eID prelomene?

:joy: ja mozem vo stvrtok postnut slovenske video ale bude asi dlhsie cca 20 min cesta na OR PZ, 20 min. cakanie, 4,5 minuty vymena, 20 minut cesta prec

1 Like

my mozeme urobit kompilaciu zo Sakovej tlacoviek…kazdy si tam nieco najde :smiley:

1 Like

Jak to vzdialene fixnutie vlastne bude technicky fungovat ? Bude nejaka apka ktora prikaze vygenerovat mojmu eid novy klucovy par. Dobre. Ale jak sa ten novy public key ocertifikuje?

Pri otazke novinara, kolko to bude stat, Sakova zabudla spocitat cas vsetkych tych uradnikov, co mohli riesit nieco ine, alebo cas ludi, ktori musia na to cakat, alebo kvoli tomu v inych radach cakat. Minimalne 30 000 hodin x 4€ = 120 tis. €!

Ok ak by to takto bolo zakotvene aj v legislative bolo by to ok.
Ibaze mne sa zda ze to smeruje niekam, neviem kam.
Vsimni si ze ta kvalifikovana sluzba uchovavania KEPov sa tyka iba podpisu. Ak si spomenies ked sa pripravoval eIDAS, tak tam bolo konstatovane, ze kedze uschova dokumentov je v EU uz dostatocne poriesena, nie je potreba riesit uchovavanie dokumentu. A teda ze tato kvalifikovana sluzba je len pre uchovavanie podpisov bez dokumentov. Teda nejde o sluzbu ktora existovala u nas do eIDASu, ktora sa voala uschova elektronicky podpisanych dokumentov a spocivala v tom ze sa uchovaval aj dokument aj podpis.
Tu sa uchovava iba podpis a ten sa udrzuje postupom popisanym v scheme dohladu nbu. Dokument mas u seba - cize toto je nejaka divna vec. Kedze aj zdvovodnenie tejto novej sluzby je ze by mala sluzit aj pre preklenutie problemu s prelomenim algoritmov, nechapem ako by to bola schopna v pripade ak budu existovat dva dokumenty s rovnakym hashom a inym obsahom (ako napr. tie dva pdf dokumenty s sha1 na lupe.cz).
Asi by to chcelo ten nas MDURZ nejako skombinovat s touto kvalifikovanou sluzbou uchoavavania KEPov a potom v legislative zakotvit pripad ze ak su dva rozne dokumenty s rovnakym podpisom, plati ten co bol v takomto ulozisku.
PS. Inak ta sluzba pracuje na pricipe prepeciatkovavania KEPu, cize je jedno ci mi daju potvrdenie ze to uchovavali, alebo rovno mi daju platny LT podpis ktory musia mat tak ci tak po celu dobu existencie podpisu v ich uschove - vid schema dohladu.
Ok ak by udrziavali inak ako prepodpisovanim jednotlivych dokumentov, potom to ich potvrdenie by bolo na mieste.

Ľudí nikto nepresvedčí, že úložisko v “správe” Kaliňáka, Fica, Dzurindu, Mečiara, Federiča, Yegora ergo ďalšieho premiéra, vedúceho úradu a teda úradu vlády je bezpečným úložiskom. Nebudú ukladať citlivé elektronické dokumenty do služby, ktorá je v správe úradu vlády.

pridávam zoznam sprísnených úkonov v niektorých štátoch EÚ, ktoré sa nedajú vykonať elektronickým podpisom

  • áno, že sa povinne “uchovávajú” iba podpisy je čudné, avšak dokumenty tam môžu byť tiež (v schéme dohľadu sa píše ešte o kúsok viac: “dokument nemusí byť pre službu dostupný”)
  • problém s prelomením hashu skrátka znamená, že ak mám iba jeden hash, dokument nie je v úložisku, a súčasne dôjde k prelomeniu hash algoritmu - tak mám smolu, podpis nie je dôveryhodne uchovaný
  • schéma dohľadu na riešenie prelomenia hashu píše: “[pre službu sa môže poskytnúť] prípadne viacero hash hodnôt vytvorených rôznymi hash funkciami, napríklad neskôr, pri dlhodobejšom uchovávaní” - ináč toto samo o sebe vylučuje prvoplánovú prepečiatkovávaciu správu
  • služba dlhodobého uchovávania môže “prepečiatkovávať” každý dokument/podpis, alebo to robiť pomocou “integritného podpisu” definovaného NBÚ, alebo sa môžu použiť “ekvivalentné postupy” - napr. LTANS

Revokacia vyzera byt ukoncena:

stare CRL:
Last Update: Oct 31 08:00:00 2017 GMT
Next Update: Nov 1 08:00:00 2017 GMT
revokovanych certifikatov: 6188

nove CRL:
Last Update: Oct 31 18:15:12 2017 GMT
Next Update: Nov 1 18:15:12 2017 GMT
revokovanych certifikatov: 302585

CRL ma 8.4MB :slight_smile:

