Jaka jest szansa że w Polsce będzie miał wkrótce wiążącą moc prawną
podpis elektroniczny złożony przy pomocy certyfikatu thawte, verisign
itp (z możliwością oznaczenia takiej klasy tego certyfikatu, żeby dawał
on potwierzdenie nie tylko nazwy e-mail ale też tożsamości właściciela,
która to tożsamość była by potwierzdana przez wystawcę certyfikatu) ?

do góry

Chodzi o to że zgodnie z obecną ustawą wystawcą certyfikatu może być
tylko jedna z polskich instytucji, natomiast ja wymieniłem dwie większe
zagraniczne. Zdaje się że obecnie żadne ich certyfikaty nie mogą być
uznane jako wiążące prawnie w Polsce ? Ale instytucje polskie jednak je
stosują !

do góry

z <b...@j...com> writes:

> Jaka jest szansa że w Polsce będzie miał wkrótce wiążącą moc prawną
> podpis elektroniczny złożony przy pomocy certyfikatu thawte,
> verisign itp (z możliwością oznaczenia takiej klasy tego
> certyfikatu, żeby dawał on potwierzdenie nie tylko nazwy e-mail ale
> też tożsamości właściciela, która to tożsamość była by potwierzdana
> przez wystawcę certyfikatu) ?

Z tego, co wiem, to nad upowszechnieniem podpisu cyfrowego pracuje
kilka osób związanych z ISOC-PL, więc całkiem możliwe, że nie jest
to aż tak odległa przyszłość.

--
http://www.piotr.dembiński.prv.pl

do góry

Osoba przedstawiająca się jako *z* stuknęła w klawisze i oto co
powstało:

> Chodzi o to że zgodnie z obecną ustawą wystawcą certyfikatu może być
> tylko jedna z polskich instytucji, natomiast ja wymieniłem dwie większe
> zagraniczne. Zdaje się że obecnie żadne ich certyfikaty nie mogą być
> uznane jako wiążące prawnie w Polsce ? Ale instytucje polskie jednak je
> stosują

Podobnie jak zgodnie z przepisami dowody osobiste produkuje się w Polsce
a nie w USA. Zaś podpis elektroniczny musi być złożony przy pomocy
urządzenia, którego Thawte nie wydaje.

--
pozdrawiam serdecznie, Olgierd
||| JID:o...@j...org ||| http://olgierd.wordpress.com |||
||| koniecznie podpisz --> http://list.7thguard.net |||

do góry

No a jak się ma do polskiego prawodawstwa to że przeważająca większość
certyfikatów SSL i email używanych przez banki i sklepy internetowe
pochodzi zza granicy ?

do góry

Dnia Sun, 11 Jun 2006 00:34:38 +0200, z napisał(a):

> No a jak się ma do polskiego prawodawstwa to że przeważająca większość
> certyfikatów SSL i email używanych przez banki i sklepy internetowe
> pochodzi zza granicy ?


prawo nie reguluje strefy zabezpieczeń.


--
pozdrawiam,

do góry

Czyli nie muszę ufać certyfikatom najwyższej klasy wystawionym przez
najbardziej znane instytucje zagraniczne ? Jest tu jakiś nonsens.

A przy okazji. W wiadomości otrzymanej od banku inteligo wyświetla mi w
netscape że certyfikat nie jest godny zaufania. Chyba ktoś umieścił dane
banku w certyfikacie piewszej klasy a w nim wolno umieścić tylko nazwę
e-mail. Do danych firmy służą certyfikaty wyższej klasy, o czym mówi to
pouczenie:

(i) Class 1 Certificates. Class 1 Certificates offer the lowest
level of assurances within the VTN. The Certificates are issued to
individual Subscribers only, and authentication procedures are based on
assurances that the Subscriber's distinguished name is unique and
unambiguous within the domain of a particular CA and that a certain
e-mail address is associated with a public key. Class 1 Certificates are
appropriate for digital signatures, encryption, and access control for
non-commercial or low-value transactions where proof of identity is
unnecessary.

(ii) Class 2 Certificates. Class 2 Certificates offer a medium
level of assurances in comparison with the other two Classes. Again,
they are issued to individual Subscribers only, except as provided
herein. In addition to the Class 1 authentication procedures, Class 2
authentication includes procedures based on a comparison of information
submitted by the certificate applicant against information in business
records or databases or the database of a VeriSign-approved identity
proofing service. They can be used for digital signatures, encryption,
and access control, including as proof of identity in medium-value
transactions. Under limited circumstances, Class 2 Certificates may be
issued by a Managed PKI Certificate Service customer to an affiliated
organizational Subscriber (rather than an individual within the
organization). Such Certificates may be used for organization
authentication and application signing only under the terms of the VTN
CPS. You are solely responsible for determining an appropriate scope and
level of reliance on any such organizational Subscriber Class 2
Certificate.

(iii) Class 3 Certificates. Class 3 Certificates provide the
highest level of assurances within the VTN. Class 3 Certificates are
issued to individuals and organizations for use with both client and
server software. Class 3 individual Certificates may be used for digital
signatures, encryption, and access control, including as proof of
identity, in high-value transactions. Class 3 individual Certificates
provide assurances of the identity of the Subscriber based on the
personal (physical) presence of the Subscriber before a person that
confirms the identity of the Subscriber using, at a minimum, a
well-recognized form of government-issued identification and one other
identification credential. Class 3 organizational Certificates are
issued to devices to provide authentication; message, software, and
content integrity and signing; and confidentiality encryption. Class 3
organizational Certificates provide assurances of the identity of the
Subscriber based on a confirmation that the Subscriber organization does
in fact exist, that the organization has authorized the Certificate
Application, and that the person submitting the Certificate Application
on behalf of the Subscriber was authorized to do so. Class 3
organizational Certificates for servers also provide assurances that the
Subscriber is entitled to use the domain name listed in the Certificate
Application, if a domain name is listed in such Certificate Application.

do góry

z napisał(a):
> Czyli nie muszę ufać certyfikatom najwyższej klasy wystawionym przez
> najbardziej znane instytucje zagraniczne ? Jest tu jakiś nonsens.
>
Oczywiście że nie musisz. Nikt nie nakazuje ci też ufać komukolwiek innemu.

p. m.

do góry

Dnia Sun, 11 Jun 2006 11:01:00 +0200, z napisał(a):

> Czyli nie muszę ufać certyfikatom najwyższej klasy wystawionym przez
> najbardziej znane instytucje zagraniczne ? Jest tu jakiś nonsens.

W drugą stronę - możesz zaufać nawet nie podpisanemu certyfikatowi
przez żadną firmę "uznaną". Rzecz w tym że podpisany certyfikat jest
troszkę bardziej wiarygodny ale nie wiele. Kiedy pierwszy raz widzisz jakiś
certyfikat to musisz go sam zweryfikować i uznać za zaufany lub nie.
Możesz to zrobić polegając na firmie podpisujacej lub choćby dzwoniąc do
właściciela certyfikatu o potwierdzenie czy to ich. Jak już mu zaufasz to
następnym razem logując się do banku widzisz, że certyfikat to ten któremu
juz zaufałeś, a nie jakiś inny bo ktoś Ci wysłał lewy link.
Zaletą urzędu certykacyjnego jest to, że weryfikują klienta za nas - na
zasadzie że my potem łatwiej zaufamy "większemu". Ale nadal nie ma
czegoś takiego że "ufasz komuś z urzędu".


Pozdrawiam,
Henry

do góry