eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.comp.programmingPodpis elektroniczny dla ubogich
Ilość wypowiedzi w tym wątku: 52

  • 11. Data: 2011-08-25 04:41:13
    Temat: Re: Podpis elektroniczny dla ubogich
    Od: Maciej Pilichowski <P...@g...com>

    On Wed, 24 Aug 2011 09:34:07 +0200, Jacek Czerwinski <...@...z.pl> wrote:

    >Czy założenie: kierownik będ?c zalogowany do systemu, w przygotowanym
    >polu wpisuje co? co zaczyna się jednego z predefiniowanych słów (TAK,
    >NIE, ODMOWA, AKEPTACJA itd).

    Nie zlapalem Twojej koncepcji, ale pod wzgledem ergonomii to dobry
    pomysl -- tzn. dwa slowa z tego -- odmowa, akceptacja.

    Checkboxow i buttonow nasz umysl nie czyta, natomiast to co robimy i
    owszem, jest wieksza szansa wybudzenia.

    milego dnia, hej
    --
    Moja wyprzedaz wszystkiego: ksiazki, plyty, filmy.
    http://www.garaz.pol.pl/


  • 12. Data: 2011-08-25 06:49:40
    Temat: Re: Podpis elektroniczny dla ubogich
    Od: Paweł Kierski <n...@p...net>

    W dniu 2011-08-25 06:41, Maciej Pilichowski pisze:
    > On Wed, 24 Aug 2011 09:34:07 +0200, Jacek Czerwinski<...@...z.pl> wrote:
    >
    >> Czy założenie: kierownik będ?c zalogowany do systemu, w przygotowanym
    >> polu wpisuje co? co zaczyna się jednego z predefiniowanych słów (TAK,
    >> NIE, ODMOWA, AKEPTACJA itd).
    >
    > Nie zlapalem Twojej koncepcji, ale pod wzgledem ergonomii to dobry
    > pomysl -- tzn. dwa slowa z tego -- odmowa, akceptacja.
    >
    > Checkboxow i buttonow nasz umysl nie czyta, natomiast to co robimy i
    > owszem, jest wieksza szansa wybudzenia.

    Bardziej hardcoreowe byłoby zmuszenie do wpisania losowego słowa na TAK
    i innego wylosowanego na NIE. Dobrać słownik wyrazów, które są
    w kontekście firmy absurdalne (będą budzić jakieś emocje, choćby
    zdziwienie) i gwarantowane, że podpisujący będzie musiał się skupić 8-)

    --
    Paweł Kierski
    n...@p...net


  • 13. Data: 2011-08-25 14:55:57
    Temat: Re: Podpis elektroniczny dla ubogich
    Od: A.L. <l...@a...com>

    On Wed, 24 Aug 2011 09:34:07 +0200, Jacek Czerwinski <...@...z.pl> wrote:

    >Pomysł pewnego prostego systemu workflow w firmie. Pewne operacje
    >wymagają podpisu / parafki człowieka (tak było w papierowym odpowiedniku).
    >Powinno to się prawdopodobnie zrobić tak: zbudowac jakiś dokument, XML
    >czy podobny, oprawić go w podpis elektroniczny w oparciu o klucze (PGP
    >itd, nie wnikam), kierownik używa swojego (drugiego!!! - tego do podpisu
    >hasła) i to jest podpisane.
    >
    >jednak to jest nie do wprowadzenia. Edukacja, gospodarka kluczami itd.
    >
    >Czy założenie: kierownik będąc zalogowany do systemu, w przygotowanym
    >polu wpisuje coś co zaczyna się jednego z predefiniowanych słów (TAK,
    >NIE, ODMOWA, AKEPTACJA itd).
    >Psychologicznie czuł, że to pisał, zwłaszcza dłuższe słowo, a z faktu że
    >był zalogowany wynika, ze to było on. Ewentualnie jeszcze raz potwierdza
    >ale tym samym hasłem ogólnym (niektóre webmaile i serwisy
    >społecznościowe mają taką koncepcję w wiodących miejscach).
    >
    >Bardzo to głupi pomysł, czy warunkowo może być. O czym warto pomyśleć?

