Ahoj,
vyrobcovi to povedali “1st of February - The vulnerability disclosed to
Infineon Technologies AG”
Pripustam, som trosku nefer, pretoze 9 plnych mesiacov je do konca oktobra.
r.
Ahoj,
vyrobcovi to povedali “1st of February - The vulnerability disclosed to
Infineon Technologies AG”
Pripustam, som trosku nefer, pretoze 9 plnych mesiacov je do konca oktobra.
r.
Tak som si to trocha analyzoval a vidím to takto:
eID autentifikačná funkcia týmto útokom nie je dotknutá - detaily viď. BSI TR-03110 - pri eID sa podľa verejne dostupných špecifikácií používa EACv2, TA, CA (neviem či verzia 2 alebo 3) - RSA sa používa iba v rámci TA, v certifikáte terminálu/CVCA, kde v SK implementácii eID terminál je AS MVSR (ak by snáď aj bol útokom dotknutý, jednorazovo to zmenia na strane servera), pri EAC a CA sú verejné kľúče ICC Diffie-Hellman a nie RSA, v CAv3 dokonca iba ephemeral
podpisovanie/šifrovanie na všetkých doteraz vydaných eID týmto útokom je dotknuté, a teda každý kto má aktivovaný ZEP na eID:
Ináč otázka je, či by priamo MV v spolupráci s ACA (Disig) nemal automaticky všetky certifikáty revokovať, keďže vedia o priamej možnosti ich kompromitácie?
(toto je samozrejme informatívne, záväzné inštrukcie máte v dokumentoch čo ste podpísali pri preberaní eID, prípadne budúce stanovisko MVSR - sám som zvedavý nakoľko som sa strafil do oficiálneho vyhodnotenia situácie)
… bod 1, bude hadam robeny hromadne. Nebude sa im chciet citat milion oznameni.
No a policia moze zacat pekne na zelenej luke znova vydavat certifikaty … znamena to ale, ze podnikatelia si nebudu moct napriklad citat korespondenciu.
Na prístup do el. schránky na ÚPVS je potrebná autentifikačná funkcionalita eID, ktorá predpokladám nie je útokom dotknutá.
Čiže teoreticky by vedel štát zvoliť riešenie formou hromadnej výmeny občianskych preukazov, pričom tieto by zasielal doporučene do vlastných rúk a vygenerované PINy a BOKy by zaslal cez slovensko.sk, ku ktorému by sa, za predpokladu, že autentifikácia je safe, vedel dostať len konkrétny subjekt?
Lebo inak mi príde ako jediné riešenie okamžite bloknúť všetky el. podpisy a zvolať národ na výmenu OP, čo by zrovna časovo vychádzalo na ďalšie novembrové protesty so štavnatými heslami…
eID karty snáď nebude treba vymieňať. Viď. Estónsko - tam sa “iba” vygenerujú nové certifikáty. Viem si predstaviť viacero možností, ale úplne to závisí od možností aplikácie v eID karte, ktorú nepoznám.
Ak sa bavíme teoreticky, tak po vytvorení bezpečného kanála pri autentifikačnej funkcii si môže server s kartou dohodnúť čo chce, aj generovať nové certifikáty.
Posielať heslá/PINy v otvorenom tvare (nešifrovane) je vždy zlý nápad, to určite nebude.
No len toto neviem, či je na Slovensku možné - nahrať ich na čip bez fyzickej návštevy oddelenia dokladov. Pri vypršaní certifikátov bol totiž postup taký, že treba fyzicky prísť na políciu, kde človek dostane nový certifikát. Ak by sa to dalo spraviť “OTA” updateom, bolo by to neat, aj do budúcnosti pri vypršaní platnosti certifikátu…
Estónci aspoň majú pomerne slušne rozdistribuované mobile ID riešenia a majú alternatívny spôsob elektronického podpisovania, kým si fixnú občianske…
Estonci vedia pregenerovat nove certy lokalne. Uz som to raz robil.
A či to vieme aj my, sa dozvieme, hopefully, zajtra? Či máme info?
Myslite, ze mudre hlavy na Pelleho urade teraz rozmyslaju nad nejakym sikovnym riesenim?
Alebo skor rozmyslaju, koho zato vyhodia a tym sa problem “vyriesi”?
Chlapi a ako preverim ci mam zranitelny certifikat? Nasiel som https://github.com/crocs-muni/roca ale kde najdem moju public cast? Nemohli by ste spravit nejaky navod/stanovisko?
stanovisko je zaklad
Ako vyexportovať certifikát.pdf (456.6 KB)
(pre MS Windows)
…ale taky crowdfunding na ziskanie privatneho kluca nejakeho vysokopostaveneho SR politika a potom podpisovanie v jeho mene…
Bezpecnostne chyby su bezna vec. To co je katastrofalne, je sposob (ne)informovania obcanov zo strany slovenskych statnych organov. Myslim, ze to celkovo odraza mentalitu zodpovednych . Kym sa problem medialne neprevali, veci tutlat, nechat vyhnit, atd. Ohliadnuc od rychlosti implementacii riesenia ma strane estonskej vlady, slovenske organy su ticho.
urobil som podla navodu, ale ziadne kluce v nom neboli
Aktuálne stanovisko MV SR.
Stanovisko_SME_eID.pdf (277.9 KB)
To co tam splietaju o plateni za sluzbu ?
KEP predsa nie je viazany iba na nejake sluzby, za ktore treba platit.
Ja si mozem KEPom podpisat cokolvek a trebast to poslat mailom alebo doniest niekam na pamatovom mediu.
Mam pocit, ze k tomu pristupuju nejako vlazne…
Ako z podpisaneho dokumentu vyextrahovat verejny kluc? Ja som urobil nasledovnu vec: vyrobil som si na pocitaci pdf, podpisal ho na zep.disig.sk, .zep premenoval na .zip, z archivu vybral .p7s subor, ten naimportoval do pocitaca a znovu ulozil na disk ako .pem. Vo vnutri je 4096 bitovy RSA kluc, ktory je podla stranky https://keychest.net/roca bezpecny. Robim nieco nespravne?
Odpoved je neuplna a zmatocna: