Bezpecnost eidas.minv.sk


#1

Na stranke eidas.minv.sk, ktora sa pouziva na login cez eid (!) je takyto SSL certifikat.

https://www.ssllabs.com/ssltest/analyze.html?d=eidas.minv.sk

Taktiez v produkcii by asi nemal vyletiet stacktrace pre vynimku.

https://eidas.minv.sk/TCTokenService/jsp/startEIDClient.jsp

Viete niekto napr. z @ps-bezpecnost napisat, ake su rizika takehoto certifikatu?


#2

Samotny certifikat je v poriadku (sha256, 2048bit rsa kluc).

Co nie je v poriadku je nastavenie servera a vsetko je spomenute na stranke ssllabs. Zly je v podstate ten freak attack, lebo znazne znizuje zabezpecnie proti mitd a umoznuje pomerne lacno citat kryptovanu komunikaciu. tu je pekne popisane http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-factoring-nsa.html

Ale horsie je to, ze niekto neaktualizuje servre.


#3

Neaktualizoval ich doteraz a nevidí dôvod “dobrú prax” meniť.


#4

To naozaj nechcú nič robiť s takto zle nakonfigurovaným systémom? Je to pre NBÚ ok?



#5

nemajú čas, venujú sa obstarávaniam


#6

V pondelok sme dostali Vypis z Registra Hosp. Subjektov UVO. Prisiel nam vypis vo formate ASiC-E. Overoval som ho v nasom Podpisuj.sk -> vyslo nam podpis je neurcity, to iste povedal referencny ETSI overovac a vypisal zoznam chyb. Ardaco QSign sa pri pokuse otvorit ten ASiC-E zrubal a D.Viewer povedal, ze subor je koruptovany … .

Tak co s tym poslem na NBU podanie ? To akoze fakt ani po mesiacoch az rokoch nevieme urobit v CEPe platny ASiC-E ?


#7

To mozno nerobila CEP ale aplikacia nejakeho vyrobcu co si nedal zalezat na parametroch podpisu…
To bol asic-e xades, alebo xades_zep, alebo asice cades? A v com bol problem ?