Pošta vydáva listy po vizuálnej kontrole eDokladov. Zrejme to nie je bezpečné

S prvotným sprístupnením elektronickej verzie dokladov v podobe aplikácie eDoklady ministerstvom vnútra sa prvou organizáciou, ktorá začala akceptovať túto verziu dokladov okrem polície, stala Slovenská pošta. Pošta ale doklady na svojich pobočkách akceptuje kontroverzne, iba na základe ich vizuálnej kontroly v mobilnej aplikácii. To zrejme nie je bezpečné.

Značky: Slovenskoe-government

DSL.sk, 6.5.2025

S prvotným sprístupnením elektronickej verzie dokladov v podobe aplikácie eDoklady ministerstvom vnútra sa prvou organizáciou, ktorá začala akceptovať túto verziu dokladov okrem polície, stala Slovenská pošta.

Pošta ale doklady na svojich pobočkách akceptuje kontroverzne, iba na základe ich vizuálnej kontroly v mobilnej aplikácii. To zrejme nie je bezpečné.

eDoklady

Ministerstvo vnútra predstavilo elektronickú verziu dokladov eDoklady v polovici apríla. Elektronická verzia je dostupná v podobe mobilnej aplikácie eDoklady pre Android a iOS.

Elektronická verzia jeho dokladov je užívateľovi do aplikácie sprístupnená na základe jeho vytvorenej tzv. mobilnej identity, po overení elektronickým preukazom s čipom. Mobilná identita v podobe tzv. mobilného eID je postavená na technológii passkeys, po potvrdení identity užívateľ získava pre zariadenie elektronickú identitu v podobe passkey.

Technickú špecifikáciu fungovania eDokladov ministerstvo s uvedením zrejme nezverejnilo. Aplikácia síce ukazuje vizuálnu podobu dokladu, doklad uložený v aplikácii sa samozrejme ale štandardne overuje elektronicky a nie vizuálne.

Podľa spôsobu fungovania a dokumentácie fungovania v súčasnosti nie sú zrejme aplikáciou prezentované samostatné pomocou kryptografie overiteľné elektronické doklady. Pri kontrole dokladu načítaním QR kódu čítačkou kontrolujúcou osobou je podľa popisu zrejme iba vytvorená požiadavka na sprístupnenie dokladu, tú vlastník dokladu schváli a doklad sa následne kontrolujúcej osobe stiahne zo štátneho systému, pričom aj zariadenie užívateľa potrebuje pri kontrole prístup na Internet.

Slovenská pošta

Hneď v deň sprístupnenia eDokladov avizovala podporu nových elektronických dokladov prvá organizácia okrem polície, Slovenská pošta. Pošta avizovala, že pri overovaní totožnosti začína akceptovať nový elektronický občiansky preukaz v eDoklady.

Na jeho základe začala pošta vydávať doporučené a poistené listy, balíkové zásielky aj vyplácať poštové poukazy okrem poukazov označených textom "Výplata dávok".

Formulácie z oznámenia ale naznačovali, že pošta nepoužíva elektronické overovanie dokladov v eDoklady ale iba ich vizuálnu kontrolu. Pošta to v stanovisku pre DSL.sk následne aj potvrdila. "V aktuálnej fáze pilotného projektu prebieha overenie totožnosti výhradne vizuálnou kontrolou digitálneho občianskeho preukazu (OP) v oficiálnej mobilnej aplikácii eDoklady," potvrdila v stanovisku.

Hoci štát zrejme nezverejnil detaily fungovania elektronického overovania dokladov v eDoklady, dá sa samozrejme predpokladať že sa používa technicky bezpečný princíp elektronického overovania.

Overovanie iba vizuálnou kontrolou aplikácie eDoklady naopak z princípu bezpečné nie je. Okrem iných scenárov môže užívateľ pri kontrole používať prípadnú falošnú aplikáciu, ktorá vyzerá ako eDoklady, správa sa ako eDoklady, volá sa eDoklady ale prezentuje falošné doklady.

Použitie falošnej aplikácie

Hoci nie je jasné ako efektívne je možné na vytvorenie takejto falošnej aplikácie najmä na Androide využiť modifikáciu oficiálnej aplikácie, v každom prípade vytvorenie takejto falošnej aplikácie vyzerajúcej a správajúcej sa ako eDoklady je nepochybne rádovo jednoduchšie a lacnejšie ako vytvorenie kvalitných falošných fyzických občianskych preukazov.

Slovenská pošta nedokázala uspokojivo uviesť, ako rieši riziko takéhoto scenáru. Napriek poukázaniu, že falošná aplikácia sa môže volať, vyzerať a správať rovnako ako oficiálna aplikácia eDoklady, pošta opakuje, že aplikáciu a doklady prezentované užívateľom akceptuje na základe toho ako aplikácia prezentovaná užívateľom vyzerá a funguje.

