priznam sa ze mna skor oblial pot pri informacii ze existuje utilita ktora dokaze prepisovat sw na karte, prakticky teda je mozne virom napadnut kartu v citacke, odchytit BOK a prepisat tam co len chces, Myslim ze estonci idu vyhanat certa diablom.
Ďakujem, takže vlastne odkaz tlačovky je “Potrebujeme dôkaz v podobe toho, že niekto spácha trestný čin”.
1 Like
Hahaha … no som zvedavy …
Ale preco nie radsej Kalinakovho … Alebo Sakovej …
update: kukal som TV noviny … a ze tam ten Kalinak stengruje … verejne vyzval aby mu niekto hekol podpis. Ak sem chodia novinari, vypytajte od neho verejne nejaky dokument, co elektronicky podpisal … nech je sranda
Ak najdes, prosim posli mi… 
Ficov. A dorucit podpisanu demisiu prezidentovi. 
Ja len upozornim, ze pomocou malware sa da karta “prelomit” aj bez akejkolvek zranitelnosti v crypto. Aj bez moznosti prepisania karty. Hesla/PINy sa nezadavaju fyzicky na kartu, ale do PC. Odchytenie je lahke. Karta fyzicky nezobrazi co sa bude podpisovat alebo kam sa tie data posielaju. To robi PC. Karta podpise cokolvek co PC povie. Pouzivatel to nikdy nemusel vidiet. A PC to moze poslat kamkolvek. Toto staci na devastujuci utok aj bez faktorizacie klucov.
1 Like
Ak chces podpisat namiesto niekoho, tak k tomu potrebujes fyzicky tu jeho eID kartu.
Toto co sa stalo je radovo nebezpecnejsie, pretoze to mozes z verejne dostupneho podpisaneho dokumentu, ktory mohol byt kludne roky zaveseny na webe.
1 Like
Ak niekto uz raz nieco podpisal, zrejme skor ci neskor podpise znova. Malware si pocka. Pouzivatel nevie, ci podpis trva 10ms alebo 10s. Pri jednej prilezitosti sa toho da podpisat vela.
Ale ano, suhlasim, ze tento utok je nebezpecnejsi. To nespochybnujem. Co sa snazim povedat je, ze aj ak sa tento konretny problem odstrani, system stale nebude bezpecny.
Stale musis mat fyzicky pristup k pocitacu danej osoby, ktorej kluc chces zneuzit. Ovela tazsie, ako sa dostat k verejne dostupnemu dokumentu.
skusme sa pozriet na prakticku realizaciu, napriklad na ten suchalov byt. Kataster dostane navrh podpisany fake suchalom, zacne konat. Posle oznamenie stranam ze sa chysta zmena. Skutocny suchal to namietne a poda trestne oznamenie na podvod. Kedze ten na koho sa prepisuje je biely kon, tak cez neho vies najst podvodnika. Aby to vyslo, tak musis mat niekoho kto je dlhodobe prec, neprebera postu a nekomunikuje. A aspon roky, inak to sud zvrati.
Ja nemusim. Malware musi. Ale svet je aky je a najpopularnejsi OS je tiez aky je. Takze toto realne nie je velka prekazka.
Je. Pretoze zmysel to ma len ak to je cielene na konkretneho cloveka a jeho eID. Na co mi bude milion dokumentov prevadzajucich jeden konkretny byt, ak nebudu podpisane vlastnikom toho bytu?
Suchalovi sa da ukradnut byt lahsie. Staci jeho kartou podpisat zmenku. Dlzny upis. Na vysoku sumu. A ten dlh zacat vymahat. Exekutor prevedie ten byt na utocnika aj sam.
1 Like
na sude ale nebudes vediet dolozit ci naozaj dostal peniaze a ked to namietne, tak uspeje pomerne rychlo.
Ide predsa dnes o znamu zranitelnost a skutocna hrozba ani nie je v podvode ale ze skor mozes uspesne namietat aj to co si naozaj podpisal, bez skutocneho vyriesenia bude velka snaha nebrat elektronicke dokumenty.
