Tú podmienku si nevymysleli na našom ministerstve, je odtiaľto:
Specific attention should be paid on the TOE functionality RSA key generation provided by
the TOE command GENERATE ASYMMETRIC KEY PAIR that does not claim for side
channel resistance and should therefore be carried out only within a trustworthy
environment
Nemôžu za to, okrem toho, že vybrali tento konkrétny čip. Týka sa to zrejme len RSA kľúčov. Až prejdeme na ECDSA, možno bude po probléme 
Fíha! To znie zaujímavo. Inak mi tvrdili, že cesta eliptik zase je zarúbaná na nbu. Ktovie či vedia niečo čo my nie.
Keď predsa len použijem ten váš formulár s heslom z Potvrdenia o vydaní a prevzatí certifikátov na kvalifikovaný certifikát k OP, ktorý som pred mesiacom odovzdal policajtom, dozviem sa, že
Certifikát so zadaným sériovým číslom neexistuje.
S tým formulárom beriem späť - mea culpa. Formulárom ide revokovať certifikáty vydávané u nás komerčne. Neplatí to pre eID. Ale na požiadanie mailom by sme ho v prípade potreby a po overení hesla revokovali.
Každopádne platí, že na jednotnom pracovisku to vedia urobiť a mali to urobiť. Prečo sa tak nestalo, neviem. My by sme tu skôr niekoho suplovali. Ale zrevokovali by sme ho.
O revokáciu certifikátu som pred mesiacom pri výmene preukazu nikde nežiadal, “systém” to sám od seba nespraví. Teraz mám kvalifikované certifikáty platné dva. Je mi to fuk, ten starý exspiruje o šesť týždňov.
Opäť, malo by sa to diať a prečo sa to nedeje, neviem povedať.
Dokončil som ten proces na tretí pokus.
Skúste byť konkrétny v čom bol problém a či bol problém s WebSignerom.
Znamená to, že ak by sa mi do pár minút nebolo podarilo potvrdenie podpísať, už by to z domu nešlo vôbec?
Bohužiaľ je to možné.
Dizajn sa nedávno menil: aktuálny vs predošlý. Azda koreluje s druhom zabudovaného čipu.
To či došlo pri zmene vizuálu aj k výmene čistopisu a teda karty - na to by som sa nespoliehal. Došli zásoby kariet od predošlého dodávateľa a prišla dodávka nových kariet už od iného dodávateľa. Kedy sa menil vizuál a teda potlač karty a či tieto dve veci spolu súvisia, to vedia asi iba na MV. Takú informáciu nemám. Môže to spolu súvisieť alebo aj nie.
Opačne. Pokiaľ viem, tak útok bol pri eliptike a pri RSA to nikto nepreukázal, len bolo konštatované, že teoreticky môže byť problém aj tam. Výsledkom toho bolo toto.
Tak trochu si za to môžem sám. Ja som eID klienta neinštaloval priloženým skriptom, ale jedonducho rozbalil AppImage, kam sa mi hodilo. Pri druhom pokuse som spustil AppImage, nech sa sám rozbalí niekde do /tmp. Nepomohlo. Vydávanie certifikátov bolo prerušené. Nebolo nájdené použiteľné úložisko.
Do tretice som zaťal zuby, nainštaloval eID klienta “normálne” a všetko sa podarilo. Klient vymazaný, do decembra 2029 mám azda pokoj.
To mi nejako nevychádza, ale možné je všetko.
V SK eID eliptika podporovaná nie je, aspoň o tom neviem. Nie že by to karta nevedela. Tak preventívne zakázali RSA.
Asi mali na to nejaky dovod. Ale toto teda vidim ako dost velku komplikaciu …
Už len taká perlička - v obehu vraj sú aj nové eID karty, ktoré nemali predgenerované kľúče, lebo vtedy sa ešte negenerovali kľúče na personalizačnej linke. Ešte nebolo treba. Nebolo ich vraj veľa, ale sú aj také.
Potom prišlo k objaveniu potenciálnej zraniteľnosti na EC, pričom Nemci vo svojej prezieravosti do správy napísali, že problém je na EC, ale podobný problém môže byť aj v RSS, len to nikto netestoval.
Výsledkom bolo, že sa u nás teraz nepovažuje za bezpečné generovať kľúče z obývačky i keď nepoužívame eliptiku na eID ale používame RSS a aj keď nikto zraniteľnosť nepotvrdil, len vyslovil domnienku, že by mohla byť aj pri RSS. Navyše zraniteľnosť si vyžaduje fyzický prístup ku karte a jeho čipu. Na argumentáciu, že doma máme bezpečné prostredie bola vraj odpoveď že aj sám sebe môžem byť hackerom. Moja hlava to neberie ale dobre. Čo už. Berme to ako fakt, aké problémy to ľuďom spôsobí, teraz dávam bokom.
Pointa: (ak ste mali tú strašnú smolu), že ste možno dostali eID bez predgenerovaných kľúčov, v takom prípade sa stane to, že pri vydávaní certifikátu na eID Vás po zadaní BOKu aplikácia rovno pošle do … povedzme že preč a teda na jednotné pracovisko. Lebo na karte nie sú predgenerované kľúče a generovať sa môžu už len bezpečne - čiže na jednotnom pracovisku. Takže šup šup napäť na jednotné pracovisko.
Znamená to teda, že problém môže nastať aj pri prvotnom vydaní certifikátu na eID. Zriedkavo, ale môže. Okrem toho po revokácii certifikátu na jednotné pracovisko pobežíte určite a po exspirácii certifikátu detto.
Ak by sa to teda niekomu stalo, tak sa prosím nedivte, že pobežíte znova tam odkiaľ ste práve prišli. Možno to je súčasť nejakej skrytej kampane ministerstva športu na podporu behania po úradoch. Trošku sa nabeháte. Ale zato spálite nejaké tie kalórie. Možno síce stúpne počet kardiovaskulárnych problémov, ale to už bude problém iného ministerstva.
Športu zdar.