Tak som si to trocha analyzoval a vidím to takto:
-
eID autentifikačná funkcia týmto útokom nie je dotknutá - detaily viď. BSI TR-03110 - pri eID sa podľa verejne dostupných špecifikácií používa EACv2, TA, CA (neviem či verzia 2 alebo 3) - RSA sa používa iba v rámci TA, v certifikáte terminálu/CVCA, kde v SK implementácii eID terminál je AS MVSR (ak by snáď aj bol útokom dotknutý, jednorazovo to zmenia na strane servera), pri EAC a CA sú verejné kľúče ICC Diffie-Hellman a nie RSA, v CAv3 dokonca iba ephemeral
-
podpisovanie/šifrovanie na všetkých doteraz vydaných eID týmto útokom je dotknuté, a teda každý kto má aktivovaný ZEP na eID:
- je podľa kap. 4.5.1 CP eID ACA povinný informovať spoločnosť Disig, ako vydavateľa certifikátov, prípadne prostredníctvom JP MV SR, ktoré je Registračnou autoritou, o tom, že existuje podozrenie z kompromitácie jeho privátneho kľúča
- taktiež podľa kap. 4.5.1 je povinný “okamžite ukončiť používanie súkromného kľúča”, t.j. nevytvárať žiadne podpisy, ani šifrované spojenia
- by mal čím skôr revokovať minimálne kvalifikovaný certifikát (ten pre KEP) - je to dokonca povinnosť, podľa kap. 4.9.4
– heslo na revokáciu je vytlačené v časti V. Zmluvy o vydaní a prevzatí certifikátov na eID
– o revokáciu sa dá požiadať na JP MV SR, alebo OR PPZ SR
– revokácia sa dá spraviť aj elektronicky, na https://portal.minv.sk/ v sekcii Osobné doklady > Elektronické služby > Zoznam certifikátov vydaných na občianskom preukaze s čipom…, avšak treba byť prihlásený (pomocou eID) a službazrejme funguje iba v pracovnom časeuž niekoľko dní nefunguje
Ináč otázka je, či by priamo MV v spolupráci s ACA (Disig) nemal automaticky všetky certifikáty revokovať, keďže vedia o priamej možnosti ich kompromitácie?
(toto je samozrejme informatívne, záväzné inštrukcie máte v dokumentoch čo ste podpísali pri preberaní eID, prípadne budúce stanovisko MVSR - sám som zvedavý nakoľko som sa strafil do oficiálneho vyhodnotenia situácie)