Ako sme „hackli“ eKasu: podvádzať na daniach nikdy nebolo jednoduchšie -

Ja ešte doplním vcelku zaujímavé postrehy od firmy VAROS ohľadom bezpečnosti CHDÚ:

http://www.varos.sk/FT5000/chdu_info.pdf
http://www.varos.sk/FT5000/info-dusevne-vlastnictvo.pdf

Už v lete tvrdili, že CHDÚ (od CHDÚ s.r.o.) nie je bezpečné a má slabiny. Navrhli bezpečnejšie riešenie CHDU5000, ktoré doteraz nedostalo certifikáciu.

Celkom vtipne je to citanie dovodovej spravy k eKasa zakonu (diky za tip @MaLoMe).

https://www.nrsr.sk/web/Dynamic/Download.aspx?DocID=457771

tlac_1129-dovodova.docx (113.5 KB)

Napriklad tato cast ma uplne dojala.

Velmi rad sa pozriem ako mi pomocou CHDU, v ktorom fiktivne blocky samozrejme nie su, lebo som ich vytlacil inak dokazuju, ze som ich vydal ja. Taktiez neviem ake dalsie informacie tam chcu zbierat, kedze vsetko potrebne je davno poslane na FS online.

A co taky pripad, ked bude majitel eKasa pokladne namietat, ze to neposielala jeho pokladna? Neviem, kto vsetko ma kluce od miesacky (pokladne), ani aka je bezpecnost toho komunikacneho kanala, nie ci sa da hacnut, ale ci sa da zduplikovat.

Priklad, ked najdu blocky, co nie su vo FS a nebudu ani v pokladni, ale budu tam vsetky zvysne, tak je to lahsie dokazovat ako pripad, ked budu jestvovat blocky co nie su vo FS a potom aj blocky, co su vo FS ale nie su v pokladni. Majitel moze namietat, ze to niekto iny robi podvod a nie on.

Podobne problemy sa uz riesia s radarmi: https://auto.pravda.sk/magazin/clanok/433808-v-australii-napadol-radary-virus-vodici-nemusia-platit-pokuty/

Každá požiadavka na server FS je podpísaná certifikátom, ktorý podnikateľ získa na základe žiadosti v e-kasa zóne. Pri zažiadaní si taktiež zvolí heslo, ktorým bude certifikát zabezpečený pred zneužitím. Autentifikačné údaje podnikateľa (certifikát) sa ukladajú do CHDÚ, heslo sa tam neukladá. Pri skopírovaní CHDÚ sa dostaneme len k samotnému certifikátu a nie heslu, ktoré je potrebné na jeho použitie. Teda šanca, že by niekto iný posielal na FS bločky a pri tom sa vydával za vás je takmer nulová.

1 Like

Je tam klasické public private key podpisovanie. Pokiaľ ti niekto nekradne privátny kľúč, tak nič nevyfabrikuje. Ak má privátny tak vyfabrikuje čo chce. FS bude ukazovať toto a nebude ju zaujímať čo máš v chdu.

Nebude? Ten kľúč sa musí brať z CHDÚ (podmienka certifikácie). Taktiež chcú aby ste im dali program na vyexportovanie celého CHDÚ, takže neviem či ich to zaujíma ale ak by áno tak to majú ako skontrolovať. :smiley:

Tym som chcel povedat to, ze nepritomnost blocku na nejakom CHDU nedokazuje, ze som ho nevydal ja (nejakym inym kanalom).

1 Like

Neviem, ci je taka nulova, ale riesil som poziadavky jednej servisnej organizacie ohladom updatu.pokladne a v ich ziadosti bolo napriklad meno WIFI siete a heslo do nej. To museli zadat do pokladne.

Pokial podobne zadavaju privatne kluce alebo certifikaty do CHDU a zaroven heslo niekam ukladaju, tak by som bol velmi opatrny s tvrdenim, ze to heslo pozna len majitel kasy.

Pritomnost udajov v systeme FS nedokazuje, ze ten zapis tam dala ta ktora kasa a nie niekto iny. Ked bude sud a znalec bude mat dokazat, ze to vydala ta kasa a nenajde ziadny dokaz o manipulacii, bude velmi tazke dokazat, ze ten blocek na FS bol od podnikatela. Kedze uz priamo v zakone sa ziada taky system, v ktorom CHDU sluzi ako ulozisko vsetkych tranzakcii podnikatela.

(Ano, EZ financnej spravy je na tom este horsie, ale podavat za niekoho ineho podania sa mi momentalne nezda velmi navratna investicia).

Kedze je to podpisane privatnym klucom kasy, ktory je chraneny, tak si myslim, ze toto naopak je ta pointa.

FYI: Zajtra je stretnutie na FS k teme eKasa, za SD tam idem ja. Budem informovat.

https://www.financnasprava.sk/sk/pre-media/novinky/archiv-noviniek/detail-novinky/_kontroly-ekasa-ts uz ide PR masinka.

Z eKasa zony FS sa stahuje XMLko, ktore nie je nic ine nez base64 reprezentacia heslom zazipovaneho privatneho kluca. Pri vkladani do CHDU sa jednoducho odzipuje certifikat pomocou hesla a ten sa ulozi v CHDU.

Kedze predpokladam, ze ziadne CHDU nedisponuje TPM cipom (resp. niecim obdobnym co by bolo bezpecne), predpokladam, ze ten kto ma fyzicky pristup k CHDU vie privatny kluc z neho “vypacit” a pouzit v lubovolnom inom CHDU.

EDIT: Niekto sa moze tvarit ako servisny technik, prist na prevadzku, skopirovat si kluc z CHDU a pouzit ho inde. Poznam min. jedno riesenie, kde staci spustit servisnu appku na PC, ktora bez akehokolvek prihlasenia (overovania hesla) ukaze cely privatny kluc user-ovi.

Tak to už záleží od autora sotvéru, čo sa ukladá do CHDÚ. My ukladáme zaheslovaný kľúč. Heslo na CHDÚ presne z tohoto dôvodu (aby sa nedalo len tak skopírovať) ani nepáchne :smiley:

Aky sugestivny titulok hodny dennika Novy cas :slight_smile:

https://www.financnasprava.sk/sk/pre-media/novinky/archiv-noviniek/detail-novinky/_stretnutie-k-ekase-ts/bc

No ehm.

bolo to inak ako je napisane ? ty si tam bol ?

Ano bol som tam a moje vnimanie situacie bolo taketo

1 Like

no kazdy ma nazor :), Ale napisali nieco fakticky nespravne ? Pretoze tvoje vnimanie a ich zapis je v podstate kompatibilny. ked ho citam tak si zhruba predstavujem co sa dialo.