Pomysł pewnego prostego systemu workflow w firmie. Pewne operacje
wymagają podpisu / parafki człowieka (tak było w papierowym odpowiedniku).
Powinno to się prawdopodobnie zrobić tak: zbudowac jakiś dokument, XML
czy podobny, oprawić go w podpis elektroniczny w oparciu o klucze (PGP
itd, nie wnikam), kierownik używa swojego (drugiego!!! - tego do podpisu
hasła) i to jest podpisane.

jednak to jest nie do wprowadzenia. Edukacja, gospodarka kluczami itd.

Czy założenie: kierownik będąc zalogowany do systemu, w przygotowanym
polu wpisuje coś co zaczyna się jednego z predefiniowanych słów (TAK,
NIE, ODMOWA, AKEPTACJA itd).
Psychologicznie czuł, że to pisał, zwłaszcza dłuższe słowo, a z faktu że
był zalogowany wynika, ze to było on. Ewentualnie jeszcze raz potwierdza
ale tym samym hasłem ogólnym (niektóre webmaile i serwisy
społecznościowe mają taką koncepcję w wiodących miejscach).

Bardzo to głupi pomysł, czy warunkowo może być. O czym warto pomyśleć?

do góry

On 2011-08-24 09:34, Jacek Czerwinski wrote:
> Pomysł pewnego prostego systemu workflow w firmie. Pewne operacje
> wymagają podpisu / parafki człowieka (tak było w papierowym odpowiedniku).
> Powinno to się prawdopodobnie zrobić tak: zbudowac jakiś dokument, XML
> czy podobny, oprawić go w podpis elektroniczny w oparciu o klucze (PGP
> itd, nie wnikam), kierownik używa swojego (drugiego!!! - tego do podpisu
> hasła) i to jest podpisane.
>
> jednak to jest nie do wprowadzenia. Edukacja, gospodarka kluczami itd.
>
> Czy założenie: kierownik będąc zalogowany do systemu, w przygotowanym
> polu wpisuje coś co zaczyna się jednego z predefiniowanych słów (TAK,
> NIE, ODMOWA, AKEPTACJA itd).
> Psychologicznie czuł, że to pisał, zwłaszcza dłuższe słowo, a z faktu że
> był zalogowany wynika, ze to było on. Ewentualnie jeszcze raz potwierdza
> ale tym samym hasłem ogólnym (niektóre webmaile i serwisy
> społecznościowe mają taką koncepcję w wiodących miejscach).
>
> Bardzo to głupi pomysł, czy warunkowo może być. O czym warto pomyśleć?

Nie jest to odpowiednik, bo brakuje zasadniczej cechy istotnej z punktu
widzenia stosowania podpisu elektronicznego: niezaprzeczalnosci.

--
Michal

do góry

> Bardzo to głupi pomysł, czy warunkowo może być. O czym warto pomyśleć?
Zależy czego się obawiasz. Zależy jak bezpieczny proces logowania.
Wnioskowanie o autentyczności użytkownika tylko na podstawie
tego że wcześniej się zalogował często wystarcza. Dlaczego w Twoim
przypadku nie wystarczy?
Pozdrawiam



--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Jacek Czerwinski pisze:
> Pomysł pewnego prostego systemu workflow w firmie. Pewne operacje
> wymagają podpisu / parafki człowieka (tak było w papierowym odpowiedniku).
> Powinno to się prawdopodobnie zrobić tak: zbudowac jakiś dokument, XML
> czy podobny, oprawić go w podpis elektroniczny w oparciu o klucze (PGP
> itd, nie wnikam), kierownik używa swojego (drugiego!!! - tego do podpisu
> hasła) i to jest podpisane.
>
> jednak to jest nie do wprowadzenia. Edukacja, gospodarka kluczami itd.
>
> Czy założenie: kierownik będąc zalogowany do systemu, w przygotowanym
> polu wpisuje coś co zaczyna się jednego z predefiniowanych słów (TAK,
> NIE, ODMOWA, AKEPTACJA itd).
> Psychologicznie czuł, że to pisał, zwłaszcza dłuższe słowo, a z faktu że
> był zalogowany wynika, ze to było on. Ewentualnie jeszcze raz potwierdza
> ale tym samym hasłem ogólnym (niektóre webmaile i serwisy
> społecznościowe mają taką koncepcję w wiodących miejscach).
>
> Bardzo to głupi pomysł, czy warunkowo może być. O czym warto pomyśleć?

