eID prelomene?

Robíš to zle. Ten screenshot nie je z tvojho kľúča, ale kľúča tvojej CA, teda Disigu. Tvoj kľúč je zraniteľný, rovnako ako akýkoľvek iný kľúč nahratý na ktoromkoľvek eID vydanom na Slovensku.

1 Like

Pravda, exportoval som nespravny certifikat. Moj je zranitelny.

https://www.etrend.sk/ekonomika/elektronicky-podpis-z-obcianskych-preukazov-sa-da-ukradnut-za-par-hodin.html

Ocividne mandatne certifikaty uradnikov z okresneho uradu dotknute nie su

Prosím, viete niekto overiť sudcovský podpis na zraniteľnosť? Rozhodnutia s 2 rôznymi prikladám.
6Ntn-5-2017___podpisane_osobne.xzep (1.1 MB)
6Ntn-1-2017___podpisane_osobne.xzep (1.0 MB)

Zabava graduje. Sluzba na revokaciu nejde.

4 Likes

Overil som jeden mandatny certifikat, ktory vydava advokatska komora advokatom a ten je SAFE.

Ten sudcovsky vyzera tiez OK

1 Like

Mne sa zda, ze tie mandatne certifikaty generuju na niecom inom nez na cipoch v obcianskych a ze ich nahravaju do inych smartkariet. Nikto nemoze nutit uradnika pouzivat vlastny obciansky na pracovne ucely.

V rámci projektu budovania aplikačnej architektúry a bezpečnostnej infraštruktúry rezortu Ministerstva spravodlivosti SR boli dodávané karty, ktoré obsahujú čipy od iného výrobcu (teda nie od spoločnosti Infineon, ktoré sú v eID kartách). Uvedený problém so zraniteľnosťou sa týchto kariet, ktoré používajú sudcovia a vyšší súdni úradníci na podpisovanie rozhodnutí príslušným mandátnym certifikátom, netýka. Popisovaná chyba/zraniteľnosť sa týka konkrétnej implementácie RSA algoritmu, ktoré sa nachádza na čipoch od spoločnosti Infineon, ktoré sú v eID kartách.

Tie advokátske a sudcovské podpisy v budúcnosti pravdepodobne tiež nebudú bezpečné. Je okamžite potrebné urobiť opatrenia na predchádzanie akýmkoľvek bezpečnostným incidentom.

Ak totiž bude možné dopočítať podpis na úradných rozhodnutiach, potom budú mať všetci vážny problém.

1 Like

O to intenzívnejšie dumajú, ako na tom zarobiť :wink:

1 Like

Teraz sa robi vela studii uskutocnitelnosti. Pevne dufam, ze update na ECC, pripadne ine alternativne opatrenia je jedna z nich, rad si ju poziem. Ked to vedia od juna, tak uz by mohla byt aj na svete.
No a ta odpoved MVSR, to je v podstate joke. Bad joke.

@Jozef_Chajdiak, prosím, skúsili by ste ešte aj tento (úradnícky z ÚGKK SR)? Ďakujem. Valcek.zep (3.4 MB)

secure

1 Like

Ten clovek… alebo skupina ludi, co formulovali odpovede bud nevedel o co sa jedna a ze nejde iba o podania, ktore na platnost musia byt aj zaplatene…a to presne tym, kto ich podpisal… :smile: alebo maju vsetkych za debilov, ako Kazimir a Fico s grafom. Pre mna su tie odpovede vyborny vtip.

1 Like

Existuje uz nejaky realne skopirovany kluc? Zaujimala by ma realna aplikacia.

Presne tak, ta odpoved z ministerstva je nezmysel. Napriklad okresny urad vyzaduje vsetky prilohy podania samostatne podpisane zep-om. Clovek si ich musi podpisat but na svojom pocitaci alebo na stranke disigu. Tieto potom prilozi k podaniu a cele podanie sa na portale znovu podpise. Niektore urady dokonca maju emailovu podatelnu, kam sa posielaju zepom podpisane dokumenty, ktore oni overia a dalej s nimi pracuju. Podpisanych dokumentov su jednoducho haldy, staci z nich kluce vybrat a kupit si vypoctovu kapacitu na lamanie.

1 Like

Treba si tiež uvedomiť, že sme jediná krajina na svete, ktorá priznala kvalifikovanému podpisu status notársky overeného podpisu. Ako mohol zákonodárca priznať elektronickému podpisu, ktorý sa dá dopočítať do niekoľkých hodín, status úradne overeného podpisu?

1 Like
  1. V case uzakonenia sa to este nevedelo.
  2. Ked sa objavi nieco, na com by sa dalo zarobit, treba to vyuzit! Ako napriklad elektronicke naramky pre domacich vaznov, alebo Skype pre súdy oz stavebnej firmy za 14 mil. €.
  3. Osobne by som neuzakonil nic, kde zadavam kod cez PC a nie priamo na citacke.
  4. Nezaskodil by aj display na overenie hashu, pripadne textu podpisovaneho dokumentu, alebo dake ine overenie nezavisle na PC a nedostupne z PC.
  5. Mozno aj centralna evidencia podpisanych dokumentov.