1 Like
Stanovisko Národného bezpečnostného úradu
Agentúra Európskej únie pre sieťovú a informačnú bezpečnosť (ENISA) a Národný bezpečnostný úrad, ako orgán dohľadu dôveryhodných služieb v Slovenskej republike, boli 20. júna 2017 informovaní rakúskym orgánom dohľadu na základe článku 19 ods. 2 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 o zraniteľnosti „asymetrickej krypto knižnice“ použitej v čipoch v Rakúsku, ktorá slúži na generovanie 2K a 4K RSA kľúčového páru.
Národný bezpečnostný úrad komunikáciou s partnermi získal spresnenia o zraniteľnosti čipu Infineon, ktorý sa používa aj v slovenskom občianskom preukaze s čipom (eID). Na základe týchto informácií je zrejmé, že ide o celosvetový problém viacerých dodávateľov čipových kariet, ktoré sú založené na čipe Infineon, v ktorom boli použité chybné verzie „asymetrickej krypto knižnice 2K a 4K RSA.“
Národný bezpečnostný úrad po získaní podrobných informácií o možných dopadoch a postupoch informoval Ministerstvo vnútra Slovenskej republiky, s ktorým spolupracuje na návrhu riešenia daného problému a jeho implementácii. Spomenuté čipy použité v Rakúsku ako aj na Slovensku boli certifikované súčasne pre RSA a aj ECDSA. Z krátkodobého hľadiska (november 2017) sa rozhodlo, že sa po aktualizácii postupov MV na vydávanie eID, sa začnú generovať 3072 bitové RSA kľúče (3K RSA) do eID čipu. Na generovanie 3K RSA sa používa iná knižnica než spomínaná zrýchlená chybná „asymetrická krypto knižnica“ použitá pre 2K a 4 K RSA. Z dlhodobého hľadiska (január 2018) je plánovaný prechod na ECDSA kľúčový pár určený na podpisovanie, ktorý okrem rýchlosti generovania kľúčového páru prinesie aj možnosť rýchleho vzdialeného vydania kvalifikovaného certifikátu na eID, a to aj z pohodlia domova bez potreby osobne navštíviť pracoviská dokladov MV.
Na základe uvedeného môžeme konštatovať, že zraniteľnosť eID je v teoretickej rovine.
6 Likes
Ake oznamenie, ze sa chysta zmena ? Nic take kataster neposiela. Ak boli splnene zakonne podmienky, tak proste vyda rozhodnutie o zapise, ktore je vydanim pravoplatne a do 15 dni toto rozhodnutie posle ucastnikom.
1 Like
Aha, takze ludia, ktori sa sami nerozhodnu, ze budu revokovat svoje zranitelne podpisove certy vlastne konkludentne akceptuju riziko a stat od toho dava ruky prec ? 
1 Like
Zmenka je cenny papier. Tam su specificke pravidla. Ale k dlhu asi nebude problem zabezpecit cover story. Napriklad nakup nejakych cryptocoin alebo nejaku podobnu spekulacia kde doslo k strate investicie. Malware dokonca vie ulozit aj podhodene dokazy o tom, ze k takemu niecomu doslo (wallet plny volakedy drahych ale teraz uz bezcennych coinov). Suchalov byt mozno nebude az tak uplne lahke ukradnut. Ale ono podsvetie si aj na to uz nejaky sposob najde. Nakoniec, netreba nutne sudny spor vzdy vyhrat. Obcas staci druhu stranu presvedcit, ze by to urcite prehrala a mimosudne sa vyrovnat. Velka skoda sa da napachat aj tak. A staci relativne jednoduchy malware.
1 Like
JES dobre riesenie
(na tej tlacovej konferencii nejak zrejme zanikla info ze sa pouzije ina kniznica-to je podstatna informacia)
Ale ako mozu povedat ze v teoretickej rovine. Ved na tie, co su dodnes generovane, predsa postup toku plati a podla popisu pre dalsie generovanie az do novembra aj bude. Rresp az do doby, kedy nebude hromadny revoke, alebo vymena uplne vsetkych.