Autentifikácia s KEP nie je dobrý nápad a skutočne ide o neštandardný postup. V prvom rade je to v rozpore s eIDAS pozri hneď prvú otázku/odpoveď EK v Q&A.
To nie je všetko - hovorí o tom aj ENISA: pozri “Privacy Features of European eID Card Specifications” a časť s názvom 4.3.2. Authentication vs. Digital Signature
alebo aj " Security guidelines on the appropriate use of qualified electronic signatures" v časti A.9,
prípadne som našiel ešte whitepaper od ENISA “Privacy Features of European eID Card Specifications” - časť 8. Authentication vs electronic signaure, kde sa pekne porovnáva challenge-response a napr. Diffie-Hellman key exchange protokol.
No a autentifikačná funkcia slovenskej eID založená na nemeckom BSI štandarde (BSI TR-03110 eIDAS Token) s využitím EAC mechanizmu je práve navrhnutá tak, aby rešpektovala všetky tieto odporúčania. A áno, využíva ECDH key agreement - nie certifikáty a challenge-response. Preto použiť KEP na autentifikáciu je zlý nápad, najmä ak máš k dispozícii mechanizmus, ktorý je špecificky stavaný pre tento účel…
2 Likes