Tekst źródłowy strony Dyskusja:16-09.01
Skocz do:
nawigacji
,
wyszukiwania
Tomasz klasa napisał:<br /> Moje uwagi:<br /> 1. Par. 6 – sprzeczność pkt. 1 i pkt. 4. Narodowe centrum certyfikacji nie może wydawać certyfikatu narodowego dostawcy usług zaufania, jeśli polityka certyfikacji ma być uzgadniana z kwalifikowanymi dostawcami usług zaufania. Polityka definiuje zasady/reguły certyfikowania – m.in. okres ważności certyfikatu. Jeśli nie mamy certyfikowanych kwalifikowanych dostawców usług zaufania, to nie da się z nimi uzgodnić polityki, a skoro jej nie ma – nie da się certyfikować. <br /> 2. Elementem polityki jest zestaw/wykaz/opis stosowanych algorytmów kryptograficznych. Uzgadnianie dopuszczalnych algorytmów z certyfikowanymi dostawcami oznacza działanie według modelu „co możecie zaoferować”, zamiast „co macie dostarczyć”. To rodzi ryzyko odrzucenia mocniejszych, ale i trudniejszych w implementacji algorytmów na rzecz tańszych rozwiązań.<br /> 3. Par 15, pkt.4 – wprowadzenie takiego zapisu oznacza, że z chwilą wprowadzenia innych mechanizmów przez KE zapisy pkt. 1-3 stracą moc natychmiast. Uważam, że w takim przypadku powinno być znowelizowane rozporządzenie, a nie wprowadzony mechanizm wyłączenia starych zapisów i dorozumianego zaadaptowania rozwiązań wskazanych przez KE. <br /> 4. Par. 17 – co znaczy niezwłocznego. Wyżej użyto 3 dni. Tu nie ma nic, czyli ile?<br /> =================================================================================================<br /> Dodatkowo ciekawy zapis:<br /> Polityka certyfikacji narodowego centrum certyfikacji określa wykorzystywany w narodowym centrum certyfikacji zestaw przekształceń matematycznych służących do zamiany informacji na niezrozumiałą, <big>'''czasami'''</big> z wykorzystaniem parametrów zależnych od zastosowanego klucza (Algorytmy kryptograficzne).<br /> Czy w akcie prawnym winien być umieszczony zapis iż czasami coś ma być uwzględnione?<br /> Przepisy rozporządzenia muszą być konkretne.<br /> --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 12:00, 15 wrz 2016 (CEST) Par 9 i 13 - powinien być dodany jakiś czas maksymalny, typu 'nie dłużej niż ....' Par 8 - domyślnie nie są to dni robocze (?) Par 4 p. 2 - tutaj trzeba też zaznaczyć, że korekta NBP jest widoczna [[Użytkownik:Pełech-Pilichowski Tomasz|Pełech-Pilichowski Tomasz]] ([[Dyskusja użytkownika:Pełech-Pilichowski Tomasz|dyskusja]]) 09:13, 16 wrz 2016 (CEST)<br /> ================================================<br /> Proponowana treść:<br /> <br /> Polskie Towarzystwo Informatyczne w odpowiedzi na prośbę o zaopiniowanie projektu rozporządzenia Ministra Cyfryzacji w sprawie krajowej pragnie zwrócić uwagę na niezwykle krótki czas jaki pozostawiono opiniodawcom do dyspozycji aby przeanalizować przedmiotowy dokument.<br /> Zauważyliśmy sprzeczność w pkt 1 i 4 § 6. Narodowe centrum certyfikacji nie może wydawać certyfikatu narodowego dostawcy usług zaufania, jeśli polityka certyfikacji ma być uzgadniana z kwalifikowanymi dostawcami usług zaufania. Polityka definiuje zasady/reguły certyfikowania – m.in. okres ważności certyfikatu. Jeśli nie mamy certyfikowanych kwalifikowanych dostawców usług zaufania, to nie da się z nimi uzgodnić polityki, a skoro jej nie ma, certyfikacja jest niemożliwa.