Prosim si ten verejny kluc a 100%ny scenar.
NJ. clovek by cakal, ze to po tom fiasku vylepia na uvodnu stranku, a nie este schovaju pod nesuvisiaci popis.
Nad tymto som rozmyslal, ci vobec zmluvy mozu byt uzavrete bez casovej peciatky a su platne. Lebo tym padom sa da podpisat zmluva a tvrdit, ze bola podpisana davno pred revokaciou. Alebo revokaciou sa fakt vsetko zneplatni, teda cela historia sa zmeni?
Pri tom vsetkom je dobre to ze sa tento problem stal na zaciatku elektronizacie. Jednou zo skusenosti je ze sluzba zneplatnenia je takto skryta, ze nefungovala 24 hodin denne, kedze kradeze a zneuzitie sa mozu diat 24 hodin a aj cez vikend. Je treba tuto sluzbu vylepsit tak aby chranila drzitelov certifikatov a nebola iba preto ze by mala byt. A obcas ju aj skontrolovat ci chodi…
Takisto poucit narod o tom, ze taketo problemy s elektronickymi podpismi su normalne a sme na ne pripraveni, napr. tym ze sa MDURZ stane zaroven aj akreditovanou sluzbou pre uschovu elektronickych podpisov podla eIDAS, a ze obcania a firmy budu o tomto probleme vediet a budu toto ulozisko moct jednoducho pouzivat a to aj pre dokumenty, ktore neboli komunikovane prostrednictvom eschranky.
A hlavne ak je jasne stanovisko tak ho vydat ihned - neviem kde AdamValcek na tie stanoviska chodi - na nbusr stranke nic takeho nevisi. Je to jasne stanovisko aj s navodom na riesenie, ktory verejnost uspokoji. Do precitania tohoto stanoviska som skutocne mal dojem ze sa ide nahradzovat kratsi kluc dlhsim s rovnakym problemom.
1 Like
Ak si podpis “neprepodpises” casovou peciatkou nebude sa dat po zneplatneni certifikatu uz overit.
daj specifikaciu co povazujes za 100% scenar.
Autocenzura
Je mozne podat opravne danove priznanie za a.s., v ktorom sa zmenia prijemcovia 2% s pouzitim iba eID? Ak ano, tak staci mat eID ludi z SPP a poslem si cele ich 2% na svoje o.z. Biely konik. To by ale predpokladalo, ze DU bude akceptovat podpisane opravne DP poslane napr. emailom, co neviem, ci je mozne. Ja by som sa pri hladani use case zameral na veci ohladom o.z., ktore nemaju statutarov v centralnom registri.
Prepac, nic osobne. Ale kym tu nebude verejny kluc a stepbystep scenar bez nejakych podmienenych kebysommalhentotamto tak predpokladajme onô atd su to kecyvkleci. Proste “chci dukaz misto slibu” 
nechajme to tak 
Ak by takýto scenár neexistoval, nie je vlastne celá tá hra na brutálnu bezpečnosť okolo ZEP (HW token, 2xPIN, certifikačné politiky, CRL, overovanie 24hodín, ACA, nariadenie/zákony…) zbytočná?
Chapem, ja sa snazim brainstormovat na jednu z dvoch casti tvojho “zadania”.
Ak Kaliňák dá do pľacu public časť svojho podpisoveho kľúča a urobí sa zbierka na jeho faktorizaciu, tak ak tým získaným kľúčom podpíšeme jeho demisiu, tak prispejem 1000 eur.
3 Likes
Dôkazy sú evidentne dosť silné, pokiaľ sám výrobca kariet priznal chybu. Rovnako megakorporácie ako Microsoft, HP. Len naši sebestrední truľkovia, ktorí riadia informatizáciu na Slovensku, nechcú priznať, že sa mýlili. Nezvládajú krízové riadenie, po dvoch týždňoch nefunkčných elektronických schránok je toto další megaškandál. A štát ďalej núti používať prostriedky ktorým ľudia nemôžu dôverovať.
Už včera mala byť vypnutá infraštruktúra, malo byť zamedzené vytváraniu elektronickych podpisov cez eID, a mali byť podpisy revokované, NBú malo odobrať výrobcovi certifikáciu a malo sa začať s výmenou kariet.
1 Like
akurat ze ta demisia takto podpisana uz platna nebude
Akože nie ?
no lebo vtedy mu to dopali
@filip Aha. Uz chapem
@lubor to je tusim dokaz sporom, dobre si pamatam zo skoly ? V kazdom pripade je to zaujimavy namet na demonstracnu prednasku na nejakej konferencii.
@ius s tvojim prvym odstavcom v podstate suhlasim. Ale ked budeme na kazdy vazny security bug reagovat podla tvojich predstav, zblaznime sa. Kazdu chvilu pomaly vynimocny kyberstav. To sa nebude dat ustat. Proste nejake rizika stat berie na seba. Uplne ich eliminovat nie je mozne. Ajkeby sme komplet zrusili ikt, vzdy tu budu analogicke fraudove rizika vsakano
1 Like
Mna osobne by skutočne zaujímalo, koľko z tých 300k vlastníkov certifikátov na eID karte ich skutočne aj reálne využíva. Vychádzam z toho, že kedysi tu bola dosť masívna kampaň týkajúca sa osobných údajov uvádzaných v kvalifikovaných certifikátoch na eID, čo podľa mňa dosť odrádza ľudí od ich používania. Pokiaľ by držiteľ eID kvalifikovaný certifikát nikdy reálne nepoužil na podpísanie, tak jeho sa v podstate daná zraniteľnosť netýka, keďže jeho verejný kľúč má len on v certifikáte na karte a potom samozrejme ešte vydávajúca certifikačná autorita. Pokiaľ ho on nepsokytne doborovoľne verejnosti a predpokladáme, že certifikačná autorita si to nedovolí, tak nie je čo faktorizovať. Teraz sa môžu trošku tešiť aspoň tí, čo tie certifikáty na eID mali doteraz len na okrasu. Tí, čo ich reálne používali sa musia obávať, či po zverejnení zraniteľnosti a potom hromady zaručených kódov na faktorizáciu, si niekto nevyberie ten ich, nech to stoji, čo to stojí. Ak má niekto aspoň približné info, koľko tých kvalifikovaných certifikátov z eID sa asi reálne používa, prispejte nech vieme, koľkí sa môžu dostať do losovania o víťaza faktorizácie teda okrem Kaliňáka, ak má vôbec vydané certifikáty na eID :-).
3 Likes
Ono ludia co to realne pouzivaju su ale dost zaujimava cielovka, co sa tyka zneuzitia - zakladaci firiem, uctovnici, pravnici…
1 Like
Súhlas, ale veľa z nich môže používať kvalifikované certifikáty, kde kľúče nie sú uložené na eID. Podľa mňa, práve títo ľudia využívali elektronický podpis dávno pred tým ako prišli eID a ak sa neulakomili na to, že iba za 4,5 € na 5 rokov a ostali verní klasickým komerčným kvalifikovaným certifikátom, tak majú vyhrané. Teda zatiaľ, ak sa náhodou v blízkej dobe chlapcom z Brna nepodarí hacknúť aj tie iné karty.