Rok 2016 bol pre nás mimoriadne úspešný aj z pohľadu návštevnosti portálu a samotného využívania dostupných služieb. Každoročne zaznamenávame min. 100% navýšenie všetkých ukazovateľov.
V roku 2016 bolo overených 22 867 elektronických dokumentov a podpísaných zhruba 137 392 elektronických dokumentov. Za zmienku stojí aj samotný počet používateľov, kde sme tento rok presiahli hranicu 35 000.
Disig v minulosti myslím uvádzal, že 90% podpisov sa týka eID ZEP ale nechám to na nich nech to potvrdia alebo vyvrátia
Pre korektnosť, disig vkladá aj časovú pečiatku, takže pre korektnosť by mali byť tieto dokumenty kryté časovou pečiatkou, ak je táto neporušená, ešte by som vedel prižmúriť oči. (Kto má iný názor, nech ho prejaví nižšie)
DITEC
Samozrejme keďže d.signer od DITECU je štátom oktrojovaný podpisovač, mal by aj Ditec zverejniť počet podpisov cez eID
Ardaco by sa mohlo tiež inšpirovať
Od uvedenia eID v roku 2013 sú v hre predpokladám stovky tisíc dokumentov, ktoré boli podpísané ZEP eID
Proste nejake rizika stat nanutil obcanom. Bohuzial aj toto riziko (momentalne uz materializovane) presunil na obcanov a zbavuje sa zodpovednosti za skody.
Tajne dufam, ze su 2 skupiny, jedna vystupujuca navonok a udrziava (snazi sa) klud a druha, ktora rozmysla o nejakom plane. Akurat ludia, co by som cakal, ze budu v tej druhej skupine, prispievaju do tohto threadu.
Diky za info. Ak by sme teda brali len Disig a predpokladali, ze 90 % z tych 35000 používateľov ich portálu použilo na podpis kvalifikovaný certifikát uložený na eID, tak sme cca na 10% všetkých držiteľov KC na eID. Ešte je potom otázka, kde skončili predmetné podpisy a aká je možnosť, že sa dá dostať k verejným kľúčom. Predpokladám, že drvivá väčšina sa nachádza u štátnch inštitúcií - Finančné riaditeľstvo, Ministerstvo spravodlivosti (OR, súdy), Kataster, Ministerstvo vnútra atď. Zdá sa, že v rámci nového nariadenia o ochrane osobných údajov (GDPR) im pribudne ďalšíe dôležité aktívum - verejné kľúče z eID - ak ich ochránia pred zlou verejnosťou, ktorá sa bude všemocne snažiť faktorizovať, tak mnohým zachránia ich majetok alebo financie alebo… A zase bude možnosť žiadať o zvýšenie rozpočtu, lebo treba chrániť. Ach tí výskumníci z Brna…
Už včera mala byť vypnutá infraštruktúra, malo byť zamedzené vytváraniu elektronickych podpisov cez eID, a mali byť podpisy revokované, NBú malo odobrať výrobcovi certifikáciu a malo sa začať s výmenou kariet.
Karta umoznuje okrem zle generovaneho 2048 bitoveho bezneho RSA sifrovania aj 3072 bitove zatial nepreflaknute RSA, 4092 bitove zle generovane RSA a nepreflaknute ECC(256? 512?) sifrovanie. Takze problem nie je vymena, ale asi ze v tomto skostnatenom kamaratokseftarskom neodbornom verejnom obstaravani neboli schopni to od leta dohodnut, najat ludi a implementovat, aby to bolo k 1.11. schopne prevadzky. Zdroj: DSL.sk - Slováci objavili kritický svetový bezpečnostný problém, milióny RSA kľúčov sa dajú prelomiť
Timeline
2017-05-12 Infineon Technologies informed Yubico, under strict Coordinated Vulnerability Disclosure restrictions, of the issue discovered in an Infineon cryptographic library.
2017-06-06 Yubico remedied this issue in all shipping YubiKey 4 devices.
Problem je, ze daka firma pracuje pre zakaznikov, kdezto tlacovka ministerstva vnutra bola pre volicov. Zacitujem z reakcii pod clankom http://www.dsl.sk/article.php?article=20334
stale zatlkaju, je to pre nich ako dychanie…
naschval generuju random slova ktore sa zdaju ako velmi inteligentne vety ale pritom su to nezmyselne bludy ktore maju vyvolat v ludoch pocit ze su sproste opice a nicomu nerozumeju a nech radsej vzdaju komunikaciu s takou vsemoznou statnout entitou ktora je tak verbalne pokrocila.
Ak by som ja isiel konat trestny cin, cize z platneho verejneho podpisu vyrabat certifikat a tym by som nieco podpisoval, tak by som neprevadzal byt jana suchala na bieleho konika, ale Kaliho majetok, najlepsie ucet v TB, ak by to pravda slo, na zlateho konika, cize na Ficom propagovanu a do popredia postrkovanu odbornicku na ubezpecovaciu kryptografiu Denisu Sakovu. A pekne sa smial, ako sa o dva mesiace budu konfrontovat so svojimi vyhlaseniami z polky oktobra.
V com je ten kod ? Ak c/c++ tak to pomozem prehodit na opencl/cuda a potom sa tu prestaneme dotahovat o to ci je 640 serverov dost alebo malo, ked to GPU zrychli este o par radov.
Este o dalsich par radov by to zrychlilo zaradenie do distribuovanej sluzby na sposob SETI, kde by sa na tom mohlo podielat X gamblerov. Myslim, ze majitelia CUDA grafickych kariet by sa radi zapojili do vyzvy “Dokáž Kalimu a Sákovej, že klamali a dokáž im to do zajtrajšieho rána”.
Ja ho pokojne poskytnem, revoke mi tiez nesiel, ale zaujima ma to. Kod teda este nie je k dispozicii? Kalinak vyzyva na faktorizaciu jeho, ale nedal k dispo dokument. Asi o tom viete. Robite dalsie testy / optimalizacie?
Koľko bolo elektronických podaní so ZEP si má každý úrad evidovať, a teda by sa to malo dať ľahko zistiť (ÚPVII). To je zaujímavé číslo samo o sebe a veľmi tu takýto prehľad chýba.
Samozrejme ZEP sa dá použiť aj “súkromne” a tam sa dá iba odhadovať. Samotné podpísanie je úplne offline akcia (čiže napr. Ditec nemá ako vedieť koľko podpisov bolo pomocou jeho SW spravených - @ius .)
Dobrá a ľahko získateľná metrika je aj počet podaní cez ÚPVS (sú so ZEPom) a počet vydaných časových pečiatok od slovenských ACA (kde treba vedieť odpočítať systematicky iné použitia).
Možno si tu z toho robíme srandičky, ale faktorizácia reálneho kľúča, bežnými IT-čkarmi (nie uzavretým tímom výskumníkov čo to riešia už roky), v rozumnom čase (t.j. povedzme v ráde týždňov) - by bola skutočne silný výsledok, minimálne z komunikačného hľadiska. A to aj ak certifikát bude už revokovaný. Štart stačí po zverejnení detailov na konf. začiatkom novembra (ale nemyslím že tam nebude prezentovaný celý algoritmus/POC - @Dusan_Klinec ? ).
Ak to skutočne bude Kaliňák (alebo hocikto z tohto levelu), tak sú články v svetových médiách isté a pravdepodobne aj osobná starostlivosť (snáď nenápadná) zo strany našich orgánov o účastníkov akcie.
Bolo prezentované, že tento bug postihol aj rakúske ID karty. Vieme niečo o situácii/riešeniach u nich? @AdamValcek
Pocujte, zbierka vyzera realne, vela ludi sa hlasi (uvidime co spravia ciny). Jedna vec ale - predpokladajme ze mame peniaze a vykon. Mame kod? Alebo “len” princip? Pokial viem zaznelo tu uz ze ten bude k dispozicii 2/11. Takze dovtedy aj obcan Kalinak moze byt safe.
