Elektronické zdravotné preukazy (Obstarávanie OPII)

A da sa na EID dat viac certov/privatnych klucov ci nie?

Na eID sa samozrejme dá vložiť (presnejšie: vygenerovať) viac kľúčov/certifikátov. Veď teraz sa dávajú 3, pričom toto je ad-hoc vymyslené riešenie. MV má technické prostriedky (softvér a kľúče), ktorými sa kompletne dajú tieto veci v eID manažovať.

2 Likes

Sudcovia maju problem s pouzivanim vlastneho eID, tak maju sudcovske ekarticky.
Lekari maju problem s pouzivanim vlastneho eID, tak maju lekarske ekarticky.
Advokati maju problem s pouzivanim vlastneho eID, tak maju advokatske ekarticky.

Poistenci asi nemaju problem s pouzivanim vlastneho eID, tak ho pouzivaju.
Uradnici asi nemaju problem s pouzivanim vlastneho eID, tak ho pouzivaju.
Konatelia asi nemaju problem s pouzivanim vlastneho eID, tak ho pouzivaju.

Ktora skupina sa bude rozsirovat?

3 Likes

Dobrá otázka. Všetky oči upreté na MV SR. Už 5 rokov.

1 Like

Nerozumiem preco na MV SR. Vyssie som postol prave pripomienku MV SR, ktorou navrhovali pouzivanie eID aj pre zdravotnikov a MZ SR to odmietlo. Vlastne ekarticky si tlacia do osobitnych zakonov prave jednotlive profesie.

Co keby sa konatelia zisli a odmietli pouzivat osobne eID a vyziadali by si ku kazdej firme osobitne eID?

Na druhu stranu, ako je zabezpecene, ze MV nevyda moje privatne kluce inej osobe? Alebo ich nikto neukradne? Je to tak zabezpecene, ze mam istotu, ze nikto sa nemoze tvarit ako ja v pristupe napr. k elektronickej zdravotnej karte? A to je len pristup k jednej karte, lekar bude mat udeleny pritup k omnoho vacsiemy poctu. Tak mozno tajne dufaju, ze iny spravca to bude lepsie chranit.

1 Like

To su otazky, ktorych opakovanie dookola nikam nevedie, pretoze 100% uspokojiva odpoved neexistuje bez ohladu na vydavatela a rozsah ekarty.

S tymi konatelmi som to myslel trochu inak - co ak min. spravodlivosti navrhne vydavanie vlastnej ekarty konatelom pri zapise do ORSR? Ked to urobilo MZSR pri poistencoch, tak sa vsetci burili. Preco to iste neplati pri zdravotnikoch a ostatnych profesiach? V com to je principialne ine?

MV SR má eID na starosti analyticky aj prevádzkovo. Malo by mať aj jasnú stratégiu kedy, kde a ako sa bude / nebude používať (rád si ju prečítam) a malo by ju aj efektívne presadzovať.

Obyčajnú (nie zásadnú) pripomienku do MPK môže napísať každý, Ty aj ja. Odpoveď MZ je na podobnej úrovni. Z celého toho vidno, že ani jedna strana to vlastne nebrala vážne.

1 Like

Na druhu stranu, ako je zabezpecene, ze MV nevyda moje privatne kluce inej osobe? Alebo ich nikto neukradne? Je to tak zabezpecene, ze mam istotu, ze nikto sa nemoze tvarit ako ja v pristupe napr. k elektronickej zdravotnej karte?

Privátne kľúče sú generované na eID a nemajú ju ako opustiť. MV SR podpíše Certificate Signing Request a občan má svoje certifikáty. Pokiaľ sa nedostanú k vašemu občianskemu a PINom, nemajú vás ako imperonifikovať (ak nemajú iné bugy v systéme).

To znamena, ze eID sama vygeneruje privatny kluc pri inicializacii a zapise si ho u seba? A nie je nijak citatelny, eID ho pouziva interne na podpisovanie?

Ano, je to presne tak.

