Netusim. Nainstalovane to uz nemam, stare podpisy asi uz tiez nevyhrabem.
Treba to brat ako ilustracny priklad. Problem je riesitelny, v slovenskych podmienkach tam moze byt pre potreby OVM rodne cislo.
Rypava otazka na zaver: Vie ZealID o nasej sutazi v DNS NASES so slovenskymi podkladmi?
BTW - toto nevyzera moc pozitivne
a ešte predtým aj pre projekt DEUSu “mID” - tam bol dokonca aj biometrický server …
Na to si už fakt nik nespomenie .
My sme taká bohatá krajina …
1 Like
Digitálny podpis: (ach jaj, prečo sa niekto snaží zavádzať nové pojmy, prečo to jednoducho nevolajú elektronický podpis)
To že sa podľa tvrdenia jedná o kvalifikovaný elektronicky podpis znamená, že podpis musí vznikať na QSCD zariadení a ak klient nemá nič u seba, nič iné to byť nemôže - len Remote Signing, kde je na backende niekde nejaké certifikované HSM. Iná banka poskytuje na podpis dokumentácie v business banking-u možnosť použiť už nejaký ten čas eID.
Z pohľadu bezpečnosti:
Úprimne by som sa začal obávať. Z tohoto mi vyplýva, že sa jedná o Remote Signing, kde obidva faktory pre prístup k podpisovému materiálu a teda PIN aj SMS sú v prípade kompromitácie zariadenia ľahko odchytiteľné. Dva faktory, na jednom zariadení, v podstate nechránené. Ale nepoznám detaily, čiže píšem, že by som mal isté pochybnosti a obavy. Ak je to tak, ako si myslím, tak to príliš bezpečné nebude, ale na podpisovanie zmluvnej dokumentácie pre banku to môže postačovať. Oni musia poznať vlastnú mieru rizika, ktorú sú ochotný akceptovať.
Samozrejme, ak by banka chcela, Remote Signing vie to poskytovať na ľubovoľný účel, ale predpokladám, že nie je prevádzkovateľ, pretože Remote Signing síce nie je kvalifikovaná dôveryhodná služba, ale správa kľúčov je a tú môže poskytovať iba kvalifikovaný poskytovateľ dôveryhodných služieb, čo VÚB nie je. Čiže predpokladám, že sa za tým skrýva nejaká tretia strana, ktorá to pre nich prevádzkuje.
Samozrejme môžem sa mýliť, sú to len domnienky vychádzajúce z toho, čo bolo napísane v príspevku.
1 Like
Produktovi ludia + marketing predsa!
1 Like
Intesa, pod ktoru patria, je kvalifikovany poskytovatel. Maju to od matky.
1 Like
Tak pri talianoch človek nikdy nevie, na čom je. Videl som aj zázrak v podobe certifikácie na kvalifikovaného poskytovateľa za tri dni vrátane víkendu a zápisu do národného aj eu trusted listu - čo sa nepodarilo nikomu, iba talianom. Buď sú neskutočne šikovný, alebo u všetkých ostatných v EU niečo robíme zle. 
Zo stránok a všeobecného pokecu posúdiť bezpečnosť nedokážem. Ale tak snáď vedia, čo robia. Zaujímal by ma proces onboardingu u talianskeho poskytovateľa. Ešte to môže byť dosť podstatný kameň úrazu. Ak by s tým mal niekto skúsenosť, nech sa podelí.
1 Like
Cim si vysvetlujete tych Svedov (ZealID)?
Len malá poznámka - “slovensko.sk” určite nie je uzatvorený systém v zmysle čl. 2 ods. 2 nariadenia eIDAS.
Portál nie je obmedzený len na občanov SR, ale je otvorený aj používateľom z iných členských štátov EÚ. Do portálu sa môžu prihlásiť:
- Občania SR – pomocou eID karty (občiansky preukaz s čipom).
- Podnikatelia a právnické osoby so sídlom v SR.
- Občania iných členských štátov EÚ – ak majú národný identifikačný prostriedok, ktorý bol notifikovaný a uznaný podľa eIDAS (tzv. cross-border login).
Myslel som to inak, slovensko.sk je plne pod kontrolou statu. To, ze sa tam moze iny obcan prihlasit cez eidas na urovni pokrocila/vysoka nemeni z pohladu autorizacie nic. Proste bude vediet autorizovat klikom tak isto. (Co je inak skor vyhoda ako nevyhoda, lebo ak niekto niekedy skusil poslat KEP ineho statu nasmu uradu, tak ma o zabavu postarane.)
