Komisia pre štandardy ISVS - PS2 - Bezpečnostné štandardy

Áno, na stretnutí PS sa preberala vyhláška. Diskusia k tomu je tu: Vyhláška o klasfikácií informačných systémov a bezpečnostných opatreniach - pripomienkovanie
Prezentoval som tam rovnaké pripomienky ako v PS K9.8.

Aktuálny stav s vyhláškou viď. tu: Vyhláška o klasfikácií informačných systémov a bezpečnostných opatreniach - pripomienkovanie

Pracovnej skupine bol zaslaný takýto mail:

Vážení členovia PS2 pre bezpečnostné štandardy,

*dovoľujeme si Vás upozorniť na zverejnený útok na elektronické podpisy zahrnuté v PDF súboroch, najmä PAdES, na ktorý nás upozornil Národný bezpečnostný úrad SR. Podrobnosti sú zverejnené na nasledovnej adrese: *

PDF Insecurity Website

Národný bezpečnostný úrad uvádza potrebu prijať opatrenia, aby jednotlivé orgány verejnej moci správnym spôsobom kontrolovali platnosť podpisov. Pri overovaní PAdES podpisov prípadne iných podpisov zahrnutých v PDF je potrebné na strane osoby overujúcej podpisy pracovať s príslušnou revíziou PDF a nie s PDF súborom ako celkom, nakoľko tento môže obsahovať úpravy vykonané po podpísaní dokumentu, čím môže prísť k prekrytiu podpísaných údajov.

Informácia s upozornením, ktorá nám bola zaslaná Národným bezpečnostným úradom SR sú v prílohe tohto mailu.

S pozdravom

Mgr. Simona Senková
odbor architektúry e-governmentu | sekcia informačných technológií verejnej správy

Informácia od NBÚ.docx (190.1 KB)
hideQF1.pdf (294.6 KB)

Na to som napísal takúto reakciu:

Dobrý deň,
uvedené typy útokov - manipulácia s PDF dokumentom po podpísaní - sú známe už dlhšiu dobu. Informovať všetky OVM je správne, avšak je absolútne neadekvátne iba ponechať to iba na vykonanie individuálnych opatrení každého OVM.

Žiadam o informáciu, ako budú gestori informatizácie verejnej správy a informačnej bezpečnosti, t.j. MIRRI SU a NBÚ SR koordinovať riešenie týchto zraniteľností na centrálnej úrovni (ako sa pýtal už aj p. Brza), a taktiež na individuálnej báze u jednotlivých OVM. Vykoná napr. aspoň niektorý z našich CERT tímov testovanie odolnosti na tieto zraniteľnosti u OVM? Je treba nejako kontrolovať už spracované dokumenty?

Zároveň postup, ktorý zaslalo NBÚ SR považujem za zásadne nedostatočný. Uvedená aplikácia totiž rozdelí PDF dokument na samostatné časti, pričom niektoré z nich ani nezobrazuje. Avšak obsahom podania je celý PDF dokument. Podľa môjho názoru nemá OVM oprávnenie “vybrať” nejakú jeho časť a spracovávať ju odlišne od ostatných, resp. nejakú časť dokumentu “ignorovať”. A to bez ohľadu na to, ktoré časti sú akým spôsobom validované (podpísané). V tejto oblasti taktiež očakávam jasné metodické usmernenie pre postup OVM.

Ľubor Illek
Slovensko.Digital

3 Likes

Tak veru. Bez ohladu na uvadzanu zranitelnost jedneho dna musela tato otazka prist na svetlo sveta.
Ano aj ked nebudeme hovorit o podstrcenom obsahu a zranitelnostiach, tak PDF format ma velke mnozstvo moznosti pouzitia a v kombinacii s podpisom PAdES vznikaju dalsie a dalsie kombinacie.
Na to sa celkom pozabudlo aj pri nase informatizacii. Uradnici sice vedia overit podpisany pdf dokument, lenze ako spravne poznamenavas predmetom podania je cely dokument a ten moze obsahovat neobmedzene mnozstvo podpisov a kazdy z tych podpisov sa moze vztahovat na iny obsah. Toto je uskalie o ktorom bezny uradnik netusi, takze ani neskuma po vyhlaseni overovaca podpisu ze je platny, ze co je vlastne tym platnym podpisom v dokumente podpisane. A ak je tam viac podpisov ci sa vztahuju na rovnaky obsah alebo kazdy z podpisov podpisal iny obsah.
Tento problem by sa mal podla mna objavit v nasich standardoch a od neho by sa mala praca uradnika z podpisanymi PDF dokumentami(PAdES) odvyjat (musi mat nastroj ktory mu toto vsetko poskytne v jednoduchej a prehladnej podobe).

