Služba / nástroj na automatizované overenie KEP?


#1

Pracujem v jednej verejnej inštitúcii. Zatiaľ nemáme integráciu našich služieb na NASES - IAM (prihlasovanie cez eID).
Pohrávame sa s myšlienkou zatiaľ umožniť aktivovať ľuďom niektoré funkcie na základe overenia ich identity tak, že podpíšu súboru s ich KEP (z eID) a tento sa následne automatizovane overí.
Takúto možnosť (prihlásenia) cez KEP má aj finančná správa

https://pfsiam.financnasprava.sk/Iam.Web/?returnUrl=https%3A%2F%2Fwww.financnasprava.sk%2Fsk%2Fosobna-internetova-zona&appId=PFS&useDefault=False

Odhliadnuc od toho že na finančnej správe 8 z 10 pokusov o prihlásenie týmto spôsobom skončí chybou pri pokuse o podpísanie, rád by som vedel ako najjednoduchšie a najlacnejšie overiť KEP už podpísaného XML dokumentu (XADES_ZEP). Pri overení potrebujeme jednoznačne povedať aj to že použitý KEP je z občianskeho preukazu (ak sa nemýlim KEP môže byť iba na občianskom preukaze ?!)

DITEC poskytuje nástroj D.Verifier ale minimálne manažment CRL a OSCP treba riešiť vo vlastnej réžii.
( https://www.ditec.sk/produkty/informacie_pre_integratorov_aplikacii_pre_kep )
Na to majú komerčné služby ako DISIG OCSP Responder.

NBU vraj poskytuje služby pre OVM zdarma. Príliš veľa informácií som však o tom nenašiel.

Máte s overovaním podpísaných dokumentov cez KEP niekto skúsenosti ?


#2

len par postrehov:

  • Stat nemá nástroj na overovanie KEP
  • XADES_ZEP sa od roku 2016 nesmie pouzivat na podpisovanie a institucia ho nesmie ani vyzadovat (zakon 272/2016, par.13 a 14)
  • ak sa nemýlim KEP môže byť iba na občianskom preukaze -
    Mýlite sa. Na eID, alebo aj na inom QSCD zariadení mozete mat iba kvalifikovaný certifikát. Kep je az na dokumente, ktorý takýmto certifikátom podpisete.

Celý use case - použitie podpisu na autentifikáciu do systému je podla mna uplne uletený … no minimálne značne neštandardný.


#3

Vďaka za odpoveď. Problematike sa venujem okrajovo iba cca týždeň.

Samozrejme som si v otázke nepozornosťou zamenil pojmy certifikát a ZEP.

Bol som prvý, kto povedal že robiť to takto je veľmi neštandardné. Certifikáty pre elektronický podpis na eID má málo ľudí (hoci je ich už možné získať cez internet) a tiež som si v minulosti užil veľa problémov pri podpisovaní dokumentov. Napríklad chýbajúce pluginy, nekompatibilná verzia javy, nastavenie v prehliadači, či problém s certifikátmi po ich revokovaní a následnom novom nahraní na eID.

XADES_ZEP máme použitý v nejakom staršom testovacom prototype, preto som ho spomenul.

Možnosť overovania identity cez podpísaný dokument KEP mala byť len analyzovaná alternatíva, kým nebude integrácia na NASES.

Otázka skôr zo zaujímavosti. Je možnosť zistiť či bol dokument podpísaný certifikátom uloženým na občianskom preukaze, alebo pochádza z nejakého iného QSCD zariadenia ?
Napríklad z parametra vydavateľa certifikátu ? (CN = SVK eID)


#4

Hlavne, že na portáli Finančného riaditeľstva sa tento spôsob prihlasovania používa vo veľkom už niekoľko rokov??? Neštandardne!!!


#5

No ja som videl zvnnutra DirX IAM, Microsoft Identity Manager a takyto sposob prihlasovania som v nich nezaznamenal. A nemyslim zeby to aj Oracle IAM mal implemenrtované. Samozrejme mozem sa myliť systemy su to rozsiahle. Ale okrem slovenskej finančnej spravy som sa s takým niečim inde nestretol. Preto ho považujem za neštandardný. Rád spoznám nové veci, tak ak viete ktorý IAM produkt také prihlásenie štandardne robí, alebo kde inde ste takú implmentáciu videli, dajte vedieť.


#6

to je legacy problem, v case ked sa spustali sluzby finacnej spravy, tak ziaden centralny IAM nebol, neboli eid karty, nebolo ani jasne co vlastne bude. Vyuzili to ze ZEP je vydany s overenim identity a tak udaje z neho mozes pouzit ako spolahlivu identifikaciu. A okrem toho tam mas dalsie funkcie ktore sa len tazko robia cez eID, napriklad bezne komunikuje uctovnicka a na FS maju proces kde ju priradia k podnikatelovi aj bez jeho eID. Urcite sa to da zmenit ale to by UPII musel chciet, musel by dat peniaze a riadit to cez dve institucie.