    Jezeli podpis zwiazany jest z jakimis skutkami prawnymi, to zadane
    "amatorskie" rozwiazanie sie nei nada. Na przyklad, ktos tam podpisze
    "robic", cos wybuchnie a potem ow ktos powie: "ja podpisalem? Skad?
    Prosze udowodnic"

    Jak podpis elektroniczny jest potzrebny, to na ogol albo jest
    potzrebny naprawde albo wcale.

    Zamiast pytac na tej grupie, proponuje popytac sie prawnikow.

    Zas powaznym podpisem elektronicznym zajmuje sie Instytut maszyn
    matematycznych w Warszawie. Proponoje sie skontaktowac i zobaczyc czy
    cos maja

    http://www.imm.org.pl/134,Badania-Podpis-Elektronicz
    ny-oraz-WeryfikacjaCech-Biometrycznych.html

    A.L.


  • 14. Data: 2011-08-26 06:19:25
    Temat: Re: Podpis elektroniczny dla ubogich
    Od: Paweł Kierski <n...@p...net>

    W dniu 2011-08-25 16:55, A.L. pisze:
    [...]
    > Jezeli podpis zwiazany jest z jakimis skutkami prawnymi, to zadane
    > "amatorskie" rozwiazanie sie nei nada. Na przyklad, ktos tam podpisze
    > "robic", cos wybuchnie a potem ow ktos powie: "ja podpisalem? Skad?
    > Prosze udowodnic"

    Nie do końca. O ile pamiętam z prezentacji prawników nt. dokumentów
    elektronicznych i podpisu eletronicznego, to nawet zwykły mail może być
    dowodem. Oczywiście podobnej rangi co zwykła notatka, a nie dokument
    z pieczęciami itp. ale jednak.

    Nawet zwykłe kliknięcie na portalu aukcyjnym, czy akceptowanie licencji
    checkboxem jest ważnym prawnie zawarciem umowy - vide przypadki
    sprzedaży motorówki za 1zł, gdy sprzedawca zapomniał wystawić ceny
    minimalnej.

    > Jak podpis elektroniczny jest potzrebny, to na ogol albo jest
    > potzrebny naprawde albo wcale.

    Nie zawsze podpisujemy dokumenty notarialnie, czy w obecności świadków,
    albo dodatkowo zaopatrując w pieczęć. Zależy od potrzeb.

    > Zamiast pytac na tej grupie, proponuje popytac sie prawnikow.

    Tu się w 100% zgadzam.

    --
    Paweł Kierski
    n...@p...net


  • 15. Data: 2011-08-26 07:17:08
    Temat: Re: Podpis elektroniczny dla ubogich
    Od: Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl>

    Paweł Kierski pisze:
    > W dniu 2011-08-25 16:55, A.L. pisze:
    > [...]
    >> Jezeli podpis zwiazany jest z jakimis skutkami prawnymi, to zadane
    >> "amatorskie" rozwiazanie sie nei nada. Na przyklad, ktos tam podpisze
    >> "robic", cos wybuchnie a potem ow ktos powie: "ja podpisalem? Skad?
    >> Prosze udowodnic"
    >
    > Nie do końca. O ile pamiętam z prezentacji prawników nt. dokumentów
    > elektronicznych i podpisu eletronicznego, to nawet zwykły mail może być
    > dowodem. Oczywiście podobnej rangi co zwykła notatka, a nie dokument
    > z pieczęciami itp. ale jednak.
    >
    > Nawet zwykłe kliknięcie na portalu aukcyjnym, czy akceptowanie licencji
    > checkboxem jest ważnym prawnie zawarciem umowy - vide przypadki
    > sprzedaży motorówki za 1zł, gdy sprzedawca zapomniał wystawić ceny
    > minimalnej.
    >
    >> Jak podpis elektroniczny jest potzrebny, to na ogol albo jest
    >> potzrebny naprawde albo wcale.
    >
    > Nie zawsze podpisujemy dokumenty notarialnie, czy w obecności świadków,
    > albo dodatkowo zaopatrując w pieczęć. Zależy od potrzeb.
    >
    >> Zamiast pytac na tej grupie, proponuje popytac sie prawnikow.
    >
    > Tu się w 100% zgadzam.
    >