Nie prościej postawić mały serwerek w firmie do zarządzania podpisami?
Jeśli chodzi o dokumenty - bardzo wygodnie robi się to na plikach pdf.

--
Kaczus
http://kaczus.republika.pl

do góry

W dniu 2011-08-24 09:54, Michal Kleczek pisze:
> On 2011-08-24 09:34, Jacek Czerwinski wrote:


> Nie jest to odpowiednik, bo brakuje zasadniczej cechy istotnej z punktu
> widzenia stosowania podpisu elektronicznego: niezaprzeczalnosci.
>

Fakt.
Integralność treści (żeby prostym updatem w bazie się nie dało na
kolanie czarować da się dorobić).
Czy da się podnieść "niezaprzeczalność dla ubogich" o stopień wyżej? Np
aplikacja javowska / .net autentykująca się w domenie MS Serwera? Coś to
zmienia?
Opensursowy kod, żeby nie było że programista jest w spółce?

nie mówi się tu o przelewach na milion zł, czy danych na miarę Mosadu.
Proste biurowe sytuacje.

do góry

On 24.08.2011 10:31, Jacek Czerwinski wrote:
> W dniu 2011-08-24 09:54, Michal Kleczek pisze:
>> On 2011-08-24 09:34, Jacek Czerwinski wrote:
>
>
>> Nie jest to odpowiednik, bo brakuje zasadniczej cechy istotnej z punktu
>> widzenia stosowania podpisu elektronicznego: niezaprzeczalnosci.
>>
>
> Fakt.
> Integralność treści (żeby prostym updatem w bazie się nie dało na
> kolanie czarować da się dorobić).
> Czy da się podnieść "niezaprzeczalność dla ubogich" o stopień wyżej? Np
> aplikacja javowska / .net autentykująca się w domenie MS Serwera? Coś to
> zmienia?
> Opensursowy kod, żeby nie było że programista jest w spółce?
>

Można robić tak, hasło dodajesz do dokumentu i wyliczasz md5 z tego.
Przechowujesz potem md5 (albo inny skrót). Jeśli ktoś nie zna hasła
trochę mu zajmie wygenerowanie kolizji. Oczywiście hasło podpisujące
dokument nie może być zapisane w systemie.

--
wer <",,)~~
http://szumofob.eu

do góry

On 2011-08-24 11:34, b...@n...pl wrote:
> Można robić tak, hasło dodajesz do dokumentu i wyliczasz md5 z tego.
> Przechowujesz potem md5 (albo inny skrót). Jeśli ktoś nie zna hasła
> trochę mu zajmie wygenerowanie kolizji. Oczywiście hasło podpisujące
> dokument nie może być zapisane w systemie.
>

Rownie dobrze mozna generowac klucz szyfrowania symetrycznego z hasla i
szyfrowac skrot dokumentu.

Ale jak taki "podpis" zweryfikowac nie znajac hasla?

Jakikolwiek algorytm bez udzialu zaufanej "trzeciej strony" nie zapewni
niezaprzeczalnosci.
Co wiecej - tylko "asymetryczne" algorytmy szyfrowania sa w stanie
zapewnic, ze "trzecia strona" nie musi znac "sekretu" uzytego do podpisu.

--
Michal

do góry

Cytajac twuj post mialem wrazenie ze pisal go profesor kibonte lub nawet
general kenobi.....

do góry

W dniu 2011-08-24 12:30, Szyk pisze:
> Cytajac twuj post mialem wrazenie

Ja też mam wrażenia wrażenia, podobne

do góry

> Bardzo to głupi pomysł, czy warunkowo może być. O czym warto pomyśleć?

zajrzyj na stronę yubico.com możesz tam zrobić logowanie się hasłem
jednorazowym. Jeśli dodasz do tego hasło wpisywane ręcznie masz mniej wiecej
to o co Ci chodziło.
Jeśli znasz jakiegoś elektronika możesz też przerobić http://e3card.pl/ lub
zrobić własne rozwiązanie. Działało by dość dobrze na sprawdzonym sprzęcie.
Przy dowolnym sprzęcie potrzebny conajmniej wyświetlacz.

do góry