Časť rozhovoru, ktorá bola medializovaná bola vytrhnutá z kontextu. Ak by ste počuli celý rozhovor medzi pánom ministrom a novinármi, pochopili by ste, že to bola práve demonštrácia toho, že riziko je vzhľadom na komplikáciu „hacknutia“ podpisu nízke. Práve v rozhovore vysvetľoval, že hacknúť podpis, bez kvalifikovaného elektronického podpisu nie je možné. A preto sa rozprava viedla týmto smerom, keď sa R.Kaliňák spýtal novinára, kde a ako by sa chcel dopracovať k originálnemu podpisu, keď si myslí, že ho haknúť je také jednoduché.
Chapem spravne, ze obhajuje bezpecnost nasho ZEPu, ktory je zalozeny na PKI (rad by som zdorazdnil to P = PUBLIC), je v poriadku, lebo vlastne PUBLIC kluce nie su dostupne verejnosti?
Občan Kaliňák dobre vie, že minister Kaliňák sa raz dva dopracuje k podpisu občana nepohodlného, alebo podpísania vhodného a preto je vhodné tým smerom formulovať otázky na ministra Kaliňáka a ak sa bude tváriť nechápavo, pripomenúť mu občanov Filipa Rybaniča, Andreja Kisku a Igora Matoviča.
Tak to je naozaj kúzelné. V kontexte tohto vyjadrenia si myslím, že za nedostupnosť schránok a znefunkcnenie egovu mal byť @NorbertM nie vyhodený ale odmenený. Išlo totiž vlastne o bezpečnostné opatrenie, ktoré nikto nepochopil.
Pokiaľ ide o mňa, mohol si aj predtým.
Ale vážne: okamihom revokácie si chránený pred ďalším zneužitím.
Tie podpisy, ktoré nie sú opatrené časovou pečiatkou, sa od tohto momentu stávajú nevalídnymi.
Tie, kde je kvalifikovaná časová pečiatka z času po revokácii sú tiež nevalídne.
Ak podpis bol posúdený v nejakom čase ako valídny, tento status s ním samozrejme pokračuje ďalej - napr. ak si včera podpísal nejaké podanie, podal si ho (je jedno či tam bola časová pečiatka), druhá strana už ho prijala a overila že bol (v čase prijatia) v poriadku, neskoršou revokáciou sa nič nemení, konanie pokračuje ďalej a majú tam Tebou podpísaný dokument uložený.
Ziadost o revokaciu prebehla vzorovo. Iba tie info co som dostaval boli trochu predcasne. Vzhladom k tomu, ze toto je iba ziadost o revokaciu, mal by som dostat informaciu ze odoslanie /prijatie ziadosti o revokovanie prebehlo ok. Po stlaceni tlacidla zneplatnit vybehne hlaska ze Revokacia prebehla uspesne. Do schranky mi prisli uz spravne hlasenia.
Revokacia ale nastane az po vybaveni ziadosti a zaradeni certifikatu do zoznamu zrusenych. Cize to bude pravdepodobne do 24 hodin.
To len tak aby niekto nenadobudol dojem ze revokacia je hned vykonana. Este teraz mozes kludne v schranke nieco podpisat a dat si overit podpis a dostanes hlasku ze je Predbezne platny.
Mozno este male doporucenie:
Kedze Revokovanie certifikatu je tiez jednou z “krizovych” zivotnych udalosti mozno by bolo dobre ju vytiahnut ako samostatny link (teraz je niekde skryta za overovanim platnosti certifikatov) a aj na slovensko sk. by mozno mal byt viditelny odkaz resp. popisany postup ked dojde ku kradezi eID, ked obcan nemoze elektronicky podat ziadost o revokaciu.
Upresnim iba vecer zistenymi poznatkami:
Ta sprava ze Revokacia prebehla uspesne zrejme na par minut predbehla oscp. Preto po obdrzani spravy do schranky, ze revokacia prebehla uspesne sa dal este dokument podpisat a aj overit ako prebezne platny. Kratko na to uz tento dokument nebolo mozne overit ako platny.
No myslim, ze by stalo za to vystengrovat kaliho nech:
povie ci uz svoj KEP/ZEP vobec niekedy pouzil (podpisal dokument)
nech podpise pozvanku na tlacovu konferenciu a rozosle ju (vsak ak je to bezpecne, nemusi sa bat)
Ak v zivote KEP/ZEP nepozuil, mal by sa ako sef vnutra hanbit. ON ma prezentovat projekty, on ma ist prikladom …
Ved podnikatelia musia denne podpisovat dokumenty a odovzdavat ich … okrem ineho aj cez maily a podobne …
Nie, revokácia nastane okamžite - t.j. k času ktorý Ti bol oznámený aj v správe do schránky. Akurát v CRL sa “objaví” až keď bude publikovaná nová verzia, to je momentálne tuším raz za deň.
