίας δεν > κυριαρχεί σε αυτά. Οι Trust providers αγωνίζονται να καλύψουν το κόστος και > να αποκτήσουν μια αγορά καθώς χρόνια τώρα απλά επιβιώνουν. Ο eIDAS έχει και > αυτός τον ρόλο του σε αυτή την προσπάθεια. > > γ) Και σε αυτόν τον τομέα το επιχειρηματικό μοντέλο είναι η παροχή > μεγαλύτερης ευκολίας έναντι λιγότερης ασφάλειας. Κοινώς δεν αντιμετωπίζουμε > τα προβλήματα διαλειτουργικότητας των προσωπικών HSM(Τοκεν) και της > έλλειψης εκπαίδευσης του πληθυσμού. Αντί-αυτού πουλάμε ηλεκτρονική υπογραφή > σαν υπηρεσία. Αυτό ίσως είναι το μεγαλύτερο πρόβλημα για εμένα. > > Στο τέλος βέβαια η συζήτηση γίνεται γενική αλλά βοηθάει να σκιαγραφήσουμε > το περιβάλλον από πλευράς ασφάλειας και προκλήσεων που θα πρέπει να έχουμε > στο μυαλό μας. > Όπως ήδη έγραψα ο ορισμός του προβλήματος και ο καθορισμός των σεναρίων > χρήσης είναι σημαντικός για να αποφεύγεται μια εντελώς θεωρητική προσέγγιση. > > Με εκτίμηση > > Χάρης > > > > On 20/7/2016 7:36 μμ, Σπυρίδων Κόλλιας wrote: > > Καλησπέρα σας, > *προηγμένη *ψηφιακή υπογραφή, η οποία φέρει την νομική ισχύ αντίστοιχη > της ιδιόχειρης, μπορεί να δημιουργηθεί εφόσον το ιδιωτικό κλειδί είναι σε > κάποιο HSM (ΑΔΔΥ) και το πιστοποιητικό έχει εκδοθεί από έμπιστο πάροχο. > Σχετικά με τα κινητά υπάρχουν HSM σε microSD αλλά και λύσεις σε SIM Card. > Όμως όλα αυτά (κυρίως τα Mobile) θα αποτελέσουν παρελθόν διότι ο κανονισμός > 910/2014 που τέθηκε σε ισχύ από 01/07/2016 λαμβάνει υπόψη του και την > "δημιουργία εξ αποστασέως ηλεκτρονικών υπογραφών" που τα ιδιωτικά κλειδιά > είναι σε HSM σε έμπιστο πάροχο και ακολουθείται διαδικασία αυθεντικοποίησης > με OTP, username, password etc. > > Εν κατακλείδι, θα μπορούσε να υφίσταται Open source εργαλείο τέτοιο εφόσον > η υπογραφή δημιουργείται μέσα σε HSM. Συγκεκριμένα το Sign Server της > Primekey μπορείς να το συνδέσεις με HSM και σου δίνει Web Services ώστε να > βάζεις υπογραφές. Άρα ένα λογισμικό το οποίο το θα κατανάλωνε τα Web > Services του Sign Server αφού έχει αυθεντικοποίησει τον χρήστη. (Δεν αρκεί > μόνο το username/password) > > Με εκτίμηση, > Σπύρος Κόλλιας > > Στις 20 Ιουλίου 2016 - 5:15 μ.μ., ο χρήστης Angelos Karageorgiou < > <angelos [ at ] unix [ dot ] gr>angelos [ at ] unix [ dot ] gr> έγραψε: > >> Εδω θα συμφωνήσω με τον Χάρη , κάθε open source λύση πρέπει πρώτα να >> δοκιμαστεί λειτουργικά και κατόπιν να περάσει έαν καλό audit. >> >> Εχοντας πεί αυτά ίσως θα έπρεπε να προσδιοριστεί το εύρος της επιθυμιτέας >> λυσης. >> >> >> >> >> On 2016-07-20 16:53, Charalampos Koutsouris wrote: >> >> Δεν έχω κάνει κάποια έρευνα για opensource λύσεις αλλά θέλω να παρατηρήσω >> ότι η φύλαξη των προσωπικών πιστοποιητικών σε κάποιο server ή στο κινητό >> τηλέφωνο δεν είναι και η καλύτερη λύση από πλευράς ασφάλειας. >> >> Το προϊόν συνδυάζει document workflows με κάποια υπογραφή που μπορεί να >> είναι και PKI βασισμένη σε προσωπικά ψηφιακά πιστοποιητικά, αλλά φαίνεται >> να διαθέτει και άλλες επιλογές υπογραφής. Η εφαρμοσιμότητα της λύσης >> βασίζεται στο περιβάλλον ασφάλειας με το πρότυπο ISO27001 και ένα σωρό >> άλλες νομoθεσίες και πρότυπα για e-signature. >> >> Εκτιμώ λοιπόν ότι μια opensource έκδοση αυτού δεν είναι πιθανό να υπάρξει >> ως ένα σύνολο αλλά ως άθροισμα πολλαπλών συστημάτων. Η ενσωμάτωση υπογραφής >> σε workflows με επαρκή νομική ισχύ πιστεύω ότι πρέπει να υλοποιηθεί σε >> συγκεκριμένα σενάρια χρήσης. Σε αντίθετη