Incident časti eKasa pokladníc spôsobilo pevné akceptovanie iba jednej CA

Pomerne vážny incident časti eKasa pokladníc na prelome januára a februára, kvôli ktorému tieto pokladnice nekomunikovali korektne so servermi eKasa systému Finančnej správy SR, spôsobila minimálne u dvoch výrobcov kontrola v týchto pokladniciach dovoľujúca napevno iba jednu konkrétnu vydávajúcu certifikačnú autoritu certifikátu eKasa systému. Incident by priamo nemal vyústiť do sankcií pre obchodníkov, ich povinnosti boli napriek incidentu štandardne splnené.

Značky: e-governmentSlovensko

DSL.sk, 14.2.2024

Pomerne vážny incident časti eKasa pokladníc na prelome januára a februára, kvôli ktorému tieto pokladnice nekomunikovali korektne so servermi eKasa systému Finančnej správy SR, spôsobila minimálne u dvoch výrobcov kontrola v týchto pokladniciach dovoľujúca napevno iba jednu konkrétnu vydávajúcu certifikačnú autoritu certifikátu eKasa systému.

Pre takúto kontrolu podľa dostupných informácií ale zrejme neboli adekvátne dôvody a bola tak chybná, čo pri nasadení nového certifikátu vydaného inou certifikačnou autoritou spôsobilo problém.

Incident

Ako sme popisovali v tomto článku, celý incident spôsobila výmena certifikátu Finančnej správy používaného na podpisovanie odpovedí od systému eKasa pre pokladnice, ktoré sa posielajú po prijatí bločku odoslaného pokladnicou. Podľa dostupných informácií k výmene certifikátu prišlo 24. januára o 12:00.

Následne softvér pokladníc niektorých výrobcov pri komunikácii so servermi eKasy neakceptoval nový certifikát, tým nevedel overiť a neakceptoval odpoveď od eKasy a neprijal pridelený identifikátor bločku. Pokladnice minimálne výrobcu Elcom v spracovaní pokračovali podobne ako keby pokladnica aktuálne nemala funkčné pripojenie do Internetu a vytvorili tzv. offline bloček, ktorý je bežne neskôr potrebné do eKasy odoslať.

Podľa informácií FS pre DSL.sk sa problém dotkol pokladníc viacerých výrobcov, najväčším problémom bol jeho výskyt aj v pokladniciach zrejme väčšieho výrobcu Elcom. Po tipe od čitateľa problém potvrdila aj spoločnosť Kasa FIK.

V prípade Elcomu sa problém rýchlo vyriešil vydaním aktualizácie firmvéru pokladníc, ktorý bol minimálne pre niektoré modely k dispozícii už podvečer 25. januára. Neaktualizované pokladnice posielali offline bločky opakovane a tým zaťažovali systém, FS tak pristúpila k dočasnému blokovaniu zasielania bločkov jednotlivými typmi pokladníc s problémom.

Problém tak pokračoval aj v ďalších dňoch, dočasne kvôli blokovaniu čiastočne aj v prípade už aktualizovaných pokladníc a samozrejme časť pokladníc stále zostávala neaktualizovaná.

FS nespresnila, akého počtu alebo časti pokladníc sa problém dotkol. Zároveň nie je jasné, aký je stav v súčasnosti a koľko pokladníc je ešte neaktualizovaných.

Spoločnosť Kasa FIK v stanovisku pre DSL.sk naznačovala, že problém neopraví. "Bohužel změna by pro nás byla velmi náročná, znamenala by značný zásah do certifikovaného software a tak jsme se rozhodli ukončit naše aktivity na slovenském trhu," uviedla spoločnosť. Na ďalšie otázky spoločnosť zatiaľ neodpovedala a definitívne nepotvrdila, že problém už aktualizáciou neopraví.

