Slobodný softvér k (starému) elektronickému OP

jsuchal · September 5, 2023, 6:54am

Súčasné poznatky ochrany tohto typu počítačového programu neumožňujú žalobcovi zabezpečiť ochranu tak, aby bola neprelomiteľná.

Žalobca je nútený opakovane vyvinúť nové zabezpečenie aplikácie vždy, keď žalovaný existujúcu ochranu prelomí, s čím žalobcovi vznikajú ďalšie náklady a pokiaľ sa žalovaný nezdrží zásahov, bude škoda na strane žalobcu narastať.

No mne z tohto vychádza, že sami dobre vedia, že “security by obscurity” ich nikdy neochráni, len akosi sa stále snažia dokola tam pridávať “ochrany”, ktoré nemôžu dobre fungovať. Nazvať toto nejakou škodou, ktorá im narastá, je celkom kreatívne.

V prvom rade by ma zaujímalo, že či MV si takéto niečo objednalo a zaplatilo aj keď sám dodávateľ vie, že “Súčasné poznatky ochrany tohto typu počítačového programu neumožňujú žalobcovi zabezpečiť tak, aby bola neprelomiteľná.”. Nemám pochybnosti o tom, že špecialisti na MV o tomto vedia tiež. Na čo sa tu teda hráme?

sarinay · September 5, 2023, 7:20am

Mne sa najviac páči snaha dosiahnuť “bezpečnosť” čohokoľvek pomocou autorského zákona.

Predstavujem si tú bandu záškodníkov, ktorí sa už-už “nabúrali” do vládnych počítačov, ale zostali im len oči pre plač, pretože plán im prekazil § 60.

Naozajstní útočníci, na rozdiel odo mňa, majú zákony vrátane toho autorského pravdepodobne “na háku”.

jsuchal · September 5, 2023, 7:44am

Ked to prezeniem, tak MV sa vlastne neriadi tymto odporucanim?

Uvádzame zoznam vybraných informácií a údajov, ktoré sú považované za citlivé (podľa vyhlášky NBÚ č. 362/2018 Z. z. môžu byť klasifikované minimálne ako “INTERNÉ”) a ich zverejnenie je považované za bezpečnostné riziko. Odporúčame ich nezverejňovať na verejne dostupných portáloch.

… Údaje slúžiace na autorizáciu a autentifikáciu pri komunikácii (napr. token, API kľúč).

Ten api kluc na komunikaciu predsa musi byt zverejneny, ak ho ma pouzivat koncova klientska aplikacia, ktora je verejne dostupna. Je uplne jedno ako ho “zasifruju” a lokalne potom vzdy odsifruju.

Lubor · September 6, 2023, 6:48am

Toto je nehoráznosť zo strany Plaut.
Taktiež je to nehorázne zo strany MVSR, ktoré zrejme tlačí na Plaut, aby menil aplikáciu (zadarmo?) - toto je jediné rozumné vysvetlenie “škody/nákladov na strane žalobcu v súvislosti s týmto konaním”.

U mňa si Plaut a MVSR krokmi, ktoré proti @sarinay a alternatívam eID podnikajú, sami podstatne poškodzujú reputáciu.

Najväčšie nezmysly tohto celého:

“čím umožnil ďalším používateľom neoprávnene čítať údaje z eID kariet” - klamstvo, každý držiteľ eID samozrejme je oprávnený si zistiť údaje z vlastného OP
“týmto konaním … je ohrozená bezpečnosť elektronickej komunikácie držiteľov eID kariet s orgánmi verejnej moci” - klamstvo, je to presne naopak, držiteľom eID sa práve pomocou tohto umožnila bezpečná komunikácia aj tam, kde to pôvodná aplikácia eID klient neumožňovala
“Následkom konania žalovaného dochádza k neoprávnenému prístupu do autentifikačného systému aID AS” - klamstvo, “pristupovať do eID AS” môže iba oprávnený držiteľ eID, v rovnakých prípadoch, rozsahu a spôsobom, nech už použije ktorúkoľvek aplikáciu

