Oni su v nezavidenia hodnej situacii. Na jednej strane je tu publikovane prelomenie, na druhej opatrenia, ktore ak spustia tak prinesu obrovske skody. Ale za tym publikovanym prehlasenim nie je ziadna autorita, ktora by im to potvrdila… Vyrobca cusi … ten by mal povedat ze maju alebo nemaju pravdu…
Najprv by sa mal vyjadrit aby jeho odberatelia neriskovali svoje dobre meno a potom sa v druhom slede zamyslat nad tym ako to napravit, ci vygenerovanim novych ci nejak inak. Teraz by som od nich ocakaval vyjadrenie ci je taka vec mozna ci kluce skutocne robia tak ako je popisane v prehlaseni a ak ano okamzite dat vediet vsetkym odberazelom kariet, ze pozor urcite riziko ze maju pravdu tu je.
2 Likes
Plot twist 3: prihlásim sa teraz na minv.sk skúsim revokovat certy. Nejde. Polícia zavretá. Pošlem email na MV, že chcem okamžite revokovat certy. O pár hodín sám podpisem nejaké splnomocnenie na prevod majetku na niekoho.
Mám dôkaz - logy a email že som to chcel revokovat okamžite. Prehlasim, že ten podpis som nebol už ja. Problém je zajtra na svete úplne bez teoretickej faktorizacie a neminul som ani euro.
3 Likes
Vies sem dat link kde sa to da urobit?
Praveze ty ako obcan na to doplatis. Lebo legislativa hovori o tom ze autorita musi certifikat odvolat ale ma na to 24 hodin a platnost certifikatu zanika az zverejnenim v CRL. Lenze kedze nie su ziadne opatrenia prijate pre takyto pripad, tak zistis ze policia nedrzi sluzbu na to aby si mohol zahlasit odvolanie certifikatu, ze by si sa mal obratit asi na CA, ale ani tej nikto v zakone neprikazuje drzat sluzbu v noci a cez vikend. Takze ti odporucim ak chces niekomu zneuzit certifikat urob tak v piatok poobede a mas 3 dni casu (napr. ked niekomu vykradnu byt, ukradnu mu eID a najdu aj papier co si vykradnuty na nom zapisal na policii biok a pin. tak si ukradnu sperky a este si aj vyrobia kopu dlzobnych upisov a pod.)
Yavedenim elektronickzch dokumentov vyniklo obrovske mnoystvo moynosti zneuzitia, ktore v papierovom svete neexistovali ale nikto ako by to nechcel vidiet.
1 Like
Nemá niekto nejaký dokument podpísaný p. JUDr. Ficom ? 
To by bolo velmi zaujimave ak by nahodou do prezidentskeho palaca prisla demisia vlady podpisany zepom a teda notarsky overene…
1 Like
jj… to by sme sa na tych 40K asi aj pozbierali 
1 Like
640 serverov/rok
Mám to chápať tak, že MV SR si myslí, že prenájom 640 serverov na 1 rok stojí $20,000? Ak áno, koľko oni platia ročne za ich servre?
Len by som spresnil Tvoju informáciu. - prelomenie ešte oficiálne nebolo publikované. Stane sa tak až o dva týždne a až tam sa možno dozvieme, či si výskumníci skutočne zaplatili potrebných 20000 až 40000 USD, aby reálne ukázali zraniteľnosť aj 2048 bit RSA kľúčov a nie sú to len teoretické odhady, bez reálneho prelomenia, založené na prelomení 512 bit kľúčov ako vyššie, na základe informácií získaných od výskumníkov (off record), uvádza AdamValcek.
Ak sa to preukáže potom to bude naozaj kritické a iné ako zrušenie všetkých kľúčov vygenerovaných na slovenských eID kartách ich vydavateľovi nezostane.
1 Like
Len technicka. Z povodneho stanoviska MV SR vyplyva, ze MV SR uz bolo informovane o zranitelnosti v case, ked Peter Pellegrini robil kampan medzi statutarmi, aby si vo velkom vybavovali eID. Je krajne nepravdepodobne, aby mu tuto informaciu neposunuli, teda v kampani o potencialnej zranitelnosti zamerne mlcal.
3 Likes
To je pointa takéhoto incidentu Áno, bude to bolieť.
Situácia je vážna. Nastúpil odborník Macko.
1 Like
Fuu to by nebolo dobre asi mu skor islo iba o prihlasovanie sa do schranky. Ale aj tak vyrobca je z EU. Plati na neho eIDAS, on jediny moze povedat ci je pravda ze generuje privatene kluce iba z akejsi mnoziny, cize princip generovania privatneho kluca je uz tu naruseny. Teda musel minimalne od chvile ked dostal tuto info vediet o tomze dava do obehu znehodnotene cipy. u ktorych sa na privatne kluce nemozno plne spoliehat (Aj ked tato moznost by bola iba teoreticka) a o tychto veciach - tak zasadnych neinformoval odberatelov?
@jsuchal Nepatri to sem, ale pre zaznam: Toto je z novinarskeho pohladu dost brutalne za ciarou, ten druhy citat, ktory prebral nekriticky nezmyselnu a hlupu argumentaciu MV.
3 Likes
Pan Cikovsky na Nku pre zmenu zasa pise o tom, ze su ohrozene aj podpisy sudcov, notarov, atd…
Zbytocna pubertiacka poznamka. Noblesse oblige. Udrel si sa niekde alebo co ? 
1 Like
Je však pravda, že notárov sme my neoslovovali - motivácia ukradnúť notársky podpis vyhodnocujem ako nízku, pretože takmer všetky typy ich úkonov sa zapisujú ešte aj do nejakého centrálneho notárskeho registra, čiže tam iba zneužiť podpis nestačí.
OT: Bohuzial je moja viacnasobna skusenost taka, ze sa toto sa opakuje dost pravidelne prave vo chvilach ked sa deje nieco “zle” so slovenskym eGovom. Jednoducho uz neverim na nahody.
1 Like
Infineon tvrdi, ze zakaznikov informoval. T.j. vedel Peter Pellegrini v case kampane za eID pre statutarov o potencialnej zranitelnosti a mlcal alebo ho MV SR o takej zavaznej veci neinformovali? Vedel o nej v case, ked napr. brojil proti GovBoxu, ze demotivuje konatelov vybavovat si eID a znizuje bezpecnost?
1 Like
Ja som dnes osobne overoval podpisy sudcu, vyssieho sudneho uradnika, notara, exekutora aj advokata.
Vsetci maju mandatne certifikaty a vyhodnotilo ako secure vzhladom na tuto chybu.
1 Like
Potom ak sa preukaze ze ten utok je realne vykonatelny, niekto vsadil na zlu kartu!
1 Like