Bezpecnost eidas.minv.sk

#1

Na stranke eidas.minv.sk, ktora sa pouziva na login cez eid (!) je takyto SSL certifikat.

https://www.ssllabs.com/ssltest/analyze.html?d=eidas.minv.sk

Taktiez v produkcii by asi nemal vyletiet stacktrace pre vynimku.

https://eidas.minv.sk/TCTokenService/jsp/startEIDClient.jsp

Viete niekto napr. z @ps-bezpecnost napisat, ake su rizika takehoto certifikatu?

2 Likes

#2

Samotny certifikat je v poriadku (sha256, 2048bit rsa kluc).

Co nie je v poriadku je nastavenie servera a vsetko je spomenute na stranke ssllabs. Zly je v podstate ten freak attack, lebo znazne znizuje zabezpecnie proti mitd a umoznuje pomerne lacno citat kryptovanu komunikaciu. tu je pekne popisane http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-factoring-nsa.html

Ale horsie je to, ze niekto neaktualizuje servre.

1 Like

#3

Neaktualizoval ich doteraz a nevidí dôvod “dobrú prax” meniť.

2 Likes

#4

To naozaj nechcú nič robiť s takto zle nakonfigurovaným systémom? Je to pre NBÚ ok?


0 Likes

#5

nemajú čas, venujú sa obstarávaniam

0 Likes

#6

V pondelok sme dostali Vypis z Registra Hosp. Subjektov UVO. Prisiel nam vypis vo formate ASiC-E. Overoval som ho v nasom Podpisuj.sk -> vyslo nam podpis je neurcity, to iste povedal referencny ETSI overovac a vypisal zoznam chyb. Ardaco QSign sa pri pokuse otvorit ten ASiC-E zrubal a D.Viewer povedal, ze subor je koruptovany … .

Tak co s tym poslem na NBU podanie ? To akoze fakt ani po mesiacoch az rokoch nevieme urobit v CEPe platny ASiC-E ?

0 Likes

#7

To mozno nerobila CEP ale aplikacia nejakeho vyrobcu co si nedal zalezat na parametroch podpisu…
To bol asic-e xades, alebo xades_zep, alebo asice cades? A v com bol problem ?

0 Likes

#8

Pozeram ze medzicasom sa dostali uz na A. https://www.ssllabs.com/ssltest/analyze.html?d=eidas.minv.sk

0 Likes