    W jednej z poprzednich firm w której pracowałem wprowadzono wewnętrzny
    elektroniczny obieg dokumentów. Każdy otrzymał program do podpisu
    napisany wewnętrznie - podpisywał pdf-y. Natomiast same podpisy,
    ponieważ były one potrzebne do wewnętrznych potrzeb były certyfikowane
    przez nasz wewnętrzny serwer. Ułatwiało to współpracę z tego względu, że
    firma była dość rozproszona po Polsce, więc na akceptacje bądź
    odrzucenie nie trzeba było czekać do przyjazdu danej osoby (tudzież jak
    osoba była w delegacji - mogła spokojnie skorzystać z któregoś z
    komputerów w firmie - podpisy były na urządzeniach przenośnych,
    podłączanych pod USB). Na serwerze dodatkowo postawiona była strona z
    dokumentami, gdzie logując się mogłeś sprawdzić jakie dokumenty czekają
    na Twoją akceptacje - ściągałeś taki dokument, uruchamiałeś program,
    którym podpisywałeś, a on odsyłał na serwer logując się za pomocą
    certyfikatu (serwer przyjmował dokument, jeśli na niego oczekiwał, bądź
    odrzucał,jeśli na taki dokument nie oczekiwał). Sam system wymagał
    trochę pracy do jego przygotowania, ale działał bardzo sprawnie.


    --
    Kaczus
    http://kaczus.republika.pl


  • 16. Data: 2011-08-26 07:38:18
    Temat: Re: Podpis elektroniczny dla ubogich
    Od: "Przemek O." <p...@o...eu>

    W dniu 2011-08-25 16:55, A.L. pisze:

    Wiem że "szanowny" imć A.L. i tak tego nie przeczyta, bo raczył wsadzić
    mnie do swojego KFa, ale:

    > Jezeli podpis zwiazany jest z jakimis skutkami prawnymi, to zadane
    > "amatorskie" rozwiazanie sie nei nada. Na przyklad, ktos tam podpisze
    > "robic", cos wybuchnie a potem ow ktos powie: "ja podpisalem? Skad?
    > Prosze udowodnic"

    chciałem zauważyć, że są dokumenty, np. FV które nie wymagają dla swojej
    ważności ani pieczątki wystawcy ani podpisu wystawcy, więc tłumaczenie
    powyżej jest co najmniej dziecinne. Ponadto jakiekolwiek transakcje
    zawierane na portalach aukcyjnych, sklepach internetowych itd itp nie
    wymagają dla potwierdzenia ważności podpisu elektronicznego. A wszystkie
    powyżej operacje związane są ze skutkami prawnymi. Więc Panie A.L., po
    części bajki opowiadasz.


    > Zas powaznym podpisem elektronicznym zajmuje sie Instytut maszyn
    > matematycznych w Warszawie. Proponoje sie skontaktowac i zobaczyc czy
    > cos maja

    Od czasów które Pan pamięta, w kraju naprawdę się trochę zmieniło i nie
    ma już tak, że tylko jedna firma się zajmuje daną działką z nadania
    odgórnego. Firm oferujących poważne podpisy elektroniczne jest co
    najmniej kilka (a niepoważne jeszcze więcej).

    pozdrawiam,
    Przemek O.


