Bezpecnost eidas.minv.sk

Na stranke eidas.minv.sk, ktora sa pouziva na login cez eid (!) je takyto SSL certifikat.

https://www.ssllabs.com/ssltest/analyze.html?d=eidas.minv.sk

Taktiez v produkcii by asi nemal vyletiet stacktrace pre vynimku.

https://eidas.minv.sk/TCTokenService/jsp/startEIDClient.jsp

Viete niekto napr. z @ps-bezpecnost napisat, ake su rizika takehoto certifikatu?

2 Likes

Samotny certifikat je v poriadku (sha256, 2048bit rsa kluc).

Co nie je v poriadku je nastavenie servera a vsetko je spomenute na stranke ssllabs. Zly je v podstate ten freak attack, lebo znazne znizuje zabezpecnie proti mitd a umoznuje pomerne lacno citat kryptovanu komunikaciu. tu je pekne popisane http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-factoring-nsa.html

Ale horsie je to, ze niekto neaktualizuje servre.

1 Like

Neaktualizoval ich doteraz a nevidí dôvod “dobrú prax” meniť.

2 Likes

To naozaj nechcú nič robiť s takto zle nakonfigurovaným systémom? Je to pre NBÚ ok?


nemajú čas, venujú sa obstarávaniam

V pondelok sme dostali Vypis z Registra Hosp. Subjektov UVO. Prisiel nam vypis vo formate ASiC-E. Overoval som ho v nasom Podpisuj.sk -> vyslo nam podpis je neurcity, to iste povedal referencny ETSI overovac a vypisal zoznam chyb. Ardaco QSign sa pri pokuse otvorit ten ASiC-E zrubal a D.Viewer povedal, ze subor je koruptovany … .

Tak co s tym poslem na NBU podanie ? To akoze fakt ani po mesiacoch az rokoch nevieme urobit v CEPe platny ASiC-E ?

To mozno nerobila CEP ale aplikacia nejakeho vyrobcu co si nedal zalezat na parametroch podpisu…
To bol asic-e xades, alebo xades_zep, alebo asice cades? A v com bol problem ?

Pozeram ze medzicasom sa dostali uz na A. https://www.ssllabs.com/ssltest/analyze.html?d=eidas.minv.sk

Stacilo im to nahlasit :slight_smile:

Tak snad SSL certifikaty by mohli monitorovat aj sami nie?

1 Like

Od 1.5 mozeme podla zakona robit take testy plosne a malo by to taketo problemy vyriesit.

1 Like

Len formalistická otázka: doteraz ste testy robiť nemohli? Ani podľa §4.2.d z.275/2006?

Bohuzial vraj nie .Podla pravnikov sa tento paragraf vztahuje na kontrolu v zmysle zakona o kontrole, co je komplikovane lebo sme zamestnanci vo verejnom zaujme, teda kontrolov by nas musel poverit urad v specifickej veci a voci konkretnemu organu/ organizacii. Inak povedane, bolo mi povedane, ze nie preto sme tlacili aby sa do zakona dostal paragraf o vulnerability scanoch :smiley:

Čiže zachrániť to má §23.5.c zITVS. Priznám sa, nie som nadšenec takéhoto detailistického poňatia zákonov.