Podpisovanie cez mobilne riesenie DCOM

image

Pri podpisovaní elektronických dokumentov? A čím sa podpisuje? Čo sa vôbec vie o tomto riešení a jeho bezpečnosti?

Pokial si spravne pamatam, tak zdokonaleny podpis (AdES). Ale to je pre ucely tejto diskusie irrelevantne.

Hmm, aj keď je to irelevantné, predsa len, podľa Nariadenia č. 910/2014:
Zdokonalený elektronický podpis musí spĺňať tieto požiadavky:
a) je jedinečne spojený s podpisovateľom;
b) umožňuje určenie totožnosti podpisovateľa;
c) je vyhotovený pomocou údajov na vyhotovenie elektronického podpisu, ktoré môže podpisovateľ s vysokou mierou dôveryhodnosti používať pod svojou výlučnou kontrolou, a
d) je prepojený s údajmi, ktoré sa ním podpisujú, takým spôsobom, že každú dodatočnú zmenu údajov možno zistiť.

V tomto prípade používateľ ani len netuší, že sa nejaké údaje na vyhotovenie EP niekde vygenerujú…

Pôvodný plán bol zrejme AdES, ale už to tak nie je.
Použitá je autorizácia kliknutím. Technická realizácia je spravená tak, že nad autorizovaným dokumentom sa vytvorí elektronický podpis (ako kryptografická operácia, nie podpis podľa zákona), čím sa chráni najmä integrita.

2 Likes

Aha, rozumiem. Autorizácia kliknutím resp. jej dôveryhodnosť je ale de facto založená hlavne na autentifikácii používateľa a jej bezpečnosti.
Stanovisko CSIRTu k mID DEÚS z júla 2019 bolo vcelku kritické. Zmenilo sa niečo medzičasom?
MobileID_Stanovisko_SKB_CSIRT_SK_20190712.pdf (118.1 KB)

1 Like

OK. Presne tak a preto je velmi dolezite ako tato mobilna identita vznikne.
Chcem sa spytat ci je niekde blizsie popisana ta aktivacia mobilneho zariadenia, ako to presne funguje a v com spociva odolnost.
Z videa sa da usudit ze je treba mat k dispoziii dva doklady napr. vodicsky a obciansky preukaz a musi to urobit clovek kedze sa neda podstrcit fotografia.
V tejto aplikacii vieme ze je to zrejme hlavne urcene pre tych co maju stary obciansky preukaz a ktori nepouziju eID.
Cize je velmi pravdepodobne ze clovek na fotografii na starom obcianskom preukaze uz davno nevyzera tak ako na povodnej fotografii (pribral, ma bradu, fuzy a pod). Zaujimalo by ma ako je postupovane v pripade tej aktivacie pracuje sa s tymi foto nejak?. Lebo takto na prvy pohlad sa zda ze dolezite je mat dva doklady (resp. ich fotografie) a cloveka ktory sa podla pokynov aplikacie vyfotografuje. Ako sa dosiahne istoty ze je to ten pravy clovek???

Z toho vznikne identita, ktora je potom dalej uz pouzivana aj pre autorizaciu dokumentov. Kde v schranke sa napriklad jej majitel dozvie ze je na tuto schranku - identitu naparovane nejake zariadenie ak by ju nahodou vykonal niekto s nekalymi umyslami, ktory sa dostal k jeho dokladom?

nezmenilo sa nic a nejdana sa o autorizaciu klikom
to len sa mi zda ze @Lubor ako člen pracovnej skupiny pre mobilne eID ma tak silnu averziu voči Globaltelu, že sústavne podprahovo zamlčaním iných faktov podporuje riešenie PoSAM a Datalan (neviem či úmyselne alebo neúmyselne ).

“Autorizácia klikom” v našej legislatíve 305/2013:

použitím na to určenej funkcie informačného systému prístupového miesta a po úspešnej autentifikácii osoby ktorá autorizáciu vykonáva, zodpovedajúcej najmenej úrovni zabezpečenia „pokročilá“ podľa osobitného predpisu,20a) ak sa zabezpečí uvedenie tejto osoby ako odosielateľa elektronickej správy, nemennosť obsahu autorizovaného dokumentu do momentu uloženia v elektronickej schránke adresáta, spojenie autorizovaného dokumentu s identifikátorom osoby odosielateľa a zachovanie väzby medzi nimi, ak to osobitný predpis nezakazuje alebo

ak by to malo tak byť tak prosím o zodpovedanie zopár otázok

  • ako som v mobilnej aplikácii autentifikovaný na úrovni pokročilý ?
  • aj v prípade že za prihlasuje prostredníctvom mobilnej aplikácie ktorá nemá aktivovanú cez eID ?
  • ako je zabezpečené " uvedenie tejto osoby ako odosielateľa elektronickej správy" - ako teda pristupuju do mojeje schránky a odošlú to z nej ?

