Služba / nástroj na automatizované overenie KEP?

Hlavne, že na portáli Finančného riaditeľstva sa tento spôsob prihlasovania používa vo veľkom už niekoľko rokov??? Neštandardne!!!

No ja som videl zvnnutra DirX IAM, Microsoft Identity Manager a takyto sposob prihlasovania som v nich nezaznamenal. A nemyslim zeby to aj Oracle IAM mal implemenrtované. Samozrejme mozem sa myliť systemy su to rozsiahle. Ale okrem slovenskej finančnej spravy som sa s takým niečim inde nestretol. Preto ho považujem za neštandardný. Rád spoznám nové veci, tak ak viete ktorý IAM produkt také prihlásenie štandardne robí, alebo kde inde ste takú implmentáciu videli, dajte vedieť.

to je legacy problem, v case ked sa spustali sluzby finacnej spravy, tak ziaden centralny IAM nebol, neboli eid karty, nebolo ani jasne co vlastne bude. Vyuzili to ze ZEP je vydany s overenim identity a tak udaje z neho mozes pouzit ako spolahlivu identifikaciu. A okrem toho tam mas dalsie funkcie ktore sa len tazko robia cez eID, napriklad bezne komunikuje uctovnicka a na FS maju proces kde ju priradia k podnikatelovi aj bez jeho eID. Urcite sa to da zmenit ale to by UPII musel chciet, musel by dat peniaze a riadit to cez dve institucie.

Inak toto prihlásenie cez zep je dosť haluz nie? Veď pokiaľ viem tu nemáme online revokacie certifikátov a teda keď sa prihlásis tak to vlastne znamená, že treba čakať do polnoci či to ten človek naozaj bol.

PS. Podľa toho čo vieme sa dokonca táto úplná haluz ide dostať do zákona o eGov lebo… Treba zosúladiť realitu so zákonom. Divná legacy sa stane zakonnou možnosťou autentifkacie.

Čo tým myslíš? Možnosť si online zrušiť kvalifikovaný certifikát alebo overiť si platnosť KC prostredníctvom služby OCSP (Online Certificate Status Protocol). A prečo treba čakať práve do polnoci? Má polnoc nejaké čaro, ktoré zabezpečí, že ten kto sa prihlásil je skutočne držiteľ KC, ktorým bolo prihlásenie vykonané?

Vies ma nasmerovat kde takato sluzba je? Ja viem len o CRL a tie podla metadat sa raz za den distribuuju.

Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=SK/L=Bratislava/O=Disig a.s./OU=ACA-307-2007-2/CN=SVK eID ACA
        Last Update: Oct 31 17:30:00 2018 GMT
        Next Update: Nov  1 17:30:00 2018 GMT

Adresu OCSP respondera pre SVK eID ACA mas uvedenu priamo v kvalifikovanom certifikate vydanom na eID v rozsireni Authority Information Access
(http://svkeidaca-ocsp.disig.sk/ocsp/svkeidaca)
Na ziskanie odpovede z respondera vsak potrebujes mat klientsky softver, ktory vie vytvorit OCSP poziadavku v zmysle poziadaviek RFC 6960.

Inak podla historie publikovanych CRL pre SVK eID ACA sa zoznam zrusenych certifikatov (CRL) pre tuto CA vydava 1x za 12 hodin.(http://eidrep1.disig.sk/svkeidaca/crl/archive/2018/)

1 Like

@lubor niekde vyhrabal paper, že prečo toto nie je dobrý nápad. Možno sem hodí link.

Páni, nedá mi trochu neupresniť:

Treba zavolať funkciu “Over” nejakého certifikovaného overovača. A treba si pozrieť, či na certifikáte je napísané to, čo má byť na občianskom – vydavateľ musí byť nejaká konkrétna CAčka, čiže Issuer name musí mať “SVK eID ACA”, alebo niečo také.

Dosť, čo by si rád vedel?

Toto nie je pravda. Odkiaľ máš Robo túto informáciu?

Skúsim byť prvý, kto tu povie, že je to štandardný spôsob autentifikácie. Napríklad taký (už pomerne starý) štandard SAML ponúka niekoľko spôsobov, ako sa používateľ môže autentifikovať pomocou certifikátu, alebo elektronického podpisu. Mrknite napr. tu http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf. Ale ak niekto nepozná, tak so SAML sa oplatí začať na začiatku http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf.

