neprihlásený Utorok, 22. októbra 2019, dnes má meniny Sergej   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Certifikáty na eID budú revokované najneskôr 2. novembra, oznámila certifikačná autorita

Značky: kauza zraniteľných eIDbezpečnosťSlovensko

DSL.sk, 24.10.2017


Certifikačná autorita Disig, ktorá v spolupráci so štátom vydáva certifikáty verejných kľúčov prítomné na slovenských elektronických občianskych eID, všetky doteraz vydané certifikáty s 2048-bitovými kľúčmi zneplatní najneskôr budúci štvrtok 2. novembra 2017.

Disig to oznámila dnes a potvrdila tak včerajšie informácie servera DSL.sk, že v spolupráci so štátom sa tento krok pripravuje.

Problém

K zneplatneniu, revokovaniu, certifikátov prichádza kvôli oznámenej zraniteľnosti v 2048-bitových RSA kľúčoch generovaných na týchto eID, ktoré sú použité v certifikátoch.

Tieto kľúče sú vo všetkých troch certifikátoch na eID, najdôležitejšom ACA pre kvalifikovaný elektronický podpis, KEP, aj zvyšných dvoch PCA a SCA. Zneplatnené budú všetky.

O bezpečnostnom probléme a jeho aplikovaní na slovenské eID sme od minulého pondelka písali v tejto sérii článkov.

Revokácia

"Vzhľadom k potencionálnej zraniteľnosti slovenských eID kariet (CVE-2017-15361) a dostupným informáciám (vrátane informácií od výrobcu čipu a ďalších dotknutých autorít spolu s blížiacim sa termínom zverejnenia ďalších detailov zraniteľnosti), ktoré naznačujú jej možné budúce zneužitie, sme sa ako poskytovateľ služieb po zhodnotení možných rizík a prípadných incidentov pre držiteľov certifikátov uložených na eID a eDoPP kartách rozhodli, že najneskôr dňa 2.11.2017 pristúpime k zrušeniu všetkých certifikátov, ktoré boli vydané certifikačnými autoritami SVK eID ACA/PCA/SCA na eID a eDoPP karty," uvádza oznámenie pre eID a zároveň elektronické doklady o pobyte pre cudzincov.

Prečo k zrušeniu neprichádza okamžite vysvetľuje Disig snahou umožniť občanom splniť si v rámci tohto mesiaca rozličné zákonom stanovené povinnosti.

Certifikáty majú samozrejme na eID len občania, ktorí si o ne požiadali, je ich cca 300 tisíc. V prvých fázach bolo požiadanie si o certifikáty ale nutnou podmienkou získania čítačky zadarmo.

Zabezpečte si časové pečiatky

Elektronické dokumenty podpísané KEP môžu ale nemusia byť opatrené tzv. časovou pečiatkou, ďalším podpisom dôveryhodnej autority potvrdzujúcej čas existencie podpisu dokumentu. Ak podpísaný dokument nemá časovú pečiatku pre čas, kedy certifikát pre KEP ešte platil, stáva sa každý takýto podpis po zneplatnení certifikátu neplatným.

Ak je podpis ale doplnený časovou pečiatkou, platí naďalej.

Časovú pečiatku je možné samozrejme doplniť aj neskôr počas doby platnosti certifikátu, ak si občan chce zabezpečiť platnosť podpisu dokumentu aj po zneplatnení certifikátu.

Pokiaľ si tak chcete zabezpečiť pokračujúcu platnosť podpisu dokumentov bez časovej pečiatky, čo najskôr si podpisy o časovú pečiatku doplňte.

Podpísané dokumenty, ktoré ste v minulosti posielali úradom, by tieto zrejme mali pri prijatí opatriť časovou pečiatkou a už akceptované podpisy by samozrejme mali byť platné a v poriadku. K takýmto scenárom samozrejme prichádzalo aj doteraz pri individuálnom zneplatňovaní certifikátov, či sú všetky úrady bez výnimky na takúto situáciu pripravené zisťujeme.

Druhou možnosťou popri časových pečiatkach je uloženie podpisu u kvalifikovanej dôveryhodnej služby uchovávania KEP.

Informácie a ďalší postup

Disig zatiaľ neavizuje konkrétny čas zneplatnenia certifikátov. Technicky k nemu príde až po zaradení na oficiálny zoznam zrušených certifikátov, CRL.

Držiteľov, ktorí v žiadosti pri vydávaní eID uviedli telefónne číslo, bude na zrušenie certifikátov podľa oznámenia ministerstvo vnútra upozorňovať formou SMS.

Podľa včerajších informácií DSL.sk by podľa súčasných informácií bezpečné 3072-bitové certifikáty mali začať byť vydávané najneskôr do 15. novembra. Ministerstvo pôvodne tvrdilo, že vygenerovať ich pôjde na diaľku z domu, či to naďalej platí nie je jasné.

V prípade, že k zneplatneniu doterajších certifikátov príde skôr ako budú k dispozícii 3072-bitové, občania nutne potrebujúci kvalifikovaný certifikát a podpis si od zneplatnenia súčasných môžu zaobstarať komerčný ale platený certifikát pre KEP na inom, bezpečnom, zariadení ako eID.


      Zdieľaj na Twitteri



Najnovšie články:

Galaxy Fold má byť populárny a Samsung plánuje predávať milióny
Štát chce zlepšiť výučbu matematiky
Nové Core i5 CPU majú dostať multithreading
Pre najrozšírenejší ransomvér zverejnený nástroj na dešifrovanie
Firefox chystá preklad stránok, lokálne pomocou umelej inteligencie
Známe termíny prvého Star Wars seriálu
Google začal v USA doručovať dronmi
Európska sonda Slnka dotestovaná, poletí do USA
SpaceX začala stavať ďalšie lode Starship
Po poslednej aktualizácii Windows 10 sa dokonca objavuje BSoD


Diskusia:
                               
 

Napokon sa este objavi nejaky dalsi bug v pouzitom cipe na OP a budu sa aj hromadne vymienat vsetky OP :)
Tesme sa na spustenie eHealth, hardwarovy zaklad s prepracovanym softwarom bude dobry start na dalsiu originalnu grotesku :)
Odpovedať Známka: 3.8 Hodnotiť:
 


Tento problém je len teoretický.
Tento problém je len teoretický.
Tento problém je len teoretický.
Tento problém je len teoretický.

Vy tomu nerozumiete tu rozhodujú iný.
Odpovedať Známka: 5.0 Hodnotiť:
 

meniny ma Aurel, posielam eklektriku!
Odpovedať Známka: 7.8 Hodnotiť:
 

To by musel najprv NCZI stihat vydavat karty v zakonom stanovenej 30 dnovej lehote. Do dalsich 10 dni ma vydat aj PIN.

Realita: Karta dosla skoro po 3 mesiacoch, PIN meska uz vyse mesiaca.
Odpovedať Známka: 6.0 Hodnotiť:
 

Cirou nahodou napadlo niekoho ako su chranene udaje v biometrickom pase, ktory sa pouziva uz aj u nas? Komunikacia ide cez RFID, ale kedze obsahuje udaje majitela, ako aj fotku, pravdivost musi byt tiez nejako chranena nejakym klucom... takze snad len nie prelomenym RSAckom ;)
Odpovedať Známka: 1.4 Hodnotiť:
 

Uz si aj odpovedam: "kazdy stat vytvari svou narodni certifikacni autoritu, ktera podepise klıce autorit vydavajıcıch dokumenty (narodnı autorita Ministerstva vnitra CR - RSA 3072 bitu) tyto autority pak podepisujı data v el. pasech (napr. Statnı tiskarna cenin - RSA 2048 bitu)". Zaroven je tu vlastne aj odpoved, preco navrhli nove crtifikaty do OP na 3072 bitov miesto 4096bitov... :)
Ale ten RSA 2048bit podpis udajov biometrickeho pasu uz nie je tak usmevny...
Odpovedať Známka: -4.3 Hodnotiť:
 

super, a teraz si precitaj ze preco su nase obciasnke nebezpecne. RSA2048 je uplne v pohode, pkial sa na jeho generovanie nepouzije isty nemecky cip.
Odpovedať Známka: 4.1 Hodnotiť:
 

RSA nie je prelomene. Prelomene su len kluce vytvorene kniznicou, ktora obsahuje chybu.
Odpovedať Známka: 5.0 Hodnotiť:
 

Myslim si, ze kedze udaje na pase su u nas aj v cz podpisane 2048bit RSA klucom, ktory je prelomeny a podpisany rovnako ako pri OP narodnym 3072 bitovym centralnym klucom, chyba pretrvava.
Odpovedať Známka: -6.7 Hodnotiť:
 

kluc NIE JE prelomeny, prelomeny je chip Infineon, ktory je naschval naprogramovany so zranitelnostou koli rychlejsiemu generovaniu klucov. Nieco ako kauza emisii v riadiacich jednotkach aut - bolo to urobene cielene.
Odpovedať Známka: 6.0 Hodnotiť:
 

ahaaaaa..
Odpovedať Známka: 3.3 Hodnotiť:
 

nie je prelomeny chip, ten nikoho nezaujima, je prelomeny kazdy KLUC, ktory je generovany tym chipom, vdaka ktoreho postupu pri inicializacii je mozne ten kluc zlomit. Kluce RSA generovane inymi metodami zatial zlomit nejdu a asi ani za 10 rokov. Ale lamu sa kluce, nie chipy :) Naviac, tieto kluce idu zlomit vsade, kde sa da odhadnut ta pociatocna inicializacia a netyka sa len tohto cipu. Uz maju problem aj Gemalto pristupve karty, tam dokonca kde sa pouzit 512bitovy kluc, ho vedia zomit za 3 minuty na NB :D
Odpovedať Známka: 5.0 Hodnotiť:
 

Skoro presne tak. Len nie prelomeny, ale priekazne len prelomitelny.
Odpovedať Známka: 6.7 Hodnotiť:
 

No ja sa z toho asi poseriem.
Odpovedať Známka: -1.1 Hodnotiť:
 

Prečo sa nikde nehovorí o tom, že by mal horko zaplakať a zaplatiť to Infineon ?
Odpovedať Známka: 6.7 Hodnotiť:
 

tiez by ma to zaujimalo, ved to ani nie je chyba ale umyselne to tak urobili koli rychlosti generovania klucov, lebo mali slabe chipy. podobne ako auta a Dieselgate.
Odpovedať Známka: 2.5 Hodnotiť:
 

Z poskytovania vyhradne na pre rychlost generovania optimalizujucej kniznice zalozenej bezpecnosti komunikacie ale priekazne vychadza stanovenie idealnej urovne zakonom pozadovaneho anargotizmu pomerne jednoznacne.
Odpovedať Známka: 0.0 Hodnotiť:
 

Vie niekto, ci su zranitelne aj certifikaty na eHealth kartach pre zdravotnikov? Je to obdobna, ak nie identicka, technologia ako eID.
Odpovedať Známka: 2.0 Hodnotiť:
 

mimozemstania vravia, ze casom urcite budu aj tie zranitelne. pozemstania casom nejaku chybu urcite najdu. a narodna paranoja to potom hodi na virtualneho duchotiena a budu ho 3 roky sledkovat, pre pripad, kebyze, nahodou, priekazne
Odpovedať Známka: -5.0 Hodnotiť:
 

ta niekto predsa musi niesc zotpovednosc, nee !
Odpovedať Známka: 2.0 Hodnotiť:
 

duro s lopatú
Odpovedať Známka: 2.0 Hodnotiť:
 

Pokiaľ ide o prejav rešpektovania niekoho práva na osobnú pomstu*, neyebnutie s lopatú po lebeni je priekazne vrcholom altruizmu.
*priama demokracia
Odpovedať Známka: 3.3 Hodnotiť:
 

neyebnutie s lopatu je casto aj vrcholom rozvaznosti. v priamej demokracii by si si teoreticky mohol zvolit fizla, ktory bude odpocuvat. nasledne by sa povolanie fizel zmenilo na brigadnik, resp. altruista a kludne by to mohlo smerovat k narchii, v ktorej by sa fizli navzajom mlatili lopatami po hlavach, popripade po sebe aj strielali (teraz nastastie maju este nezavisle terce - deti, dorastencov, manzelky, ...)
Odpovedať Hodnotiť:
 

vie niekto preco sa hned nemoze prejst na ECDSA kluce?
Odpovedať Známka: 5.0 Hodnotiť:
 

Napríklad preto, že vytváranie podpisov ECDSA nepodporuje žiadna z certifikovaných aplikácií ... a teda by nebolo čím podpisovať.
Odpovedať Známka: 6.0 Hodnotiť:
 

oprava: Žiadna z aplikácií certifikovaných NBÚ nepodporuje vytváranie ECDSA.
V zahraničí už také ale sú ...
Odpovedať Známka: 6.7 Hodnotiť:
 

nieco podobne ako skyToll,aj tam bol dodavatel Infineon.Jednoducho stare haraburdy v oboch pripadoch.

Minule na jednej mitnej brane sksali minimalne 10krat rozne harabudry skenery ,kamery.No a nakonec sa nasrali po niekolkych rokoch a kupili original na to vec urcenu.nevadi treba skusit 5 kart ze to nejde,lebo nezli veci neuveri aj ked mu to ako povies.
Odpovedať Známka: 5.0 Hodnotiť:
 

redakcia stale nema vyjadrenie infineonu k tomuto? povazujem toto za este vaznejsiu vec ako kauza emisii, tam trpelo zivotne prostredie, tu ale je mozne pripravit o peniaze ludi, v pripade estonska s verejnym zoznam verejnych klucov kazdeho obcana. a nikto nic? ziadne vysetrovanie vedene voci Infineonu z EU? smutne...
Odpovedať Známka: 5.0 Hodnotiť:
 

Životné prostredie je menej dôležité? Chyba.
Odpovedať Známka: -4.5 Hodnotiť:
 

Priekazne si zasluzi tento ujo Vas aplaus. Nakolko celkom urcite postavil na prve miesto statky, bez ktorych clovek nemoze zit. Zato na co nam je taky vzduch, cista voda a ine veci generovane prirodou. Nech si ich priroda necha my sa bez nich zaobideme.
Je velka pravda ze sa treba pytat komptentnych ci by niekto nemal dostat po prstoch. Ale ze by to bola umyselna chyba ako v dieselgate? Ak umyselna tak skor na zakazku ako ine americke gate.
Odpovedať Známka: 0.0 Hodnotiť:
 

Revokovane? to je čo za poslovenštenie...
Odpovedať Hodnotiť:
 

Ako Julko vravieval, u nás sa revokovalo počas vojny.
Odpovedať Hodnotiť:
 

kto napisal tu kniznicu v ktorej je chyba?
Odpovedať Hodnotiť:

Pridať komentár