eID prelomene?

Čo sa deje v e-Governmente Štátne projekty
81

Čakáme na stanovisko NCZI a ešte aj SKE, keďže oni majú vlastné čipové preukazy exekútora. Edit: Práve prišla správa z NCZI, že skôr ako v stredu stanovisko nevedia poskytnúť.

2 Likes
82

Môže štát automaticky revokovať elektronický podpis fyzickej osobe? Nie je to zásah do jej súkromnej sféry?

83

Nie je. Naviac nemusis removokat certifikat fyzickej osoby. Keby si chcel vacsiu show, mozes rovno revoknut certifikat CA-cky.

84

Skor zly vtip.

85

@AdamValcek , to napísali Tebe, alebo je to niekde verejné?

Wow, veď to sa pre každú čipový radu dá zistiť do 5 min…

Vo všeobecnosti - nemôže. Avšak prevádzkovateľ certifikačnej autority môže (podľa toho ako presne je nastavená certifikačná politika) a MVSR je pre eID registračná autorita, t.j. môžu plošne revokovať certifikáty spolu MV+Disig.

Celkovo zatiaľ chýba stanovisko ACA, čiže Disigu.

1 Like
86

Fyzicky sa da na policii. (Ako ked menis obciansky predcasne.) Dokonca im to musis niekde aj pripomenut, ze na starom ich treba revokovat.

87

ja som si otestoval svoj certifikat, a vyzera to tak, ze moj osobny certifikat je zranitelny, ale ca certifikat nie…

btw som urobil PR request na https://github.com/crocs-muni/roca/tree/master/csharp/RocaTest na testovanie eidas dokumentov v c#

88

Otestovat tychto par cisiel ci je nimi public key delitelny zabere daleko menej ako 5 min… https://github.com/crocs-muni/roca/blob/master/csharp/RocaTest/RocaTest.cs

89

Postup by mal byt podobny tomu co je v eIDAS. Tj. Poskytovatel sluzby ktory sa dozveedel o moznom poruseni bezpecnosti v ramci svojej akreditovanej sluzby, by mal podla cl. 19 ods. 2 informovat o tom bez bytocneho odkladu, najviac do 24 hodin organ, ktory ma tuto bezpecnost na starosti - zrejme NBU. A takisto bez odkladne informovat aj vsetky dotknute osoby, ktorym sluzbu poskytol.
Cize stanovisko NBU by nebolo od veci…
No a stat by sa mal zamysliet nad tym ci nadalej presadzovat niektore “vyhody” elektronickych dokumentov pri sucacnom spoliehani sa na to ze k ohrozeniu v kratkom case nedojde.
Bez toho aby sa na podobne pripady do predu pripravil a mal v zasobe aj opatrenia napr.
Co s dokumentami, ktore boli doposial uz podpisane a niekto z nich mohol ziskat verejny kluc a mohol ho pouzit na vypocet a podpisanie ineho dokumentu s odlisnym obsahom, ako sa na taketo dokumenty bude pozerat sud? Kedze nie sme na to nijak pripraveny. Je MDURZ zaroven aj akreditovanou sluzbou pre uschovu kvalifikovanych podpisov?, Vie obcanom posluzit napr. k tomu, ze sa do neho ulozia vsetky rizikove dokumenty podpisane do urciteho datumu s tym ze by sa napr. ostatne dokumenty podpisane v tejto kritickej dobe vyhlasili za neplatne? Treba uz podpisane dokumenty nejak “preautorizovat” aby sa v buducnosti nedali nijak spochybnit?

90

pridal som do https://github.com/crocs-muni/roca/tree/master/csharp/RocaTest este aj priamy test zep suborov…

91

Aktualizované-stanovisko-MVSR-eID_naokruh.pdf (264.7 KB)

1 Like
92

Iné vymyslieť nemohli… zostáva sa pripraviť na dlhšie spracovanie požiadaviek pri el. podpisovaní, keďže sa dĺžka klúča z väčší z 2048 na asi 4096. To zas portál slovensko.sk dostane riadne zabrať …

1 Like
93

Stanovisko ma tak hrube stylisticke chyby, ze je jasne, ze ho v nahlivosti spisal vystresovany technicky pracovnik dodavatela :

5 Likes
94

Ak je pravda co je uvedene tu:
https://crocs.fi.muni.cz/public/papers/rsa_ccs17
Potom to stanovisko hovori o uplne niecom inom. Ak som spravne pochopil, tak na vypocitanie privatneho kluca postaci znalost verejneho kluca. To nema nic spolocneho s BOK a ochranou privatneho kluca na eID karte. To je o tom, ze ak podpisem dokument, tak v podpise sa nachacdza moj verejny kluc. A zneho sa vraj da vypocitat privatny, ktory nikdy eID kartu neopustil a neopusti. Cize problem nie je v ochrane kluca co je na karte takze bok tu nehraje ziadnu ulohu. To stanovisko sa vyjadruje asi k nejakemu inemu problemu.

2 Likes
95

Ja len, ze este stale nejde ta revokacia na minv.sk

1 Like
96

Áno, treba to brať ako mediálne stanovisko, nie odborné. Oni hovoria B, aj keď otázka bola A. Pravdepodobne preto, aby upokojili situáciu, že podpisovanie je bezpečné a nevznikal panika (logickým záverom takejto nezvládnutej PR bude opak). Hoci taká situácia, akú opisujú v stanovisku je úplne odlišná ako situácia, ktorá bola predmetom výskumu.

97

To je celkom zabavne, ako sa snazia navodit dojem, ze jediny sposob ako pouzit podpisovy certfikat je “prostredie slovenskeho eGovernmentu” t.j. az po prihlaseni cez BOK.
To vsak vobec nie je pravda a niekto by s tym mal MV konfrontovat.

Zakon hovori, ze pokial je pravny ukon popdisany resp. autorizovany KEPom s kvalifikovanou casovou peciatkou, tak sa overenie podpisu nevyzaduje t.j. ma to vahu uradne overeneho podpisu.
Akykolvek dokument sa da autorizovat podpisovacom aj mimo slovenskeho eGovu a pouzit mimo slovenskeho eGovu.

To “doplnene” stanovisko je uplne mimo. Bud to je iba nejaka chaba medialna snaha, aby nevznikla panika, ale proste vobec nevnimaju suvislosti.

2 Likes
98

Mozno je na mieste nejaky hmatatelny priklad teoretickeho utoku:

  1. Dostanem sa k nejakemu podpisanemu dokumentu na webe/urade/kdekolvek.
  2. Teoreticky som nejaka zla velmoc, co to vie povedzme za $40k faktorizovat a ziskat moj privatny kluc.
  3. Viem uz podpisat nejaky iny dokument.
  4. ???
  5. Profit.

Prosim doplnte, kreativite sa medze nekladu. Kde v tomto procese podla MV treba BOK?

2 Likes
99

Pride mi zvlastne, ze 640 serverov/rok pride MV SR ako teoreticka moznost. Nie sme v 80-tych rokoch, zariadeni na nete su mraky a botnetov je plny kybel.

2 Likes
100

Cosi mi to pripomenulo

base644c2d4adc9a3a6f3
base644c2d4adc9a3a6f3720×405 212 KB

1 Like