OCSP už rozobrali. Ale aj keby sme mali len CRL, tak mi to nepríde ako haluz. OK, je to niečo ako s kanónom na vrabce, ale inak mi to príde skvelý spôsob autentifikácie pre používateľa, ktorý už má vhodný certifikát (napr ten eID).
Odpadáva totiž nutnosť overenia identity. Používateľovi odpadáva nutnosť pamätať si ďalšie heslo resp. dvojicu meno-heslo. No nestojí to za to?
Som zvedavý na ten papier od Ľubora.

priamo z odpovede na infoziadost, ktoru som poslal na NASES.
Mozno v 2019 budu take obstaravat. … (to je zase z workshopu v NASES, kde to povedal pan Szilva). Cize vsetky OVEROVACIE sluzby NASES pre KEP (ano aj ta implementovan v schrankach eDesku) su len INFORMATIVNE pravne nezavazne a z nasej skusenosti casto aj chybne … uz len to ze ti na .XZEP povie overovac ze je to platny KEP je účelové klamstvo a spoliehajúca sa strana z toho môže mať vážne problémy. Čakáme len na prvú žalobu …

1 Like

toto je veľmi zjednosusene. V prvom rade Zaruceny != (sa nerovna) Kvalifikovany . Takto si zjednodusili len v Nasese … Ak ma byť niečo OVERENÉ podľa SK zákona, musí byť overené KVALIFIKONOU službou. Podľa eIDAS kvalifikovane služby musia byť uvedene v europskom Trusted liste: https://webgate.ec.europa.eu/tl-browser/#/tl/SK
Nases tam ako vidiš žiadnu overovaciu službu nemá, to znamená, aj keby jeho algoritmy fungovali stopercentne (akoze nefunguju), tak pokial sluzba nie je v trusted liste evidovana, nemoze takyto podpis byt pravoplatne overeny ako Kvalifikovany. Zial to je vymysel slovenskej legislativy. Lebo eIDAS predpoklada ze na bezne veci snadf okrem podpiosova na zmluvach za desiatky tisic a vyssie bude clenskym statom stacit aj zdokonaleny elektronicky podpis a nemusi byt kvalifikovany. Takze SR nema a tak skoro nebude mat takuto sluzbu k dispozicii…samozrejme moze pouzit ktorukolvek inu sluzbu z EU evidovanu v trusted liste (napriklad finsku) … ale to by asi vtedy tie OVM ka precitli ze vlasntne vyrabaju a vyzaduju vo vacsine nezakonne formaty podpisov…

1 Like

Autentifikácia s KEP nie je dobrý nápad a skutočne ide o neštandardný postup. V prvom rade je to v rozpore s eIDAS pozri hneď prvú otázku/odpoveď EK v Q&A.
To nie je všetko - hovorí o tom aj ENISA: pozri “Privacy Features of European eID Card Specifications” a časť s názvom 4.3.2. Authentication vs. Digital Signature
alebo aj " Security guidelines on the appropriate use of qualified electronic signatures" v časti A.9,
prípadne som našiel ešte whitepaper od ENISA “Privacy Features of European eID Card Specifications” - časť 8. Authentication vs electronic signaure, kde sa pekne porovnáva challenge-response a napr. Diffie-Hellman key exchange protokol.
No a autentifikačná funkcia slovenskej eID založená na nemeckom BSI štandarde (BSI TR-03110 eIDAS Token) s využitím EAC mechanizmu je práve navrhnutá tak, aby rešpektovala všetky tieto odporúčania. A áno, využíva ECDH key agreement - nie certifikáty a challenge-response. Preto použiť KEP na autentifikáciu je zlý nápad, najmä ak máš k dispozícii mechanizmus, ktorý je špecificky stavaný pre tento účel…

2 Likes

Verím, že ide len o vtip, samotná Európska komisia vysvetluje, že Since 1st July 2016, when the trust services’ provisions under the eIDAS Regulation entered into application, an electronic signature can only be used by a natural person to " sign ", i.e. mainly to express consent on the data the electronic signature is put. This represents a significant difference from the [eSignature Directive](http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A31999L0093) where the electronic signature, which could also be used by legal persons, was defined as a means for authentication.

