Vėlgi, kolegos komentarai: >"ejs" <ejs@no.where> wrote in message news:i7qbnh$l0e$1@trimpas.omnitel.net... >>2010.09.27 14:03, Martozo rašė: >> Pradėkim nuo to, kad "elektroninio parašo funkcionavimas" apima ne >> vien tik el. pašto laiškų pasirašymą, o tipinės pašto programos >> neturi galimybės sukurti tokios formos elektroninių parašų, kurie >> būtų tinkami ilgesniam saugojimui išlaikant patikimumą. > > o būtent ko trūksta? Nesikabinėju, dirbau prie vieno PKI projekto ir su > tokiomis problemomis neteko susidurti. Keletas tokių aktualesnių momentų būtų: 1. Elektroninio parašo formatas turėtų palaikyti laiko žymą, o jei bus saugomas dokumentas ilgesnį laiką, tai tuomet turėtų būti galimybė uždėti ir archyvinę laiko žymą, kadangi po 5 metų tarkim 1024 raktai bus labai lengvai tikėtina išskaičiuojami, taigi bus lengva padirbti dabartinius dokumentus pasirašytus tokio ilgio raktais. 2. Norint, kad pasirašytas dokumentas galiotų ES ribose be jokių papildomų susitarimų, reikia, kad parašo formatas tenkintų el. parašo direktyvos reikalavimus (kiek žinau netgi ankstensės PDF parašo formos netenkino šių reikalavimų ir dėl to Adobe inicijavo naujo standarto atsiradima, aprašantį PAdES PDF elektroninius parašus, kurie jau tenkina direktyvos reikalavimus http://en.wikipedia.org/wiki/PAdES). Šiuo metų ES aktualūs elektroninio parašo formatai yra XAdES, PAdES, CAdES. 3. Parašo formavimo primonės turėtų tenkinti LST CWA 14170 „Saugumo reikalavimai, keliami taikomosioms parašo formavimo sistemoms“ reiklavimus. >> Iš esmės antrasis sertifikatas nelabai tiktų elektroniniam parašui, >> nes nėra naudojamas "Non-R, epudiation" bitas, kas reiškia, kad nebus >> užtikrintas neišsiginamumas. > > Tai - tik bitas. Negalima reikalauti jo uždėti viešai gaunamam > sertifikatui, kai pateikiami minimalūs vartotojo duomenys (Level 1 > berods). Galima nusipirkti Level2 ir Level3 sertifikatus. Level3 reikia > vos ne pačiam apsireiškti pasiimant. Sertifikavimo paslaugų teikėjai išduodami sertifikatus gali nurodyti kokiems tikslams jų sertifikatai gali būti naudojami, kadangi nuo to priklauso paslaugų kaina ir rizika. Ir neuždėdami Non-repudiation bito, paslaugų teikėjai faktiškai išduoda tik identifikavimosi sertifikatą, kuriuo žmogus galėtų priijungti į sistemą, nenešdamas atsakomybės už prisijungimo metu pasirašytų duomenų pasirašymą, kadangi jisai jų netgi nemato. Jei būtų naudojamas tas pats sertifikatas ir pasirašymui ir identifikavimuisi, portalai galėtų vartotojui nežinant pakišti ne prisijungimo duomenų sąntrauką, o kažkokio dokumento sąntrauką ir asmuo jį pasiraštų pats to nežinodamas. >> O kas liečia EKU skirtumus, tai labai priklauso nuo to ar laukas EKU >> kritinis ar ne, bei nuo konkrečios pašto programos kaip jinai >> traktuos "Document Signing" ir atitinkamai "Secure Email" OID. > > Nuo amžių amžinųjų buvo OID skirti skaitmeniniam parašui. Visos > programos juos tradiciškai naudojo ir tikrai nebuvo pakeitimų per vieną > dieną. Staiga tautiniai specifikatoriai sukuria savas taisykles, paima > OID iš m$ rėžių ir džiaugiasi gautomis babkėmis. Sunku buvo įdėti OID į > specifikaciją? Dėl šios dalies jau bendrų reiklavimų, bent mano žiniomis ES nėra, taigi kokius OID naudoti priklauso tik nuo Sertifikavimo paslaugų teikėjo ir dėl pasirinktų paskirčių manau galima būtų diskutuoti :) Šiaip yra minčių bendrai Lietuvos mastu aprašyti bazinius reiklavimus sertifikatų profiliams, taip susiejant teisinius ir techninius dalykus. > PS: te, nors ir ne tautinis produktas ;) Kadangi sertifikatas išduotas ne kvalifikuotus sertifikatus sudarančio sertifikavimo paslaugų teikėjo, tai tam, kad šis parašas Lietuvoje galiotų reikia abipusio susitarimo, o kitose ES šalyse ko gero ir tokiu atveju negaliotu, na ir aišku reikėtų jau analizuoti ar pats parašo formatas yra saugus. Bet šaip uždarose sistemose, kuomet yra galimybė susitarti, toks sprendimas būtų manau visai tinkamas.