eID prelomene?

Pripustime teda situáciu, že MV sa rozhodne ísť stratégiou že ide podať trestné oznámenie. Akú má motiváciu vôbec niekedy neskôr vyriešiť ten problém naozaj? Nijakú. Vedci teraz majú čakať kým si úplne všetci ľudia revoknu certifikáty? To by toho asi moc neopublikovali za svoj celý život. To môžeme rovno zabaliť celý výskum v oblasti bezpečnosti.

Odkedy je riešenie matematických úloh trestným činom?

Prosím, ktorý paragraf v Trestnom zákone kriminalizuje zverejnenie zraniteľnosti?

Vsak ved to je zvedejnene…

Zo stránky qsign.sk: [14.09.2017] Estónsko používa vo svojich eID čipy od spoločnosti Gemalto. Štúdia sa ale zaoberala aj čipmi spoločnosti Infineon, ktoré sa používajú aj v slovenských eID. Nie je preto zatiaľ možné vylúčiť, ale ani potvrdiť, podobný problém v prípade slovenských občianskych preukazov.

Teda zo strany č. 898 je jasné, že P a Q sú v rozsahu
11000000 … 11001111

Navyše podľa strany č. 902 má Infineon problém s Blum číslami, a tým, že P-1 a P+1 nemá silné prvočíslo…

Teda ani P a Q nemusia byť prvočísla, a mohlo by existovať nejaké malé prvočíslo ktoré by mohlo ohroziť N.

Teda zadanie je urobiť iteráciu od 11000000 po 11001111 (toto sú iba vrchné bity) a test je “N mod i == 0”

@rho Pomozes najs nejaku kniznicu na CUDA ktorá vie urobit efektivne BigInteger mod BigInteger? Idealne taku aby sa dala pouzit vo vypoctovych cloudoch…

btw, Ministerstvo nemôže revoknuť nasilu všetky certifikáty, lebo sa blíži termín kvartálneho a mesačného deadlinu pre daňové priznania, čo by spôsobilo že veľa spoločností by nemohlo podať daňové priznanie, a mohlo by to spôsobiť podvody na vratkách DPH… Teda revokaciu spravne nechavaju na uzivateloch… Ale ich vyhlasenia ze tym ze bok je v bezpeci a utocnik sa nedostane do stranky slovensko.sk, aj ked zabudli povedat ze moze podpisovat zep subory, su trochu scestne… Mali by na rovinu povedat ze z podpisanych suborov je mozne zistit privatny kluc a ti co sa citia v ohrozeni nech revoknu svoje certifikaty…

Mne pride uplne komicke, ze vyskumnici odlozili publikovanie clanku o niekolko mesiacov, aby dali priestor vyrobcovi aj statnym organom na prijatie opatreni a niekto sa tu snazi podsuvat, ze konaju nezodpovedne, dokonca chcu dat nejaky navod na pachanie trestneho cinu.

Nechcite vediet, kolko “navodov na pachanie trestnych cinov” najdete v hociktorej univerzitnej kniznici v sekcii organicka chemia.

Ako to vyzera s tym cert? mali by sme mozno urobit asi nejaku sukromnejsiu skupinku aby ked najdeme tvoj sukromny kluc, aby si ho automaticky nemala cela verejnost… Aj ked ked si ho uz revokoval tak uz by to problem predpokladam nemal byt…

hotovy software je tu

pocuj, nie si ty nahodou uradnik? ved iba pre urady plati, ze mozu konat len na zaklade zakona (Ustava SR, clanok 2, ods. 2) … pre nas ostatnych plati, ze mozme robit vsetko, co zakon nezakazuje (Ustava SR, clanok 2, ods. 3)

Ale uz mala byt nastupena policia s pracoviskami, kde sa da jednoducho za par minut revokovat a znovuvydat kluce na eID zdarma. Odhadom sa to tyka 35000 obcanov, co pouzili eID na ZEP. Nemyslim ze vsetci ich potrebuju hned, takze mozno by sa to dalo spravit bez velkeho navalu. Toto uz mohli za tych par mesiacov mat pripravene a ked danove urady vedia prijimat danove priznania v nakupnych centrach, tak aj policia si vie prenajat taky maly priestor. Zaroven maju stastie, ze je po dovolenkovej sezone a teda vydavanie pasov nie je take masove, obcianske sa asi vydavaju v standartnom mnozstve, takze kapacitne by to tiez mala policia v tomto obdobi zvladnut.
A vysledkom by bola zvysena dovera v stat, ze sa stara o obcanov.

