jak z toho ven

Michal Kubecek mike na mk-sys.cz
Sobota Červen 28 19:41:16 CEST 2003


On Sat, Jun 28, 2003 at 07:16:36PM +0200, Honza Pazdziora wrote:

> Záleží, co je cílem. Pokud je cílem nemít možnost to rodné číslo
> zjistit, tak máte pravdu. Pokud je ale cílem vejít se do požadavků
> zákona na OOÚ, tak ukládání MD5 digestu rodného čísla zcela jistě není
> ukládáním rodného čísla a přitom je kdykoli možné zjistit, zda
> konkrétní rodné číslo je rodné číslo zadané u toho příslušného
> záznam. Takže z tohohle pohledu mi to přijde jako velmi nosná myšlenka.
> 
> Nicméně, IANAL a názor nějakého by byl asi potřeba.

Problém vidím v tom, že kdyby požadavek ZOOÚ byl chápán striktně tak, že
se nesmí uložit rodné číslo, pak by (přeženu-li to) mohlo stačit rodné
číslo zašifrovat XORem s pevným klíčem. Smysl mého příspěvku byl v tom,
že zatímco obecně je MD5 velmi kvalitní message digest algoritmus, který
nelze rozumným způsobem invertovat, v tomto konkrétním případě to vzhledem
k relativně malému prostoru možných hodnot příliš velký problém není. Asi
tak jako mi MD5 ani sebelepší jiný message digest algorigmus nijak nepomůže
k "utajení" PINU skládajícího se ze čtyř číslic. Ale otázka spíš zní, jak
by se na to díval ÚOOÚ nebo soud - obávám se, že výsledek by velmi silně
závisel na tom, na koho narazíte, případně jak přesvědčivý bude soudní
znalec.

                                                            Michal Kubeček


Další informace o konferenci Databases