eID prelomene?

jsuchal · October 25, 2017, 9:34am

Este mam jednu rypavu otazku. Doveruje nas stat podpisom z Rakuska a Estonska?

woody · October 25, 2017, 9:57am

Podľa mňa nie. Kedysi som o tom písal diplomovku dokonca. Aby som si zaspomínal, išiel som si ju prelistovať. https://is.stuba.sk/lide/clovek.pl?zalozka=13;id=1973;studium=68648;download_prace=1

Keď som ju písal platilo toto:

Rozhodnutím komisie 2009/767/ES zo 16. 10. 2009 sa ustanovujú opatrenia na uľahčenie …
Orgány verejnej moci sú … povinné uznávať kvalifikované certifikáty vydané poskytovateľmi certifikačných služieb členských krajín EÚ…
Toto rozhodnutie, žiaľ, nemá očakávaný dopad a automaticky neumožňuje používanie používanie kvalifikovaných certifikátov vydaných inými členskými krajinami EÚ.
…
“Dňom vstupu Slovenskej republiky do Európskej únie sa certifikát vydaný certifikačnou autoritou majúcou sídlo v niektorej z krajín Európskej únie, ktorého platnosť možno overiť v Slovenskej republike, stáva rovnoprávnym certifikátu vydanému v Slovenskej republike.

Neviem presne, ako je to dnes.

woody · October 25, 2017, 10:00am

BTW: Ak chce niekto zabiť 2 minúty, dávam do pozrnosti z tej mojej diplomovky prílohu B - odpoveď NBÚ na žiadosť o poskytnutie informácií - a tam odpoveď na otázku 3.

woody · October 25, 2017, 10:02am

Je toto niekde na webe nbú, alebo tak? Či to išlo priamo tebe ako odpoveď na otázku mailom?

AdamValcek · October 25, 2017, 10:29am

Toto mi došlo ako reakcia na žiadosť o komentár.

AdamValcek · October 25, 2017, 10:42am

Prosím, ako je to vlastne s funkcionalitou BOK? Áno, nesúvisí s certifikátmi a revokáciou sa môžem ďalej prihlasovať a potvrdzovať doručenky, ale na akom princípe funguje? Ako je zaistená jej bezpečnosť? Aj ona funguje na PKI infraštruktúre? Ak áno, nebude aj BOK funkcionalita dotknutá podrobnosťami, ktorá budú prezentované 2. novembra? Boli vykonané penetračné testy na BOK?

jsuchal · October 25, 2017, 10:55am

Ja mam revokovane vsetky certy a do schranky sa v pohode dostanem. Pisal k tomu @lubor vyssie nieco.

AdamValcek · October 25, 2017, 11:17am

Ďakujem. A potom ma napadla ešte jedna laická (blbá) otázka. Ak Saková tvrdí, že tomu čipu bola odobratá certifikácia, nevylučuje sa to s jej vyhlásením, že samotné karty netreba meniť? Veď ak zariadenia na vyhotovenie kvalifikovaného elektronického podpisu nie je certifikované, potom sa (v zásade) nemôže používať na jeho vyhotovovanie, teda by nemali naň nahrávať nové certifikáty.

jsuchal · October 25, 2017, 11:22am

Tu informaciu som vobec nepochopil. Sakova tam miestami hovorila veci, ktore nedavali uplne zmysel. Nedivim sa, je to extremne odborna vec, skor sa divim, ze tam nemala niekoho, kto by odpovedal na technicke veci.

Zo stanoviska NBU, ktore zopaklo to co tvrdi BSI aj A-SIT uz mesiace je jasne, ze certifikacia ostava, ale s vyraznou limitaciou na 3k dlzky klucov.

Lubor · October 25, 2017, 11:26am

Neviem o tom že by certifikácia bola zrušená. Na NBÚ aj BSI stále certifikáty zostávajú, v júli vyšlo na BSI doplnenie k certifikačnej správe, tiež sme to tu už preberali.

jsuchal · October 25, 2017, 11:29am

CrakeN · October 25, 2017, 11:55am

No, na základe vyjadrenia Pellegriniho to teda vyzerá, že až do 2.11. sa nič zásadné neudeje v zmysle revokácie certifikátov. Úrady dodnes nemajú nejaké stanovisko, čo majú robiť s podpísanými dokumentami, takže pondelkové vyjadrenie, že budú odmietať podania podpísané ZEP/KEP, nie je až tak úplne pravdivé. Zároveň tým ale zbytočne spôsobili paniku a nikto teda netuší, v akom to je aktuálne stave (o čom svedčí aj stanovisko SAK a podobne).

robert.kuchar · October 25, 2017, 3:17pm

Pokial sa nezastavi platnost eIDAS, tak hadam musí doverovať, zo zákona.

ius · October 25, 2017, 4:00pm

Aké zábavné, keď zákon núti skákať do Dunaja a oni skáču a skáču, zákon je zákon

Čo bráni bežnému smrteľníkovi vyhotoviť podanie listinne napr. Vo forme zverejnených formulárov na upvs, vytlačte si ich a doručte ich príslušnému orgánu poštou

mforbak · October 25, 2017, 4:14pm

Chcem sa spytat, pomoze vobec niecomu ta revokacia? V tom podpisovacom software sa da nastavit datum podpisu…a vsade v tom dokumente svieti dany datum, wtf?