1 Like

Mas pravdu, ale co s podpismi, ktore sice u nas platia stale ako kvalifikovane ale nie su v sulade s eIDAS - xzep a spol. Aj tie treba kvalifikovane overit, nie? eIdas pozna len kvalifikovanu sluzbu overenia kvalifikovaneho podpisu ale je XZEP kvalifikovanym podpisom podla eIDAS?

Este mi napadla jedna vec a to je, ze podpisovanie sa robi offline a prihlasovanie je pokial viem u nas online cez server MV. Cize MV ma logy toho co sa kedy odkial dialo. Toto pri offline podpise nie je. Viem si predstavit, ze MV bude vediet vyhodnocovat aj na zaklade tohto nejake hrozby a pripadne stlacit velke cervene tlacitko a vypnut to. Co sa pri offline rezime a decentralizovanej autentifikacii robi tazsie.

OK, rozumiem a ďakujem za zdroj. Inak práve tuto – v tabuľke 5 – sa ukazuje, aký je tento mechanizmus (podpis ako autentifikácia) v EU rozšírený, je tak?

Ale to je otazka na pravnikov a sudcov. Ja som len technik a konzultant. Ked som vratil obci predpis na domovu dan, tak boli z toho riadne hotovy. Ziadal som aby mi dodali predpisv zakonom stanovenom formate.
To co spominas je uz davno mimo zakon. Co to po pravnej stranke znamena ze ti sudca vyda rozsudok autorizovany tak ZE NESPLNA ZAKONNE NALEZITOSTI ja neviem. prirovnal som to tu v inom vlakne k papierovemu rozhodnutie s trojuholnikovou peciatkoou sudu (ma vsetky nalezitosti, texty, farbu len je trojuholnikova). … U takychto Uradnych dokumentov nie su dodrzane zakonne nalezitosti. Ale toto je diskusia asi do ineho vlakna …

eIDAS pozna aj nekvalifikovanu doveryhodnu sluzbu overenia. Tou moze soverit zdokonaleny podpis. Iba nas zakon o eGOV vyzaduje KVALIFIKOVANU. A to je priekak. Sami sme si n a s r a l i do hniezda… a teraz tam smrdi. Dovod ? bud niekto chcel byt papezskejsi ako papez, alebo bez znalosti problematiky technokraticky urobil substituciu Zaruceny za Kvalifikovany …

a tato veta je tam najlepsia: However, the use of a digital signature for authentication-only events represents an infringement of privacy
:wink:
a btw: Version: 1.0.1 | Date: 2009-01-27 … davno pred zaciatkom platnosti eIDAS … takze tie tabulky su dnes uz uuuuuuuuuuuuuplne ine.

Tú tabuľku treba vnímať s ohľadom na vývoj v čase, nie ako podporný argument v zmysle “veď inde používajú podpis, prečo my nemôžeme…” Do momentu, kedy začal platiť eIDAS (do 2016) boli riešenia rôzne a veľmi často využívali challenge-response resp. podpis aj na autentifikáciu (či už dva rôzne certifikáty alebo jeden a ten istý pre oba účely). Nemci boli prví, ktorí reflektovali na analýzu (napr. od ENISA) rôznych prístupov a odporúčaní, vrátane aspektov ochrany osobných údajov a navrhli pomerne robustný (aj čo sa bezpečnosti týka) mechanizmus a technický štandard s výstižným podtitulom eIDAS token na báze EAC (BSI to považuje za príspevok ku eIDAS nariadeniu, tento štandard potvrdil aj franczúsky úrad pre informačnú bezpečnosť) a aj ho implementovali. Od platnosti eIDAS (po 2016) by sa mali navrhovať a uvádzať do používania ideálne také autentifikačné riešenia, ktoré nepoužívajú podpis na autentifikáciu, čo konštatuje aj EK ako hlavnú zmenu oproti predošlému nariadeniu o elektronickom podpise. Nikdy nebolo reálne očakávať, že by národné identifikačné schémy štáty po nie zanedbateľných investíciach prebudovali po prijatí nariadenia eIDAS. Preto tie, ktoré sú takto implementované sa ponechajú, môžu sa notifikovať, no tie nové by sa mali navrhovať s ohľadom na súčasné poznatky a odporúčanú prax a aj ochranu osobných údajov (proporcionalita, primeranosť, privacy by design, privacy by default atď… ). Koniec koncov, recitál 11 eIDAS nariadenia poukazuje na jeho uplatňovanie v úplnom súlade so zásadami týkajúcimi sa ochrany osobných údajov.

1 Like