3 Likes

Do PS prišiel takýto oznam o pripomienkovaní nového štandardu pre autorizáciu klikom:

…dovoľujeme si Vám zaslať na pripomienkovanie návrh štandardu pre potvrdenie autorizácie vykonanej podľa § 23 ods. 1 písm. a) bod 2 zákona o e-Governmente (tzv. “autorizácia klikom”). Návrh obsahovej štruktúry pripájame v prílohe. Zdôvodnenie návrhu je uvedené v samostatnej prílohe.

Vaše prípadné pripomienky najmä z hľadiska údajov uvádzaných v doložke, väzby medzi podaním a doložkou a prípadných návrhov na dodatočné požiadavky pre riešenie nám zasielajte najneskôr do 30. októbra 2020 na emailové adresy simona.senkova@vicepremier.gov.sk a monika.mosejova@vicepremier.gov.sk .

Predmetom pripomienkovania je potvrdenie o vykonanej autorizácii klikom. Technické riešenia autorizácie klikom sú mimo rámec tohto návrhu.

AutorizaciaKlikomNavrhStandardu_pripomienkovanie.pptx (47.8 KB)
Návrh autorizácie klikom_na pripomienkovanie.docx (16.6 KB)
Návrh autorizácie klikom_na pripomienkovanie.odt (7.6 KB)


Ak správne rozumiem mierne chaotickú dokumentáciu (samotné “znenie štandardu” je asi tak zrejmé, že je opomenuté), tak pointa návrhu je, že musí byť vytvorená “autorizačná doložka”, pomocou el. formulára, autorizované KEPečaťou OVM a zaslaná do el. schránky (toto zaslanie je vyžadované zákonom).
Za mňa po prvom prečítaní prečo nie, zmysel to má však iba ak úkon s jeho autorizáciou má byť nejako prenášaný od tohto OVM niekde von, ináč je to dosť prehnané. Čiže ako štandard pre “centrálnu autorizáciu klikom” je táto myšlienka v pohode.

1 Like

Vdaka. Toto si niekto dovolil nazvat navrhom? Kto to pripravoval?

zo skvostov vyberam

je možné jeho platnosť overiť v elektronických podateľniach, rozdiel je v tom, že údaje o autorizujúcej osobe klikom sú uvedené v doložke a nie v pečati, ktorou iba prístupové miesto potvrdzuje úspešný a plnohodnotný úkon autorizácie klikom"

`

1 Like

Pridal by som do tohto zoznamu problemov aj PDF parser differentials, kedy rozne PDF readery alebo ich verzie zobrazuju pre jeden PDF subor rozne veci. PDF standard je imho taky ze nejaky podpis na PDFku sa neda moc dobre (bez presnej konfiguracie toho konkretneho cieloveho readra a systemu) na ten content naviazat. Vcelku zaujimave utoky na statnu spravu by sa tu dali realizovat ak by mal utocnik informacie o PDF readroch.

Aký v tom je problém?

Tazko sa vysvetluje problem v tom gulasi pojmov…terminus technicus “platnost asic”, ktorym veta zacina je non-sense, udaje o autorizujucej osobe(konkretne fyzickej) v pacati?, existujuca podatelna mi je naco, ked podstatne - “autorizaciu osobou” neoverim pri kliku…a pri nekliku budem musiet vyhodnocovat podpis (asi) aj voci dolozke?

Cely tento nezmysel len dalej veci komplikuje, vymysla sa hranate koleso … Ked uz, preco sa jednoducho tie udaje, ktore chcu davat do “dolozky” nedoplnia do dorucenky? Co tymto ziskam naviac?

Ok skusil som odpovedat, skus prosim aj Ty, Vieme, kto konkretne to pripravoval? (clovek, skupina, oddelenie…)

Zda sa ze sa ide tvrdohlavo proti vlastnorucnemu podpisu (KEP) resp. je citit tlak na zrovnopravnenie kliku s vlastnorucnym podpisom…
"Môže sa používať pre všetky elektronické podania (t.j. údaje vyplnené podľa elektronického formulára), pri ktorých sa nevyžaduje úradne overený podpis. " - teda takto napisany text obchadza KEP ktory je nahradeny autorizaciou nizsej urovne.