#7

Inak toto prihlásenie cez zep je dosť haluz nie? Veď pokiaľ viem tu nemáme online revokacie certifikátov a teda keď sa prihlásis tak to vlastne znamená, že treba čakať do polnoci či to ten človek naozaj bol.

PS. Podľa toho čo vieme sa dokonca táto úplná haluz ide dostať do zákona o eGov lebo… Treba zosúladiť realitu so zákonom. Divná legacy sa stane zakonnou možnosťou autentifkacie.


#8

Čo tým myslíš? Možnosť si online zrušiť kvalifikovaný certifikát alebo overiť si platnosť KC prostredníctvom služby OCSP (Online Certificate Status Protocol). A prečo treba čakať práve do polnoci? Má polnoc nejaké čaro, ktoré zabezpečí, že ten kto sa prihlásil je skutočne držiteľ KC, ktorým bolo prihlásenie vykonané?


#9

Vies ma nasmerovat kde takato sluzba je? Ja viem len o CRL a tie podla metadat sa raz za den distribuuju.

Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=SK/L=Bratislava/O=Disig a.s./OU=ACA-307-2007-2/CN=SVK eID ACA
        Last Update: Oct 31 17:30:00 2018 GMT
        Next Update: Nov  1 17:30:00 2018 GMT

#10

Adresu OCSP respondera pre SVK eID ACA mas uvedenu priamo v kvalifikovanom certifikate vydanom na eID v rozsireni Authority Information Access
(http://svkeidaca-ocsp.disig.sk/ocsp/svkeidaca)
Na ziskanie odpovede z respondera vsak potrebujes mat klientsky softver, ktory vie vytvorit OCSP poziadavku v zmysle poziadaviek RFC 6960.

Inak podla historie publikovanych CRL pre SVK eID ACA sa zoznam zrusenych certifikatov (CRL) pre tuto CA vydava 1x za 12 hodin.(http://eidrep1.disig.sk/svkeidaca/crl/archive/2018/)


#11

@lubor niekde vyhrabal paper, že prečo toto nie je dobrý nápad. Možno sem hodí link.


#12

Páni, nedá mi trochu neupresniť:

Treba zavolať funkciu “Over” nejakého certifikovaného overovača. A treba si pozrieť, či na certifikáte je napísané to, čo má byť na občianskom – vydavateľ musí byť nejaká konkrétna CAčka, čiže Issuer name musí mať “SVK eID ACA”, alebo niečo také.

Dosť, čo by si rád vedel?

Toto nie je pravda. Odkiaľ máš Robo túto informáciu?

Skúsim byť prvý, kto tu povie, že je to štandardný spôsob autentifikácie. Napríklad taký (už pomerne starý) štandard SAML ponúka niekoľko spôsobov, ako sa používateľ môže autentifikovať pomocou certifikátu, alebo elektronického podpisu. Mrknite napr. tu http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf. Ale ak niekto nepozná, tak so SAML sa oplatí začať na začiatku http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf.

OCSP už rozobrali. Ale aj keby sme mali len CRL, tak mi to nepríde ako haluz. OK, je to niečo ako s kanónom na vrabce, ale inak mi to príde skvelý spôsob autentifikácie pre používateľa, ktorý už má vhodný certifikát (napr ten eID).
Odpadáva totiž nutnosť overenia identity. Používateľovi odpadáva nutnosť pamätať si ďalšie heslo resp. dvojicu meno-heslo. No nestojí to za to?
Som zvedavý na ten papier od Ľubora.


#13

priamo z odpovede na infoziadost, ktoru som poslal na NASES.
Mozno v 2019 budu take obstaravat. … (to je zase z workshopu v NASES, kde to povedal pan Szilva). Cize vsetky OVEROVACIE sluzby NASES pre KEP (ano aj ta implementovan v schrankach eDesku) su len INFORMATIVNE pravne nezavazne a z nasej skusenosti casto aj chybne … uz len to ze ti na .XZEP povie overovac ze je to platny KEP je účelové klamstvo a spoliehajúca sa strana z toho môže mať vážne problémy. Čakáme len na prvú žalobu …