περίπτωση υπάρχει ο κίνδυνος ένα >> σύστημα εγγράφων και ψηφιακών υπογραφών να κατρακυλήσει στην αναζήτηση της >> ευκολότερης λύσης από πλευράς χρήστη, ξεχνώντας την ασφάλεια ή την νομική >> ισχύ των υπογραφών των εγγράφων. >> >> >> Με εκτίμηση >> >> Χάρης >> >> >> On 18/7/2016 5:12 μμ, Theodoros G. Karounos wrote: >> >> Υπάρχουν open source λύσεις για eSignature όπως το >> https://www.docusign.com/ ? >> >> >> >> -- >> --------------------------- >> http://www.eellak.gr/, >> http://mycontent.ellak.gr/, >> http://www.creativecommons.gr, >> https://opengov.ellak.gr/, >> https://opendata.ellak.gr/, >> https://opendesign.ellak.gr/, >> http://mathe.ellak.gr/ >> >> >> >> ---- >> Λαμβάνετε αυτό το μήνυμα απο την λίστα: Γενική λίστα αλληλογραφίας και συζητήσεων της κοινότητας που ασχολείται με θέματα ιδιωτικότητας,https://lists.ellak.gr/privacy/listinfo.html >> >> Μπορείτε να απεγγραφείτε από τη λίστα στέλνοντας μήνυμα ηλ. ταχυδρομείου στη διεύθυνση <privacy+unsubscribe [ at ] ellak [ dot ] gr> <privacy+unsubscribe [ at ] ellak [ dot ] gr>. >> >> >> >> -- >> ---------------------------------------------------- >> Koutsouris Charalampos, MSc, CISA,CISSP >> Institute of Informatics and Telecommunications, >> NCSR "Demokritos", >> 153-10 Agia Paraskevi , Athens, GREECE >> Tel: +30 - 210 - 6503125 >> Fax: +30 - 210 - 6543615 >> E-mail: harisk [ at ] iit [ dot ] demokritos [ dot ] gr >> mobile : 0030 6981013265 >> Skype : koutsourish >> ---------------------------------------------------- >> >> >> >> <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient> Απαλλαγμένο >> από ιούς. www.avast.com >> <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient> >> >> ---- >> Λαμβάνετε αυτό το μήνυμα απο την λίστα: Γενική λίστα αλληλογραφίας και >> συζητήσεων της κοινότητας που ασχολείται με θέματα ιδιωτικότητας, >> https://lists.ellak.gr/privacy/listinfo.html >> >> Μπορείτε να απεγγραφείτε από τη λίστα στέλνοντας μήνυμα ηλ. ταχυδρομείου >> στη διεύθυνση < <privacy+unsubscribe [ at ] ellak [ dot ] gr> >> privacy+unsubscribe [ at ] ellak [ dot ] gr>. >> >> >> >> ---- >> Λαμβάνετε αυτό το μήνυμα απο την λίστα: Γενική λίστα αλληλογραφίας και >> συζητήσεων της κοινότητας που ασχολείται με θέματα ιδιωτικότητας, >> https://lists.ellak.gr/privacy/listinfo.html >> >> Μπορείτε να απεγγραφείτε από τη λίστα στέλνοντας μήνυμα ηλ. ταχυδρομείου >> στη διεύθυνση <privacy+unsubscribe [ at ] ellak [ dot ] gr>. >> >> > > > -- > ---------------------------------------------------- > Koutsouris Charalampos, MSc, CISA,CISSP > Institute of Informatics and Telecommunications, > NCSR "Demokritos", > 153-10 Agia Paraskevi , Athens, GREECE > Tel: +30 - 210 - 6503125 > Fax: +30 - 210 - 6543615 > E-mail: harisk [ at ] iit [ dot ] demokritos [ dot ] gr > mobile : 0030 6981013265 > Skype : koutsourish > ---------------------------------------------------- > > > > <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient> Απαλλαγμένο > από ιούς. www.avast.com > <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient> >
---- Λαμβάνετε αυτό το μήνυμα απο την λίστα: Γενική λίστα αλληλογραφίας και συζητήσεων της κοινότητας που ασχολείται με θέματα ιδιωτικότητας, https://lists.ellak.gr/privacy/listinfo.html Μπορείτε να απεγγραφείτε από τη λίστα στέλνοντας μήνυμα ηλ. ταχυδρομείου στη διεύθυνση <privacy+unsubscribe [ at ] ellak [ dot ] gr>.