Podpisovanie cez mobilne riesenie DCOM

Inak, ak spravne pozeram, tak od toho stanoviska CSIRT presiel ± rok. Mozno sa odvtedy aj cosi zmenilo.

minimálne to, že vtedy sa hodnitl zámer, nie implementácia.

Vyššie v diskusii už @Lubor uviedol, že sa na to pýtal, ale zatiaľ je to bez odpovede:

Čo sa týka otázky na úvodnú identifikáciu pre úroveň pokročilá – všetci máme od DEUS k dispozícii podrobné video z onboardingu (čisto mobilnej identity).:
https://www.dcom.sk/videonavody-mid

Ďalej vieme, že vďaka explicitnej definícii v 305/2013, § 23, ods. 1, písmeno a), bod 2 (tzv. autorizácii klikom) - autentifikácia musí byť najmenej na úrovni pokročilá podľa eIDAS (ustanovenie v zákone sa odkazuje na úrovne zabezpečenia schém el. identifikácie – článok 8, odstavec 2 v eIDAS - čo je inak aj nadradená norma našim štandardom). Požiadavky na úrovne zabezpečenia schém el. identifikácie rozpracováva vykonávacie nariadenie 2015/1502 https://eur-lex.europa.eu/legal-content/SK/TXT/PDF/?uri=CELEX:32015R1502&qid=1601887497820&from=EN).

Keď vidíme ako proces onboarding-u beží, aké údaje sú predkladané, aké kontroly sa nad nimi (z verejne dostupných databáz a služieb) môžu diať – kde presne vidí niekto nesúlad s eIDAS (a požiadavkami na úroveň pokročilá, definovanými v 2015/1502)? Aby sme sa bavili konkrétne.

Odpovede na požiadavky nie sú áno/nie. Mňa zaujíma práveže to vysvetlenie ako ktorá požiadavka je splnená. Keď teda konkrétnejšie, tak najmä pre 2.1.2, 2.1.3, 2.2.1.

Mozno by bolo najlepsie ak by ten sulad posudil na to urceny organ posudzovania zhody. Tym padom by sa nebolo o com v tomto smere bavit.

Castokrát som to pocul práve v spojitosti s vašou osobou, zrejme mylne. Interpretáciu v zmysle UPVII išlo po ruke v tomto vlákne nebádam. Otázne je, preco je v iných krajinách vnímaná odlišne a je bežnou súcastou (iba UX? alebo aj propagácia a edukácia?). Problémy: uvidíme, nechcem špekulovat. Ak pri KEP a tak ostro sledovanej a dozorovanej technológií s certifikáciami vznikali rôzne situácie, otázne je, co môžeme cakat pri alternatívach s nižšími zárukami bez certifikovaných prostriedkov v kombinácii s volnou implementáciou kliku a pomerne prispôsobivej interpretácií toho, čo by to malo robiť. Súhlasím v tom, že sú rozhodne služby, kde KEP nie je nutný - otázka je skôr, ci by priamo bez praktickej skúsenosti mali špecifické alternatívy “bežného podpisovania” disponovat od samého začiatku úcinkom vlastnorucného podpisu - ale o tom sa co-to diskutovalo v inom vlákne.

To rád pocujem, že NEide o další typ elektronického podpisu. Znenie zákona som nespochybnoval, avšak je možná rôznorodá interpretácia a realizácia čo podľa môjho názoru neprispieva dôveryhodnosti bez spoločných pravidiel - ale uvidíme, čo sa podarí “štandardizovať”.
Preto verím (lebo nie sú k dispozícii žiadne hodnoverné vstupy okrem dohadov), že v tomto konkrétnom prípade “podpisovania”, po opakovanej autentifikácii (asi výzva-odpoved?), skutocne nasleduje použitie “na to urcenej funkcie informacného systému prístupového miesta”.

Nie, žiadny zmätok. Ide o formuláciu faktu, že sa jedná o odlišné prístupy s rôznymi zárukami (v prípade tých, kde postačuje úroveň autentifikácie “pokročilá” je zvýšená miera rizika - veď preto sa záruky škálované do úrovní), ale s rovnakým úcinkom vlastnoručného podpisu . Pluralita názorov je bežná vec.

Je úplne v poriadku ak sa využíva technický koncept v protokole (napr. výzva-odpoved) pocas autentifikácie. Ide o to, aby sa z technického konceptu nestal zo dna na den podla potreby/oporunisticky (a bezo zmeny v mechanizme) AdES. Napr. v budúcnosti pocas sporu pri snahe priživiť sa trochu na “výhodách” a ustanoveniach eIDAS, ako cl. 25 ods 1 o neodmietnutelnosti elektronického podpisu ako dôkazu pred súdom - pretože, ako bolo spomenuté, nemalo by ísť o ďalší typ podpisu.
To by už bola diametrálne odlišná situácia a urcite zaujímavá aj z pohladu eIDAS.

Pár riadkov vyššie som zachytil výrok, že od zaciatku NEišlo o další typ elektornického podpisu. Takže teda logicky ani ES a AdES, alebo sa mýlim?

Rozumiem, je to smutné. V tomto prípade však je na mieste zvedavosť a pozornosť, lebo sa argumentuje, že ide o autorizáciu klikom a nikto žiadny doteraz “nevidel”…

V tomto sa zhodujeme, ani Enisa to neodporúča. Na FSSR som upozorňoval aj tu na platforme ako jeden z mála.

Neviem v tomto prípade o aký konkrétny článok/recitál sa opierate (aj keď by som mal tip)? Ja som skôr v prípade (ne)súladu s eIDAS narážal, ak by sa ukázalo, že sa používa EP podľa eIDAS ideálne s certifikátom (dôveryhodná služba vydávania cert).

zákon hovorí:
“použitím na to urcenej funkcie informacného systému prístupového miesta a po úspešnej autentifikácii osoby ktorá autorizáciu vykonáva, zodpovedajúcej najmenej úrovni zabezpecenia „pokrocilá“ podla osobitného predpisu,20a) ak sa zabezpecí uvedenie tejto osoby ako odosielatela elektronickej správy, nemennost obsahu autorizovaného dokumentu do momentu uloženia v elektronickej schránke adresáta, spojenie autorizovaného dokumentu s identifikátorom osoby odosielatela a zachovanie väzby medzi nimi”
Zo znenia by som ocakával (ak cítam a interpretujem správne), že službu autorizácie realizuje “na to urcená” funkcia IS pristupového miesta a PO opakovanej autentifikácii. Teda, použitie lokálnej aplikácie je prípustné, avšak v kontexte opakovaného prihlásenia, zatial co samotná operácia autorizácie by mala byt realizovaná potom na to urcenou funkciou IS prístupového miesta. Preto ma prirodzene zaujíma, ci skutocne tam bola doplnená/implementovaná práve “na to urcená” funkcia a ako funguje (čo robí, čo je jej vstupom a co jej výstupom), ak má dosiahnut všetky nároky vylývajúce z definície v zákone. Ak nie, potom nejde o funkciu IS prístupového miesta a domnievam sa, že by to bolo mimo legislatívnej bázy a tiež by to moholo prispieť ku špekulácii, že vlastne ide o autentifikáciu a autorizáciu v jednom.

Ja tam vidim len logicku spojku “A”, nie nutne, ze to je sekvencia. A uz vobec tam nevidim, ze by bolo nutne ju vyzadovat opakovane. Inak tymto neduhom trpia aj schranky na slovensko.sk, kde si to pyta bok pri preberani spravy do vlastnych ruk a nevidim v tom ziadny velky zmysel, ked som sa prave prihlasil do schranky. A uz duplom, ked potom na mna pri ukone “preberania” vyleti okno, ktore hovori o “prihlasovani”.

To je to, ze sa dedukuju rozne interpretacie. Mozno sa ta spojka a odkaz na autentifikaciu vsunul pre uvedenie urovne pokrocila pre autentifikacie? Zda sa, ze to obdobnym sposobom opakovanej autentifikacie ponali aj v tomto pripade. V opacnom pripade mi to vychadza tak, ze tam fakt nie je po prvotnom prihlaseni nutnost vobec pouzit lokalnu aplikaciu (ci uz mid alebo eid klinta) a vsetko by mal robit system… Preto ma zaujima, ci je ta “opakovana” autentifikacia jedinou opraciou, ktora de facto autorizuje ukon, slebo je tam aplikovana na to urcena funkcia…

1 Like

Tak z toho čo je vidieť na videu a čo bolo zatiaľ prezentované, skúsim nasledovne.:

2.1.2
Pre úroveň nízka.:

a) Možno predpokladať, že daná osoba má v držbe dôkaz označujúci údajnú totožnosť, uznaný členským štátom, v ktorom sa žiadosť o prostriedok elektronickej identifikácie podáva.

  • Preukázanie sa údajmi z OP (uznaný doklad v SR), dodatočne ešte z ďalšieho dokladu

b) Možno predpokladať, že dôkaz je pravý alebo že podľa spoľahlivého zdroja existuje, a podľa všetkého je platný.

  • Overenie na existenciu a platnosť dokladu cez služby MVSR

c) Spoľahlivému zdroju je známe, že údajná totožnosť existuje, a možno predpokladať, že osoba hlásiaca sa k nejakej totožnosti, je jedna a tá istá.

  • Snáď sa zhodneme, že MVSR je dostatočne spoľahlivý zdroj. Ďalej keďže som uviedol údaje z dokladu (dokonca dvoch zriedka naraz využívaných) možno predpokladať, že osoba hlásiaca sa k nejakej totožnosti je jedna a tá istá.

Pre úroveň pokročilá.: (Úroveň „nízka“ a zároveň musí byť splnená jedna z alternatív uvedených v bodoch 1 až 4 – postačuje teda 1):

a) Bolo overené, že osoba má v držbe dôkaz označujúci údajnú totožnosť, uznaný členským štátom, v ktorom sa žiadosť o prostriedok elektronickej identifikácie podáva,

  • Preukázanie sa údajmi z OP (uznaný v SR), dodatočne ešte z ďalšieho dokladu

b) a dôkaz je skontrolovaný, aby sa zistilo, či je pravý, alebo je podľa spoľahlivého zdroja známe, že existuje a viaže sa na skutočnú osobu,

  • Overenie na existenciu platnosti dokladu cez služby MVSR

c) boli podniknuté kroky na minimalizáciu rizika, že totožnosť danej osoby nie je údajná totožnosť, pričom sa bralo do úvahy napríklad riziko, že dôkaz sa stratil, bol odcudzený, jeho platnosť bola pozastavená alebo zrušená alebo uplynula,

  • Služby MVSR poskytujú informáciu, ak je doklad neexistujúci, nahlásený ako odcudzený, prípadne platnosť existujúceho pozastavená, zrušená alebo uplynulá.

  • Údaj z druhého dokladu (mimo OP) výrazne znižuje riziko, že totožnosť nie je údajná totožnosť.

  • Porovnanie tváre používateľa (a test na živú prítomnosť osoby počas onboarding-u) s fotografiou na doklade (OP) s využitím tvárovej biometrie minimalizuje riziko, že totožnosť danej osoby nie je údajná osobnosť, a zároveň poskytuje dôkazový materiál v prípade snahy o falšovanie identity (útočník musí zviditeľniť svoju tvár).

2.1.3
Riešenie DEUS pokiaľ mne je známe pokrýva len fyzické osoby, nie PO

2.2.1.
Pre úroveň pokročilá.:

a) Prostriedok elektronickej identifikácie využíva najmenej dva faktory autentifikácie z rôznych kategórií.

  • Z videa je vidieť, že sa používa faktor “niečo viem” (PIN) a veľakrát bolo za riešenie DEUS na prezentáciách spomenuté, že generujú pre autentifikáciu private-public kľúčový pár, pričom private kľúč ostáva na mobile v tzv. aktivovanej aplikácii (faktor “niečo mám”). To sú dva faktory z rôznych kategórií.

b) Prostriedok elektronickej identifikácie je uspôsobený tak, aby bolo možné predpokladať, že sa používa iba pod kontrolou alebo v držbe osoby, ktorej patrí

  • Prostriedok je uložený na mobilnom zariadení, ktorý má (za normálnych okolností, pokiaľ nebolo odcudzené) pod kontrolou (zariadenie vlastní, alebo výhradne používa) osoba identifikovaná podľa 2.1.2. Zároveň tá istá osoba vie PIN, bez ktorého nie je možné prostriedok použiť (PIN si zvolila osoba pri personalizácii/aktivácii).
2 Likes

Idealne by bolo keby tento produkt mal certifikat o zhode na uroven pokrocila urobeny v niektorom clenskom state EU. Bolo by po debatach. Nehovoriac o tom ze by asi bolo dobre aby taketo systemy ktore zaistuju identifikaciu a autentifikaiu museli pred implementaciou preukazovat uroven zhody. Nemalo by to byt iba na vyhlaseni dodavatela.
Napr. nevieme ako je to odolne proti zneuzitiu. Napr. “Bolo overene ze osoba ma v drzbe…”
Ako system bude reagovat ak mu podhodim kvalitne fotografie dokladov?
Lebo v takom pripade uz by neplatilo ze ma v drzbe ale skor ze mala v drzbe…

@kyselat ďakujem, tiež si myslím že to vyhodnotenie nemusí byť až taká veda. Ale zasa ani takto ľahko sa to nedá odbiť, napr:

A na toto práve by ma zaujímal názor experta. Aj to “porovnanie tváre atď.” sa dá nastaviť rôzne prísne (ako určite vieš) a otázka je, nakoľko to treba zošróbovať (false positive rate?), aby. bolo už “minimalizované riziko”.
Expert = niekto kto má skúsenosti/autoritu v tejto oblasti a vie to porovnať s inými podobnými riešeniami. Napr. u nás by to mal byť ten CSIRT…

Ach áno, narýchlo som to pozreal, prehliadol som že 2.1.3 je len pre PO.

Ideálne áno. Len neviem či to nie je príliš dlhá&drahá&zbytočne byrokratická procedúra, keďže toto riešenie zatiaľ vôbec neašpirovalo na eIDAS notifikovanú schému. (A ako som písal vyššie, doteraz to spravili len pre eID.)

2 Likes

Ked sa pozries na produkt a jeho reerencie, tak pomaly cela afrika ho pouziva. Zda sa ze je to vyspely produkt.Preto si myslim ze ked sa to ma pouzit aj v EU statoch oplatilo by sa to urobit nielen koli zvyseniu dovery ale istote pri nasadzovani do roznych rieseni v EU. A bola by to aj pre tento produkt dobra referencia.

To znamena ze sa tieto fotografie tvare niekde ukladaju?
Ak ano aky je dovod/ucel zhromazdovania tychto osobnych udajov.
Napr. ak som sa nepodvadzal, uklada sa moja fotografia iba z toho dovodu lebo niekto iny by mohol podvadzat a potrebuju mat dokazy? Tj. vsetky foto sa ukladaju iba z dovodu ze by sa mohol medzi nimi najst niekto kto sa pokusil podvadzat.
Alebo ukladaju sa aj biometricke udaje o tvari obcana? Ak ano z akych dovodov?
Koli eliminacii moznych nedokonalosti systemu?

Do PS2 prišiel nový návrh na štandard pre autorizáciu klikom:

Tak to uspesne spustili.

No a dnes vyslo taketo -> https://zive.aktuality.sk/clanok/149396/stat-uz-chysta-mobilne-id-pre-slovensko-sk-a-aplikaciu-ako-branu-k-elektronickym-sluzbam-vyvija-ich-sam/
Cize statna IT akciovka robi konkurencne riesenie. Nevedno za kolko a preco. Nezaregistroval som verejne obstaravanie, ktore by tato statna akciova spolocnost vyhrala.

Bude aj biometria? :slight_smile:

hm, ani VO, ani zmluva. Tak to asi robia zadarmo

1 Like

Aky je dovod ze nie je mozne vyuzit riesenie DEUS?

2 Likes