4 Likes

Lenze podpis mas v akreditovanej sluzbe riadne uchovany a je aj platny - lebo sluzba hovori o uchovavani podpisu nie dokumentu. Cize podpis je doveryhodne uchovany, ibaze vonku k nemu existuje viac dokumentov. Tu sluzbu nemusi dokument vonku vobec zaujimat - tak to postavil eIDAS. A akoby nerata s tym ze by mohlo dojst k prelomeniu hashu, skor pocita s tym ze pocas rokov bude pouzivat silnejsi a silnejsi hash algoritmus a preto hovori o tom ze viac hashov (slabsi a postupne silnejsi a silnejsi) ak sa uchovava velmi dlhu dobu kedy sa menia aj algoritmy. Lenze ak by doslo k tomu pripadu co sa stalo s SHA1 tak tato sluzba vobec nic neriesi.
K uchovanemu podpisu vonku existuje x dokumentov s roznym obsahom. Ta sluzba ak si precitas eIDAS vobec nehovori o tom ci je k nemu spravny dokument. Nastastie nas nbu sa na to diva realne a ma tam moznost ze dokument moze a nemusi byt sucastou sluzby - ibaze takto to eIDAS nemyslel (bohuzial). A aj to zdovodnili, ze dokumenty sa spravuju oddelene od podpisov lebo ze vraj uchovavanie dokumentov je zabezpecene na pozadovanej urovni ci co.

Mal som tym na zreteli, ze v nasich koncinach sa povodne islo priblizne cestou ISO/TR 18492:2005 a tato kvalifikovana sluzba to akoby cele odignorovala a isla si svojou cestou…

1 Like

len tak do placu … preco si UPVII nekupi statnu ACA ?. Mali by vsetky OVM peciatky zadarmo a platilo by sa SLA z jednej rozpoctovej kapitoly ? Ked sopm robil nejaky projekt pre vojakov, tak som bol prekvapeny ze napriklad MO SR ma svoju ACA a pre potreby organizacii v posobnosti MO SR vydava aj casove peciatky …
Na toto nevidim rozumnu odpoved, jedine ta co kazdeho napadne asi niekto chce aby si kazdu peciatku urady KUPOVALI od sukromnej firmy.
Polozme si otazku kto ma z toho uzitok …

4 Likes

Presne tak. To nevedeli ked sa zacala digitalizacia, ze elektronicky podpis uz zo samotneho principu vyzaduje aj udrzbu? ked je to drahe - no nech nevyzaduju KEP bude to lacnejsie, ale ani to nebude zadarmo.
Ak chcel niekto uplne vyradit z uradov papiere, mal si uvedomit aj toto uskalie elektronickeho dokumentu a spocitat ci na to bude dost prostriedkov.

Priatelia, hovoriť na tomto serveri, že ak by “štát kúpil”, resp. prevádzkoval, vlastnú ACA, pre všetkých obyvateľov, tak by to bolo lacnejšie ako komerčná služba je … ako to slušne povedať … skúsim príklad … ako keby niekto hovoril že vybudovať si vlastný vládny cloud je lacnejšie ako používať komerčné cloudové služby.
Teda pokiaľ to nemáte podložené dátami.

Btw. http://ep.nbusr.sk/snca/

1 Like

Lubor, toto som nepisal. Ja som myslel ACA pre všetky OVM, aby mali odkial brat casove peciatky na svoje uradne ukony. Odkial si to bude brat obcan je jeho vec. Nechapem preco si to zaobstaravaju jednotlive rezorty (teda niektore) a nie centralne stat. :sunglasses:

Takisto aj mandatne certifikaty, ktorych cena je teraz cca. 100 eur na jeden rok.

mozno nie je treba ACA, staci statny TSA server.

Veď taký je, aha:
cer_5C6A18049D97D23C69D819414A703ED698EF4E91.cer (1.4 KB)

Pri tych 100€ na rok si asi zabudol na to, ze to je len prvotna investicia, ked si musis kupit kvalifikovane zariadenie (cipova karta), citacku a mandatny certifikat. Dalsi rok si kupujes uz len certifikat za cca 30€. Predpokladam, ze ak by stat nakupoval vo velkom, tak vie cenu dostat ovela nizsie.

1 Like

Toto ma NBU navrhnute v aktualnej studii uskutocnitelnosti.
https://wiki.finance.gov.sk/display/SU/SU-MD-ES+NBU-su_64

1 Like

Ja len teda pre korektnosť. Včera večer mi update estonskeho eid prešiel asi na 20x. Servre im to očividne nezvládajú.

3 Likes

Prepísanie certifikátov na občianskom preukaze - prídem tesne po ôsmej k policajtom, zoberiem si časenku. Podľa vyjadrení máme byť vybavení prednostne. Ok. Prakticky ihneď ma zavolajú do dverí, kde mi oznámia, že tam im to nejde vybaviť (klasika). Pošle ma k iným dverám, ale už bez časenky. Tu zisťujem, že som šiesty v poradí. Samozrejme tým, že nás vyklikla zo systému, tak už nás do druhých dverí nezavolá systémom a berie ľudí, ktorí časenku majú. Medzitým asi 30 minút riešia, ako to rozbehať na druhom pracovisku. Po tom, čo sme sa pomaly začali dobíjať do dverí, tak nás berú mimo poradia, striedavo nadávajú oni nám, striedavo my im. Ale nakoniec sme sa nejako dohodli. Trvalo to iba hodinu a tridsať minút, ale mám nový certifikát …