Zoznam platných autentifikačných certifikátov

Lubor · August 13, 2017, 7:55am

Bola mi položená takáto otázka:

Zdá sa mi to zaujímavá téma, tak to dávam aj sem.

Lubor · August 13, 2017, 7:58am

Je to jednoduché. Register autentifikačných certifikátov je skrátka ich zoznam. Nie je tam žiadna certifikačná autorita, ani nič podobné. Preto overovanie platnosti certifikátu (v zmysle že či to je autentifikačný certifikát) sa robí tak, že pozrieš či je zapísaný v registri = v zverejnenom zozname.

V tom “zozname platných AC” musia byť preto také údaje, na základe ktorých sa dá spoľahlivo identifikovať konkrétny certifikát. Môže to byť všeličo. Predpokladalo sa, že to budú celé certifikáty - tam je však problém, že by bolo vidno kto má vydaný autentifikačný certifikát, čo nemusí byť žiadúce (napr. pre fyzickú osobu tam bude aj jej rodné číslo).

Sériové číslo a platnosť samozrejme nestačí, rôzne certifikáty môžu mať toto zhodné.

Lubor · August 13, 2017, 9:10am

NBÚ má veľmi podobnú povinnosť:

§ 60c zákona o e-Gov:

(4) Úrad je povinný každý deň vydať zoznam platných kvalifikovaných certifikátov pre elektronickú pečať, ktoré sú zapísané v registri certifikátov, a zverejniť ho na svojom webovom sídle.

§22b ods. 4 zákona o e-Gov:

(4) Správca komunikačnej časti autentifikačného modulu je povinný každý deň vydať zoznam platných autentifikačných certifikátov podľa § 22aa a zverejniť ho na ústrednom portáli.

NBÚ si ju vykladá nasledovne:

http://www.nbu.gov.sk/doveryhodne-sluzby/kvalifikovane-certifikaty/register-certifikatov/index.html

http://ep.nbusr.sk/kca/zpksc.html

Podľa uvedeného rozsahu používaného NBÚ by sa museli zverejňovať aj rodné čísla, keďže tie sú súčasťou DN pokiaľ viem.

Neviem, na základe čoho sa NBÚ rozhodlo práve pre uvedený rozsah údajov.

SNcer - sériové číslo kvalifikovaného systémového certifikátu (DEC),
DNca - úplné DN vydávajúcej CA s jednotlivými položkami oddelenými čiarkou,
DNee - úplné DN držiteľa kvalifikovaného systémového certifikátu s jednotlivými položkami oddelenými čiarkou,
Estart - začiatok platnosti kvalifikovaného systémového certifikátu,
Eend - koniec platnosti kvalifikovaného systémového certifikátu,
HASHcer - hash kvalifikovaného systémového certifikátu (SHA-256).

A neviem, či správca komunikačnej časti autentifikačného modulu (ÚV SR) sa môže rozhodnúť pre iný rozsah údajov.

Lubor · August 13, 2017, 9:11am

Áno, aj ja som si to dlho takto predstavoval…

Na toto neviem odpovedať. Ale aj mne znenie zákona navádza na publikovanie celých certifikátov.

NBÚ tento problém nemá, lebo elektronické pečate môžu vytvárať iba právnické osoby (viď. Čl.3.24 nariadenia eIDAS).

Neviem ani ja. Teoreticky však na overenie, či určitý certifikát je na zozname je z týchto údajov postačujúca položka “HASHcer”. Má to však dva zádrhele:

treba si ešte pamätať, že hash bol vypočítaný algoritmom SHA-256, čo spôsobuje určité komplikácie (napr. pri zmene bude treba zmeniť formát zoznamu, a teda preprogramovať všetky implementácie čo ho používajú)
nie je jasné, z akej serializácie certifikátu sa hash počíta; predpokladám že je to DER forma (binárne kódovanie jazyka ASN.1), ale prečo napr. nie PEM - ktoré je tiež štandardizované v RFC?

Všetky ostatné položky sú prakticky použiteľné iba na zrýchlenie vyhľadávania zhody v zozname. Žiadny z týchto parametrov nie je garantovane unikátny, t.j. nikdy sa nemôže použiť rovnaká hodnota v dvoch rôznych certifikátoch. Z toho vyplýva, že ani všetky spolu nemajú garantovanú unikátnosť, aj keď pravdepodovnosť náhodnej zhody je malá. Preto pri prehľadávaní zoznamu vždy treba overiť všetky zhody, nestačí skončiť pri prvej.

Naopak, neviem čo by ho malo viazať použiť práve tieto parametre.