"Zákazník musí otvoriť aplikáciu eDoklady priamo pred pracovníkom pošty. Aplikácia musí byť plne funkčná - zamestnanec overuje, či je možné v nej scrollovať a zobraziť všetky údaje," uvádza napríklad.

Pošta sa v aprílovom stanovisku ohľadne bezpečnosti odvolávala na súčinnosť s ministerstvom vnútra a jeho metodické usmernenie k používaniu eDoklady. Nie je jasné, či metodické usmernenie rieši a odporúča vizuálnu kontrolu eDokladov. Pošta nám totiž usmernenie odmietla poskytnúť a odkázala nás ohľadne usmernenia na ministerstvo, ministerstvo na otázky do publikovania článku ale neodpovedalo.

Podľa informácií pošty sa využíva výlučne vizuálna kontrola eDoklady a informácie sa evidentne nekontrolujú v žiadnom inom systéme. Dajú sa samozrejme predstaviť prípadné ochranné prvky, ktoré by mohli pracovníci pri vizuálnej kontrole informácií v eDoklady kontrolovať. Nič z informácií pošty nenaznačuje, že sa niečo také využíva, a navyše vzhľadom na dnešné štandardy elektronickej bezpečnosti by to zrejme nebolo považované za reálnu bezpečnostnú ochranu.

eDoklady na pošte

Nie je jasné, či pre niekoho dáva zmysel pokúsiť sa získať zásielku alebo vyplatiť poukaz niekoho iného pomocou prezentovania falošných elektronických dokladov.

Na druhej strane nie je jasné, prečo po sprístupnení elektronických dokladov umožňujúcich reálnu elektronickú kontrolu začala pošta využívať vizuálnu kontrolu elektronických dokladov a nepočkala na nasadenie elektronického overovania. To spoločnosť plánuje.

"V budúcnosti bude overovanie ešte efektívnejšie a bezpečnejšie - cez QR kód, čo zrýchli vybavovanie klientov a zároveň uľahčí prácu našim priehradkovým zamestnancom aj doručovateľom. Implementácia tohto kroku je závislá od zabezpečenia technického vybavenia na pobočkách, následne bude prebiehať postupné rozširovanie služby na ďalšie pobočky a medzi doručovateľmi," uviedla pošta pre DSL.sk.

V súčasnosti eDoklady akceptuje pošta vizuálnou kontrolou iba na vybraných poštách, hlavných poštách v krajských mestách. Či plánuje tento spôsob overovania dokladov začať používať aj na ďalších poštách nie je jasné.




Najnovšie články:



Diskusia:

čudná bezpečnosť Od: Fajnšmeker | Pridané: 6.5.2025 12:52 Ako keby tých falošných QR kódov nebolo aj dosť. Odpovedať Známka: 7.9 Hodnotiť:

Re: čudná bezpečnosť Od: Raj zlodejov SD | Pridané: 6.5.2025 13:47 V Poľsku sú štyri rodinné mafiánske gengy a tým to bezpečné rozhodne príde. Podnikajú v tomto obore už roky, takže sú profesionálne. Odpovedať Známka: 0.0 Hodnotiť:

dochodok Od: jakr | Pridané: 6.5.2025 13:10 ale zobrat bakin dochodok by uz bol zaujimave Odpovedať Známka: 6.7 Hodnotiť:

Eau de Toilet Od: Mimonko | Pridané: 6.5.2025 13:14 Robite z toho zasa… ved do nedavna tie obcianske ani cipy nemali a podvadzal s nimi niekto? Odpovedať Známka: -6.5 Hodnotiť:

Re: Eau de Toilet Od: ehkjhkj | Pridané: 6.5.2025 13:29 Mozno podvadzali len o tom nevies... Mali by edoklady robit formou opt-in , to znamena ze musite si to sami vyziadat aby to bolo pristupne online ato iba osobne a pisomne na polici. Ak nie, defaultne by mali byt iba fyzicke doklady. a radsej kazde 2.-3 roky menit security fyzicky cip na obcianskom (cely obciansky) ako takete babracke riesenia. Odpovedať Známka: 6.7 Hodnotiť:

Re: Eau de Toilet Od: fgsdfsd | Pridané: 6.5.2025 20:41 ano, a potom podas z okna igelitku s peniazmi policajtovi, aby zakryl nehodu tvojho vnuka Odpovedať Hodnotiť:

Re: Eau de Toilet Od: Kontrolko | Pridané: 7.5.2025 8:19 tam kde chyba rozum nepomozu ziadne zabezpecenia , ani fyzicke ani elektronicke ale to neznamena ze sa mame uspokojit s Tvojim konstatovanim a neriesit takuto zjavnu fuserinu ... Odpovedať Hodnotiť:

Re: Eau de Toilet Od: Vieme ako | Pridané: 8.5.2025 9:00 To sa riesi stovky rokov odobratim svojpravnosti. Len dostat toho pacienta z tribuny k psychiatriovi. Odpovedať Hodnotiť:

Re: Eau de Toilet Od reg.: palqo | Pridané: 7.5.2025 12:18 Ty asi nevies co znamena opt-in, ze? Akou formou je to podla teba robene, ked si to musis sam nainstalovat a spojazdnit? Odpovedať Hodnotiť:

Re: Eau de Toilet Od: debakel | Pridané: 7.5.2025 15:00 tak ze niekto si spravi falosnu aplikaciu a hodi si tam udaje tvojho obcianskeho a vizualna kontrola prepracovanej postarky mu to odobri. Odpovedať Hodnotiť:

Re: Eau de Toilet Od reg.: lenja | Pridané: 7.5.2025 17:22 Máš pravdu, údaje z môjho OP sa bežne potulujú po nete. Odpovedať Hodnotiť:

Re: Eau de Toilet Od reg.: Meldo | Pridané: 11.5.2025 11:08 Postarky su cokolvek len nie prepracovane. Napriek tomu ze si to mozno myslia. Chod na postu o 10tej, 11tej, druhej, tretej a uvidis tu prepracovanost. Naval tam je rano medzi 8-9 a potom po obede 16-17 (ak maju nahodou otvorene) Odpovedať Hodnotiť:

ultraradikálny konšpiratorizmus Od: syntaxterrorXXX, . Y | Pridané: 6.5.2025 13:30 eDoklady sú aj tak len divadielko na roztopenie miliárd a autentifikácia priekazne už dávno prebieha cez čipy, čo boli vo vakcínach. Odpovedať Známka: 1.4 Hodnotiť:

Re: ultraradikálny konšpiratorizmus Od: expert02 | Pridané: 11.5.2025 21:24 počkaj keď sa tými čipmi bude musieť platiť... to bude tak zle že tak zle ešte nikdy nebolo a nebude ani potom Odpovedať Hodnotiť:

5znak Od: XMen | Pridané: 6.5.2025 13:49 Aj vam tie eDoklady niekomu funguju? Mne sa to stale cykli na prihladovacej obrazovke. Skusal som aj zmenit def. browser a je jedno aky pouzijem. Zadam kluc, vzor a vratim sa na prihlasenie a bez chybovej hlasky. Odpovedať Známka: 6.0 Hodnotiť:

dnes má meniny Hemeromína Od: Teta Žoržeta | Pridané: 6.5.2025 13:52 Lebo uz mas priekazne hacknuty edoklad, a prihlasuje sa s nim niekto iny. :o) Odpovedať Známka: 0.0 Hodnotiť:

Re: 5znak Od: tu prihlásený užívateľ | Pridané: 7.5.2025 8:14 mne sa to na iPhone podarilo rozbehat necakane bez problemov Odpovedať Hodnotiť:

Re: 5znak Od reg.: lenja | Pridané: 7.5.2025 17:26 Hneď, ak to spustili, som si to nainštaloval, aby som to vedel rozbehať iným. A čo sa mi dozvedel? Nemal som platný VP. Teším sa, že som sa to dozvedel takto a nie pri kontrole "orgánom". Odpovedať Hodnotiť:

katastrofa Od: katastrofa | Pridané: 6.5.2025 18:44 to kto preboha taketo nieco schvalil? Odpovedať Známka: 7.1 Hodnotiť:

ultraradikálny objasňovačizmus Od: syntaxterrorXXX, . Y | Pridané: 6.5.2025 18:51 Podniky so štátnou spoluúčasťou nesmú v súlade s rozpočtovými pravidlami priekazne neefektívne schvaľovať nič, čo nie je zakázané. Odpovedať Známka: -5.6 Hodnotiť:

posta Od: mif | Pridané: 6.5.2025 21:51 Posta mi vyda list do vlastnych ruk aj ked im ukazem naskenovane pdf obcianskeho. Viem lebo som si zabudol raz OP a dali mi to. Tetkam na pobockach to je jedno. Odpovedať Známka: 10.0 Hodnotiť:

hmmmm Od: testerovac | Pridané: 7.5.2025 9:28 A ktore su to tie Edove klady, ze ich chcu vizualne kontrolovat? Odpovedať Hodnotiť:

Ako to je v skutočnosti Od: Haribocukriky | Pridané: 11.5.2025 22:00 Bol som na pošte pred pár dňami a od pracovníčky som v pozadí počul: "Zase nejakú novú kktinu štát vymyslel" a ďalej "tak bude len stačiť fotka, ja to mám v pi*i". Takže tak milé dámy a páni. Tak to aj funguje. Odpovedať Hodnotiť:

Pridať komentár