 
neprihlásený 
|
Štvrtok, 25. apríla 2024, dnes má meniny Marek |
|
|
Certifikáty na eID budú revokované najneskôr 2. novembra, oznámila certifikačná autorita
Značky:
kauza zraniteľných eIDbezpečnosťSlovensko
DSL.sk, 24.10.2017
|
|
Certifikačná autorita Disig, ktorá v spolupráci so štátom vydáva certifikáty verejných kľúčov prítomné na slovenských elektronických občianskych eID, všetky doteraz vydané certifikáty s 2048-bitovými kľúčmi zneplatní najneskôr budúci štvrtok 2. novembra 2017.
Disig to oznámila dnes a potvrdila tak včerajšie informácie servera DSL.sk, že v spolupráci so štátom sa tento krok pripravuje.
Problém
K zneplatneniu, revokovaniu, certifikátov prichádza kvôli oznámenej zraniteľnosti v 2048-bitových RSA kľúčoch generovaných na týchto eID, ktoré sú použité v certifikátoch.
Tieto kľúče sú vo všetkých troch certifikátoch na eID, najdôležitejšom ACA pre kvalifikovaný elektronický podpis, KEP, aj zvyšných dvoch PCA a SCA. Zneplatnené budú všetky.
O bezpečnostnom probléme a jeho aplikovaní na slovenské eID sme od minulého pondelka písali v tejto sérii článkov.
Revokácia
"Vzhľadom k potencionálnej zraniteľnosti slovenských eID kariet (CVE-2017-15361) a dostupným informáciám (vrátane informácií od výrobcu čipu a ďalších dotknutých autorít spolu s blížiacim sa termínom zverejnenia ďalších detailov zraniteľnosti), ktoré naznačujú jej možné budúce zneužitie, sme sa ako poskytovateľ služieb po zhodnotení možných rizík a prípadných incidentov pre držiteľov certifikátov uložených na eID a eDoPP kartách rozhodli, že najneskôr dňa 2.11.2017 pristúpime k zrušeniu všetkých certifikátov, ktoré boli vydané certifikačnými autoritami SVK eID ACA/PCA/SCA na eID a eDoPP karty," uvádza oznámenie pre eID a zároveň elektronické doklady o pobyte pre cudzincov.
Prečo k zrušeniu neprichádza okamžite vysvetľuje Disig snahou umožniť občanom splniť si v rámci tohto mesiaca rozličné zákonom stanovené povinnosti.
Certifikáty majú samozrejme na eID len občania, ktorí si o ne požiadali, je ich cca 300 tisíc. V prvých fázach bolo požiadanie si o certifikáty ale nutnou podmienkou získania čítačky zadarmo.
Zabezpečte si časové pečiatky
Elektronické dokumenty podpísané KEP môžu ale nemusia byť opatrené tzv. časovou pečiatkou, ďalším podpisom dôveryhodnej autority potvrdzujúcej čas existencie podpisu dokumentu. Ak podpísaný dokument nemá časovú pečiatku pre čas, kedy certifikát pre KEP ešte platil, stáva sa každý takýto podpis po zneplatnení certifikátu neplatným.
Ak je podpis ale doplnený časovou pečiatkou, platí naďalej.
Časovú pečiatku je možné samozrejme doplniť aj neskôr počas doby platnosti certifikátu, ak si občan chce zabezpečiť platnosť podpisu dokumentu aj po zneplatnení certifikátu.
Pokiaľ si tak chcete zabezpečiť pokračujúcu platnosť podpisu dokumentov bez časovej pečiatky, čo najskôr si podpisy o časovú pečiatku doplňte.
Podpísané dokumenty, ktoré ste v minulosti posielali úradom, by tieto zrejme mali pri prijatí opatriť časovou pečiatkou a už akceptované podpisy by samozrejme mali byť platné a v poriadku. K takýmto scenárom samozrejme prichádzalo aj doteraz pri individuálnom zneplatňovaní certifikátov, či sú všetky úrady bez výnimky na takúto situáciu pripravené zisťujeme.