Podanie kde sa nevyzaduje v podstate nic rovnako ako podanie u ktoreho nejaky zakon pozadoval vlastnorucny podpis tymto klikom splnia rovnake kriteria na autorizaciu.

Dobre uz nebudem pisat o tom o tom ako degradujeme vlastnorucny podpis-KEP.

Len si vsimnime napr. v CR u nich podanie cez datovu ma rovnake ucinky ako ukon ucineny pisomne a podpisany. (vsimnime si ze ani naznakom nehovori o vlastnorucnom podpise ani ked tam ziadny nieje aj tak sa sprav takto zaslana povazuje za podpisanu.)

(2) Úkon učiněný osobou uvedenou v § 8 odst. 1 až 4 nebo pověřenou osobou, pokud k tomu byla pověřena, prostřednictvím datové schránky má stejné účinky jako úkon učiněný písemně a podepsaný, ledaže jiný právní předpis nebo vnitřní předpis požaduje společný úkon více z uvedených osob.

Elegantne, jednoduche, pochopitelne a tam kde sa vyzaduje vyssi typ autorizacie tak sa tam taka pouzije. Ale tu ju neriesia. Neni treba postacuje.

99percent podpisovanych veci spada do tejto kategorie. A tych par podani kde musi byt z dovodu napr. zakona kvalifikovany alebo osvedceny podpis to uz je nic to ani netreba riesit to uz mame.
CR definicia elegantne pomenovala ukon ako ucineny pisomne a podpísaný (bez ohladu ci si ho elektronicky podpisal alebo nie). Vsetko vypovedajuce a nepokusa sa prerobit KEP-vlastnorucny podpis k obrazu svojemu. Vety absolutne jasne.

Navrhoval by som tuto vetu:
"Môže sa používať pre všetky elektronické podania (t.j. údaje vyplnené podľa elektronického formulára), pri ktorých sa nevyžaduje úradne overený podpis. "
upravit v style a neformulovat ju ze co sa mozepouzivat, ale jednoducho konstatovat ze ukon ucineny prostrednictvom schranky sa automaticky povazuje za ukon urobeny pisomne a podpisany.
Vynimky iba tam kde zakon stanovi kvalifikovany alebo osvedceny podpis.

Dosiahne sa pozadovany ucinok a nedojde k zrovnopravneniu vlastnorucneho podpisu s nizsim stupnom autorizacie

Priznam sa, ze nerozumiem tomuto tvrdohlavemu davaniu rovnitka medzi vlastnorucny podpis a KEP.

Autorizacia klikom je sposob ako spravit vlastnorucny podpis. KEP je sposob ako urobit vlastnorucny podpis. Oba sa pouzivaju v uplne v inych kontextoch (jeden pre podania vnutrostatne, druhy pre akekolvek podpisovanie v ramci eidas aj B2B a medzi ludmi zaroven, je pochopitelne, ze to bude vyrazne komplikovanejsie).

Rad si necham vysvetlit aky je rozdiel medzi tymto a vlastnorucnym podpisom (nie KEP!). Resp. co presne by bolo inak, keby sme to trebars presne takto napisali aj do nasho zakona.

Nedal som ho tam ja ale eIDAS.

Bohuzial to sa neda takto jednym prispevkom.
Dobre clanky o tom su napr na lupa.cz, alebo nedavno vysla pravnicka publikacia pod nazvom
Elektronické právní jednání (Vojtěch Kment). Neviem ti viac k tomu povedat lebo je to zlozitejsie ako sa na prvy pohlad zda…

Veruze nedal, mame tu o tom uz nejednu siahodlhu diskusiu. To, ze KEPom sa da spravit vlastnorucny podpis este neznamena, ze sa to nemoze spravit aj inak. Implikacia nie je ekvivalencia.

Ale naco to robit?
Ved je to vola a vyjadrenie vole cloveka ktore postacuje na urobenie daneho elektronickeho ukonu - v tomto pripade podania preco do toho tahat pojmy?. Ved to tak urobme a neriesme ze to bude vlastnorucny podpis. Je to ukon ucineny elektronicky a je postacujuci.

