Slobodný softvér k (starému) elektronickému OP

Súčasné poznatky ochrany tohto typu počítačového programu neumožňujú žalobcovi zabezpečiť ochranu tak, aby bola neprelomiteľná.

Žalobca je nútený opakovane vyvinúť nové zabezpečenie aplikácie vždy, keď žalovaný existujúcu ochranu prelomí, s čím žalobcovi vznikajú ďalšie náklady a pokiaľ sa žalovaný nezdrží zásahov, bude škoda na strane žalobcu narastať.

No mne z tohto vychádza, že sami dobre vedia, že “security by obscurity” ich nikdy neochráni, len akosi sa stále snažia dokola tam pridávať “ochrany”, ktoré nemôžu dobre fungovať. Nazvať toto nejakou škodou, ktorá im narastá, je celkom kreatívne.

V prvom rade by ma zaujímalo, že či MV si takéto niečo objednalo a zaplatilo aj keď sám dodávateľ vie, že “Súčasné poznatky ochrany tohto typu počítačového programu neumožňujú žalobcovi zabezpečiť tak, aby bola neprelomiteľná.”. Nemám pochybnosti o tom, že špecialisti na MV o tomto vedia tiež. Na čo sa tu teda hráme?

Mne sa najviac páči snaha dosiahnuť “bezpečnosť” čohokoľvek pomocou autorského zákona.

Predstavujem si tú bandu záškodníkov, ktorí sa už-už “nabúrali” do vládnych počítačov, ale zostali im len oči pre plač, pretože plán im prekazil § 60.

Naozajstní útočníci, na rozdiel odo mňa, majú zákony vrátane toho autorského pravdepodobne “na háku”.

Ked to prezeniem, tak MV sa vlastne neriadi tymto odporucanim?

Uvádzame zoznam vybraných informácií a údajov, ktoré sú považované za citlivé (podľa vyhlášky NBÚ č. 362/2018 Z. z. môžu byť klasifikované minimálne ako “INTERNÉ”) a ich zverejnenie je považované za bezpečnostné riziko. Odporúčame ich nezverejňovať na verejne dostupných portáloch.

… Údaje slúžiace na autorizáciu a autentifikáciu pri komunikácii (napr. token, API kľúč).

Ten api kluc na komunikaciu predsa musi byt zverejneny, ak ho ma pouzivat koncova klientska aplikacia, ktora je verejne dostupna. Je uplne jedno ako ho “zasifruju” a lokalne potom vzdy odsifruju.

Toto je nehoráznosť zo strany Plaut.
Taktiež je to nehorázne zo strany MVSR, ktoré zrejme tlačí na Plaut, aby menil aplikáciu (zadarmo?) - toto je jediné rozumné vysvetlenie “škody/nákladov na strane žalobcu v súvislosti s týmto konaním”.

U mňa si Plaut a MVSR krokmi, ktoré proti @sarinay a alternatívam eID podnikajú, sami podstatne poškodzujú reputáciu.

Najväčšie nezmysly tohto celého:

• “čím umožnil ďalším používateľom neoprávnene čítať údaje z eID kariet” - klamstvo, každý držiteľ eID samozrejme je oprávnený si zistiť údaje z vlastného OP
• “týmto konaním … je ohrozená bezpečnosť elektronickej komunikácie držiteľov eID kariet s orgánmi verejnej moci” - klamstvo, je to presne naopak, držiteľom eID sa práve pomocou tohto umožnila bezpečná komunikácia aj tam, kde to pôvodná aplikácia eID klient neumožňovala
• “Následkom konania žalovaného dochádza k neoprávnenému prístupu do autentifikačného systému aID AS” - klamstvo, “pristupovať do eID AS” môže iba oprávnený držiteľ eID, v rovnakých prípadoch, rozsahu a spôsobom, nech už použije ktorúkoľvek aplikáciu

Celá konštrukcia “vytvoril obdobný software, neoprávnene zhotovenú rozmnoženinu, resp.
napodobeninu diela žalobcu” podľa toho čo sme tu videli je skoro iste mimo práv chránených autorským zákonom, keďže “Za predmet autorského práva sa nepovažuje … myšlienka, spôsob, systém, metóda, koncept, princíp, objav alebo informácia, ktorá bola vyjadrená, opísaná, vysvetlená, znázornená alebo zahrnutá do diela” (§5.a AZ) a “pár jednoduchých programov na prácu s elektronickým občianskym preukazom” sa na pôvodný eID klient ani náhodou nepodobajú grafickým vyjadrením a zrejme ani zdrojovým kódom nad rámec nevyhnutnej implementácie protokolov.

Najviac poburujúce je nariadenie súdu “odstrániť časti programov slúžiacich na elektronické podpisovanie s certifikátmi uloženými v slovenských občianskych preukazoch s elektronickým čipom” dokonca z FOSS projektu OpenSC.

Tak zase vieme, ako funguju slovenske sudy. Sudca pravdepodobne nema taketo znalosti, znalca si neprizve, rozhoduje alibisticky a formalne.

Rad prispejem na pravnu obranu a mohlo by tak urobit aj SK digital.

Prizve(me), keď príde na lámanie chleba.

Vďaka, azda sa ubránim sám. Čo som si navaril, to si (s chuťou) zjem. Moje náklady napokon aj tak ponesie protistrana.

to ma len utvrdzuje v tom, že niektoré advokátske kancelárie aj ked vedia, že píšu nezmysly, tak ich tam aj tak napíšu, alebo asi vedia že sudcu obalamutia a protistranu vystrašia … Prosto vidina zisku nepustí…

V rámci Coders’ Rights Project robia užitočnú osvetu, no Reverse Engineering FAQ sa týkajú najmä Spojených štátov.

V Európe je reverzné inžinierstvo za účelom interoperability dovolené už viac ako tridsať rokov. K tomu EFF asi nijako neprispela, bola založená (až) v roku 1990. Tu je zaujímavý historický dokument združenia ECIS, ktoré za dnešné pravidlá bojovalo.

@sarinay
je uz aj vytyceny termin riadneho pojednavania na sude?

Neviem. Zrejme nie je.

Protištátne živly!
Nedajú si povedať…

Hello all,

We are happy to announce the latest release of OpenSC 0.24.0.
You can find the full summary of changes, release tarballs and binaries
on Github:

Release OpenSC 0.24.0 · OpenSC/OpenSC · GitHub

The notable changes include fixes for potential PIN bypass as well
as several potentially security related memory or buffer issues found by
oss-fuzz. We also enabled file caching by default, improved support for
several IDPrime card types, implemented Secure Messaging for PIV and
added support for EC in Minidriver.

For full changelog, please refer to the NEWS file:
https://github.com/OpenSC/OpenSC/blob/master/NEWS

Regards,
Jakub Jelen
and the OpenSC team