Drobna fakticka. Toto plati, ak sa private kluce skutocne generuju na karte a neimportuju sa. Samozrejme, ze vygenerovanie privatneho klucu priamo na karte je standardna funkcionalita karty a je to tak navrhnute a implementovane. Ale ty ako obcan nemas ako skontrolovat, ci generovanie klucu v konkretnom pripade prebehlo tymto sposobom a ci niekto, napr. nejaka specialna zlozka, nema v systeme backdoor, t.j. ze to v konketnom pripade na poziadanie neprebehne inak a cez ine API. Na druhej strane, ak neveris statu, stat ma na teba vacsie paky.

kedze ide o kupovane karty, tak sa mozes obratit na vyrobcu ale ak tam vyrobca ma nieco take, tak to nemas ako zistit ani ako obcan ani ako firma ani ako stat. A keby sa to nieco take zistilo, tak to to vyrobcu znici. Myslim ze aj paranoja by mala mat iste hranice,
Obecne karta a elektronicky podpis nie su najslabsie clanky, falsovanie dokumentacie sa dnes deje na o niekolko radov primitivnejsej technologii ( word a bielacia paska :slight_smile: )

1 Like

Nejde o vyrobcu karty. Mas API, ktore bud vygeneruje kluc na karte alebo ho importne. To, ake API sa pri vydavani zavola nema pod kontrolou vyrobca karty, ale dodavatel systemu na vydavanie certifikatov v SK, resp, jeho prevadzkovatel.

Len upozornujem, ze predpoklad ,kluc je generovany priamo na karte’’ nemusi byt za kazdych okolnosti nevyhnutne spravny a je dany doverou medzi obcanom a statom a nie technickym riesenim na strane vyrobcu cipu.

2 Likes

to api by musela mat karta, ak sa neda nahrat kluc ani sa precitat ( a skutocne take api nie je dostupne ) tak nezalezi na aplikacii. ale ta samozrejme dokaze spristupnit tvoje zaznamy aj bez tvojho kluca, nedokaze ale napriklad sfalsovat tvoj suhlas.

API je PKCS#11 driver, ide o bežne čipy od Infineonu.

a kde tam mas moznost vlozit secret key ? Na kartu mozes vlozit ine kluce ale nie tie ktore generuje kluc a tie nevies ani citat. Nastavenie svojho kluca si mozes overit.

Treba rozlisit dve situacie:
a) ci vies dostat obsah chraneneho objektu von
b) ci vies dostat do chranenej casti nieco, co uz mas (napr. externe vgenerovany kluc)

Lebo ak vies b), tak a) nepotrebujes, lebo uz mas aj tak kopiu a na karte to moze byt chranene ako chce.

Staci API CreateObject, kde si v sablone priamo nastavis, ze ide o privatny kluc, ktory tam zvonku importujes a par dalsich atributov. S nakonfigurovanym eID a dodanym ovladacom som neskusal ani netvrdim, ze to pojde, ale samotny cip na ktorom je to postavene s tym nema ziadny problem. Ide o standardnu funkciu pomocou ktorej mozem zobrat napr. kluc vygenerovany v *.p12 a importovat ho tak, ze ho uz nedostanem von. Len upozornujem, ze to neni o samotnom cipe.

1 Like

nie celkom rozumiem aky je potom problem, na karte mas pri uvodnom formate definovane oblasti a buduci tvoj kluc na EID ma nastavane parametre a je v oblasti kde sa neda importovat, da sa len vytvorit a neopusti kartu. Karta sa da pouzit ako bezpecne ulozisko inych klucov ale pri vytvoreni ti tam ziadne nenahraju. Ak tam budes v buducnosti nahravat dalsie, tak sa mozes pytat na doveryhodnost toho kto to robi, to sa skutocne moze diat. Ale samotne EID tak ako je dnes vydavane je v tomto ohlade bezpecne.

Pokiaľ viem, certifikuje sa karta spolu s aplikáciou (v tej karte). Používané eID karty mali certifikáciu robenú v Nemecku / BSI, naše NBÚ ju iba prebralo.

Ale áno, nakoniec je o dôvere všetko.

1 Like