<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">Dne 20. února 2017 10:51 Michal Růžička <span dir="ltr"><<a href="mailto:xruzick7@fi.muni.cz" target="_blank">xruzick7@fi.muni.cz</a>></span> napsal(a):<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Pěkný den,<br>
<br></blockquote><div>... </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
Typicky se to dělá tak, že pár veřejného a soukromého klíče si generuje<br>
uživatel přímo na svém počítači, následně dává k podpisu třetí straně<br>
pouze ten veřejný klíč (je zde pak samozřejmě nutno řešit, jak si ta<br>
třetí strana ověří, že zaslaný veřejný klíč patří opravdu danému<br>
člověku a že ten člověk má k dispozici i odpovídající soukromý klíč), a<br>
ta mu vrací certifikát odkazující na daný veřejný klíč obsahující<br>
nějaká další data (jméno vlastníka atd.) digitálně podepsaný tou třetí<br>
stranou potvrzující, že tyto údaje považuje za pravdivé. Třetí strana<br>
tak v žádném případě nemá přístup k tajným informací (soukromému klíči<br>
uživatele) a ani se nic tajného nikde neposílá – jen veřejný klíč s<br>
certifikátem podepsaným třetí stranou.<br></blockquote><div><br></div><div>Ano, tak by to fungovat mělo, ale, bohužel, často nefunguje. Když jsem ještě měl účet v Komerční bance, přemýšlel jsem o certifikátu kvůli lepšímu zabezpečení (navíc tehdy KB jiný přístup k internetovému bankovnictví neměla). Když jsem se dověděl, že mi banka vygeneruje a pošle e-mailem i můj privátní klíč, hned jsem si to rozmyslel. O několik let později zaměstnanec KB tímto zp+sobem vykradl účty mnoha klientům.</div><div><br></div><div>Pokud si instalujete pokladnu pro EET, pak se privátní klíč generuje na serveru Generální finanční správy a posílá se i s certifikátem ve formátu PKCS12. V dokumentaci je i napsáno, jak si uživatel v Linuxu pomocí OpenSSL vygeneruje klíče a "certificate signing request", který pošle na příslušný server a dostane certifikát ve formátu PEM, který si pak může spojit s klíčem a uložit jako PKCS12. Jenže kolik lidí, kteří musí mít EET, royumí kryptografii a umí zacházet s OpenSSL.</div><div><br></div><div>Občanský průkaz mám bez čipu, ale kdybych měl ten s čipem, pak se obávám, že privátní klíč by také vygenerovalo Ministerstvo vnitra, nikoliv já. </div><div><br></div><div>Vycházím tedy z toho, jak se to zcela běžně dělá úplně špatně, a to i na úrovni, kde jde o mnoho peněz.</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
S pozdravem,<br>
Michal Růžička<br>
<span class="m_3956450543743435567gmail-HOEnZb"><font color="#888888"><br></font></span></blockquote><br class="m_3956450543743435567gmail-Apple-interchange-newline"><br clear="all"><div><div class="m_3956450543743435567gmail_signature">Zdeněk Wagner<br><a href="http://ttsm.icpf.cas.cz/team/wagner.shtml" target="_blank">http://ttsm.icpf.cas.cz/team/<wbr>wagner.shtml</a><br><a href="http://icebearsoft.euweb.cz/" target="_blank">http://icebearsoft.euweb.cz</a></div></div><br><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="m_3956450543743435567gmail-HOEnZb"><font color="#888888">
<br>
--<br>
Michal Růžička <<a href="mailto:xruzick7@fi.muni.cz" target="_blank">xruzick7@fi.muni.cz</a>><br>
OpenPGP key: <a href="https://www.fi.muni.cz/~xruzick7/pgp-klic/" rel="noreferrer" target="_blank">https://www.fi.muni.cz/~xruzic<wbr>k7/pgp-klic/</a><br>
Fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61<br>
</font></span><div class="m_3956450543743435567gmail-HOEnZb"><div class="m_3956450543743435567gmail-h5">______________________________<wbr>_________________<br>
csTeX mailing list<br>
<a href="mailto:csTeX@cs.felk.cvut.cz" target="_blank">csTeX@cs.felk.cvut.cz</a><br>
<a href="https://lists.felk.cvut.cz/mailman/listinfo/cstex" rel="noreferrer" target="_blank">https://lists.felk.cvut.cz/mai<wbr>lman/listinfo/cstex</a><br>
</div></div></blockquote></div><br></div></div>