To ako mozem pouzit aj revokovany podpis, postaci mi len nastavit datum na cas kedy bol certifikat este platny? Vid dokument s podpisom datovanym k roku 2007.

i847^cimgpsh_orig

miromr · October 25, 2017, 4:22pm

Ok, ak tam mas len cas z pocitaca, tak ten nema ziadnu hodnotu. A takyto dokument hned po odvolani certifikatu prestava platit.
Ak tam bude aj kvalifikovana casova peciatka, ktorej certifikat bude platit, tak cas podpisu je nielen garantovany, ale aj tento podpis bude nadalej platny do doby nez skonci platnost certifikatu tej peciatky (cize aj po revokovani povodneho podpisoveho certifikatu). Lenze ta kvalifikovana casova peciatka sa tam musi dat este v dobe kedy platil certifikat ktorym bol dokument podpisany.

jsuchal · October 25, 2017, 7:30pm

Inak to je zaujimave, mne ten dsigner uz pri podpisovani krici, ze mam neplatny certifikat. (Ale isto by som ho vedel prekabatit, lebo CRL sa odniekial taha.)

ius · October 25, 2017, 8:02pm

Rovnaká situácia platí pre právnické profesie, teda pre notárov, exekútorov, advokátov, ktorí používajú mandátne certifikáty. Medializované informácie o potenciálnej zraniteľnosti elektronických podpisov sa netýkajú ani tejto komunikácie prostredníctvom použitia tzv. mandátneho certifikátu, ktorý používajú právnické profesie. Podania na súd tak naďalej môžu bezpečne podpisovať s použitím mandátneho certifikátu.

http://www.najpravo.sk/clanky/kauza-e-obcianske-bezpecne-elektronicky-komunikovat-so-sudmi-je-mozne-aj-nadalej.html

Podľa ministerstva spravodlivosti sú teda mandátne certifikáty bezpečné a neprelomiteľné. Výrobcom totiž nie je infineon ale Giesecke & Devrient GmbH

na prelomenie je potrebných cca 24 000 000 rokov

romanh · October 25, 2017, 11:11pm

Ku komixu s Kalinakom “Kludne hacknite moj eID… …Vypnite internééét” komentár z DSLsk: “Navrhujem Aurela pouzit na zlomenie eID ministra Kalinaka. Po prelomeni si Aurel sam zaplati prevadzku z uctu dotknutej osoby. Za zvysok jeho majetku kupi bitcoiny a kluc k penazenke zasle na nahodnu email adresu.”
(Vcera bolo Aurela a mohli ho aspon na meniny zahriat.)

romanh · October 26, 2017, 2:05am

Od Sakovej nemozno cakat technicky spravne pojmy. Podla mna preto tam mala toho pana vedla. Mozno sa mal ozvat sam a mozno sa ho ona mala v pripade nejasnosti opytat. Ale tak sa jej dobre rozpravalo a nikto z nich to nepovazoval za zavazne, aby to prerusili a ona sa ho opytala a on ju doplnil/opravil. Chyby v komunikacii by vydali za jeden clanok, ktory by znizil chaos a moznu paniku, alebo nedoveru k eGovernmentu, ako napr. reci o 3079 sirsom oproti 2048 bitovom certifikate, cize pre cloveka na zaklade o ~50% dlhsom bezpecnejsom certifikate. Najzabavnejsie bolo zovialne vyjadrenie moderatora na TA3 pred konferenciou Sakovej “Vytvoria nové čipy, ktorá budú bezpečnejšie.” a druhe miesto ma Sakova hned v uvode “Elektricky podpis.”

Zaujalo ma vsak tvrdenie, kto by bol zodpovedny, ked v dkorsej konferencii najprv v 6:03 Sakova prehlasuje, ze “Ministerstvo garantuje bezpecnost doposial vydavanych eID…”, coho sa v 9:20 chytil Eurgen Korda a chcel to pocut pre istotu este raz a po vyhovorkach a urgencii na to dostal odpoved, že NBU bude zodpovedné.

Kto vie, ako by dopadli vyssie spomenute pripady, keby:

sa na toto do konania sudu neprislo
sa pri sucasnych znalostiach stali pred februarom 2017,
sa pri sucasnych znalostiach stali pred 16.10.2017, (alebo od kedy je verejne zname ROCA: Vulnerable RSA generation (CVE-2017-15361) [CRoCS wiki] )
sa pri sucasnych znalostiach stali pred 2.11.2017, alebo kedy dôjde k zneplatneniu certifikatov.