Technická príčina

FS pre DSL.sk potvrdila, že v prípade pokladníc Elcomu bola technickou príčinou problému kontrola v týchto pokladniciach dovoľujúca napevno iba jednu konkrétnu vydávajúcu certifikačnú autoritu podpisového certifikátu eKasa systému. "ORP spoločnosti Elcom mali napevno iba jeden akceptovaný koreňový certifikát / CA," uviedla pre DSL.sk Drahomíra Adamčíková, hovorkyňa Finančnej správy SR.

Rovnakú technickú príčinu mal problém aj v prípade pokladníc Kasa FIK. "Součástí certifikace pokladního systému byla i striktní kontrola vydavatele certifikátu. Bohužel při změně certifikační autority tato kontrola byla neplatná," uviedla spoločnosť pre DSL.sk.

Nový certifikát bol vydaný od rovnakej spoločnosti ako predchádzajúce, První certifikační autorita, a.s. Bol vydaný ale inou certifikačnou autoritou prevádzkovanou touto spoločnosťou, ktorá má iný koreňovaný certifikát. Kontroly vyžadujúce rovnaký koreňový certifikát aký bol používaný doteraz tak považovali certifikát za nedôveryhodný.

Príčina

Obmedzovanie vydávajúcej certifikačnej autority napríklad aj na jednu konkrétnu sa v niektorých prípadoch používa na zvýšenie bezpečnosti, tento mechanizmus sa označuje ako tzv. certificate pinning.

Pri jeho použití musí mať tvorca softvéru samozrejme ale garantované, že sa vždy použije certifikát iba od danej certifikačnej autority. To v tomto prípade podľa informácií FS ale evidentne neplatilo.

Podpisový certifikát systému eKasa sa popisuje v časti 2.8 popisu integračného rozhrania nachádzajúceho sa v tomto PDF dokumente. Z jeho znenia nevyplýva, že by sa na tento účel používal vždy certifikát iba od jednej konkrétnej doteraz používanej CA. Naopak použitú certifikčnú autoritu neobmedzuje ani neupravuje dostatočne a nie je z neho jasné, aké všetky certifikačné autority môžu byť použité.

Podľa informácií FS ani z jej iných informácií nevyplýva, že certifikačná autorita certifikátu sa nemôže meniť. "Od prvej verzie integračného rozhrania bolo definované, že certifikát sa môže meniť. Tiež bola definovaná podmnožina informácií (atribútov), ktoré sa v certifikáte nemenia, a ktoré majú výrobcovia kontrolovať s informáciou, že tieto atribúty nemajú kontrolovať v konkrétnom poradí. Finančná správa požaduje splnenie overovania atribútov definovaných bode 2.8. Integračného rozhrania. Všetky dokumenty sú zverejnené na našom portáli, k danej oblasti už nie sú definované žiadne iné povinnosti," uviedla FS.

FS konkrétne vyžaduje overovanie atribútov v poli Subject certifikátu.

Spoločnosť Elcom tvrdila, že problém nenastal jej chybou. Spoločnosť ale nechcela uviesť žiadne detailné informácie vrátane toho, pre aký technický dôvod nebol nový certifikát jej pokladnicami akceptovaný. Spoločnosť neodpovedala na otázky ani po potvrdení od FS, že dôvodom bola pevná kontrola na jednu certifikačnú autoritu, a neodpovedala tak ani na otázku na základe čoho použila pevnú kontrolu na jednu doteraz používanú certifikačnú autoritu.

Nie je tak jasné, prečo podľa spoločnosti problém nenastal jej chybou.

Kasa FIK zatiaľ tiež nevysvetlila, na základe čoho použila pevnú kontrolu na jednu certifikačnú autoritu. "Chyba byla ve výměně certifikační autority na straně serveru Finanční správy," uviedla spoločnosť v stanovisku.

Nedostatočná definícia

Hoci popis podpisového certifikátu v popise integračného rozhrania neznamená použitie iba jednej konkrétnej certifikačnej autority a nebol príčinou incidentu, nie je dostatočne jasný.

Podpisový certifikát je totiž v dokumente špecifikovaný iba ako "kvalifikovaný systémový certifikát" a v popise nie je definované, od akých všetkých certifikačných autorít môže byť vydaný.

