Praveze budes len tazko popierat, budes musiet dokazat ze ten druhy dokument si nepodpisoval ty. Ibaze kto urci a ako ze si to nebol ty? ked podpisany dokument neobsahuje nic z coho by sa to dalo urcit.
Ako aj to, ze napr. si nepodpisal vec a neskor si si to rozmyslel a teraz tvrdis ze ten dokument si ty nepodpisoval. To je ta hruza, ktora by vznikla ak by sa v republike zacali pohybovat taketo dokumenty. To by bol koniec dovery v elektronicky dokument…
To je inak vyborny napad v spojeni s tymto GitHub - gpujs/gpu.js: GPU Accelerated JavaScript aj ked vykonu JS by som velmi neveril.
1 Like
Už som sa zľakol, že je to horšie, ako som si pôvodne myslel. Ina otazka je prihlasovacia databaza. Prihlasuje sa kontrolou retazca, ktory sa necha podpisat v kluci a posle sa naspat na server a tam sa to porovna s ulozenym verejnym podpisom obcana? Koľko ľudí má kľúče od miešačky a môže si skopírovať z DB prihlasovacie verejne podpisy, ak sa nimi kontroluje prihlasovanie?
sice som tu niekde cital, ze uradnicky podpis je iny ako na eID, ale akurat som cez slovensko.sk robil vypis z ORSR a ked ako laik porovnam certifikaty a sifrovanie, pride mi to totozne. alebo je to len moje zdanie?
A nie je tam ešte paragraf na odvrátenie hroziacej škody veľkého rozsahu?
Nie celkom rozumiem prečo sa toľko pozornosti venuje Kaliňákovej výzve “hacknúť” jeho podpis - alebo kohokoľvek iného. Priznám sa, bezpečie jeho podpisu ma až tak nezaujíma a držím mu palce aby si ho udržal.
Je to presne naopak: ja vyzývam ministra vnútra, aby mi preukázal že môj podpis je v bezpečí.
K tomu mu dávam tento opis situácie:
Už som veľa krát niečo ZEPom podpísal a odoslal kde-komu, ako podania pre verejnú správu, aj súkromne. Môj certifkát/verejný kľúč som nepovažoval za nijako citlivý, a preto ani neviem povedať kto všetko ho má k dispozícii. Možno je aj niekde zverejnený. Ak tento prístup nie je správny, prosím nech mi dá vedieť - doteraz boli inštrukcie takéto a takto to aj učím IT laikov.
6 Likes
Ved minister vnutra hlasom podobnym Denise Sakovej to preukazal jednoznacne, povedal, ze podpisy su v bezpeci. Poculi sme slovo panovo, to je nad zakony matematiky.
2 Likes
1 Like
Paralelna MOZNA existencia dvoch privatnych klucov na tvorbu podpisu bude prave tym stavom, ktorym bude mozne popierat pravost zmluv a inych dokumentov, vzniknutych v tomto obdobi.
Ano, toto je samozrejme pravda. Lenze oni nic take robit nebudu, takze dokazat prelomenie bezpecnosti v praxi je asi jedina schodna cesta.
O tom to je. Ide o velmi specificku definiciu slova ,neverejny". Tu vo vyzname: "pristupny kazdemu referentovi na obecnom urade v Hornej Svinej, kam niekto poslal podpisane podanie, vratane starostovho syna, ktory studuje na strednej a obcas im pomoze s IT.
2 Likes
Som presvedceny ze placeme na nespravnom hrobe. MV v tomto pripade vystupuje iba ako nejaka registracna autorita, ktora poskytuje sluzby certifikacnej autority, ktora dodala aj technologiu. Cize co vlastne moze MV robit?
- ked sa dozvie o probleme, tak okamzite kontaktuje CA, ktorej doveryhodne sluzby poskytuje.
- CA je povinna informovat organ dohladu - NBU a o rizikach aj tych koho sa tykaju.
- Organ dohladu podobne ma vyhodnotit rizika a o nich informovat verejnost.
Takze skusme si takyto poszup predstavit.
MV sa obratilo na CA Disig, ti urcite kedze je to vazna informacia sa obratil na NBU.
Kedze ale ani MV ani CA nezamestnava za tymto ucelom kryptologov ani ine vedecke kapacity, tak urobili to ze sa obratili na NBU. A urobili dobre, skor ako sa spusti panika je potrebne dodrzat postup
- oznamit organu dohladu
- informovat verejnost - co by urcite spustilo malu paniku
opacny postup by bol “samovrazda”.
No a ak obdrzali aj CA aj MV stanovisko, co sem pripojil AdamValcek od NBU, tak postupuju uplne spravne a ani CA ani MV ziadnu chybu neurobili. A ak uz pracuju na skvalitneni algoritmu do buducna, tak robia uplne vsetko co mozu a maju a to dobre. Cize skor by som ocakaval nejake info pre verejnost na nbu strankach, kde by mohol niekto odborne poradit - napr. stalo sa to a to, hrozi ze sa stane/nestane to a to a kedze nemame preukazne tak obcanovi odporucame zachovat sa takto s tym ze ak si zrusi certtak je tu riziko take ak ak si nezrusi a vydrzi s nervami tak zase je tu riziko take . no a obcan teraz uz sa rozhoduj ty,. Ak my zistime ze je zle vsetko zneplatnime okamzite. NBU je nezavisly organ a tam mu nikto nemoze diktovat co musi urobit a ak to neni v zakone uvedene tak to robit nemusi, ale je tu dnesna skusenost a treba sa zamysliet ze ci by nebolo dobre dat do legislativy takuto povinnost v pripadnom zmatku podavat priebeznu informaciu ako sa situacia vyvja aby obcan ktoremu v tomto pripade skoda moze hrozit to vedel, a to aj v pripade ak statu ziadna skodfa nehrozi…
1 Like
Kto ma zo zakona zodpovednost za bezpecnost eID? NBU alebo MV?
CA urcite nie je zodpovedna za prelomitelne kluce ale iba ako notar overuje pravost podpisov. Tie podpisy budu bohuzial prave aj ked sa hacknu z pohladu CA.
Mne stale vychadza MV, ktore dostalo do spravy eID a spravu klucov na nich.
1 Like
Minimalne teda MV asi bude zodpovedné za to, že veselo vydáva nebezpečné zepy pár mesiacov s vedomostou správy BSI, že tie dĺžky kľúčov sa používať na kvalifikovaný podpis nemajú. Či?
1 Like
Je tam zdielaná zodpovednosť uvedených subjektov. Napríklad ak sa CA dozvie, že QSCD zariadenia na ktoré vydala certifikát sú zraniteľné, mala vykonať okamžitú revokáciu certifikátov. NBÚ je zodpovedné za celý úsek elektronického podpisu, NBÚ malo okamžite odobrať certifikát QSCD zariadeniu a malo informovať partnerov v EÚ. a ministerstvo malo prestať nahrávať nové certifikáty a nie šíriť bludy, že je všetko OK. Naviac až výmena zariadenia a iný spôsob šifrovania zvýši bezpečnosť PKI.
Treba otestovať všetky zariadenia, ktoré sa používajú a všetky dĺžky, lebo o rok tu budeme mať taký istý problém. Už vieme, že pracovisko v Brne sa tesovaniu venuje.
No a v neposlednom rede je zodpovednosť na tých, ktorí dlhodobo zavádzajú verejnosť a občanov o bezpečnosti technických eGov prostriedkov. Dokonca tieto prostriedky zákonom vynucujú.
1 Like
Zrušiť certifikáciu celému zariadeniu netreba predsa pokiaľ sa zraniteľnosť týka len určitých dĺžok kľúčov. To isté spravilo BSI. To mi príde úplne ok.
1 Like
Nie tak. Hovorime o akreditovanej sluzbe vytvarajucej doveru - o vydavani kvalifikovanych certifikatov. To ze sa na toto pouziva prave eID karta nie je podstatne,. Podstatne je to ze kvalifikovany certifikat vydava akreditovana certifikacna autorita - teda Disig. Tieto kvalifikovany certifikat ako aj data potrebne pre vytvaranie kval. el. podpisu su pre tento pripad ulozene na certifikovanom zariadeni - cize v eID.
Cize skor hovorme o doveryhodnosti akreditovanej sluzby - tam patria aj povinnosti ze vydavanie kval. certifikatu musi prebiehat nejakym certifikovanym a kontrolovanym sposobom, ale aj to ze sukromne data na vyhotovenie podpisu su na zariadeni, ktore preslo certifikacnym procesom. Ak sa vyskytla zranitelnost. Cize pojem bezpecnost eID je nieco vseobcne, ale tento problem co sa vyskytol, ma suvis s doverhodnostou doveryhodnej sluzby, aj ked to na prvy pohlad vyzera ako bezpecnost eID.
CA nesmie vydavat prelomitelne a kompromitovatelne kluce od toho su prave procesy akreditacie, certifikacie a kontrolna cinnost organov dohladu nad poskytovatelmi doveryhodnych sluzieb.
Ak nastane problem v bezpecnosti podpisovych klucov, je treba sa riadit nariadenim eIDAS napr:
cl.19 ods.2 (uvazujeme ze CA vedela skor ako NBU o tejto skutocnosti)
Kvalifikovaní a nekvalifikovaní poskytovatelia dôveryhodných služieb bez zbytočného odkladu, najneskôr však do
24 hodín, odkedy sa dozvedeli o akomkoľvek narušení bezpečnosti alebo integrity s významným vplyvom na poskyto
vanú dôveryhodnú službu alebo osobné údaje uchovávané v rámci nej, oznámia túto skutočnosť orgánu dohľadu
a prípadne iným príslušným orgánom, ako je napríklad vnútroštátny orgán zodpovedný za informačnú bezpečnosť
alebo orgán pre ochranu údajov.
Ak môže narušenie bezpečnosti alebo integrity negatívne ovplyvniť fyzickú alebo právnickú osobu, ktorej sa dôveryhodná
služba poskytovala, poskytovateľ dôveryhodných služieb bez zbytočného odkladu oznámi narušenie bezpečnosti alebo
integrity aj tejto fyzickej či právnickej osobe.
a nasledne cl. 17 Organ dohladu:
c) informovať ostatné orgány dohľadu a verejnosť o narušení bezpečnosti alebo integrity v súlade s článkom 19 ods. 2;
j) vyžadovať, aby poskytovatelia dôveryhodných služieb napravili akékoľvek nesplnenie požiadaviek stanovených v tomto nariadení.
Cize ak by organ dohladu mal nazor ze je nieco v nesulade s eIDAS, podla cl. 17 pism c. by musel vyzadovat napravu. Ale k tomu nedoslo a je jedno z akeho dovodu.
Nezabudnime ze MV je v tomto procese iba registracna autorita ktora sprostredkovava doveryhodnu sluzbu akreditovanej CA, ktorou je ina pravnicka osoba. Cize aj ked nieco zisti riadi sa tym co povie jej nadriadena CA a CA zase co jej povie po ohlaseni dohladovy organ. Nechce sa mi verit ze by s NBU o tomto probleme nekomunikovali.
1 Like
2 Likes
Ako obcania budme radi ze to niekto aktivne vykonava. Treba takyto vyskum podporit aj zo strany statov eu.
A taky kacirsky napad. Ak by sa do eIDAS dalo ustanovenie, ze v prípade ak pri takomto vyskume narazi na zranitelnost tak ma povinnost upozornit vyrobcu a zaroven organ dohladu v danom state (a ten ostatnym statom tym by sa to preverilo autoritami v oblasti kryptologie vo viacerych krajinach). NBU by sa tak nedostal na druhu kolaj aby sa ako kazdy iny zaujemca mohol podrobne oboznamit s vysledkami az 2. novembra, ale mohol podklady poskytnut svojim znaleckym autoritam na podrobny rozbor situacie. Takto by sme sa tomuto humbuku uplne ale uplne vyhli.