nedavno som s jednym clenom interne debatoval o pripadnom rieseni alternativy prihlasovania pomocou certifikata z OP do statnych sluzieb.
Dlhodobo vyuzivam v ramci organizacii virtual smart card, ktory by bol zaujimavym riesenim pre aspon ciastocne pridanie pohodlia pre uzivatelov schranok (hlavne tych firemnych).
Jedna sa o presun certifikatu z hw media, v tomto pripade obcianskeho preukazu, do virtualneho prostredia, vdaka comu je permanentne pristupny systemu a nie je potrebne vyuzivat citacky a samotny OP.
Virtualization extensions (for example, Intel VT-x, AMD RVI)
I/O memory management unit (IOMMU) chipset virtualization (Intel VT-d or AMD-Vi)
TPM 2.0
Nejake technicke info:
Aktualne je otazne to ci po technickej stranke je mozne presunut/skopirovat potrebne data z OP do Virtual smart card, t.j. ci je mozne extrahovat private key.
Ak by v buducnosti bolo mozne certifikaty generovat samostatne online (nie len na pracoviskach offline), tak by bolo taktiez mozne ich takymto sposobom rovno ukladat namiesto do OP rovno do PC.
Pokial viem, tak toto je by-design nemozne. Privatny kluc sa generuje na karte a ostava tam.
Neviem aku certifikaciu ma ten TPM, ale pokial to nebude ekvivalent hw prvku smart card obcianskeho, tak s tym toho vela nepodpiseme.
Poznamka pod ciarou: Pokial viem, tak prihlasovanie (resp. autorizacia) cez mobil by malo fungovat tak, prvy krat sa zariadenie sparuje s obcianskym preukazom (proces este nie je zrejmy) a v mobile sa prave taketo TPM (alebo vendor specificke) budu pouzivat na identifikaciu zariadenia. Nasledne bude cez aplikaciu vynutene asi heslo alebo PIN alebo nejaky dalsi faktor. Netusim aku uroven autorizacie toto bude mat. No takto funguje v principe vzdialene podpisovanie (server signing) alebo podpisovanie pecatou v HSM pomocou kliknutia do agendoveho systemu. Je to podobny hack, ktory pravnikom z nejakeho dovodu nevadi a povazuju ho za ekvivalent notarsky overeneho podpisu (ak je tam casova peciatka).
Cize suma sumarum, na prihlasovanie do schranky a preberanie zasielok nevidim problem toto zvladnut aj bez virtualnej smart card (je to len dalsi sposob autentifikacie / autorizacie), nakoniec Govbox je prikladom, ze do schranky sa da dostat a preberat spravy uplne bez obcianskeho preukazu. Co sa tyka autorizacia (t.j. napr. podpisovania) tak tam to zacne byt zaujimave a zalezi aku uroven autorizacie by taketo riesenie dostalo. Od toho zavisi co sa s tym bude dat robit. Za realnejsie a rozumnejsie riesenie vsak povazujem znizovanie nutnej urovne autorizacie pre nejake ukony (vyzadovat vselikde ekvivalent notarsky overeneho podpisu, ked vo fyzickom svete staci podpis vlastnorucny je divne).
Áno, z eID nie je možné privátne kľúče exportovať. A je to správne.
Pripomeňme si rámec pre autentifikáciu (podľa platných predpisov):
jedna identita subjektu, viaceré autentifikačné mechanizmy
sú stanovené viaceré úrovne bezpečnosti (t.j. aj úrovne záruk) pre autentifikačný mechanizmus (podľa eIDAS sú 3, podľa našich štandardov 4, ale treba to čím skôr zlúčiť s eIDAS levelmi)
eID autentifikácia nie je “pomocou certifikátu” a spĺňa najvyššiu úroveň bezpečnosti
prístup do schránky momentálne (zo zákona) je umožnený len pomocou eID alebo “autentifikačného certifikátu” (AC)
AC je myslený na technický prístup (API), nie primárne grafickým rozhraním
prístup cez AC v podstate funguje (viď. GovBox), ale je to extrémne prácne (najmä integrácia)
To čo chceš by sa dalo riešiť takto:
vytvorím si privátny kľúč, ktorý si spravujem ako chcem - Win Trusted storage, zamestnanecká Smart Card
k nemu vytvorím certifikát, ktorý budem používať ako AC
pomocou eID podpíšem potrebné žiadosti o použitie tohto AC (t.j. jeho zaradenie do registra AC)
spravím si softvér, ktorý pomocou AC vie pristupovať k schránke (alebo použijem nejaký existujúci, ale neviem o žiadnom čo by podporoval scenár použitia AC ako potrebuješ)
pripojím sa na API schránok (to je tá integrácia), alebo použijem nejaké proxy aby som tým nezabil 4 mesiace života
Rozumiem. Dakujem za super podciarove info. Predpokladam, ze tie veci budu riesene parovanim identifikatora device a len prvotne potvrdenie pomocou OP. Takto by to mohlo skrz nejaku aplikaciu (inak symantec ma take riesenie - symantec vip access) fungovat vseobecne.