  • 17. Data: 2011-08-26 12:30:02
    Temat: Re: Podpis elektroniczny dla ubogich
    Od: Edek <e...@g...com>

    On 08/24/2011 09:34 AM, Jacek Czerwinski wrote:
    > Pomysł pewnego prostego systemu workflow w firmie. Pewne operacje
    > wymagają podpisu / parafki człowieka (tak było w papierowym odpowiedniku).
    > Powinno to się prawdopodobnie zrobić tak: zbudowac jakiś dokument, XML
    > czy podobny, oprawić go w podpis elektroniczny w oparciu o klucze (PGP
    > itd, nie wnikam), kierownik używa swojego (drugiego!!! - tego do podpisu
    > hasła) i to jest podpisane.
    >
    > jednak to jest nie do wprowadzenia. Edukacja, gospodarka kluczami itd.
    >
    > Czy założenie: kierownik będąc zalogowany do systemu, w przygotowanym
    > polu wpisuje coś co zaczyna się jednego z predefiniowanych słów (TAK,
    > NIE, ODMOWA, AKEPTACJA itd).
    > Psychologicznie czuł, że to pisał, zwłaszcza dłuższe słowo, a z faktu że
    > był zalogowany wynika, ze to było on. Ewentualnie jeszcze raz potwierdza
    > ale tym samym hasłem ogólnym (niektóre webmaile i serwisy
    > społecznościowe mają taką koncepcję w wiodących miejscach).
    >
    > Bardzo to głupi pomysł, czy warunkowo może być. O czym warto pomyśleć?

    Jak rozumiem, to nie ma mieć żadnych skutków prawnych, tylko
    ma być używane wewnątrz firmy.

    Nie wiem, jak zrobić workflow, to już jest kwestia do wypracowania
    w firmie, ale generalnie wystaczyłby zwykły podpis [1] pod albo
    dokumentem, albo nawet mailem.

    Jest kwestią umowną w firmie, czy wystarczy taki mail

    ----- mail dyr. Kowalskiego

    AKCEPTUJĘ,
    dyr. Kowalski

    ---- mail menedżera ds. ważnych
    ...
    <załącznik>
    ----
    <podpis menedżera ds. ważnych> <opcjonalnie timestamp>

    -------
    <podpis dyr.Kowalskiego> <opcjonalnie timestamp>

    Cała reszta to udogodnienie: jakiś serwer podpisujący, klient poczty
    podpisujący, repozytorium dokumentów, serwer oferujący sygnowany
    znacznik czasu: to wszystko zależy od potrzeb,
    które musi wyrazić menedżerstwo ds. workflow.

    Ogólnie, można podpisać dowolny ciąg bajtów: mail, dokument, xml,
    cokolwiek.

    Opcjonalnie, można podpisywać digest ciągu bajtów (sha, md5).

    Znacznik czasu musi mieć podpis serwera czasu, tu się nic innego nie
    da zrobić: trzeba wysłać podpisywaną treść do serwera, serwer wypluwa
    podpisany z timestampem (podpisany prywatnym kluczem serwera). Czas
    podpisania czasami jest istotny. Tu też można wysłać do serwera digest
    zamiast samej treści.

    Co do reszty, podpisywanie może się odbywać albo lokalnie (na komputerze
    dyr. Kowalskiego na przykład), albo na serwerze. Klucze może każdy mieć
    przy sobie, albo mogą być na serwerze, gdzie użytkownik się loguje.

    Co do kluczy, to są dwie sprzeczne tendencje: wygoda (ojej, zgubiłem
    USB z kluczem. Jest zahasłowany, ale nie mogę nic podpisać!) i
    bezpieczeństwo (żeby ktoś nie podpisał czegoś za kogoś innego). Pewną
    sztuką jest zapewnienie wygody bez złamania zasad bezpieczeństwa
    przy ograniczeniu kosztów.

    Utrata klucza prywatnego powoduje, że trzeba zmienić klucz
    publiczny też. To jest pewien kłopot, chyba że dyr. Kowalski będzie
    miał 10 kluczów publicznych, którymi kiedyś się podpisywał, ale zgubił
    ich klucze prywatne, i 11ty aktualny.

