neprihlásený Piatok, 24. novembra 2017, dnes má meniny Emília   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Štát začína reagovať na vážny problém eID primeranejšie, zastavuje vydávanie certifikátov

Značky: kauza zraniteľných eID

DSL.sk, 23.10.2017


Po týždni neprimeraných reakcií na vážny bezpečnostný problém v Infineon čipoch, ktorý sa dotýka aj slovenských elektronických občianskych eID, začal štát reagovať na problém primeranejšie.

Na dnešnej tlačovej konferencii oznámil pozastavenie vydávania nových podpisových certifikátov, keď doteraz viac ako štyri mesiace odkedy sa o probléme dozvedel vydával certifikáty so zraniteľnými kľúčami.

Ako totiž certifikačná autorita Disig vydávajúca v spolupráci so štátom certifikáty pre eID potvrdila pre DSL.sk, o probléme sa dozvedela už 20. júna 2017.

Zároveň štát dnes u služieb eGovernmentu, ktoré využívajú kvalifikovaný elektronický podpis, prestane akceptovať kvalifikovaný podpis vytvorený pomocou eID. Zastaví sa tým najčastejšia cesta, ktorou občania posielali svoj certifikát obsahujúci zraniteľný 2048-bitový RSA kľúč mimo eID a svojho PC.

Tým sa certifikát, ktorý je zo svojej povahy verejný a v prípade že by kľúče nemali tento problém nie je s jeho zverejňovaním žiadny problém, zrejme reálne dostal k ďalším osobám, napríklad úradníkom jednotlivých úradov.


Overenie zraniteľnosti kľúča v certifikáte pre KEP na slovenskom eID, kliknite pre zväčšenie (obrázok: tím objaviteľov zraniteľnosti)



Ďalšie detaily zisťujeme.

Minulú stredu, dva dni po zverejnení problému slovensko-českým výskumným tímom z Masarykovej univerzity v Brne ministerstvo vnútra avizovalo prechod na 3072-bitové RSA kľúče a neskôr ECDSA kľúče. Za pár hodín ale termín pre 3072-bitové kľúče posunulo, zo 4 až 5 týždňov na 5 až 6 týždňov.

V každom prípade neprimeraná reakcia na problém v prvých dňoch, zmena v prístupe a kroky uskutočnené až týždeň po zverejnení opäť vyvolávajú otázku, odkedy bol problém reálne riešený a prečo za štyri mesiace nedokázal štát prijať potrebné opatrenia výrazne skôr a najnejskôr k verejnému oznámeniu problému expertami.


      Zdieľaj na Twitteri



Najnovšie články:

Rekordná 129 MWh batéria má články od Samsungu, iné ako v Note 7
Automaty na kolky nejdú, bola zbabraná aktualizácia
Navigačný systém Galileo dostáva štyri ďalšie satelity
Zoznam 46 dedín, kde zatiaľ nebude rýchly Internet
Snowden sa vysmial používateľom inteligentných asistentov v reproduktoroch, kritizoval iPhone X
Dokončili najväčšiu 129 MWh megabatériu, idú ju nabiť
Na Slovensku bude maximálne 46 dedín bez rýchleho Internetu, zaviazali sa operátori
Osvetlenie Zeme v noci rýchlo rastie
Intel po 24 rokoch stratil prvenstvo medzi výrobcami čipov
Ruský miliardár chce ísť čoskoro hľadať život na Enceladus


Diskusia:
                               
 

Toto je statne IT. Pokial by to spravovala univerzita, bud by sa to nestalo alebo by reakcia bola promptna.
Odpovedať Známka: 4.5 Hodnotiť:
 

Ja sa mozem na to eId vyebat!!! To tu naozaj nikto nic negarantuje?
Odpovedať Známka: 0.0 Hodnotiť:
 

súdruh hranol garantuje istoty (dane a smrť).
Odpovedať Známka: 8.6 Hodnotiť:
 

A prvy obcan, ktory si vybaví elektronicky podpis z inej cipovej karty než z preukazu totoznosti na zaklade oficialneho odporucania docasneho riesenia zamestnanca MV garantuje, ze SR nepride o moznost vratenia na "Operačný program Informatizácia spoločnosti" z eurofondov ziskanych prostriedkov.
Odpovedať Známka: 0.0 Hodnotiť:
 

Co chces za 1 mil. Eur... nebodaj aby daco u nas funogovalo... ked si to rozlozis... tak za 2K kupili server, za 1K dakeho inda co to nakodil a zbytok sa alobalova..
Odpovedať Známka: 6.0 Hodnotiť:
 

Ak som dobre videl info na webe o programe "Informatizacia spolocnosti", tak spravne by to malo byt 1 mld. Eur. Potom je ten zbytok este zaujimavejsi ;-)
Odpovedať Známka: 10.0 Hodnotiť:
 

Tu mate video co na to Ondrej MAcko :)

https://www.youtube.com/watch?v=ccI4MBCG93I
Odpovedať Známka: 3.3 Hodnotiť:
 

Na to sa nedokazem pozerat viac ako minutu...
Odpovedať Známka: 6.5 Hodnotiť:
 

tvl šak tá Kveta má viac rozumu než on... :D vraj že "IT musíš veriť" :D
Odpovedať Známka: 3.3 Hodnotiť:
 

Suhlas! Ked tu mame takych odbornikov ako ten Macko tak to u nas v IT aj tak vyzera. On si mysli o sebe vela ale je to vazne na smiech ked ho pocuvas
Odpovedať Známka: 4.3 Hodnotiť:
 

Onda macka sa musim naozaj zastat, poznam ho odvtedy co robil redaktora PCRevue, nie je to clovek ktory posobi na scene IT jeden rok alebo dva, ma toho dost za sebou. Ak si rozoberieme jeho vyrok "IT musíš veriť", tak sami zistime ze ma pravdu, IT pouzivame kazdy den, aj teraz ked pisem tento koment ho pouzivam a poviem vam, neostava mi nic ine len verit :)
Odpovedať Známka: -2.9 Hodnotiť:
 

Treba vsak objektivne podotknut, ze vyrok "IT musíš priekazne veriť", by v odbornej sfere zaznamenal omnoho sirsiu akceptaciu na expertnej urovni.
Odpovedať Známka: 5.7 Hodnotiť:
 

dnes má meniny Kvetoslava
Odpovedať Hodnotiť:
 

zrusit celu dobabranu elektronizaciu aj so slovensko.sk a vratit podnikatelom danove licencie aj s odskodnym a uslym ziskom. a nech to uhradia ti co to pobabrali. ked im nestacila miliarda evri nech palia vsetci do3.14ce
Odpovedať Známka: 8.6 Hodnotiť:

Pridať komentár