Oczywiście zgadzam się, że najczęściej słabym punktem systemu IT są jego użytkownicy... nie twierdzę również, że obecny system nie ma mechanizmów kontrolnych.
Oczywiste jest również, że w założeniach systemu nie było ani przesyłania certyfikatów (i haseł) e-mailem ani wydawania danych dostępowych bez sprawdzenia tożsamości osób, którym się je przekazuje.
Problem polega na nieprzestrzeganiu tych założeń, przez co login i hasło do platformy (systemu wydawania certyfikatów) mogło się dostać w ręce osoby niewylegitymowanej oraz mogło dojść do wycieku klucza prywatnego certyfikatu (u nas do tego nie doszło, tylko dlatego bo zaprotestowałem, gdy polecono nam przesłanie go zwykłym e-mailem).
Warto jednak wyciągnąć z tego co najmniej następujące wnioski:
1) Niesymetryczne klucze kryptograficzne przeznaczone dla osób niezaawansowanych powinny być generowane sprzętowo np na urządzeniach pracujących w standardzie PKCS11. Dałoby to fizyczny obraz klucza, który jest szczególnie ważny dla przeciętnego obywatela, i dzięki temu uniemożliwiło by jego nieprawidłowe przekazanie.
2) Szczegóły działania systemu powinny być powszechnie znane (zgodnie z zasadą Kerckhoffsa). To tak naprawdę jedyna droga by umożliwić szybkie wyłapanie każdej jego luki.
3) Należy też pamiętać o ujęciu w szkoleniach informacji obrazujących poziom bezpieczeństwa różnych dróg przesyłu informacji. Np Większość spotkanych przy okazji wyborów ludzi uważało, że wiadomość przekazana e-mailem jest tak bezpieczna jakby to był zwykły list zamknięty w kopertę, gdzie adresat może stwierdzić, że nie została ona otworzona przez kogoś po drodze. Tymczasem jak wiemy można by to raczej porównać do kartki pocztowej, którą nie dość, że każdy może przeczytać to jeszcze i skopiować.