eID prelomene?


#522

Ak to budeme vidiet takto, neverim ze sa moze nieco zmenit k lepsiemu. Toto je vysoko odborny problem a bude vyzadovat chladnu hlavu a spolupracu! Vzdy bude niekto v opozicii k dobremu nazoru tej druhej strany a bezpecnost by sa mala riesit spoluprwcou vsetkych zucastnenych.
Tu treba najst diery a zalepit ich - upravit prislusne zakony. A potom vytykat niekomu, ze ich nesplnil.


#523

Citam dobre, ze budu revokovat vsetky tri certifikaty? T.j. od 2.11. sa nedostanem do svojej schranky?


#524

Budú sa revokovať všetky tri, ale autentifikačný certifikát neslúži na prihlasovanie, tzn. prihlasovanie a preberanie správ (tzv. podpisovanie doručeniek) bude možné naďalej. O to sa stará iná vrstva čipu, bližšie asi vie @Lubor, ja to viem len veľmi laicky :smiley: - volám to BOK funkcionalita, tá je nezávislá od certifikátov od Disigu.


#525

Z toho potom ale vyplyva, ze do schranky sa dostanu aj ti, co nemaju vydane certifikaty? :confused:


#526

Takže revokácia a prepodpisovanie, čo inak ani nemohlo skončiť. Otázka je len (na krásavca Pellegriniho), prečo na toto neboli pripravení už pred polrokom, keď o tom vedeli a neuchránili nás tej amatérčiny a verejného chaosu posledné dva dni. A či vôbec o tom niekto vedel, či niektorý štátny úradník nezabudol preposlať list s upozornením aj tým, čo tomu aj rozumeli…


#527

Áno, v zásade existujú tri skupiny držiteľov eID:

  • Hlúpy čip, teda plastová kartička s čipom bez obsahu; takých je stále väčšina,
  • aktivovaný čip, teda používateľ má zadaný BOK, dokáže sa ním prihlásiť do schránky, podpisovať doručenky a pod.; takých je ku koncu septembra 877-tisíc,
  • aktivovaný čip so KEP, teda používateľ má BOK aj certifikáty od Disigu, takých je 299-tisíc ku koncu septembra.

#528

Vie niekto, či certifikáty na eHealth kartách vydaných pre zdravotníkov nie sú náhodou tiež zraniteľné? Vyzerá to, že je to tá istá technológia, akurát vydávanie má na starosti Národné centrum zdravotníckych informácií (NCZI), prihlasuje sa cez eID klient na adrese https://ezko.npz.sk.


#529

Myslim ze v nczi by to mali vedieť, treba sa spýtať tam . Alebo sa pozrieť od koho majú certifikát na karte a spýtať sa danej aca


#530

No, to záleží od typu certifikátu, lebo napr. Slovenská advokátska komora vydala stanovisko, že ich karty zraniteľné nie sú (teda nemalo by sa to týkať ani notárov, exekútorov, možno aj sudcov). Je však možné, že eHealth karty sú rovnaké ako eID karty.


#531

17 | Okrem čipového občianskeho mám ešte aj ďalší čipový doklad, pretože pracujem v štátnej správe a tam mám svoj pracovný podpis, je aj tento elektronický podpis ohrozený?

Nie, čipové doklady, na ktorých sú uložené profesijné (mandátne) elektronické podpisy pracovníkov v štátnej správe, advokátov, notárov, exekútorov, mediátorov, probačných úradníkov sú naďalej bezpečné. V týchto kartách je totiž iný čip než v občianskych preukazoch. Bezpečné sú aj elektronické preukazy zdravotných pracovníkov, ktoré si musí vybaviť asi 100-tisíc pracovníkov v zdravotníctve, aby od 1. januára 2018 dokázali pracovať so systémom e-zdravie. Ak však pracujete v štátnej správe a samospráve a používate na podpisovanie úradných rozhodnutí občiansky preukaz, váš podpis je v ohrození a odporúčame jeho zrušenie.

Vychadzali sme pritom zo stanoviska NCZI, ktore tvrdi, ze je tam iny cip a iny algoritmus. Neskusal som, nemam ePZP.


#532

Ktovie ci pomohol tlak zvonka, alebo sa disig moze v takomto pripade rozhodnut nezavisle od MINV?


#533

v clanku na SME je chyba - 3kbit kluc nie je dotknuty tymto problemom, takze sukromnu cast paru nie je mozne v rozumnom case dopocitat z verejnej casti klucoveho paru. V clanku sa uvadza len to ze kluc je dlhsi, teda bezpecnejsi.


#534

https://dennikn.sk/920515/shooty-egovernment/


#535

Taký jednoduchý koniec - a aká zbytočná dráma kvôli tomu týždeň bola…


#536

Zbytocna? :thinking:
A uz je koniec?

Ja dufam ze to povedie aj u nas az ku o tolko lepsim rieseniam ako
https://www.yubico.com/why-yubico/for-business/authentication-solutions/gov-uk-verify-digidentity/


#537

Mno… https://www.yubico.com/support/security-advisories/ysa-2017-01/


#538

A co sa ti na ich reakcii nepaci?

Replacement Program
In addition to the Yubico mitigation recommendations, Yubico offers optional YubiKey 4 replacement for those who are affected. Information on the YubiKey replacement program is available on the online portal provided by Yubico. At this time we are not aware of any security breaches due to this issue.


#539

Zbytočná: stačilo aby si naplánovali komunikáciu & premysleli riešenie vopred a nie až za jazdy
Koniec: stačí ak sa všetko čo bolo oznámené už iba zrealizuje, na riešenie tohto bugu to stačí, nečakám žiadne nové opatrenia

Ale jasné že ešte môžu byť nejaké pikošky, povedzme by ma zaujímalo ako je to s vypínaním služieb - a opätovným zapínaním, ako sa doriešia veci s vydaním nových certifikátov na diaľku (napr. formálne dodržanie postupu podľa zmluvy držiteľa cert. s ACA). Môže prebehnúť faktorizácia Janovho či Kaliňákovho podpisu. Poučný by bol súdny spor o platnosť/neplatnosť podpisu spraveného v tomto období…

Že v autentifikácii a autorizácii treba veľa vecí riešiť - autorizácia kliknutím, otvorenie autentifikácie komerčným identity providerom, riešenie A/A pre mobilné platformy atď. sa vie už dávno, ak by to bolo spravené, ani tento bug by nebol vnímaný tak na hrane. Bohužiaľ som skeptický že by situácia s eID zvýšila prioritu týmto riešeniam, bodaj by som sa mýlil.


#540

ten bug sam o sebe nie je na hrane, to fuserina naseho prevedenia a pristupu zodpovednych je daleko za hranou

necakam, ze sa po tomto zo dna na den gov.sk dostane na uroven gov.uk, ale tuto snahu ututlat problem povazujem za skvelu nahravku na smec, a nie za zbytocnost :wink:


#541

Uvidime ci doteraz uspesne pouzivana zahradkarska taktika vladnutia SMERu (doslednym kompostovanim vyhnije aj najvacsia haluz) funguje aj na technicke problemy ktore nie je lahke zahovorit.
Dovolim si tipnut ze to systemom Vrtiet psom prekryju nejakym dalsim zastupnym problemom a nasa nezavisla tlac im na to zase skoci.