Až po upozornení, že takáto definícia nie je dostačujúca, FS spresnila, že vždy bude použitý certifikát od CA nachádzajúcej sa na zozname certifikačných autorít podľa európskej legislatívy eIDAS uvedenom na tejto stránke.

Zároveň FS v požiadavkách na výrobcov pokladníc zrejme okrem overenia poľa Subject v certifikáte ďalšie overovanie nevyžaduje a zrejme ho teda ani nekontroluje. Vzniká tak otázka, či niektoré iné pokladnice vôbec overujú dôveryhodnosť podpisového certifikátu a problém sa u nich nevyskytol kvôli absencii jeho overovania.

Podľa informácie FS pre DSL.sk iní výrobcovia majú overovať certifikačnú autoritu. "Riešenia iných výrobcov buď využívajú koreňové certifikáty zabudované a aktualizované systémom, na ktorom bežia, alebo obsahujú všetky koreňové certifikáty všetkých uznávaných certifikačných autorít a nemajú problém so zmenou certifikačnej autority," uviedla FS. Zisťujeme z čoho táto informácia vychádza, keď to FS pri certifikácii neoveruje.

Dopady incidentu

Incident bol pomerne vážny, keď zrejme pomerne vysoký počet eKasa pokladníc začal vytvárať len offline bločky a obchodníci museli tento problém riešiť.

Vyriešenie v prípade väčšieho výrobcu Elcom bolo ale rýchle a obchodníci po aktualizovaní softvéru a uplynutí niekoľkých dní do skončenia blokovania ich modelu pokladníc zrejme nemali mať žiadne ďalšie súvisiace problémy.

Pre obchodníkov platí povinnosť offline bločky odoslať do systémov eKasy do 96 hodín od ich vytvorenia a v prípade jej nesplnenia hrozia sankcie. Ako sme už skôr informovali a ako vyplýva z povahy problému, servery eKasy offline bločky vytvorené v dôsledku tohto incidentu v skutočnosti štandardne úspešne prijali už pri prvom odoslaní. FS zároveň potvrdila, že tieto bločky považuje za úspešne odoslané a v takomto prípade sankcie nehrozia.

Nie je ale jasné, či nemohli vzniknúť kvôli problému aj nejaké neštandardné situácie. Napríklad podľa informácií jedného z čitateľov majú zrejme minimálne niektoré pokladnice obmedzený počet offline bločkov, ktoré dokážu uchovávať.

V každom prípade je užívateľom, ktorí ešte nenainštalovali dostupnú aktualizáciu softvéru pokladníc, odporúčané, aby tak spravili čo najskôr.




Najnovšie články:



Diskusia:

Korenova zelenina Od: tatrofka_20025000 | Pridané: 15.2.2024 10:48 Posielam korene Odpovedať Známka: 10.0 Hodnotiť:

ultraradikálny špecifikácionalizmus Od: syntaxterrorXXX, . Y | Pridané: 15.2.2024 12:46 Takéto nedostatky v zadaní sú jasným zisťovaním náboženského prikláňania vývojára k monoteizmu či polyteizmu a ako také priekazne podliehajú nariadeniu GDPR. Odpovedať Známka: -6.0 Hodnotiť:

Cieľom je cieľ Od: lololol | Pridané: 15.2.2024 15:34 takéto problémy by sa mali odhaliť už pri certifikácii pokladní, keby boli robené poriadne Odpovedať Známka: 3.3 Hodnotiť:

Re: Cieľom je cieľ Od: _Julo_ | Pridané: 15.2.2024 16:21 Takéto problémy nie je možné odhaliť pri certifikácii, lebo by to znamenalo, že musí byť celá veľká séria vývojových prostredí pre všetky možné certifikáty (vydané všetkými autoritami). Navyše ak hovoríme o embedded zariadeniach, je potrebné rátať aj s tým, že majú obmedzenú pamäťovú kapacitu (sme predsa na Slovensku, je potrebné kúpiť najlacnejšiu verziu, s malou RAM a s malou kapacitou programovej pamäte, aby bol väčší rozdiel nákupnej a predajnej ceny). Vzhľadom na to toto je povinné zariadenie pre majiteľov obchodov, nekupuje sa na základe kvality, ale na základe ceny. Môj odhad je, že ak by sa tam do zariadenia (minimálne pre výrobcov nepočítačovývh riešení, teda kde nebeží ani Windows, ani Linux) tak by nahratie všetkých certifikátov zabralo pravdepodobne viac ako 15 % (možno až 25 %) celkovej pamäte pre program... Výrobca k tomu musí poskytovať niekoľko ročnú podporu, teda inými slovami celý vývoj a všetky opravy sú už zadarmo, ak si to obchodník raz kúpil. Celé zle... Odpovedať Známka: 10.0 Hodnotiť:

ultraradikálny konsenzualizmus Od: syntaxterrorXXX, . Y | Pridané: 15.2.2024 19:14 Ale veď jasné, že takéto problémy nie je možné odhaliť. Preto sa k pokladniciam vydáva namiesto celého priekazne iba útržok certifikátu. Odpovedať Známka: -6.7 Hodnotiť:

Re: Cieľom je cieľ Od: ehjkls | Pridané: 15.2.2024 23:29 Vzdy kazde internetove zariadenie skonci na tej istej chybe, neaktualizovane certifikaty / nemoznost aktualizacie certifikatov (=nemoznost komunikacie) Mozno inteligentny "developer" mohol predpokladat takuto eventualitu... Odpovedať Hodnotiť:

Re: Cieľom je cieľ Od: ehjjklj | Pridané: 15.2.2024 23:31 A pamat nieje uz taka draha ako v minulosti, okrem toho da sa aj "optimalizovat"... Odpovedať Hodnotiť:

Re: Cieľom je cieľ Od: _Julo_ | Pridané: 16.2.2024 5:32 Developer mohol a určite aj predpokladal. Ale riaditeľ firmy má vždy posledné slovo, takže ak je iná alternatíva o 5-6 centov lacnejšia, hoci má polovičnú kapacitu, tak sa zoberie lacnejšia verzia. Veď koľko dokážeš ušetriť keď predáš 100 000 kusov. (možno aj viac ako 5 000 eur, a to sa oplatí -- je úplne jedno, že na takýchto problémoch a platoch developerov pre potrebu optimalizácie zaplatíš minimálne 2 krát viac) Odpovedať Známka: 10.0 Hodnotiť:

Ako to spracovava fs? Od: TomasPha | Pridané: 15.2.2024 18:02 Mna celkom zarazila informacia o tom, ze stat nezvladal napor blockov. To vyzera, ze tie blocky sa spracovavaju online a nie v nejakom poole, do ktoreho to nasype komunikacne rozhranie s pokladnicami a ihned ukonci komunikaciu. Odpovedať Známka: 10.0 Hodnotiť:

Re: Ako to spracovava fs? Od: Emeric | Pridané: 16.2.2024 14:13 Tento štát nezvláda kopu iných aj oveľa dôležitejších vecí. Odpovedať Známka: 10.0 Hodnotiť:

Re: Ako to spracovava fs? Od: Jaaasom | Pridané: 16.2.2024 15:42 Ale zase štát zvláda kopu vecí, ktoré nikto nechce. Odpovedať Hodnotiť:

prakticka otazka Od: aseeasss | Pridané: 19.2.2024 17:53 Co tak tuto nezbyselnu buzeraciu a business pre par vybranych pri tejto prilezitosti zrusit? Pri firme Kasa FIK ma prekvapilo, ze moze len tak beztrestne zabalit business a nechat userov v stichu. Ak by to spravili vsetci a SK ostane bez "certifikovanych" pokladnic, tak sa akoze zasekne ekonomika??? Cakal by som, ze toto bude mat stat trocha osetrene vramci certifikacie, ze vyrobca garantuje support na taketo problem na n rokov a podobne. Odpovedať Hodnotiť:

Pridať komentár