Len z toho, ako je to v kontexte obsahu príspevku uvedené, je to uvádzané ako iný systém, ktorý nepodlieha požiadavkám eIDAS (keďže podľa bodu 2) eIDAS je !iné zviera"), čo nie je vôbec pravda.
Že si Slovensko určilo na národnej úrovni autorizáciu ako formu podpisu podania voči OVM a umožnilo do toho zahrnúť aj niečo, čo v skutočnosti nie je podpisom, na fakte, že ide o otvorený systém verejnej správy plne podliehajúci požiadavkám nariadenie eIDAS, nič nemení.
Keď už niečo tvrdíme, aj keď to nie je pre diskusiu k tomuto problému podstatné, malo by to byť pravdivé a menej účelové. Žiaľ čitateľ diskusie Vám nevidí do hlavy a nemá ani potuchy, že to bolo myslené inak.
Pointa môjho príspevku je úplne inde. Proste časť autorizácie klikom nie je vonkajšiemu svetu nijako otvorená (na rozdiel od kep eidas ktorý sa dá vyrobiť všelijako). Predpoklad pre klik je, že bola autentifikácia na úrovni pokročilá. Ako presne sa tak udeje je nepodstatné, lebo to je vstupný predpoklad.
Čiže celý flow od momentu prihlásenia po moment odoslania podania do schránky ovm je plne uzavretý systém (pod kontrolou štátu). Preto na neho nemusíme mať také požiadavky ako na otvorený systém, kde sa dá KEP vyrábať prostriedkami od tisícov dodávateľov. Podanie nikde v tomto procese neodchádza do kontroly používateľa, je stále na serveri a nedá sa nijako upraviť mimo tohto systému. Proste je to implementované úplne kompletne inak a preto je logické že aj bezpečnostné opatrenia môžu byť iné.
Nemusíme mávať žiadnymi paragrafmi, stačí si odpovedať na jednoduchú otázku, že prečo viem spraviť aj prevod desat tisíc eur cez bankovú aplikáciu ktorá nijako nespĺňa úroveň autentifikácie vysoká dokonca ani pokročilá podľa eidas a už vôbec nerobíme autorizáciu prevodov na úrovni kep. Ale tvárime sa že je extrémny problém, že niekto klikne na portáli, aby vybavil banálnu vec. Špeciálne v prípade keď fyzicky vie ten útok spraviť ešte ľahšie.
Skúste na sekundu zabudnúť na všetky možné regulácie a zodpovedajte si to pre seba. Nedáva zmysel, že?
To, aké je technické prevedenie autorizácie klikom na portáli slovensko.sk nič nemení na fakte, že ide o verejný portál plne podliehajúci požiadavkám nariadenia eIDAS, či sa Vám to páči alebo nie.
A spochybňovanie KEP v porovnaní s klikom s argumentáciou, že “sa dá vyrobiť všelijako” my tiež veľmi nejde po srsti.
Pokiaľ viem, tak OVM musia prijať v zmysle nariadenia eIDAS len tie podania podpísané KEP, ktoré zodpovedajú “common formátom” definovaným vo vykonávacích rozhodnutiach k nariadeniu eIDAS (konkrétne momentálne 1506/2015 a v najbližšom období jeho novelizácia, ktorá je vo fáze verejného pripomienkovania). Rovnako na vytvorenie KEP musí byť použitý kvalifikovaný certifikát pre elektronický podpis, ktorý vydal kvalifikovaný poskytovateľ dôveryhodných služieb a v certifikáte musí byť uvedené, že kryptografické kľúče boli generované a sú uložené v QSCD zariadení. Ak nie sú splnené tieto podmienky, tak OVM jednoducho také podanie odmietne.
Vytvorený KEP bude vždy prisúdený držiteľovi certifikátu, keďže bez jeho vedomia a prispenia (znalosť ochranných prvkov ku kryptografickým kľúčom) nikto iný KEP nevytvorí) a vždy sa dá určiť čo podpísal na úrovni obsahu.
Čo na tomto chcete spochybniť tým “dá sa vyrobiť všelijako”?
Rád by som videl ako bude prijímateľ autorizácie klikom argumentovať, keď budem tvrdiť že som nič nepodpísal, lebo som nevidel obsah toho čo podpisujem a budem žiadať náhradu škody. Hlavne v prípade, keď takáto autorizácia na národnej úrovni, je rovnocenná z mojim vlastnoručným podpisom.
