Bezpecnost eidas.minv.sk

Čo sa deje v e-Governmente Štátne projekty
1

Na stranke eidas.minv.sk, ktora sa pouziva na login cez eid (!) je takyto SSL certifikat.

b7ac105e42dd938a3d69fc0764797f8e104925d0.png924×680 48.8 KB

https://www.ssllabs.com/ssltest/analyze.html?d=eidas.minv.sk

451dc584c27994e15b6e9a73aea722f2006de1d0.png330×566 31.4 KB

Taktiez v produkcii by asi nemal vyletiet stacktrace pre vynimku.

03019700eb2c0db147ef58e8a64dc95eed4d6961.png1073×479 48.5 KB

https://eidas.minv.sk/TCTokenService/jsp/startEIDClient.jsp

Viete niekto napr. z @ps-bezpecnost napisat, ake su rizika takehoto certifikatu?

2 Likes
2

Samotny certifikat je v poriadku (sha256, 2048bit rsa kluc).

Co nie je v poriadku je nastavenie servera a vsetko je spomenute na stranke ssllabs. Zly je v podstate ten freak attack, lebo znazne znizuje zabezpecnie proti mitd a umoznuje pomerne lacno citat kryptovanu komunikaciu. tu je pekne popisane http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-factoring-nsa.html

Ale horsie je to, ze niekto neaktualizuje servre.

1 Like
3

Neaktualizoval ich doteraz a nevidí dôvod “dobrú prax” meniť.

Capture
Capture1026×761 33.2 KB

2 Likes
4

To naozaj nechcú nič robiť s takto zle nakonfigurovaným systémom? Je to pre NBÚ ok?

image
image2122×1551 256 KB

image
image1924×1068 123 KB

5

nemajú čas, venujú sa obstarávaniam

6

V pondelok sme dostali Vypis z Registra Hosp. Subjektov UVO. Prisiel nam vypis vo formate ASiC-E. Overoval som ho v nasom Podpisuj.sk -> vyslo nam podpis je neurcity, to iste povedal referencny ETSI overovac a vypisal zoznam chyb. Ardaco QSign sa pri pokuse otvorit ten ASiC-E zrubal a D.Viewer povedal, ze subor je koruptovany … .

Tak co s tym poslem na NBU podanie ? To akoze fakt ani po mesiacoch az rokoch nevieme urobit v CEPe platny ASiC-E ?

7

To mozno nerobila CEP ale aplikacia nejakeho vyrobcu co si nedal zalezat na parametroch podpisu…
To bol asic-e xades, alebo xades_zep, alebo asice cades? A v com bol problem ?

8

Pozeram ze medzicasom sa dostali uz na A. SSL Server Test: eidas.minv.sk (Powered by Qualys SSL Labs)

image
image1098×502 39 KB

9

Stacilo im to nahlasit :slight_smile:

10

Tak snad SSL certifikaty by mohli monitorovat aj sami nie?

1 Like
11

Od 1.5 mozeme podla zakona robit take testy plosne a malo by to taketo problemy vyriesit.

1 Like
12

Len formalistická otázka: doteraz ste testy robiť nemohli? Ani podľa §4.2.d z.275/2006?

13

Bohuzial vraj nie .Podla pravnikov sa tento paragraf vztahuje na kontrolu v zmysle zakona o kontrole, co je komplikovane lebo sme zamestnanci vo verejnom zaujme, teda kontrolov by nas musel poverit urad v specifickej veci a voci konkretnemu organu/ organizacii. Inak povedane, bolo mi povedane, ze nie preto sme tlacili aby sa do zakona dostal paragraf o vulnerability scanoch :smiley:

14

Čiže zachrániť to má §23.5.c zITVS. Priznám sa, nie som nadšenec takéhoto detailistického poňatia zákonov.