[LUGOS] firefox edavki game over
Jaka Močnik
jaka at gnu.org
Mon Apr 3 20:04:09 CEST 2006
On Mon, 2006-04-03 at 10:00 +0200, Metod Kozelj wrote:
> Morda lahko kdo bolj avtoritativno pove, kaj se pri podpisovanju v
> resnici dogaja. Jaz si predstavljam to tako, da pač server pošlje en
> challenge, uporabnik vkuca tisto kodo (ki jo na zaslon dobi v
> grafično-skvarjeni obliki), potem pa tisti JS ali ActiveX koda stvari
> malce preračuna in pošlje nazaj. Ne vidim razloga, da se tale del
> (preračunavanje) ne bi naredilo na serverju... Prenos preko neta je
> kriptiran (SSL), uporabnik je avtentificiran (SSL certifikat), tako da
> kakšnih hudih varnostnih pomislekov ne bi smelo biti ...
pha, gre bolj za to, da onemogočiš, da bi oddani dokument kasneje kdo
spremenil in trdil, da si tako spremenjenega oddal ti.
kar pa se zgornjega tiče, si predstavljaš skoraj, pa ne čisto, popolnoma
narobe. popisal si namreč, kako je videti identifikacija s pomočjo
digitalnega podpisa: res, tisto "preračunavanje", ki ga omenjaš, je
podpisovanje challengea, kar browser zna narediti zato, ker je to
standardiziran postopek. v primeru e-dohodnine ne podpišeš nekega
challengea, ki bi ga poslal strežnik, temveč podpišeš *dokument*, ki ga
oddajaš. ponavadi se naredi izvleček celotnega dokumenta s primernim
razprševalnim postopkom (SHA-?, MD-?, ipd.), ta izvleček pa se podpiše s
tvojim zasebnim ključem.
izvedeni postopek zagotovi, da boš lahko, če nekdo spremeni vrednosti v
tvoji dohodninski napovedi, argumentirano trdil, da takšne napovedi ti
nisi oddal.
lpJ
--
e-mail: jaka at gnu.org
w3: http://fish.homeunix.org/people/jaka/
More information about the lugos-list
mailing list