Fantasticke, NBU po X mesiacoch zopakuje a potvrdi informaciu BSI.
Je povinnosťou kvalifikovaného poskytovateľa dôveryhodných služieb, ktorý občanovi vydal kvalifikovaný certifikát pre elektronický podpis vyhotovovaný na QSCD informovať držiteľa certifikátu o zistených rizikách a umožniť mu, aby si svoj vyhotovený kvalifikovaný elektronický podpis doplnil kvalifikovanou elektronickou časovou pečiatkou alebo uložil podpis u kvalifikovanej dôveryhodnej služby uchovávania kvalifikovaných elektronických podpisov.
Neviem, co prezentujes, ale vyhlasenim, ze KEP je ulozeny na eID karte by som sa velmi nechvalil, lebo tam urcite nie je. Su tam len nastroje (kluce), aby si ho mohol vytvorit. To je ako keby si tvrdil, ze v pere, ktore pouzivas pri podpisovani na papier, je ulozeny tvoj vlastnorucny podpis, co asi nebude pravda.
Podla NBU dalsie informacie by sme mali dostat od vydavatela kvalifikovaneho certifikatu (Disig). Registracna autorita (MV SR) nie je spominana v texte.
neváhajte kontaktovať vydavateľa Vášho kvalifikovaného certifikátu pre elektronický podpis, pretože len konkrétny vydavateľ kvalifikovaného certifikátu pre elektronický podpis presne vie, ktorým občanom vydal kvalifikovaný certifikát pre elektronický podpis a na aké QSCD
Tak ma chytaj za slovicko … jasne ze certifikat.
Ale z pohladu pouzivatela je tam pojem ZEP/KEP PIN - tak vacsina to aj tak chape, ze je tam ZEP/KEP Nebudes zakazdym vsade pisat “certifikat” a cakat ze kazdy laik si to hned spoji so ZEPom/KEPom… :).
Ale ano, je tam certifikat na vyrobu KEPu.
Prepac, to mi len nedalo, ak zacinas prispevok “Áno toto odkrýva základnú neznalosť ľudí čo s tým denne pracujú”. BTW nie je to ani certifikat, ale sukromny kluc s vyuzitim, ktoreho sa vyhotovuje podpis. Certifikat, ktory sa vydava na verejny kluc, sluzi len na to, aby si vedel, kto ten podpis vyhotovil. Bez neho by si to len tazko dokazal urcit.
Zákon som terminologicky neštudoval, ale čo tým myslia “alebo uložil podpis u kvalifikovanej dôveryhodnej služby uchovávania kvalifikovaných elektronických podpisov”??? Uložil podpis? Nemyslia tým náhodou podpísaný dokument?
Takže ozaj je predstava, že služby budú fungovať iba pre niektoré podpisy. To je fakt čudné.
Ešte si viem predstaviť, že vypnú úplne prijímanie podaní/príloh podpísaných ZEPom. Malo by to niektoré výhody, napr. tým vyriešia aj podvody držiteľov Estónskych, Rakúskych a ktovieakých ďalších zraniteľných kartičiek. Dá sa to relatívne ľahko implementovať. Zo zákonného pohľadu sa to dá maskovať povedzme ako technická odstávka podateľne.
Rovnako je ozaj čudné, ak MV SR ohlasuje vypnutie vecí čo spravuje iný orgán. Z formulácie “teda aj tých, ktorí nespadajú do pôsobnosti ÚPVS” sa dá odvodiť, že primárne je opatrenie myslené pre podateľňu ÚPVS.
Z toho oznámenia je cenná informácia, že “iba 30% služieb vyžaduje použitie elektronického podpisu”. Ozaj ma zaujíma ten zoznam čo musí/nemusí byť so ZEPom.
Masy zjavne nechapu o co ide, aj policii to trvalo 4 mesiace od oznamenia neverejnej informacie + 7 dni verejneho tlaku a aj tak musiel zareagovat NBU odobratim bezpecnostnej previerky aby sa policia/CA rozhybali.
Mozno by pomohlo zjednodusit slovnik a priamo to nazyvat skopirovanim obcianskeho preukazu.
Viem, je to nepresne (kedze sa kopiruje len verejny kluca a vypocita sa k nemu sukromny kluc), ale mohlo by to rozsvietit viac ziaroviek ako “vypocitanie sukromneho kluca z verejneho kluca”.