Celá konštrukcia “vytvoril obdobný software, neoprávnene zhotovenú rozmnoženinu, resp.
napodobeninu diela žalobcu” podľa toho čo sme tu videli je skoro iste mimo práv chránených autorským zákonom, keďže “Za predmet autorského práva sa nepovažuje … myšlienka, spôsob, systém, metóda, koncept, princíp, objav alebo informácia, ktorá bola vyjadrená, opísaná, vysvetlená, znázornená alebo zahrnutá do diela” (§5.a AZ) a “pár jednoduchých programov na prácu s elektronickým občianskym preukazom” sa na pôvodný eID klient ani náhodou nepodobajú grafickým vyjadrením a zrejme ani zdrojovým kódom nad rámec nevyhnutnej implementácie protokolov.

Najviac poburujúce je nariadenie súdu “odstrániť časti programov slúžiacich na elektronické podpisovanie s certifikátmi uloženými v slovenských občianskych preukazoch s elektronickým čipom” dokonca z FOSS projektu OpenSC.

dusoft · September 6, 2023, 7:15am

Tak zase vieme, ako funguju slovenske sudy. Sudca pravdepodobne nema taketo znalosti, znalca si neprizve, rozhoduje alibisticky a formalne.

Rad prispejem na pravnu obranu a mohlo by tak urobit aj SK digital.

sarinay · September 6, 2023, 7:52am

Prizve(me), keď príde na lámanie chleba.

Vďaka, azda sa ubránim sám. Čo som si navaril, to si (s chuťou) zjem. Moje náklady napokon aj tak ponesie protistrana.

robert.kuchar · September 6, 2023, 12:53pm

to ma len utvrdzuje v tom, že niektoré advokátske kancelárie aj ked vedia, že píšu nezmysly, tak ich tam aj tak napíšu, alebo asi vedia že sudcu obalamutia a protistranu vystrašia … Prosto vidina zisku nepustí…

sarinay · September 7, 2023, 4:49pm

V rámci Coders’ Rights Project robia užitočnú osvetu, no Reverse Engineering FAQ sa týkajú najmä Spojených štátov.

V Európe je reverzné inžinierstvo za účelom interoperability dovolené už viac ako tridsať rokov. K tomu EFF asi nijako neprispela, bola založená (až) v roku 1990. Tu je zaujímavý historický dokument združenia ECIS, ktoré za dnešné pravidlá bojovalo.

kuko · October 23, 2023, 4:50pm

@sarinay
je uz aj vytyceny termin riadneho pojednavania na sude?

sarinay · October 23, 2023, 6:05pm

Neviem. Zrejme nie je.

sarinay · December 13, 2023, 11:38am

Protištátne živly!
Nedajú si povedať…

Hello all,

We are happy to announce the latest release of OpenSC 0.24.0.
You can find the full summary of changes, release tarballs and binaries
on Github:

Release OpenSC 0.24.0 · OpenSC/OpenSC · GitHub

The notable changes include fixes for potential PIN bypass as well
as several potentially security related memory or buffer issues found by
oss-fuzz. We also enabled file caching by default, improved support for
several IDPrime card types, implemented Secure Messaging for PIV and
added support for EC in Minidriver.

For full changelog, please refer to the NEWS file:
https://github.com/OpenSC/OpenSC/blob/master/NEWS

