Disig a ich "riešenie" mobileID

Disig spustil nedávno ich riešenie mobileID https://zep.disig.sk/Portal/sk/Info/News#mobilesigning

K ich “riešeniu” jedným slovom len tolko :arrow_right:︎ tragédia

  1. Optimalizacia na iPhone X = 0 bodov, stale je to vo formate iPhone 6 z r. 2014

  2. Ten mobilny certifikat nieje mozne stiahnut do pocitaca, ani do mobilu, vsetko ide iba cez ich primitivnu aplikaciu, takze sen o tom, ze si ten komercny cert. hodim ako encrypt do mailu na mobile a pocitaca nehrozi :confused:

Pevne verim, ze to startne riesenie bude pokrocilejsie.

Toto je celá pointa prečo sa to robí takto komplikovane. Keby sa to dalo len tak prehadzovat tak v prvom rade žiadny certifikát ani netreba.

Čert je schovaný tu.

Pri komunikácii so štátnymi organizáciami na Slovensku treba byť obozretný. Tie totiž v súčasnosti akceptujú len kvalifikované podpisy vytvorené pomocou kvalifikovaných zariadení (napr. čipová karta), akými bežné mobilné zariadenia nie sú. Naše riešenie mobilného podpisovania je však plne použiteľné v komerčnej sfére.

Toto je len zaobalene povedané, že so štátom toho zatiaľ veľa nevybavite.

1 Like

@jariq inak vies povedat viac ako toto funguje vo vnutri? V mobilnej appke je podpisovy privatny kluc? Podpisuje sa to tam? Ci je to remote signing a v mobile je len nejaky aktivacny kluc?

Vysvetlim neskor. Cez vikend nestiham :man_shrugging:

1 Like

Brace yourself. Wall of text is incoming :wink:

Nudný (ale nutný) teoretický úvod

Používanie elektronického podpisu upravuje na európskej úrovni Nariadenie Európskeho parlamentu a Rady č. 910/2014 z 23. júla 2014 bežne nazývané eIDAS, ktoré definuje tri typy elektronického podpisu:

Elektronický podpis

  • Predstavuje najnižšiu a najmenej dôveryhodnú úroveň elektronického podpisu
  • Príklad: prihlásenie do portálu a zaškrtnutie checkboxu …

Zdokonalený elektronický podpis

  • Predstavuje prostrednú úroveň, ktorá je dôveryhodnejšia, no nemá automaticky právny účinok rovnocenný s vlastnoručným podpisom
  • Príklad: podpis so self-signed certifikátom, biometrický podpis …

Kvalifikovaný elektronický podpis (ďalej len KEP)

  • Predstavuje najvyššiu a najviac dôveryhodnú úroveň elektronického podpisu, ktorá má právny účinok rovnocenný s vlastnoručným podpisom.
  • Príklad: Môže to byť len elektronický podpis založený na kvalifikovanom certifikáte verejného kľúča vyhotovovaný pomocou QSCD zariadenia (napr. čipovej karty). Na mobiloch sa zvyčajne implementuje v kombinácii so systémom pre vyhotovovanie elektronických podpisov na diaľku (angl. remote signing).

Podpisovanie v mobile od Disigu

Technologické fakty:

  • Využíva rovnakú technológiu ako KEP t.j. kvalifikovaný certifikát vydaný kvalifikovaným poskytovateľom dôveryhodných služieb
    • Vydavateľ certifikátov je pod dohľadom eIDAS-om zavedeného orgánu dohľadu a podlieha pravidelným auditom
    • Podpisový certifikát je vďaka eIDAS infraštruktúre (TSL) overiteľný v celej EÚ
  • Využíva rovnaké formáty podpisu ako KEP t.j. CAdES, XAdES, PAdES
    • Je to etablovaná technológia definovaná štandardami inštitútu ETSI a schválená pre eIDAS vykonávacím rozhodnutím EK
    • S podpisom vie okamžite pracovať väčšina dostupných aplikácií vrátane tých slovenských ale aj zahraničných ako napr. Adobe Acrobat Reader
  • Podpisové kľúče sú uložené v mobilnom zariadení používateľa
    • Kľúče sú generované aj uložené v zariadení používateľa a ich použitie je chránené samostatným heslom
    • Mobil nie je QSCD zariadenie => vytvorený podpis nie je kvalifikovaný => je to zdokonalený podpis

Toto riešenie teda používa rovnaké technológie ako KEP s jedinou výnimkou - nepoužíva QSCD zariadenie. Kvôli tomu je podpis vytvorený na mobile zdokonalený a nie kvalifikovaný. Pre niekoho to môže byť zásadná nevýhoda, pre iného zase zdroj viacerých výhod:

  • Implementácia a integrácia je jednoduchšia a rýchlejšia než pri remote signingu.
  • Riešenie nutne nepotrebuje registráciu používateľov ani centrálnu evidenciu ich zariadení.
  • Pri vytváraní podpisu sa nemusí komunikovať s centrálnym poskytovateľom, a teda je použiteľné aj v izolovaných prostrediach.
  • Zvláda to väčšina mobilov a dokonca nie je nutné obmedzovať ani root-nuté Androidy. Rovnaký certifikát na “softvérové kľúče” totiž môže používateľ získať na našej registračnej autorite a importovať si ho do viacerých zariadení (do PC, do mobilu, do tabletu …).

