Nginx prihlasenie na web cez eID bez D.Bridge

Rozbehal som si prihlasenie do webu na nginx cez eID. Neviem preco nefunguje TLSv1.3 a neviem ci je rozumne ze tam dali RSA ale celkovo sa mi zda ten certifikat nejaky divny.

Takto si to ja predstavujem ze pridem na web a zadam svoj certifikat a ono ma tam logne. Preco mam pouzivat nejaku debilnu extension.

Nastavenie Nginx:

server {…
ssl_protocols TLSv1.2; // prihlasenie cez TLSv1.3 nefunguje
ssl_conf_command SignatureAlgorithms “RSA+SHA256”; // pre windows browseri
ssl_client_certificate /www/eid_chain.crt;
ssl_verify_client on;

return 200 “Verify: $ssl_client_verify\nDN: $ssl_client_s_dn\n”;
…}

Subor eid_chain.crt (obsahuje RootCA+PCA)

• http://eidrep1.disig.sk/svkeidpca/cert/svkeidpca.pem

• http://eidrep1.disig.sk/svkeidroot/cert/svkeidroot.pem

Browser na windowse funguje automaticky a netreba dodatocne nic riesit. Na linuxe je potrebne injectnut /usr/lib/eID_klient/libpkcs11_x64.so

1. Využitie eID - libpkcs11_x64.so (Linux) pre externé aplikácie

Na to treba RSASSA-PSS, ale preukazy podporujú len RSASSA-PKCS1-v1_5.
(pozri tiež Legacy RSASSA-PKCS1-v1_5 codepoints for TLS 1.3)

Tie čipy by to samozrejme vedeli, no niekto si zrejme povedal, že netreba.

A ma vyznam RSA alebo by bolo mozne mat aj ECDSA alebo proste mat certifikaty ktore si kvazi v nejakej default well known sade tak aby nebolo treba riesit sprostosti. Mimochodom na karte su tri certifikaty. Co mne zase pride take ze ci je prave toto potrebne?

SIG_EP - SVK eID SCA - Key Encipherment, Data Encipherment - Digital Signature, Non-Repudiation

SIG_EP - SVK eID PCA - Digital Signature, Key Encipherment - Client Authentication

SIG_ZEP - SVK eID ACA2 - Non-Repudiation -

Teda ja sa v tomto nevyznam iba si tak vravim ze keby je tam priamo jeden certifikat na vsetko povedzme v ecdsa tak aby to fungovalo hlavne na modernych masinach PnP bez potreby nejakej zlozitej konfiguracie ze to ide tak ako je.

Toto tvrdi AI:
Nové slovenské občianske preukazy (vydávané od decembra 2022, tzv. “bezkontaktné eID”) už hardvérovo podporujú eliptické krivky. Čipy sú modernejšie a zvládajú ECDSA operácie, ktoré sú výpočtovo menej náročné a pri menšej dĺžke kľúča poskytujú vyššiu bezpečnosť ako RSA.

Centrálna elektronická podateľňa (CEP): Do prvej polovice roku 2026 prebiehala finalizácia nasadenia overovacích mechanizmov pre ECDSA.

Prechod na ECDSA v rámci štátnych eID certifikátov sa očakáva až v ďalších generáciách vydávaných certifikátov, keď si budeme 100% istí, že všetky úrady v EÚ (podľa eIDAS) vedia takéto podpisy korektne spracovať.

Takzvaná umelá inteligencia sa v tom (či v čomkoľvek) predsa nevyzná vôbec.

Naše občianske preukazy priam odjakživa podporovali a používali šifrovanie založené na eliptických krivkách v rámci PACE & EAC (BSI - Technical Guideline BSI TR-03110).

V dobe, keď sa o algoritme na podpisovanie certifikátov rozhodovalo, bolo RSA správna (a takpovediac jediná) voľba. Kto na ECDSA z RSA neprešiel dodnes, nech prejde rovno na postkvantové algoritmy. Ušetrí si robotu.