    To są ogólne zasady, kwestia realizacji naprawdę jest dowolna.

    Pewną inną opcją jest podpis serwera (serwer swoim kluczem podpisuje,
    że dnia owego dyr. Kowalski podpisał dokument). Wtedy pracownicy
    nie mają kluczy prywatnych. Tutaj ciekawe jest, jak się podpisuje
    administrator serwera, i jako kto ;)

    Edek

    [1] Asymetryczny: publiczne klucze są na jakiejś stronie
    (pracownik -> klucz). Prywatny, jak sama nazwa wskazuje, jest prywatny,
    i służy do podpisywania.


  • 18. Data: 2011-08-26 16:28:24
    Temat: Re: Podpis elektroniczny dla ubogich
    Od: A.L. <l...@a...com>

    On Fri, 26 Aug 2011 14:30:02 +0200, Edek <e...@g...com>
    wrote:

    >On 08/24/2011 09:34 AM, Jacek Czerwinski wrote:
    >> Pomysł pewnego prostego systemu workflow w firmie. Pewne operacje
    >> wymagają podpisu / parafki człowieka (tak było w papierowym odpowiedniku).
    >> Powinno to się prawdopodobnie zrobić tak: zbudowac jakiś dokument, XML
    >> czy podobny, oprawić go w podpis elektroniczny w oparciu o klucze (PGP
    >> itd, nie wnikam), kierownik używa swojego (drugiego!!! - tego do podpisu
    >> hasła) i to jest podpisane.
    >>
    >> jednak to jest nie do wprowadzenia. Edukacja, gospodarka kluczami itd.
    >>
    >> Czy założenie: kierownik będąc zalogowany do systemu, w przygotowanym
    >> polu wpisuje coś co zaczyna się jednego z predefiniowanych słów (TAK,
    >> NIE, ODMOWA, AKEPTACJA itd).
    >> Psychologicznie czuł, że to pisał, zwłaszcza dłuższe słowo, a z faktu że
    >> był zalogowany wynika, ze to było on. Ewentualnie jeszcze raz potwierdza
    >> ale tym samym hasłem ogólnym (niektóre webmaile i serwisy
    >> społecznościowe mają taką koncepcję w wiodących miejscach).
    >>
    >> Bardzo to głupi pomysł, czy warunkowo może być. O czym warto pomyśleć?
    >
    >Jak rozumiem, to nie ma mieć żadnych skutków prawnych, tylko
    >ma być używane wewnątrz firmy.


    DOWOLNA rzecz ma skutki prawne, nawet uzywana wewnatrz firmy, jezeli
    nastapi jakis wypadek, utrata mienia, itede, i pojawi sie sprawa
    odpowiedzialnosci i odszkodowania na przyklad. Gdyby takich
    potencjalnych mzoliwosci nie bylo. to i podpis bylby niepotzrebny

    Jezeli w systemie pojawi sie mail "podniesc cisnienie do 100 atmosfer,
    Kowalski" i zbiornik pieprzenie z welkim hukiem zabijajac pare osob, a
    Kolwaski powie: "Ja?.. W zyciu. Ktos sie zalogowal na moje konto i
    podpisal sie jako ja" to juz mamy dochodzenie i skutki prawne. Mobg
    byc znacznei bardziej prozaiczne, a nieprzyjemne sytuacje.

    A.L.