Ak má používateľ eID kartu, tak môže v súčasnosti certifikát do mobilu získať zdarma online. Je možné, že proces získania certifikátu budeme ešte modifikovať, aby bol jednoduchší a prístupnejší. Tiež je možné, že v mobilnej appke sprístupníme podporu pre ďalšie úložiská kľúčov/certifikátov, ktoré umožnia vytváranie aj ďalších typov podpisov. Mali sme tam už napríklad NFC karty, s ktorými sme vytvárali kvalifikovaný podpis (vtedy sa ešte volal zaručený), no tie sa v danom čase moc neujali.

Dotaz na takéto riešenie k nám prišiel z komerčnej sféry, no myslím si, že môže nájsť uplatnenie aj v štátnej správe. Ak sa nemýlim, tak napríklad finančná správa v pohode roky akceptuje “elektronickú značku” ako alternatívu ku KEP-u a na slovensko.sk som tuším tiež narazil na nejaký “podpis BOK-om” (skoro mi pri tom vypadli oči na stôl :eyes:, ale to je na inú debatu). Aj v štátnej správe teda zjavne existuje nejaká možnosť vybrať si, čomu sa bude veriť a čomu nie.

2 Likes

Ja osobne aplikáciu používam na iPhone XS a nenarazil som na žiadny zásadný problém, ale je možné, že mi niečo ušlo. Môžeš prosím detailnejšie popísať čo na iPhone X nefungovalo resp. kde presne chýba optimalizácia?

Toto je komplikovanejšia technologická téma, ale pokúsim sa ju aspoň zhruba rozobrať a vopred upozorňujem, že pri tom budem veci schválne zjednodušovať:

Aby bol akýkoľvek podpis (či už dokumentu alebo e-mailu) overený ako platný, musí byť vytvorený certifikátom, ktorý vydala dôveryhodná CA.

Aplikácie na podpisovanie a overovanie dokumentov v EÚ zvyčajne používajú ako zdroj informácií o dôveryhodných CA zoznam poskytovaný EK tzv. TSL. Ten nedefinuje žiadne konkrétne CA, ale iba odkazuje na zoznamy jednotlivých členských štátov a až v tých je potom zoznam konkrétnych CA, ktoré sú v danom štáte považované za dôveryhodné na vydávanie certifikátov na nejaký účel (napr. na podpisovanie, na pečatenie atď.) Aby sa CA dostala do TSL musí spĺňať nejaké požiadavky eIDAS-u a ďalších štandardov, z ktorých pre ňu potom vyplývajú nejaké obmedzenia.

Naproti tomu väčšina mailových klientov zvyčajne používa ako zdroj informácií o dôveryhodných CA zoznam poskytovaný operačným systémom. Microsoft spravuje pre Windows vlastný zoznam, Apple spravuje pre macOS a iOS vlastný zoznam, Linuxové distribúcie zvyčajne preberajú zoznam od Mozilly, Google spravuje pre Android tiež vlastný zoznam. Aby sa CA dostala na tieto zoznamy, musí spĺňať nejaké kritériá, ktoré nemusia byť nutne rovnaké ako tie, ktoré platia pre eIDAS-ové TSL. No a keď už v tých zoznamoch CA je, tak pre ňu z toho zase vyplývajú nejaké obmedzenia, ktoré opäť nemusia byť nutne kompatibilné s tými, ktoré platia pre eIDAS-ové TSL.

Sú to akoby dva samostatné svety, kde platia síce podobné, no nie úplne rovnaké pravidlá.

Disig preto má CA, ktoré sú dôveryhodné v eIDAS svete napr. CA Disig QCA3 a zároveň má iné CA, ktoré sú dôveryhodné v svete operačných systémov napr. CA Disig R2. Ak používateľ potrebuje certifikát na podpisovanie dokumentov pre orgány štátnej správy, tak zvyčajne dostane certifikát od CA Disig QCA3. Ak potrebuje certifikát na podpisovanie e-mailov, tak zvyčajne dostane certifikát od CA Disig R2 resp. od jej podriadenej autority CA Disig R2I3.

V rámci riešenia pre mobilné podpisovanie Disig v súčasnosti zdarma poskytuje kvalifikovaný certifikát overiteľný v “eIDAS svete” a použiteľný na podpisovanie dokumentov. Certifikáty na podpisovanie e-mailov v súčasnosti zdarma neposkytuje, ale dajú sa získať štandardným spôsobom.

A sme opäť pri klasickom probléme: zadanie bola autentifikácia, ponúkané riešenie je el. podpis. Nie prosím.

1 Like

Ono by bolo fajn, ak by boli k dispozícii obidve služby, ale v tejto podobe je to tragedia (co majiteľ vsetci s tym hamburger menu???) :confused: