neprihlásený Pondelok, 9. decembra 2024, dnes má meniny Izabela
Štát začína reagovať na vážny problém eID primeranejšie, zastavuje vydávanie certifikátov

Značky: kauza zraniteľných eID

DSL.sk, 23.10.2017


Po týždni neprimeraných reakcií na vážny bezpečnostný problém v Infineon čipoch, ktorý sa dotýka aj slovenských elektronických občianskych eID, začal štát reagovať na problém primeranejšie.

Na dnešnej tlačovej konferencii oznámil pozastavenie vydávania nových podpisových certifikátov, keď doteraz viac ako štyri mesiace odkedy sa o probléme dozvedel vydával certifikáty so zraniteľnými kľúčami.

Ako totiž certifikačná autorita Disig vydávajúca v spolupráci so štátom certifikáty pre eID potvrdila pre DSL.sk, o probléme sa dozvedela už 20. júna 2017.

Zároveň štát dnes u služieb eGovernmentu, ktoré využívajú kvalifikovaný elektronický podpis, prestane akceptovať kvalifikovaný podpis vytvorený pomocou eID. Zastaví sa tým najčastejšia cesta, ktorou občania posielali svoj certifikát obsahujúci zraniteľný 2048-bitový RSA kľúč mimo eID a svojho PC.

Tým sa certifikát, ktorý je zo svojej povahy verejný a v prípade že by kľúče nemali tento problém nie je s jeho zverejňovaním žiadny problém, zrejme reálne dostal k ďalším osobám, napríklad úradníkom jednotlivých úradov.


Overenie zraniteľnosti kľúča v certifikáte pre KEP na slovenskom eID, kliknite pre zväčšenie (obrázok: tím objaviteľov zraniteľnosti)



Ďalšie detaily zisťujeme.

Minulú stredu, dva dni po zverejnení problému slovensko-českým výskumným tímom z Masarykovej univerzity v Brne ministerstvo vnútra avizovalo prechod na 3072-bitové RSA kľúče a neskôr ECDSA kľúče. Za pár hodín ale termín pre 3072-bitové kľúče posunulo, zo 4 až 5 týždňov na 5 až 6 týždňov.

V každom prípade neprimeraná reakcia na problém v prvých dňoch, zmena v prístupe a kroky uskutočnené až týždeň po zverejnení opäť vyvolávajú otázku, odkedy bol problém reálne riešený a prečo za štyri mesiace nedokázal štát prijať potrebné opatrenia výrazne skôr a najnejskôr k verejnému oznámeniu problému expertami.


      Zdieľaj na Twitteri



Najnovšie články:

Arctic má nový výkonný ventilátor, chladí ho ďalším malým ventilátorom
Digi TV vo vianočnej akcii sprístupnila všetkým 9 staníc
Raspberry Pi uviedlo nový kompletný počítač Raspberry Pi 500, vlastný monitor
SpaceX dokončila konšteláciu satelitov pre poskytovanie mobilnej siete z vesmíru
Nový trailer nového Star Trek filmu, príde čoskoro
Pripravuje sa nová verzia systému pre routery OpenWrt 24.10, k dispozícii kandidát na vydanie
HAMR disky sa majú začať konečne masovo dodávať
Linuxové jadro 6.12 označené za LTS, piatim LTS verziám skončí podpora naraz
NASA opäť posunula termín pristátia posádky na Mesiaci
Chrome na Androide za menej ako dva roky zdvojnásobil výkon


Diskusia:
                               
 

Toto je statne IT. Pokial by to spravovala univerzita, bud by sa to nestalo alebo by reakcia bola promptna.
Odpovedať Známka: 4.5 Hodnotiť:
 

Ja sa mozem na to eId vyebat!!! To tu naozaj nikto nic negarantuje?
Odpovedať Známka: 0.0 Hodnotiť:
 

súdruh hranol garantuje istoty (dane a smrť).
Odpovedať Známka: 8.6 Hodnotiť:
 

A prvy obcan, ktory si vybaví elektronicky podpis z inej cipovej karty než z preukazu totoznosti na zaklade oficialneho odporucania docasneho riesenia zamestnanca MV garantuje, ze SR nepride o moznost vratenia na "Operačný program Informatizácia spoločnosti" z eurofondov ziskanych prostriedkov.
Odpovedať Známka: 0.0 Hodnotiť:
 

Co chces za 1 mil. Eur... nebodaj aby daco u nas funogovalo... ked si to rozlozis... tak za 2K kupili server, za 1K dakeho inda co to nakodil a zbytok sa alobalova..
Odpovedať Známka: 6.0 Hodnotiť:
 

Ak som dobre videl info na webe o programe "Informatizacia spolocnosti", tak spravne by to malo byt 1 mld. Eur. Potom je ten zbytok este zaujimavejsi ;-)
Odpovedať Známka: 10.0 Hodnotiť:
 

Tu mate video co na to Ondrej MAcko :)

https://www.youtube.com/watch?v=ccI4MBCG93I
Odpovedať Známka: 3.3 Hodnotiť:
 

Na to sa nedokazem pozerat viac ako minutu...
Odpovedať Známka: 6.5 Hodnotiť:
 

tvl šak tá Kveta má viac rozumu než on... :D vraj že "IT musíš veriť" :D
Odpovedať Známka: 3.3 Hodnotiť:
 

Suhlas! Ked tu mame takych odbornikov ako ten Macko tak to u nas v IT aj tak vyzera. On si mysli o sebe vela ale je to vazne na smiech ked ho pocuvas
Odpovedať Známka: 4.3 Hodnotiť:
 

Onda macka sa musim naozaj zastat, poznam ho odvtedy co robil redaktora PCRevue, nie je to clovek ktory posobi na scene IT jeden rok alebo dva, ma toho dost za sebou. Ak si rozoberieme jeho vyrok "IT musíš veriť", tak sami zistime ze ma pravdu, IT pouzivame kazdy den, aj teraz ked pisem tento koment ho pouzivam a poviem vam, neostava mi nic ine len verit :)
Odpovedať Známka: -2.2 Hodnotiť:
 

Treba vsak objektivne podotknut, ze vyrok "IT musíš priekazne veriť", by v odbornej sfere zaznamenal omnoho sirsiu akceptaciu na expertnej urovni.
Odpovedať Známka: 6.0 Hodnotiť:
 

dnes má meniny Kvetoslava
Odpovedať Hodnotiť:
 

zrusit celu dobabranu elektronizaciu aj so slovensko.sk a vratit podnikatelom danove licencie aj s odskodnym a uslym ziskom. a nech to uhradia ti co to pobabrali. ked im nestacila miliarda evri nech palia vsetci do3.14ce
Odpovedať Známka: 8.6 Hodnotiť:

Pridať komentár