Nic sa nemeni, ako to uz bolo x-krat povedane, priamo eidas hovori, ze vnutrostatnu autorizaciu si mozeme spravit hocijako chceme.

Postacujuci na co?

Dovod je jednoduchy, USABILITY.
To je nieco co ked je nesplnene, zabije akokolvek dobre mysleny projekt a riesenie.

Blockquote ze vnutrostatnu autorizaciu si mozeme spravit hocijako chceme

Hovori. Sice v nejakom sirsom kontexte, ale ano, zaver je takyto.

Otazka, preco by sme si mali DNES vymyslat hranate koleso, ked:

a) prekonali sme pri tu najhorsiu barieru pre KEP. Je vybudovana pre KEP infrastruktura, pre PO funkcna, investovali sa obrovske peniaze. Malo zmysel bojovat, kym ta investicia urobena nebola a neodkrvacalo sa.
b) nutne dalsie velke investicie k tomu, co sa uz investovalo a zasah do funkcneho prostredia(je jasne, ze nie vsetci budu smutni a proti) ok, ale vysledok? ideme do presne opacneho extremu (pravne analyzy a rizika pre obcana nechajme teraz bokom, su zname).
c) dalej este viac bastardit ten nas “vnustrostatny” “standard”, ktory vyuziva asic (da sa to pri autorizacii “len klikom” aj inteligentnejsie, vid. vyssie)
d) dalsi odklon od EU interoperability (existuju pripady, kedy sa rozhodnutim preukazujes v zahranici napr. pri medzinarodnom obchode s urcitymi komoditami). Uz ani len el. podpis neoverim resp. overim ale stacit to nebude, lebo do vnutra sa ma pribalit nejaky dalsi proprietarny nezmysel, ktory budem musiet vyhodnocovat tiez.

ani Ty zrejme nevies/netusis, kto je autorom tych dokumentov vyssie…

Podla mna sme ju stale neprekonali a zda sa, ze cipove karticky s citackou boli proste krok zlym smerom. Co takto zverejnit statistiky, kolko ludi sa prihlasuje cez IAM/MV aspon raz za rok?

Ja som za zjednodusenie.

Prave preto sa pri autorizaci klikom hovori len o podaniach voci OVM.

Rozhodnutia smerujuce od OVM samozrejme budu podpisovane uplne rovnako ako doteraz.

Netusim a pride mi to irrelevantne.

1 Like

tak to uz bolo treba bojovat pri prvej slovenskej specialite - mandatnych certifikátoch. :slight_smile: A presne ten istý tím čo toto vymyslel to vymýšľa ďalej. Na druhej strane si treba uvedomiť že vymýšľajú zmysle možného. Máš na výber, že či ti sudcovia a advokáti odmietnu používanie elektronických autorizácii (lebo na každom autorizovanom dokumente je ich kompletný certifikát, ešte aj s rodným číslom), alebo to “nejako” vnutroštatne sprevádzkuješ a prichádzaš o interoperabilitu.
Je jasné, že všetky tieto špeciality sú použiteľné len vo vnútroštátnych prípadoch použitia (koneckoncov, aj v tom eIDASe je to jasne povedané)

Podla mna sme ju stale neprekonali a zda sa, ze cipove karticky s citackou boli proste krok zlym smerom. Co takto zverejnit statistiky, kolko ludi sa prihlasuje cez IAM/MV aspon raz za rok?

Tych cipovych ideme zbavit? BOL to zly/extremny napad v danom case, ale mame to za sebou.Teraz stojime pred novym zlym extremnym napadom, akurat tento krok urobit nemusime.

ja som za zjednodusenie

Ja tiez, ale nie za cenu pravnej neistoty a dalsieho zivelneho rozvijania miestnych “standardov”, Kto to zjednusenie zaplati?(mame k dispozii dopadovu studiu s vycislenim nakladov?)

Prave preto sa pri autorizaci klikom hovori len o podaniach voci OVM.

Rozhodnutia smerujuce od OVM samozrejme budu podpisovane uplne rovnako ako doteraz.

Dakujem, dalsia komplikacia pri overovani (a z toho navrhu to nie je jasne). Navyse niekde sa vyzaduje autorizacia oboch stran.(marginalne pripady)

Netusim a pride mi to irrelevantne.

Ano, malo by to byt irelevantne.