<br /> Ponieważ elementem polityki jest zestaw/wykaz/opis stosowanych algorytmów kryptograficznych to uzgadnianie dopuszczalnych algorytmów z certyfikowanymi dostawcami oznacza działanie według modelu „co możecie zaoferować”, zamiast „co macie dostarczyć”. Rodzi to ryzyko odrzucenia mocniejszych, ale i trudniejszych w implementacji algorytmów na rzecz tańszych rozwiązań.<br /> Projekt rozporządzenia określa terminy w dniach roboczych za wyjątkiem §8, rodzi się więc pytanie czy jest to zabieg celowy i domyślnie należałoby przyjąć dni kalendarzowe. Dodatkowo w §17 użyto określenia „niezwłocznie” bez uzupełnienia o maksymalny termin podczas gdy w §2 i§5 dodano „nie później jednak niż w terminie 3 dni roboczych…..”<br /> Przepis § 11 o brzmieniu „Polityka certyfikacji narodowego centrum certyfikacji określa wykorzystywany w narodowym centrum certyfikacji zestaw przekształceń matematycznych służących do zamiany informacji na niezrozumiałą, czasami z wykorzystaniem parametrów zależnych od zastosowanego klucza (Algorytmy kryptograficzne).” Jest nie tylko niezrozumiały ale zawiera również niejednoznaczność, która jest niedopuszczalna w przepisach dlatego też sugerujemy usunięcie słowa „czasami” i nadanie wspomnianemu paragrafowi nowego brzmienia o treści” „Polityka certyfikacji narodowego centrum certyfikacji określa wykorzystywany w narodowym centrum certyfikacji zestaw przekształceń matematycznych służących do zamiany informacji na niezrozumiałą wraz z wykorzystanymi parametrami zależnymi od zastosowanego klucza (Algorytmy kryptograficzne).”<br /> Zalecamy również określenie maksymalnego czasu ważności certyfikatu w § 9 i 13<br /> ============================<br /> Tomku zredaguj i wkomponuj proszę treść Twojej ostatniej uwagi - Par 4 p. 2 - tutaj trzeba też zaznaczyć, że korekta NBP jest widoczna<br /> --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 13:09, 16 wrz 2016 (CEST) <br /> ============================<br /> Nie zgadzam się z częścią powyższych uwag.<br> 1. "Narodowe centrum certyfikacji nie może wydawać certyfikatu narodowego dostawcy usług zaufania, jeśli polityka certyfikacji ma być uzgadniana z kwalifikowanymi dostawcami usług zaufania." A dlaczego nie może? <br /> 2. Moim zdaniem zapis § 11 o brzmieniu „Polityka certyfikacji narodowego centrum certyfikacji określa wykorzystywany w narodowym centrum certyfikacji zestaw przekształceń matematycznych służących do zamiany informacji na niezrozumiałą, czasami z wykorzystaniem parametrów zależnych od zastosowanego klucza (Algorytmy kryptograficzne)." jest poprawny. Rzeczywiście czasami są wykorzystywane parametry zależen od zastosowanego klucza. Kwestionowane sformułowanie "czasami z wykorzystaniem ..." występowało już w rozporządzaniach w przeszłości i w definicjach algorytmów kryptograficznych. Np w http://sigillum.pl/upload/pdf/Rozp.%20RM%20z%20dnia%207%20sierpnia%202002r..pdf <br /> 3. Moim zdaniem nie ma żadnej sprzeczności w pkt 1 i 4 § 6 [[Użytkownik:Żmudziński Janusz|Żmudziński Janusz]] ([[Dyskusja użytkownika:Żmudziński Janusz|dyskusja]]) 21:15, 16 wrz 2016 (CEST)
Wróć do strony
Dyskusja:16-09.01
.
Menu nawigacyjne
Osobiste
Logowanie i rejestracja
Przestrzenie nazw
Strona
Dyskusja
Warianty
Widok
Czytaj
Tekst źródłowy
Wyświetl historię
Działania
Szukaj
Nawigacja
Strona główna
Portal społeczności
Pomoc
Obsługa
Wniosek o konto