K prevodu desať tisíc cez bankovú aplikáciu - je na rozhodnutí banky a jej analýzy rizík, nikto ju žiadnou reguláciou neobmedzuje.
A odkedy sa pri tejto diskusii o autorizácii bavíme o vybavovaní banálnych vecí. Však klik môžem použiť na autorizáciu všade, kde mi iný zákone neprikazuje použitie KEP a vždy to bude, na národnej úrovni, môj vlastnoručný podpis. OVM si teda môže tento spôsob zaviesť, všade, kde nie je obmedzená iným zákonom, aby predsa užívateľovi zjednodušila podanie v porovnaní s “komplikovaným” riešením vyhotovovania KEP.
Presne tak ako pri podpisanom papieri, ktory tam hodi niekto iny.
A teda specialne tento argument (WYSISYS) je zaujimavy aj v pripade podpisovacov vytvarajucich KEP a este viac remote signing. Lebo teda podpisuje sa HASH cohosi a nie “to co vidim”. Navyse mozem argumentovat, ze som mal pokazny monitor a prave tu cast som nevidel. Navyse v pripade slovensko.sk mam nejaky nejaky statny podpisovac, ktory ktovie co robi. No proste takto sa da spochybnit uplne cely KEP. Toto asi nebude uplne konstruktivna debata, ze?
Ani nas bryndzovy klik nijako eidas neobmedzuje.
Zjavne prosba o opustenie debaty o regulaciach nepadla na urodnu podu.
1 Like
Ach jaj. Uplne vedla. hovorim o uzavretom a neuzavretom systeme. KEP sa da vyrobit vselijako (mozem si vybrat akym sposobom - ano certifikovanym - ho spravim). Ak chcem robit autorizaciu v uzavretom systeme (slovensko.sk) a nestrcim tam nieco co nemam pod kontrolou, tak nepotrebujem regulacie/certifikacie od vymyslu sveta. To je cele.
Tak tu ste úplne vedľa. Vytvorený KEP sa spochybňuje veľmi, veľmi ťažko a ak je už raz vytvorený, tak už je neodvolateľný. a Vami naznačované možnosti nechávam bez komentára.
Jediny dovod preco sa spochybnuje tazko je to, ze niekto v regulacii prehlasil, ze je nespochybnitelny. Taketo nieco nepozna ani fyzicky svet, kde sa daju spochybnit aj notarsky osvedcene podpisy, ze?
Neviem, čo tu stále splietate o uzavretom a neuzavretom systéme. Portál slovensko.sk je verejný portál na komunikáciu s OVM a žiadny uzatvorený systém. V zmysle nariadenia 910/2014 platia pre takto verejne poskytované služby pravidlá nariadenia, ktoré sú nadradené nad pravidlá dané národnou legislatívou. Keďže nariadenie eIDAS pozná len elektronický podpis (tri úrovne), tak niekto na Slovensku prišiel so spásonosnou myšlienkou, že nad podpis ešte nadradí pojem autorizácia (cez zákon č. 305/2013), čo umožňuje dokonca za “vlastnoručný podpis” považovať aj to, čo s podpisom nemá nič spoločné napr. “klik”. Regulácia sa teda týka aj portálu slovensko.sk a to na dvoch úrovniach, požiadavky na európskej úrovni a požiadavky na národnej úrovni a v dvoch oblastiach - v oblasti elektronickej identifikácie a v oblasti dôveryhodných služieb. Po novele nariadenia eIDAS sa dôveryhodnou službou stala aj služba “vyhotovovanie elektronických podpisov alebo elektronických pečatí;” článok 3 (16 c).
Viete mi odcitovať zdroj, na základe, ktorého tvrdíte, že portál slovensko.sk je v časti využívania kliku uzatvorený systém.
Dovolím si citovať definíciu uzatvoreného systému z nariadenia eIDAS “Toto nariadenie sa nevzťahuje na poskytovanie dôveryhodných služieb, ktoré sa používajú výhradne v uzavretých systémoch na základe vnútroštátneho práva alebo dohôd medzi vymedzenou skupinou účastníkov.”
Klik využívaný v rámci služieb portálu slovensko.sk je na základe vykonanej analýzy - technicky uzavretý proces pod kontrolou štátu, ale právne nie je uzavretý systém podľa eIDAS; je to vnútroštátna fikcia podpisu, ktorá platí len v SR.
1 Like
Povedzme, ze ano.
A teraz by som poprosil ukazat v regulacii eidas ako zabezpecuje WYSIWYS, ktory tu spominate ako obrovsky problem kliku.