  • 19. Data: 2011-08-26 18:24:18
    Temat: Re: Podpis elektroniczny dla ubogich
    Od: Grzegorz Wądzik. <g...@u...com>

    > Znacznik czasu musi mieć podpis serwera czasu, tu się nic innego nie
    > da zrobić: trzeba wysłać podpisywaną treść do serwera, serwer wypluwa
    > podpisany z timestampem (podpisany prywatnym kluczem serwera). Czas
    > podpisania czasami jest istotny. Tu też można wysłać do serwera digest
    > zamiast samej treści.
    >
    > Co do reszty, podpisywanie może się odbywać albo lokalnie (na komputerze
    > dyr. Kowalskiego na przykład), albo na serwerze. Klucze może każdy mieć
    > przy sobie, albo mogą być na serwerze, gdzie użytkownik się loguje.
    >
    > Co do kluczy, to są dwie sprzeczne tendencje: wygoda (ojej, zgubiłem
    > USB z kluczem. Jest zahasłowany, ale nie mogę nic podpisać!) i
    > bezpieczeństwo (żeby ktoś nie podpisał czegoś za kogoś innego). Pewną
    > sztuką jest zapewnienie wygody bez złamania zasad bezpieczeństwa
    > przy ograniczeniu kosztów.

    Jak juz pisalem klucz z haslem jednorazowym jest prosty, masz mase
    implementacji i spelnia wszystkie Twoje zalozenia.
    Jesli bys zainwestowal 20zl w zrobienie wlasnego mialbys nawet zegar.

    Jesli ktos ukradnie klucz lub znajdzie nie uzyje go. Jesli ktos odda klucz i
    poda haslo to nalezy go wywalic z roboty.

    > Utrata klucza prywatnego powoduje, że trzeba zmienić klucz
    > publiczny też.

    Kazdy system ma revoke.
    Pytanie czy latwiej przeprogramowac klucz, kupic drugi itp.

    Oczywiscie mozna kupic klucz usb np. ikey 3000 ale to koszt 10-50 razy
    wiekszy za sam klucz.


  • 20. Data: 2011-08-26 21:10:58
    Temat: Re: Podpis elektroniczny dla ubogich
    Od: Edek <e...@g...com>


    >>
    >> Co do kluczy, to są dwie sprzeczne tendencje: wygoda (ojej, zgubiłem
    >> USB z kluczem. Jest zahasłowany, ale nie mogę nic podpisać!) i
    >> bezpieczeństwo (żeby ktoś nie podpisał czegoś za kogoś innego). Pewną
    >> sztuką jest zapewnienie wygody bez złamania zasad bezpieczeństwa
    >> przy ograniczeniu kosztów.
    >
    > Jak juz pisalem klucz z haslem jednorazowym jest prosty, masz mase
    > implementacji i spelnia wszystkie Twoje zalozenia.
    > Jesli bys zainwestowal 20zl w zrobienie wlasnego mialbys nawet zegar.

    Co do założeń, to to zależy od wymagań. Klucz zahasłowany jest na tyle
    bezpieczny, na ile bezpieczny jest komputer, na którym przebiega
    podpisywanie.

    >> Utrata klucza prywatnego powoduje, że trzeba zmienić klucz
    >> publiczny też.
    >
    > Kazdy system ma revoke.

    Utrata != poznanie przez osobę niepowołaną. Poza tym, stare dokumenty
    przy revoke trzeba by podpisać jeszcze raz, chyba że mają stempel
    czasu i ktoś magicznie wie, że klucz prywatny nie upublicznił się
    przed tą datą, wtedy można zrobić revoke od jakiejś daty. Można
    też mieć inny mechanizm, ale sam podpis PGP nie wystarczy.

    Czasami myli się revoke kluczy SSL z revoke kluczy podpisu. To
    drugie wpada w tą samą kategorię, co perfect forward secrecy.

    > Pytanie czy latwiej przeprogramowac klucz, kupic drugi itp.
    >
    > Oczywiscie mozna kupic klucz usb np. ikey 3000 ale to koszt 10-50 razy
    > wiekszy za sam klucz.
    >

    Można też użyć makówki. To coś na USB wcale nie musi być kluczem.
    Taki Kerberos (czyli AD) został stworzony już ponad 10 lat
    temu.

    Edek

strony : 1 . [ 2 ] . 3 ... 6


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: