Ako na revokáciu certifikátov KEP?

Cez víkend sa mi podarilo stratiť doklady spolu s občianskym preukazom. Tak teda ako správny občan som si išiel vybavovať nový OP na políciu (klientské centrum Bratislava). Keďže som mal na OP vydaný certifikát pre KEP tak som pracovníkovi za prepážkou povedal, že by som chcel revokovať ten certifikát. Mal som na kuse papiera nejaké “revokačné heslo” ktoré mám už neviem z kade ale to pracovník ani nepotreboval. Mi iba povedal, že mi garantuje, že certifikát je revokovaný. Aj som sa čudoval, že to išlo tak hladko, no mýlil som sa.
Ako prídem domov tak skontrolujem platnosť certifikátu (vytiahol som si ho z dokumentu ktorý som podpisoval dávnejšie) a čuduj sa svete, ten je stále platný. Tak ja že dobre, asi im to potrvá tak deň. Skontrolujem na ďalší deň a stále platný. Tak som začal skúmať ako si o to požiadať:

• Skúšal som formulár na stránkach Disig https://eidas.disig.sk/Revocation
• Hľadal online službu na https://portal.minv.sk/
• Písal som na podporu Disig
• Písal som na podporu slovensko.sk
• Písal som a volal na Call Centrum MV SR

Formuláre som nenašiel alebo mi nefungovali a všetky podpory mi povedali buď “že to nejde” alebo “my to nerobíme” alebo “robí sa to na prepážke oddelenia dokladov”. Myslím si, že som sa asi dostal do začarovaného kruhu alebo mi niekto klame. Z toho všetkého mi príde, že revokáciu mal spraviť ten pracovník, ktorý mi vybavoval nový občiansky ale ten to asi nespravil aj keď mi to “garantoval” (samozrejme slovne).

Aké máte skúsenosti vy? Podarilo sa niekomu dopracovať až k revokácii certifikátu? Neviete k čomu je to “revokačné heslo”? Ozaj neviem z kade ho mám.

Revokačné heslo sa zadávalo pri generovaní certifikátov. V “Potvrdení o prevzatí certifikátov na eID” je aj táto časť:

image1143×72 24.8 KB

JP je “Jednotné pracovisko MV SR”.
ZÚ je “Zastupiteľský úrad MZV SR”

Príslušná elektronická služba naozaj existuje:

image929×675 75.1 KB

Či sa tam ale niekde zadáva revokačné heslo - alebo či to vôbec funguje - netuším. Skús a daj nám vedieť.

Tento formulár som už skúšal. Naň treba zas iné “heslo” nazývané “disktrétny údaj”, ktoré si treba dopredu nastaviť. (mám ho na rovnakom papieriku ako to “revokačné heslo”) OP je už asi evidovaný ako stratený/odcudzený a teda mi formulár nefunguje, res. stráca pointu.

2024-07-26_17-55972×438 34 KB

2024-07-26_17-56968×425 33.2 KB

Tak to si naozaj v bludnom kruhu.
Ak však MVSR nevykonalo revokáciu certifikátov pri zaevidovaní strateného eID, je to aj ich chyba - ako registračná autorita majú povinnosť v prípade podozrenia reagovať. Ak by Ti snáď nastala nejaká škoda v tejto súvislosti, máš veľkú šancu prípadný spor vyhrať.
Zatiaľ to môžeš dať ako podnet napr. cez https://lepsiesluzby.slovensko.digital/ alebo Kontaktný formulár - UPVS .

Myslim, ze problem moze byt zakopany tu. Ako si overoval platnost certifikatu? Pozeral si do revokacnych listov MV alebo cez OSCP sluzbu ?

Nahral som pdf dokument bez časovej pečiatky na https://qesportal.eu/ kde mi hlási k dnešnému času platný podpis. V detaile certifikátu je pri oscp hodnota “Nebol zrušený”

Bola by to len ich chyba. Predsa musí stačiť nahlásenie straty preukazu a hotovo. Je to jasne napísané aj v politike CA:

Pri strate eID, ktoré je nahlásené vydavateľovi eID (MV SR), sa vykoná automatické
zrušenie všetkých CERTIFIKÁTOV nachádzajúcich sa na danom eID.

A predsa tu niekto niečo garantuje
Ja by som tomu úradníkovi uveril.

Certificate Revocation List sa aktualizuje dvakrát denne, vždy o pol ôsmej. Prirodzene chvíľu trvá, kým sa revokácia prejaví.

Vyzerá, že to celé nejako funguje. V aktuálnom CRL je viac ako 20 000 záznamov, aj včera bolo revokovaných osem certifikátov. Skontroluj, či sa v zozname neobjavilo sériové číslo toho tvojho:

curl http://ecdp1.disig.sk/svkeidaca2/crl/svkeidaca2.crl | openssl crl -inform DER -noout -text

Ďakujem za citát z CA politiky, rozhodne ho použijem keď sa budem ďalej domáhať tej revokácie keď si pôjdem vyzdvihnúť nový OP.

Úradníkovi som aj ja uveril, ale keď som si to overil tak sa tak žiaľ nestalo. A nestalo sa to tak do dnešného dňa. Či už pomocou tvojho curl príkazu a grepu svojho sériového čísla alebo pomocou https://qesportal.eu stále vidím certifikát ako platný.

2024-07-29_12-33730×145 13.7 KB

Skúste použiť stránku https://portal.minv.sk/wps/myportal/domov/eid/elektronicke-sluzby/modifikacia-kontaktnych-udajov

časť Zoznam certifikátov vydaných na Vašom občianskom preukaze s čipom alebo na doklade o povolení na pobyt s čipom

Pokiaľ chcete z akéhokoľvek dôvodu (zneužitie, kompromitácia, strata záujmu, a pod.) zrušiť tento certifikát, tak stlačte tlačidlo [Zrušiť kvalifikovaný certifikát]

Žiaľ táto služba funguje iba po prihlásení občianskym ktorý nemám

A zda sa ze aj ked eID karte skonci platnost tak uz sa neda elektronicky objednat vymena pretoze sa neda prihlasit do tejto sluzby

Dnešná skúsenosť z jednotného pracoviska keď som si bol po nový OP bola: “My to nevieme, nedá sa, to robí niekto iný ale nevieme kto.” A to som tam prišiel s vytlačeným článkom z politiky CA (ďakujem @sarinay ) kde sa písalo, že to robia oni. A ani to im nestačilo. Že ich “systém nepustí”, “doneste nám váš stratený občiansky”.

Prídem domov s novým OP, vložím do čítačky, zbehnem na https://portal.minv.sk/wps/myportal/domov/eid/elektronicke-sluzby/certifikaty/, prihlásim sa, vyklikám revokácie a čuduj sa svete, už to ide Kiež by tak ten odkaz fungoval bez prihlásenia a len s kódom na revokáciu ako funguje ten na nahlásenie straty OP.
Na písanie ďalšej sťažnosti nemám nervy lebo to nikam nevedie, dosiehol som čo som chel tak som aspoň za to spokojný, ale nechcem vedieť čo by sa stalo keby ozaj mám kompromitovaný privátny klúč a zlodej si bude veselo za mna podpisovať aj mesiac a ministerstvo bude len krčiť ramenami že s tým nič nespravia.

2024-08-16_12-40740×229 19.3 KB

edit: Doteraz neviem na čo je to revokačné heslo, nikde som ho nepotreboval ani ho po mne nechceli a naozaj ho mám v tej zmluve o prevzatí certifikátov

Ale ved staznost posli, aspon bude opodstatnena a niekto to bude musiet riesit.

Možno by stačilo, keby pri strate OP okrem papiera o nahlásení straty, dali aj nepotlačenú čipovú plastovú kartičku, kde by nahrali elektronickú identitu, aby sa to dalo používať ako bežný OP, na slovensko.sk a ostatné stránky.
Na podpisovanie by dovolilo vytvoriť certifikát s mesačnou platnosťou.

Môžem mať aplikáciu slovensko.sk v mobile aby som sa vedel prihlásiť do schránky, ale ak mi zlodej ukradne mobil aj OP tak som nahratý neotvorím žiadny list čo príde.

Pri prevzatí nového OP by sa odovzdala kartička z ktorej by zmazali identitu a ju použili pre ďalšieho.

Škoda, že som túto diskusiu nezachytil skôr. Vedel by som poradiť, ale odpíšem aj tak, možno to pomôže ostatným.

V prípade, že by ste pokračovali na Zrušenie certifikátu, tak si naozaj viete revokovať certifikát aj sám. Dokonca aj mail s požiadavkou na revokáciu certifikátu by Vám stačilo poslať na Disig, netreba ísť cez ten formulár, len by po Vás chceli aj to heslo - to je preto, aby sa nenašiel nejaký chytrák, ktorý by zrušil certifikát niekomu cudziemu, pretože sériové číslo certifikátu je v podstate verejný údaj. Nachádza sa v každom dokumente, ktorý ste Vašim certifikátom podpísali.

Môže sa to hodiť napríklad v prípade, že máte pocit, že mohlo dôjsť ku nejakej forme kompromitácie kľúčov alebo podpisového PINu a BOKu. Ako príklad môže byť napr. to, že ste nemali nejaký čas eID pod svojou kontrolou a niekto mohol odpozorovať zadávanie Vášho BOK, podpisového pinu tesne predtým, keď ste niečo podpisovali.

Veľa ľudí si to neuvedomuje, ale napr. aj v kaviarni bývajú často kamery, ktoré ľudia bežne neevidujú. eID Vás neupozorní, že by ste si mali BOK a podpisový PIN pri zadávaní zakrývať, podobne ako to robíte napr. s bankomatovou kartou. Čiže ak Vám niekto cez kameru sleduje klávesnicu pri zadávaní PINu alebo BOKu, tak si zarábate na problém. Ak máte podozrenie, radšej certifikát hneď revokujte. Vydáte si nový. V takýchto prípadoch nehlásite stratu OP na polícii, ale certifikát si pre istotu revokujete a vydáte si nový. Z domu. Možno.
Prečo možno.
Lebo toto je ideálny scenár bežný donedávna.

Problém nastáva s novými eID, nové znamená eID vydávané tento rok, kedy presne sa začali vydávat, si teraz nepamätám, každopádne tam štát prešiel na nového výrobcu resp. dodávateľa čistopisov kariet pre eID. A tieto nové OP majú zablokované generovanie kľúčov pre certifikát a teda z pohodlia domova to nepôjde, tak ako to bolo doteraz. Čiže ak si certifikát zrevokujete, budete musieť navštíviť jednotné pracovisko, aby Vám predgenerovali kľúče.

Dôvod: Je pre mňa nepochopiteľné, ale štát sa tak rozhodol, že na týchto kartách je možné generovať kľúče pre certifikát iba v zabezpečenom prostredí, za čo štát považuje iba jednotné pracoviská alebo automatizovanú linku. A na čerstvo vydané eID sa tieto kľúče predgenerujú už priamo na linke. To, že aj doma som v zabezpečenom prostredí a že mám eID pod svojou výlučnou kontrolou, štát akosi odignoroval, resp. argumentoval (ale to mám len z počutia), že aj sám vlastník eID môže byť sám sebe hackerom a teda by si mohol hackovať vlastné kľúče na svojom vlastnom OP. Pri tejto argumentácii my vybuchla hlava a ďalej to nedokázala vstrebať. Toto proste hlava nebere. Dôvod pre toto obmedzenie bol ešte absurdnejší.

Či máte eID kartu už novšiu, alebo staršiu, sa myslím nedá vizuálne nijako zistiť, ale eID klient Vás možno pošle na jednotné pracovisko, ak sa budete snažiť si vydať nový certifikát. Za mňa je toto celé zle. Samozrejme to zrejme bude platiť aj v prípade, že Vám certifikát expiruje a budete si musieť prevydať nový. Šup šup na jednotné pracovisko.

Dobre vedieť. Lebo Disig tvrdí aj toto:

Ak chcete požiadať o zrušenie certifikátov vydaných na elektronický občiansky preukaz (eID) alebo elektronickú pobytovú kartu (eDoPP), musíte na to použiť elektronickú službu Ministerstva vnútra Slovenskej republiky.

Keď predsa len použijem ten váš formulár s heslom z Potvrdenia o vydaní a prevzatí certifikátov na kvalifikovaný certifikát k OP, ktorý som pred mesiacom odovzdal policajtom, dozviem sa, že Certifikát so zadaným sériovým číslom neexistuje.

V potvrdení sa na strane 2 píše:

O zrušenie Certifikátu môže Držiteľ Certifikátu žiadať výlučne na JP alebo na ZÚ

O revokáciu certifikátu som pred mesiacom pri výmene preukazu nikde nežiadal, “systém” to sám od seba nespraví. Teraz mám kvalifikované certifikáty platné dva. Je mi to fuk, ten starý exspiruje o šesť týždňov.

Strach pomyslieť, čo sa stane pri problémoch s podpisom potvrdenia. Ja som predvčerom na taký moderný preukaz nahrával certifikáty a na Debiane som mal (zas) problémy s kombom eID klient + Disig Web Signer. Dokončil som ten proces na tretí pokus. Znamená to, že ak by sa mi do pár minút nebolo podarilo potvrdenie podpísať, už by to z domu nešlo vôbec?

Dizajn sa nedávno menil: aktuálny vs predošlý. Azda koreluje s druhom zabudovaného čipu.

Toto je uz fakt kuzelne. Cize na oddeleni dokladov vam o podpisovych certifikatoch nepovie nikto nic. Ked si ich chcete vydat, tak vas este budu odhovarat a doma s tym uz nic nespravite?

Ci po novom to tam nahravaju pausalne? (Pochybujem.)

Prvý krát to ide doma, je to aj v dokumentácii:

Ak vlastníte elektronický doklad, ktorý bol personalizovaný po tomto dátume, v dôsledku recertifikácie čipu môže byť kľúčový pár pre kvalifikovaný elektronický podpis (KEP) generovaný iba v bezpečnom prostredí, pričom domáce prostredie sa za bezpečné nepovažuje. Z tohto dôvodu Ministerstvo vnútra SR zaviedlo predgenerovanie kľúčových párov pre KEP už v Národnom personalizačnom centre (NPC) počas personalizácie čipu. To znamená, že je možné požiadať o vydanie certifikátov z domu prostredníctvom aplikácie eID klient, avšak iba raz. Používateľ môže následne požiadať o opätovné vydanie certifikátov na príslušnom oddelení polície.

Kľúč tam je, certifikát nie.

Oh, rychlo citam. Diky!

Inak ked sa na to pozeriem ako na poloplny pohar. Nebolo by teraz mozne vydat certifikat na tento klucovy par aj z mobilu? Lebo nam vysvetlovali, ze prave to generovanie cez NFC interface je problem, proste napr. Apple nedokaze tak dlho drzat to spojenie. Tu by sa tato najdlhsia cast asi vynechala.

@DusanM nevies k tomuto nieco?