Druhou možnosťou popri časových pečiatkach je uloženie podpisu u kvalifikovanej dôveryhodnej služby uchovávania KEP.
Informácie a ďalší postup
Disig zatiaľ neavizuje konkrétny čas zneplatnenia certifikátov. Technicky k nemu príde až po zaradení na oficiálny zoznam zrušených certifikátov, CRL.
Držiteľov, ktorí v žiadosti pri vydávaní eID uviedli telefónne číslo, bude na zrušenie certifikátov podľa oznámenia ministerstvo vnútra upozorňovať formou SMS.
Podľa včerajších informácií DSL.sk by podľa súčasných informácií bezpečné 3072-bitové certifikáty mali začať byť vydávané najneskôr do 15. novembra. Ministerstvo pôvodne tvrdilo, že vygenerovať ich pôjde na diaľku z domu, či to naďalej platí nie je jasné.
V prípade, že k zneplatneniu doterajších certifikátov príde skôr ako budú k dispozícii 3072-bitové, občania nutne potrebujúci kvalifikovaný certifikát a podpis si od zneplatnenia súčasných môžu zaobstarať komerčný ale platený certifikát pre KEP na inom, bezpečnom, zariadení ako eID.
Najnovšie články:
![]()
Diskusia:
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
chybicky krasy
Od: Koumak
|
Pridané:
24.10.2017 18:29
Napokon sa este objavi nejaky dalsi bug v pouzitom cipe na OP a budu sa aj hromadne vymienat vsetky OP :)
Tesme sa na spustenie eHealth, hardwarovy zaklad s prepracovanym softwarom bude dobry start na dalsiu originalnu grotesku :)
|
| |
štátna tajomníčka rezortu vnútra Denisa Saková SMER SD
Od: Denisa Saková SMER SD
|
Pridané:
24.10.2017 20:54
Tento problém je len teoretický.
Tento problém je len teoretický.
Tento problém je len teoretický.
Tento problém je len teoretický.
Vy tomu nerozumiete tu rozhodujú iný.
|
| |
Re: štátna tajomníčka rezortu vnútra Denisa Saková SMER SD
Od: tvojamanka
|
Pridané:
25.10.2017 8:54
meniny ma Aurel, posielam eklektriku!
|
| |
Re: chybicky krasy
Od: reg: Houston
|
Pridané:
24.10.2017 21:26
To by musel najprv NCZI stihat vydavat karty v zakonom stanovenej 30 dnovej lehote. Do dalsich 10 dni ma vydat aj PIN.
Realita: Karta dosla skoro po 3 mesiacoch, PIN meska uz vyse mesiaca.
|
| |
biometricky pas
Od: Koumak
|
Pridané:
24.10.2017 18:36
Cirou nahodou napadlo niekoho ako su chranene udaje v biometrickom pase, ktory sa pouziva uz aj u nas? Komunikacia ide cez RFID, ale kedze obsahuje udaje majitela, ako aj fotku, pravdivost musi byt tiez nejako chranena nejakym klucom... takze snad len nie prelomenym RSAckom ;)
|
| |
Re: biometricky pas
Od: Koumak
|
Pridané:
24.10.2017 18:53
Uz si aj odpovedam: "kazdy stat vytvari svou narodni certifikacni autoritu, ktera podepise klıce autorit vydavajıcıch dokumenty (narodnı autorita Ministerstva vnitra CR - RSA 3072 bitu) tyto autority pak podepisujı data v el. pasech (napr. Statnı tiskarna cenin - RSA 2048 bitu)". Zaroven je tu vlastne aj odpoved, preco navrhli nove crtifikaty do OP na 3072 bitov miesto 4096bitov... :)
Ale ten RSA 2048bit podpis udajov biometrickeho pasu uz nie je tak usmevny...
|
| |
Re: biometricky pas
Od: tatar
|
Pridané:
24.10.2017 19:22
super, a teraz si precitaj ze preco su nase obciasnke nebezpecne. RSA2048 je uplne v pohode, pkial sa na jeho generovanie nepouzije isty nemecky cip.
|
| |
Re: biometricky pas
Od reg.: K-NinetyNine
|
Pridané:
24.10.2017 20:24
RSA nie je prelomene. Prelomene su len kluce vytvorene kniznicou, ktora obsahuje chybu.
|
| |
Re: biometricky pas
Od: koumak
|
Pridané:
24.10.2017 22:21
Myslim si, ze kedze udaje na pase su u nas aj v cz podpisane 2048bit RSA klucom, ktory je prelomeny a podpisany rovnako ako pri OP narodnym 3072 bitovym centralnym klucom, chyba pretrvava.
|
| |
Re: biometricky pas
Od: Peter_qwerty
|
Pridané:
24.10.2017 22:47
kluc NIE JE prelomeny, prelomeny je chip Infineon, ktory je naschval naprogramovany so zranitelnostou koli rychlejsiemu generovaniu klucov. Nieco ako kauza emisii v riadiacich jednotkach aut - bolo to urobene cielene.
|
| |
Re: biometricky pas
Od: Kvetoslava..
|
Pridané:
24.10.2017 23:21
ahaaaaa..
|
| |
Re: biometricky pas
Od: dvffgb
|
Pridané:
25.10.2017 7:36
nie je prelomeny chip, ten nikoho nezaujima, je prelomeny kazdy KLUC, ktory je generovany tym chipom, vdaka ktoreho postupu pri inicializacii je mozne ten kluc zlomit. Kluce RSA generovane inymi metodami zatial zlomit nejdu a asi ani za 10 rokov. Ale lamu sa kluce, nie chipy :) Naviac, tieto kluce idu zlomit vsade, kde sa da odhadnut ta pociatocna inicializacia a netyka sa len tohto cipu. Uz maju problem aj Gemalto pristupve karty, tam dokonca kde sa pouzit 512bitovy kluc, ho vedia zomit za 3 minuty na NB :D
|
| |
Re: bi omen tricky pass
Od: syntaxterrorX XX
|
Pridané:
25.10.2017 7:53
Skoro presne tak. Len nie prelomeny, ale priekazne len prelomitelny.
|
| |
Chlapi
Od: ratibor z trstic
|
Pridané:
24.10.2017 20:36
No ja sa z toho asi poseriem.
|
| |
Prečo sa nikde nehovorí ...
Od: iso
|
Pridané:
24.10.2017 21:17
Prečo sa nikde nehovorí o tom, že by mal horko zaplakať a zaplatiť to Infineon ?
|
| |
Re: Prečo sa nikde nehovorí ...
Od: Peter_qwerty
|
Pridané:
24.10.2017 21:29
tiez by ma to zaujimalo, ved to ani nie je chyba ale umyselne to tak urobili koli rychlosti generovania klucov, lebo mali slabe chipy. podobne ako auta a Dieselgate.
|
| |
Re: Lebo niekde sa vraví.
Od: syntaxterrorX XX
|
Pridané:
25.10.2017 8:31
Z poskytovania vyhradne na pre rychlost generovania optimalizujucej kniznice zalozenej bezpecnosti komunikacie ale priekazne vychadza stanovenie idealnej urovne zakonom pozadovaneho anargotizmu pomerne jednoznacne.
|
| |
eHealth
Od: MarkoMarko
|
Pridané:
24.10.2017 21:39
Vie niekto, ci su zranitelne aj certifikaty na eHealth kartach pre zdravotnikov? Je to obdobna, ak nie identicka, technologia ako eID.
|
| |
Re: eHealth
Od: tajnos_agentos
|
Pridané:
24.10.2017 21:48
mimozemstania vravia, ze casom urcite budu aj tie zranitelne. pozemstania casom nejaku chybu urcite najdu. a narodna paranoja to potom hodi na virtualneho duchotiena a budu ho 3 roky sledkovat, pre pripad, kebyze, nahodou, priekazne
|
| |
Re: eHealth
Od: The RED smiling KING
|
Pridané:
24.10.2017 21:50
ta niekto predsa musi niesc zotpovednosc, nee !
|
| |
Re: eHealth
Od: dietny suchar
|
Pridané:
24.10.2017 21:54
duro s lopatú
|
| |
Re: eHealth
Od: syntaxterrorX XX
|
Pridané:
25.10.2017 5:34
Pokiaľ ide o prejav rešpektovania niekoho práva na osobnú pomstu*, neyebnutie s lopatú po lebeni je priekazne vrcholom altruizmu.
*priama demokracia
|
| |
Re: eHealth
Od: tajnos_agentos
|
Pridané:
25.10.2017 11:34
neyebnutie s lopatu je casto aj vrcholom rozvaznosti. v priamej demokracii by si si teoreticky mohol zvolit fizla, ktory bude odpocuvat. nasledne by sa povolanie fizel zmenilo na brigadnik, resp. altruista a kludne by to mohlo smerovat k narchii, v ktorej by sa fizli navzajom mlatili lopatami po hlavach, popripade po sebe aj strielali (teraz nastastie maju este nezavisle terce - deti, dorastencov, manzelky, ...)
|
| |
ECDSA
Od: Peter_qwerty
|
Pridané:
24.10.2017 21:52
vie niekto preco sa hned nemoze prejst na ECDSA kluce?
|
| |
Re: ECDSA
Od: kesiaf
|
Pridané:
25.10.2017 1:50
Napríklad preto, že vytváranie podpisov ECDSA nepodporuje žiadna z certifikovaných aplikácií ... a teda by nebolo čím podpisovať.
|
| |
Re: ECDSA
Od: kesiaf
|
Pridané:
25.10.2017 1:55
oprava: Žiadna z aplikácií certifikovaných NBÚ nepodporuje vytváranie ECDSA.
V zahraničí už také ale sú ...
|
| |
nieco podobne
Od: n.kveta
|
Pridané:
24.10.2017 23:33
nieco podobne ako skyToll,aj tam bol dodavatel Infineon.Jednoducho stare haraburdy v oboch pripadoch.
Minule na jednej mitnej brane sksali minimalne 10krat rozne harabudry skenery ,kamery.No a nakonec sa nasrali po niekolkych rokoch a kupili original na to vec urcenu.nevadi treba skusit 5 kart ze to nejde,lebo nezli veci neuveri aj ked mu to ako povies.
|
| |
Infineon
Od: Peter_qwerty
|
Pridané:
24.10.2017 23:53
redakcia stale nema vyjadrenie infineonu k tomuto? povazujem toto za este vaznejsiu vec ako kauza emisii, tam trpelo zivotne prostredie, tu ale je mozne pripravit o peniaze ludi, v pripade estonska s verejnym zoznam verejnych klucov kazdeho obcana. a nikto nic? ziadne vysetrovanie vedene voci Infineonu z EU? smutne...
|
| |
Re: Infineon
Od: čitateľ
|
Pridané:
25.10.2017 4:17
Životné prostredie je menej dôležité? Chyba.
|
| |
Re: Infineon
Od: Shasho
|
Pridané:
25.10.2017 9:53
Priekazne si zasluzi tento ujo Vas aplaus. Nakolko celkom urcite postavil na prve miesto statky, bez ktorych clovek nemoze zit. Zato na co nam je taky vzduch, cista voda a ine veci generovane prirodou. Nech si ich priroda necha my sa bez nich zaobideme.
Je velka pravda ze sa treba pytat komptentnych ci by niekto nemal dostat po prstoch. Ale ze by to bola umyselna chyba ako v dieselgate? Ak umyselna tak skor na zakazku ako ine americke gate.
|
| |
Revokovane?
Od: Revokovane?
|
Pridané:
25.10.2017 19:21
Revokovane? to je čo za poslovenštenie...
|
| |
Re: Revokovane?
Od: čitateľ
|
Pridané:
26.10.2017 12:31
Ako Julko vravieval, u nás sa revokovalo počas vojny.
|
| |
kniha
Od: knihovnik123
|
Pridané:
25.10.2017 20:16
kto napisal tu kniznicu v ktorej je chyba?
|
Pridať komentár
|
|
|
|