Regards,
Jakub Jelen
and the OpenSC team

github.com

OpenSC/OpenSC/blob/53f81e7fcb5bc7a6a0dc389858873d04a1a97245/NEWS#L73


      
          * Fix select data command (#2753, issue #2752)
          * Unbreak ed/curve25519 support (#2892)
          ## eOI
          * Add support for Slovenian eID card (eOI) (#2646)
          ## Italian CNS
          * Add support for IDEMIA (Oberthur) tokens (#2483)
          ## PIV
          * Add support for Swissbit iShield FIDO2 Authenticator (#2671)
          * Implement PIV secure messaging (#2053)
          ## SkeID
          * Add support for Slovak eID cards (#2672)
          ## isoApplet
          * Support ECDSA with off-card hashing (#2642)
          ## MyEID
          * Fix WRAP operation when using T0 (#2695)
          * Identify changes on the card and enable `use_file_cache` (#2798)
          * Workaround for unwrapping using 2K RSA key (#2921)
          ## SC-HSM
          * Add support for `opensc-tool --serial` (#2675)
          * Fix unwrapping of 4096 keys with handling reader limits (#2682)
          * Indicate supported hashes and MGF1s (#2827)

Lubor · July 23, 2024, 2:24pm

Pre informáciu, začala komunikácia medzi Plautom a @sarinay (kde som aj ja ako sprostredkovateľ) s cieľom ukončiť spory dohodou. Myslím že ani jedna strana sa súdiť nechce, ale treba nájsť obojstranne schodné riešenie vo viacerých témach, ktorým rok prebiehajúce súdy nepomohli, skôr naopak.

sarinay · June 20, 2025, 9:12am

Mám nový preukaz. Takýto, s obrovským štátnym znakom a s ornamentom z fotobanky. Pretože nechcem zostať odkázaný na neslobodný softvér, pustil som sa opäť do programovania.

Azda sa niekomu zíde najmä aktualizovaná knižnica OpenSC.

Najnovšie preukazy o sebe tvrdia, že sú verziou 4, rovnako ako tie predošlé. Preto som ovládač skeid4 premenoval na skeid2022 a ten najnovší som nazval skeid2024. Je to podľa roku, v ktorom sa preukazy začali vydávať.

Kto má chuť, nech vyskúša.

git clone https://sarinay.com/code/OpenSC.git

Potrebné sú knižnice OpenSSL a OpenPACE. Na Linuxe (s libssl-dev & libeac-dev) to skompilujete hravo. Mac nemám ako vyskúšať, pomoc vítaná. Pre Windows som prichystal inštalačku.

Na komunikáciu s preukazmi niekedy treba CAN. Presnejšie vždy vtedy, keď sa používa (bezkontaktné) NFC rozhranie. Pri najnovších preukazoch (skeid2024) na kvalifikovaný podpis dokonca aj v kontaktnom režime.

Ovládač hľadá CAN buď v premennej (prostredia) SKEID_CAN alebo v konfiguračnom súbore opensc.conf:

app default {
        framework pkcs15 {
                # uncomment to cache digital signature PIN
                # pin_cache_ignore_user_consent = true;
        }
        card_driver skeid2024 { 
                can = 133337;
        }
}

Knižnicu opensc-pkcs11.so či opensc-pkcs11.dll potom možno použiť v ľubovoľnom nástroji na podpisovanie. Ja som to skúsil okrem iného v Autograme a fungovalo to znamenite. V nastaveniach je “Cesta k vlastnému ovládaču pre PKCS11 token”, správny slot sa dá zistiť pomocou pkcs11-tool --list-slots

Pre všetky moje ovládače platí:

pri zdokonalenom podpise sa zadáva BOK
pri kvalifikovanom podpise sa zadáva Podpisový PIN, spravidla dvakrát

Kto si praje, aby si knižnica Podpisový PIN chvíľu pamätala, môže si nastaviť pin_cache_ignore_user_consent.

V programoch ako Adobe Acrobat možno namiesto PKCS #11 použiť knižnicu opensc-minidriver.dll aj priamo ako “Digitálny identifikátor systému Windows”. V prípade NFC som to však deaktivoval, robilo to šarapatu furt. Kto sa na to cíti, môže to so mnou ďalej ladiť

Pripomienky, chybové hlásenia a vylepšenia v podobe záplat sú vítané. Až raz budú nové ovládače v akom-takom stave, azda vytvoríme i PR na GitHube OpenSC.