Ano je to pokus o ničo ale legislatíva zaostáva

1 Like

V tomto stanovisku CSIRT ma zaujalo to riesenie od estoncov, ktore vie robit KEP podla eidas na mobile s android 5+. To by ma naozaj zaujimalo ako spravili to QSDC ulozisko na privatny kluc na tychto zariadeniach. Samozrejme ide o remote signing :slight_smile:

Inak v nom je tam velmi podobna aktivacia tiez cez biometriu, ale predtym to clovek musel mat aktivovane uz inak. https://www.smart-id.com/help/faq/biometric-identification/biometric-identification-is-it-for-me

To asi je to podstatne co robi tu istotu…

tak ide o remote signing alebo podpisovanie na zariadeniach android ?

Celkom by aj mna zaujimalo ako je vyriesene odoslanie z mobilu do schranky UPVS prijemcu.
Nemam cerstve informacie, ale toto myslim rozhranie upvs sluzieb neposkytuje, resp. neposkytovalo. Napriek tomu, ze ak by dali rozhranie alebo funkcionalitu kedy integrovana napr. pravnicka osoba moze posielat a prijimat spravy za fyzicku osobu by sa velmi hodilo.

Samozrejme remote signing. Len to je taky trochu interny vtip, ako sa zo zariadenia, ktore nema QSDC magicky stane zariadenie, ktore vie vyrobit KEP. Clovek by az povedal, ze to je pre pouzivatela na nerozoznanie od autorizacie kliknutim.

Taketo nieco existuje (v casti odosielania), ak sa clovek prihlasi cez eid (alebo cokolvek co upvs podporuje). Viem, lebo presne tuto integraciu mame hotovu. Dokonca ako opensource Swagger UI

1 Like

Je tam uvedene:
“podávať podania v mene subjektu, ktorý sa prihlásil cez ÚPVS alebo pomocou technického účtu,”
To je treba aby sa ten clovek prihlasil napr. pomocou eID a vy to potom odoslete?
Napr. u teba vyplni formular potom sa prihlasi a cez teba odosle?
Alebo je to mozne aj tak ze napr. da ti uz vyplnene formulare a ty ich odosles?
Musi tam byt ta jeho asistencia?

Robime to tak preto, aby to mal potom v schranke. Da sa to aj anonymne, ale potom notifikacia o doruceni skonci v nejakej anonymnej schranke. (To som len pocul, neskusal).

V kazdom pripade to musi podpisat KEPom, lebo inak to nie je dostatocne autorizovane. Jeho asistenciu by nebolo treba keby si mal od neho normalne splnomocnenie a to prilozil k podaniu, ktore podpises ty.

Ale ono to funguje asi takto: Po prihlaseni zoberies SAML token a ten posles na STS/IAM vydavac tokenov. Ten ti vyda token, ktory je v mene toho prihlaseneho a uz s nim mozes volat nejake sluzby. Jedine co by bolo treba dorobit do UPVS je to, ze by to akceptovalo aj nejaky SAML token z prihlasenia cez mobil. Zvysok moze ostat. Alternativne (keby GT nechcel alebo to bolo nebodaj nejake drahe :rofl: ), tak sa da vyrobit nova STS sluzba, ktora bude vydavat taketo tokeny a vsetky sluzby si zaregistruju, ze veria aj tomuto vydavacu tokenov.

Ok rozumiem ten KEP je v tomto pripade trochu komplikacia.
Pre mna by bola tato sluzba co pises idealna v pripade ak by sa dalo bez asistencie tej fyzickej osoby za ktoru sa posiela odoslat spravu pripravenu a uz aj podpisanu v pocitaci. Cize vsetko by sa vyplnilo aj podpisalo v pocitaci a tato sluzba by to iba odoslala v mene tej osoby ktora to vytvorila a podpisala.

Ak to mas podpisane, tak na toto sa da pouzit to anonymne podanie, ale asi tam nevies trackovat ako to dopadlo. Zalezi nakolko to je pre teba potrebne. Az sa divim preco takato sluzba nie je na UPVS dostupna bez prihlasenia.

1 Like

Teraz momentalne nie, lebo sme od toho upustili, ale niekdy by sme to skusit mohli cez vas prehnat co to urobi.

1 Like

:rofl: :rofl: :rofl:
aha tak som to nepochopil ja uz som cakal ze kto prvy zacne predavat statu neake simkarty alebo pamatove karty do telefonov s bezpecnym uloziskom…
BTW je to QSCD

1 Like

Ja dufam, ze to uz vsetci vyrobcovia pochopili, ze toto je uplne mrtva vetva vyvoja. Este to citanie OP cez NFC je ako-tak.