#14

toto je veľmi zjednosusene. V prvom rade Zaruceny != (sa nerovna) Kvalifikovany . Takto si zjednodusili len v Nasese … Ak ma byť niečo OVERENÉ podľa SK zákona, musí byť overené KVALIFIKONOU službou. Podľa eIDAS kvalifikovane služby musia byť uvedene v europskom Trusted liste: https://webgate.ec.europa.eu/tl-browser/#/tl/SK
Nases tam ako vidiš žiadnu overovaciu službu nemá, to znamená, aj keby jeho algoritmy fungovali stopercentne (akoze nefunguju), tak pokial sluzba nie je v trusted liste evidovana, nemoze takyto podpis byt pravoplatne overeny ako Kvalifikovany. Zial to je vymysel slovenskej legislativy. Lebo eIDAS predpoklada ze na bezne veci snadf okrem podpiosova na zmluvach za desiatky tisic a vyssie bude clenskym statom stacit aj zdokonaleny elektronicky podpis a nemusi byt kvalifikovany. Takze SR nema a tak skoro nebude mat takuto sluzbu k dispozicii…samozrejme moze pouzit ktorukolvek inu sluzbu z EU evidovanu v trusted liste (napriklad finsku) … ale to by asi vtedy tie OVM ka precitli ze vlasntne vyrabaju a vyzaduju vo vacsine nezakonne formaty podpisov…


#15

Autentifikácia s KEP nie je dobrý nápad a skutočne ide o neštandardný postup. V prvom rade je to v rozpore s eIDAS pozri hneď prvú otázku/odpoveď EK v Q&A.
To nie je všetko - hovorí o tom aj ENISA: pozri “Privacy Features of European eID Card Specifications” a časť s názvom 4.3.2. Authentication vs. Digital Signature
alebo aj " Security guidelines on the appropriate use of qualified electronic signatures" v časti A.9,
prípadne som našiel ešte whitepaper od ENISA “Privacy Features of European eID Card Specifications” - časť 8. Authentication vs electronic signaure, kde sa pekne porovnáva challenge-response a napr. Diffie-Hellman key exchange protokol.
No a autentifikačná funkcia slovenskej eID založená na nemeckom BSI štandarde (BSI TR-03110 eIDAS Token) s využitím EAC mechanizmu je práve navrhnutá tak, aby rešpektovala všetky tieto odporúčania. A áno, využíva ECDH key agreement - nie certifikáty a challenge-response. Preto použiť KEP na autentifikáciu je zlý nápad, najmä ak máš k dispozícii mechanizmus, ktorý je špecificky stavaný pre tento účel…


#16

Verím, že ide len o vtip, samotná Európska komisia vysvetluje, že Since 1st July 2016, when the trust services’ provisions under the eIDAS Regulation entered into application, an electronic signature can only be used by a natural person to " sign ", i.e. mainly to express consent on the data the electronic signature is put. This represents a significant difference from the [eSignature Directive](http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A31999L0093) where the electronic signature, which could also be used by legal persons, was defined as a means for authentication.


#17

Mas pravdu, ale co s podpismi, ktore sice u nas platia stale ako kvalifikovane ale nie su v sulade s eIDAS - xzep a spol. Aj tie treba kvalifikovane overit, nie? eIdas pozna len kvalifikovanu sluzbu overenia kvalifikovaneho podpisu ale je XZEP kvalifikovanym podpisom podla eIDAS?


#18

Este mi napadla jedna vec a to je, ze podpisovanie sa robi offline a prihlasovanie je pokial viem u nas online cez server MV. Cize MV ma logy toho co sa kedy odkial dialo. Toto pri offline podpise nie je. Viem si predstavit, ze MV bude vediet vyhodnocovat aj na zaklade tohto nejake hrozby a pripadne stlacit velke cervene tlacitko a vypnut to. Co sa pri offline rezime a decentralizovanej autentifikacii robi tazsie.


#19

OK, rozumiem a ďakujem za zdroj. Inak práve tuto – v tabuľke 5 – sa ukazuje, aký je tento mechanizmus (podpis ako autentifikácia) v EU rozšírený, je tak?


#20

Ale to je otazka na pravnikov a sudcov. Ja som len technik a konzultant. Ked som vratil obci predpis na domovu dan, tak boli z toho riadne hotovy. Ziadal som aby mi dodali predpisv zakonom stanovenom formate.
To co spominas je uz davno mimo zakon. Co to po pravnej stranke znamena ze ti sudca vyda rozsudok autorizovany tak ZE NESPLNA ZAKONNE NALEZITOSTI ja neviem. prirovnal som to tu v inom vlakne k papierovemu rozhodnutie s trojuholnikovou peciatkoou sudu (ma vsetky nalezitosti, texty, farbu len je trojuholnikova). … U takychto Uradnych dokumentov nie su dodrzane zakonne nalezitosti. Ale toto je diskusia asi do ineho vlakna …