eID prelomene?


#1

Vyzera ze slovenske a estonske eID su v podstate prelomene…


Nemožnosť podpísať podanie certifikátom z eID
Open source - nech môže pomôcť každý
Platforma Slovensko.Digital Awards 2017
#2

V Estonsku zatial planuju vymenu certifikatov, a zablokovanie tych co su zranitelne.


#3

https://crocs.fi.muni.cz/public/papers/rsa_ccs17


#4

Potvrdzujem, že RSA kľúče generované v eID karte (minimálne mojej) sú postihnuté touto zraniteľnosťou.
To znamená, že z každého dokumentu čo som podpísal ZEPom sa dá faktorizáciou zistiť môj privátny kľúč.


#5

Náaaa a včúúl si Vás kúpim šeckých …

(aj u nás sme si to kontrolovali a zatial vsetky eIDs su zranitelne)


#6

No vyborne, moje podpisane dokumenty sa povaluju po internete. Ked mi zajtra niekto prepise majetok na Pellegriniho, tak sa mozem ist kde stazovat?


#7

The vulnerability was disclosed to Infineon Technologies AG, following the responsible disclosure principle, in the first week of February with agreement of an 8 month period before a public disclosure. We cooperated with the manufacturer and other affected parties to help evaluate and mitigate this vulnerability during this period. Major vendors including Microsoft, Google, HP, Lenovo, Fujitsu already released the software updates and guidelines for a mitigation. We are now notifying general public and releasing tools for assessmnet of the individual keys.

MV!!! Kde to viazne?


#8

#9

To je dobra otazka, kedze Estonci zatial stihli naplanovat aj mitigacne opatrenia, u nas vyzera ze o tom nikto nevie.


#10

Vyzera, ze nespravili vobec nic… Aj certifikaty generovane minuly tyzden su vsetky zranitelne.


#11

Full details including the factorization method will be released in 2 weeks at the ACM CCS conference as ‘The Return of Coppersmith’s Attack: Practical Factorization of Widely Used RSA Moduli’ (ROCA) research paper.

Tik-tak. :clock11:


#12

kua sak to dnes autori odhalilli verejnosti… co asi mal stat spravit ?


#13

Ahoj,

ja by som skor povedal ze 9 mesiacov je dost dlha doba aj pre stat.

Takto nejako komunikovali autori[1]:

2nd of November 2017 - Presentation of all details at the ACM CCS

conference (to come)
16th of October 2017 - The initial version of the public disclosure
published
May to October 2017 - Cooperation with the manufacturer and other
affected parties to help evaluate and mitigate the vulnerability
1st of February - The vulnerability disclosed to Infineon
Technologies AG
End of January - The vulnerability found

[1]https://crocs.fi.muni.cz/public/papers/rsa_ccs17


#14

Jakych 9 mesiacov ? Sak do oktobra to povedali len vyrobcovi. Skor by som teraz cakal ze nase csirty a kyberneticko-bezpecnostne vybory pri br a dalsie entity zacnu teraz urychlene robit to na co boli zriadene.


#15

Pokiaľ viem, príslušné orgány v SR o tomto vedeli už minimálne na konci letných prázdnin.

ÚPVII aj MV mi dnes potvrdili, že majú pripravené k tejto veci stanovisko, tipujem že zajtra bude zverejnené.


#16

stanovisko: v duchu podávame demisiu :slight_smile:

bolo im to treba?

Pripomínam citát z novembra 2016

nemuseli sme čakať ani rok a kolosálny prúser je na svete


#17

Na nasich eID je tiez mozne pouzivat ECC ako u estoncov, co spominaju na DSL?


#18

Aby bolo jasne, vyrobcovi to povedali 1. februara 2017. Nejake komunikacne kanaly zrejme funguju, kedze spominani estonci uz maju vymyslene aj riesenie. Som zvedavy na to stanovisko UPVII+MV.


#19

Tak je fakt ze sme affected party cize snad to komunikovali aj s nasim statom. No, sm zvedavy na dalsie kroky…


#20

zda za, ze moja priblbla otazka: Elektronické zdravotné preukazy (Obstarávanie OPII)
nebala ani tak priblbla.