Predpokladám, že mysleli, 30% služieb vyžaduje použittie kvalifikovaného elektronického podpisu. Veľmi zlé je, že štát nevyužíva práve inštitút obyčajného elektronického podpisu (“advanced electronic signature” podľa eIDAS). Služby by mohli byť pekne štrukturované a požadovali by len taký typ podpisu, ktorý je pre závažnosť danej služby potrebný.
KEPom musí byť v súčasnoti podpísaný každý úkon, kde je v zákone napísané, že to musí byť podpísané vlastnoručným podpisom (nie som právnik, ale takto to vykladajú - OZ). Tých 30% sa mi zdá aj málo (beriem do úvahy len podania).
Z praktického pohľadu je treba hodnotiť vždy možné následky zlyhania. Tak by som typoval, že KEP je potrebný pre max 10 služieb s ktorými sa bežný človek stretne pár krát za život. A na tie nepotrebujem monštruózny KEP, lebo ich aj tak zvyčajne vybavujem osobne.
Ak by sa konečne vyiešili jednoduchšie formy prístupu k službám a skombinovalo by sa to s EPom s rozumým zabezpečením, tak pre veľkú časť služieb by to pomohlo v ich používaní a určite by to neohrozilo bezpečnosť.
Neriešil som tento konkrétny problém. Zamýšĺal som sa nad tým ako by sa to dalo spraviť lepšie. Každý systém je napadnuteľný a ako vidíme aj ten KEP, na ktorom ale visia prevody majetkov. Ak by aj niekto napadol EP v tom koncepte čo som popisoval, dôsledky by boli menšie.
Nerozumiem, ako autorizacia s nizsou formou bezpecnosti moze garantovat vacsiu bezpecnost sluzieb. Naopak, ak vidis, ze zranitelnost sa najde v niecom, co ma vyssiu formu bezpecnosti (KEP, celosvetovo pouzivane karty od renomovaneho vyrobcu, cerifikacia), pri nizsej forme bezpecnosti mozes ocakavat 100x tolko incidentov.
Najsmutnejsie na tom je, ze opat sa ukazuje ako babracky sa tieto projekty riadia a riadili. Pritom toto je jedno zo zakladnych rizik projektu elektronizacie. A protiopatrania na mitigaciu? Nic, nula.
Teraz sa narychlo vymysla dake riesenie, ktore bohvie ake bude mat nasledky, robia zmatocne vyhlasenia a nevedia sa ani zodpovedni skoordinovat. Mali na to roky aby pripravili mali postup co v taktomto pripade. Hanba este vacsia, ze okrem toho mali na to dalsie 4 mesiace odkedy vedeli o tomto probleme.
Minule s pomalym dorucovanim, teraz toto.
Zasa nic nezmeni, nikto zodpovedny sa k tomuto lajdacvu ani len nevyjadri…
Súhlasím, zraniteľnosť môžeš nájsť úplne všade ako vidíme aj na KEPe a preto hovorím, že KEP prakticky netreba.
Ako príklad uvediem komerčné subjekty, používajú podstatne jednoduchšie formy autorizácie s podstatne menšími nákladmi a pritom ročne vykonajú milióny transakcií (najmä banky). Viem, že aj tam boli nejaké incidenty, ktoré sa ale týkali jednotlivcov. Nikdy nebolo dotknutých tak veľa ľudí a takým závažným spôsobom súčasne.
A teraz si to porovnaj tieto parametre a to samostatne pre egov a pre komerčné inštitúcie:
koľko ľudí službu používa
koľko transakcií sa vykonalo
aká je miera zabezpečenia
koľko sa investovalo do zabezpečenia. podotýkam, že investície nerastú lineárne vzhľadom na zabezpečenie (ale povedal by som, že až kvadraticky)
Z toho celého ti vyjde, že KEP je závažný prúser.
Nevravím, že nižšia forma autorizácie je bezpečnejšia, ale bohate ti postačuje na menej závažné úkony, kde by neboli tak závažné dôsledky. A máš pritom šancu to spraviť tak, aby sa to používalo a bolo to užitočné.
Opakujem: Ja len hľadám cestu ako by sa to dalo spraviť do budúcnosti jednoduchšie, lacnejšie a lepšie.