(Btw. ja som asi mimo tych 35tis, moje kluce neopustili eID, teda ak ich niekto nevytiahol po vygenerovani, kym sa mi dostala karta do ruk. Ale stracam doveru v stat, lebo mi nuti nieco, o bezpecnost ktoreho sa nestara. A to sa blizi zavedenie eHelth, kde mame doverovat statu, ze ochrani zdravotnu dokumentaciu ako banky ochranuju peniaze.)

Ak niekto (vyrobca, vlada SR) potrebuje viac casu na implementaciu riesenia - poziadal uz vyskumnikov o odlozenie zverejnenia detailov? Som presvedceny, ze by s tym ako zodpovedni a eticky konajuci vedci pockali. Ale miesto toho na nich utocia, spochybnuju ich, tvrdia ze o nic nejde a ty z nich ides robit este aj kriminalnikov … prepac, ale tvoja logika je uplne zvratena. Mne to stale pripomina stredovek a postoj napr. ku Galileovi

preferujem nieco z gitu ako zo sourceforge.net … ktory myslis je najvhodnejsi? https://github.com/search?utf8=✓&q=Msieve&type=

to celkom nemusi byt tak, ak pouzivas windows a naistalovany eID client a propagator, staci ze das eID do citacky a zadas BOK a vsetky cert (PCA, SCA, ACA) mas local store aj s public key

sourceforge pouziva svn, to je len mala technicka odchylka pri stahovani zdrojakov, ja by som zostal pri originale a ten je tam kde som uviedol a je zaroven aj najnovsi

Nemas nahodou skusenosti s nalinkovanim msieve na cloud? Npr … https://cloud.google.com/compute/docs/gpus/

k BSI certifikatu:

• ak sa to nezmenilo od roku 2013, tak sa pouziva cip: “SLE78CFX3000P od Infineon Technologies AG s operačným systémom Card OS V5.0” [http://plaut.sk/storage/pdf/elektronicka_identifika__na_karta.pdf, https://www.minv.sk/?EID_MV&subor=186520]
• BSI ma certifikaty k cipu SLE78CFX*P, CardOS V5.0 na adrese: BSI - Digitale Signatur - BSI-DSZ-CC-0833-2013
• dna 07.07.2017 bol vydany Maintenance Report (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/Reporte/Reporte08/0833ma1a_pdf.pdf?__blob=publicationFile&v=2):

When using the product as a qualified electronic signature creation device the guidance
documentation as listed in the certification report [3] has to be used, whereby the
following constraints have to be taken into account:

• For RSA keys generated on chip only the key length 3072 and 3584 have a
  security level above 100 bit. When using the product with on chip generated RSA
  keys and in accordance e.g. to the German catalogue of appropriate algorithms
  [7] only these key length values provide the required level of security of at least
  100 bit.
  If other key length values for RSA keys generated by the product are being used,
  a specific assessment on the appropriateness supported by Atos and Infineon
  has to be made within the context of the specific application. The certification
  service provider has to take appropriate measures to ensure that key length
  values providing the right level of security are used.
• Constraints on cryptographic algorithms and parameters, e.g. when using the
  product according to the German catalogue of appropriate algorithms [7], have to
  be considered. These constraints cover in particular RSA, hash algorithms,
  random number generation.

[3] Certification Report BSI-DSZ-CC-0833-2013 for CardOS V5.0 with Application for QES, V1.0 from Atos IT Solutions and Services GmbH, V1.0, 26 July 2013, Bundesamt für Sicherheit in der Informationstechnik
[7] Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der
Signaturverordnung (Übersicht über geeignete Algorithmen) vom 7. Dezember
2016, Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und
Eisenbahnen

Uz prisli aj hackeri…

image1303×324 81.3 KB

akurat som to chcel postnut

Inak treba zrusit vsetky tri certy ? alebo staci podpisovy ?
Ked zrusim vsetky, tak sa dostanem aspon do schranky ?

S tymto ja nesuhlasim… ja som v zahranici a nechcem chodit koli tomu na policiu na slovensko ak sa nahodou da tak na ambasadu…

Z mojho uhla pohladu je na uzivatelovi ako silno preferuje revokovanie svojho certifikatu… Ked pouzivam certifikat iba na otravovanie statnych uradov na zaklade infozakona, tak mi je dost ukradnute ci budem riskovat to ze niekto sa bude snazit previest moje nehnutelnosti alebo firmy na dalsie osoby a riskovat tym trestny cin aj ked ma vysledov velmi neisty lebo by som to zistil relativne rychlo a zneplatnil by som to…

Co tak zmenit to nasledovne:
Ministerstvo:
Vyda pravdivu informaciu, ze certifikaty su oslabene, ale necha na zvazenie ludi ci chcu revoknut s presnym postupom ako na to a ako ziskat novy
Osobne:
Odporucanie na revokaciu