Preto “úplné overenie ZEPu” trvá 24 hodín - čaká sa na nové CRL.
(Detto sa musí vykonať pre CRL certifikátu CA, jej nadradenej CA atď. až po koreň.)
Iná možnosť je použiť algoritmus OCSP, ktorý vie dať onilne odpoveď o stave certifikátu.
Zdravim,
mozno to tu uz padlo, ale ak nie, chcem sa spytat na jednu vec ohladne public klucov k certifikatom z eID. Minv vyhlasuje, ze ten kto ZEP nikdy nepouzil a ten kto si strazi pristupove udaje je v pohode a k jeho public klucu sa nikto bez BOK nedostane. Nie ze by som bral vyjadrenia minv nejak vazne (su skor na smiech), ale toto konkretne sa mi zda, ze aj odborna komunita berie, ze by to tak malo byt. Ale dnes som instaloval na novy komp eID klienta a uvedomil som si toto: spolu s eID klientom sa vzdy instaluje aj propagator certifikatov, defaultne sa spusta automaticky po starte a jeho funkcia je taka, ze po vlozeni eID do citacky, skopiruje (bez zadania akychkolvek kodov a bez sucinnosti uzivatela) do lokalneho cert storagu vsetky certifikaty z eID (samozrejme bez private klucov, ale public kluc tam urcite je). Ak tomu teda spravne rozumiem a je to skutocne tak, potom vas public kluc k certifikatom nechrani ziadny kod a dokonca, ak ste niekedy vlozili eID do citacky na hocijakom pocitaci, kde bezal propagator certifikatov, tak sa tam natrvalo nakopirovali public kluce k certifikatom, nie je to nahodou tak?
Takze, som rad, ze sluzba revokacie certifikatov uz funguje, uspesne som revokoval certifikaty a myslim, ze to vobec nie je prehnana paranoia, skor len maly diskomfort v porovnani s rizikom, ktore hrozi.
V certe je sice moje rodne cislo, ale to ma publikovat vlastne nikdy velmi netrapilo, kedze si ho vie zistit hocikto napriklad z RPO. Takze pokial v tom nikto nevidi problem smelo poskytnem nejaky podpisany dokument.
vychadzal som z ustanoveniea eidas: Ak sa kvalifikovaný poskytovateľ dôveryhodných služieb vydávajúci kvalifikované certifikáty rozhodne certifikát
zrušiť, zaznamená takéto zrušenie vo svojej databáze certifikátov a štatút zrušenia certifikátu uverejní čo najskôr, a v
každom prípade do 24 hodín od doručenia žiadosti. Zrušenie je účinné ihneď po jeho uverejnení.
OK teraz som skusil podpisat aj overit podpis a uz aj ten co mi povodne oznacilo ako predbezne platny je teraz neplatny. Cize zverejnenie nastalo niekedy tesne po doruceni spravy o revokovani a podpisani neplatnym certifikatom. Takze necaka to do tych 24 hodin ale uribi to revokaciu prakticky ihned po odoslani zadosti
Ak bude tato sluzba pracovat takto tak velka pochvala.
Dobrá poznámka. Áno propagátor certifikáty skopíruje (vopred treba zadať BOK).
Následne sa k nim vie dostať prihlásený používateľ, voľne.
Verejný kľúč v nich samozrejme je uložený.
Ináč ja propagátor vždy vypínam, ale ak tomu dobre rozumiem, bez neho sa nedá podpísať.
Čiže návod pre @AdamValcek: stačí keď budeš nosiť zo sebou notebook a chcieť od funkcionára s ktorým hovoríš, nech Ti názorne ukáže že v eID tie certifikáty vôbec má. (Ale ak funkcionár čítal príručky, do neznámeho počítača samozrejme eID nevloží.)
Ok aplikacie, napr. D.Signer nepouziva PKCS11 ale windows ulozisko.
Ked potrebujes podpisat tak ho zapnes. A predides tak problemom ktore som ja nevedel odstranit niekolko dni. Nakoniec som vypol a zapol propagator a bolo vyriesene - nedalo sa podpisovat v IE.
(na vyskumne ucely)