Davnejsie som pisal ze sme neboli vobec pripraveni na rizika, ktore digitalizacia prinasa. VIDITE TU DIERU?
mile eIDAS, urobilo z NBU akehosi pozorovatela, ktory niekolko mesiacov eviduje situaciu a nakoniec iba doporuci obratte sa na CA co vam vydala certifikat. (aj pri fipronile sa informuju zodpovedne organy medzi sebou ale ten sa siri nadalej). Tu je to podobne. NBU je nezavisly organ, ktory robi to co je v zakonoch, ale bud su tieto zakony derave jek reseto, alebo potom tu chyba iny organ ktory by mal bdiet nad bezpecnostou s pravomocou zasahovat v tejto oblasti.
Cize uz z prvej informacie vyplyvalo, ze kluce maju taku zranitelnost, ze 512 kluc sa vypocita na pockanie a ostatne maju tu istu zranitelnost, len to dlhsie trva. Veselo sme podpisovali dokumenty a bohvuie kde sa teraz tulaju. Mame v legislative take diery az to neni pekne.
Takze ti obcania co popodpisovali dokumenty ktore nevedia kde vsade sa nachadzaju (teda tie ktore nesli cez slovensko.sk, alebo cez portal ineho organu. Ale pouzili ich na ine ucely. Aby bolo jasne ze tam az take nebezpecie nehrozi), su v riziku, ze niekto pouzije ich VLASTNORUCNY PODPIS, lebo vsak oni maju zhodnotit ci je riziko take velke ze by mali zrevokovat certifikat (stolar, notar, pravnik, auditor, uctovnik ti vsetci poznaju RSA algoritmus natolko aby dokazali vyhodnotit ci zranitelnot presiahla unosnu mieru)???
A naviac ak by CA zrusila certifikat v panike neopravnene ona zodpoveda za skody. A podla eIDAS sa zavinenie skody u CA predpoklada. To po nej chceme aby obna bola tym organom co o tomto nekompromisne a okamzite rozhodne??? Zastavi doveryhodnu sluzbu sluzbu aj o polnoci ak takto vyhodnoti riziko?
Panecku to mame bezpecnost!!! Bohuzial stracali sme cas natlakom na MV SR, ktore je v tomto pripade obetou podobne ako my vsetci!
eIDAS berie kvalifiovany podpis a vsetky doveryhodne sluzby iba ako nastroj pre zefektivnenie obchodnych transakcii, ale tak zivot nestoji. Vazena EU na druhej strane statneho webu je OBCAN, nie skladove hospodarstvo!!! Raz je tam uvedene ze KEP = vlastnorucny podpis, tak nech si z nas nerobia srandu ved my musime mat doveru k doveryhodnym sluzbam! Zavedenim eIDAS je bezpecnost v tejto oblasti v kybli. Doslo k naruseniu - a my niekolko mesiacov spekulujeme a nakoniec sa dozvieme obratte sa na toho co nam certifikat vydal a zvazte podla toho co vam povie. To preboha ziveho nie je niekto v tejto republike, kto vyhodnoti situaciu v takomto pripade aj s vyuzitim prislusnych vedeckych kapacit a v pripade zistenia, ze doslo k takemuto hrubemu naruseniu bezpecnosti vlastnorucneho podpisu, tak okamzite kona a chrani uzivatelov a stat pred skodami ktore vzniknu???
Ci CA zo zakona maju zamestnavat aj kryptologov a matematikov aby vedeli vyhodnocovat taketo rizika??
Alebo v pripade ze cele slovensko strati doveru k dovryhodnej sluzbe nechame tuto bezat dalsie mesiace, ci dokonca roky nez skonci certifikatu platnost sama…
Pripominam ze zrusenie certifikatu iba ukonci prilezitost podpisy zenuzivat nadalej. Tie co by uz pripadne boli zneuzite za tych par rokov co zranitelnost trva (do doby nez ju niekto zverejnil) uz nikkto nenapravi (samozrejme hovorime o teoretickej zranitelnosti).
Ona uz pisala aj komentar: HNonline.sk - Kto ukradne Kaliňákovi elektronický podpis?
Nerozumie tomu a striela si do vlastnej nohy.
Potom sa neriesia podstatne veci, ale vytahuje sa kto kde aku blobost povedal. Ak nieco chceli vytahovat, mali si zavolat konzultanta, ktory im tuto diskusiu prelozi, lebo je to skor brainstoriming so snahou najst rozumne riesenie.
… jasne ze certifikat.