O elektronickom podpise aj pre moje deti, inžinierov a zememeračov

Všetko, aj eID, aj komerčné certifikáty na komerčných usb-zariadeniach sú jednej jedinej technológie – ich použitím sa do podpisovaného dokumentu pridá kvalitatívne rovnaký kvalifikovaný elektronický podpis.

eID je nosič certifikátov na tvorbu kvalifikovaného elektronického podpisu. Ministerstvo vnútra a ich predĺžená ruka – policajti – cú certifikovaná autorita, ktorá vám na certifikovaný čip v eID nahrá certifikáty na tvorbu KEP Zadarmo, teda za naše dane.

Môžete si kúpiť iný certifikovaný nosič, napríklad USB-kľúč, na ktorý vám certifikovaná firma vygeneruje za prachy (takže komerčne) certifikáty na tvorbu elektornického podpisu.

Máte pero, v ňom atrament a keď to dohromady použijte, vznikne podpis na papieri.

Máte kus plastu alebo USB s čipom (simkov), na nej certifikáty. A použitím vznikne v dokumente elektronický podpis.

Ale stále je to rovnaká technológia asymetrického šifrovania RSA. Keď sa dodržiavajú pravidlá technológie RSA šifrovania, tak je celá technológia bezpečná a reálne neprelomiteľná. Páni z SW firmy, ktorá predáva svoj SW na pre túto technológiu do Estónska, Rakúska a na Slovensko niečo pokazili a tak podpisy nie sú bezpečné a neprelomiteľné.

Keď sa na papier overene podpíšete, tak k podpisu dá notár pečiatku a číslo, ktoré odkauzuje do notárskej knihy podpisov. Takže ktokoľvek v budúcnosti si podˇal toho čísla môže nájsť ten zápis v notárskej knihe a tak si potvrdiť, že podpis na dokumente je OK. Súčasne notár uštrikuje na dokument stužtičku, aby zabespečil, že nikto do dokumentu nebude nič vkladať ani vyberať strany.

Vo svete kvalifikovaného elektronického podpisu to funguje tak, že keď dostanete dokument podpísaný KEPom, a kliknete vo vhodnej aplikácii na “overiť podpis”, tak sa táto aplikácia pozrie cez internet do nejakého depozitára overených elektronických podpisov a skontroluje platnosť.

Počas podpisovania dokumentu sa spočíta akýsi kontrolný súčet a ten sa vloží do podpisu. Takže ak by došlo k zmene v dokumente po podpísaní, aplikácia zistí, že kontrolný súčet už nesedí. (príklad s kontrolným súčtom je trochu zjednodušenie.)

Tak ako štát vyhlasuje, že notár je spôsobilý, tak aj ten depozitár, kam sa chodia overovať podpisy musí byť “certifikovaný”, aby bola istota, že sa mu dá veriť.

Tak ako notár musí byť “certifikovaný” štátom, tak aj ministerstvo musí byť certifikované. A aj nástroje ktoré používajú musia byť certifikované – teda podpísané nejakou vyššou autoritou, že sú bezpečné na generovanie certifikátov pre občanov.  Proste zákon padajúceho certifikátu.

A tak sa, podľa dostupných informácii, už nemohol nejaký vyšší certifikátor pozerať na flákanie zodpovednosti od ministerstva vnútra a zneplatnili im certifikát, ktorým je ocertifikovaný ten SW nástroj, čo generuje podpisové certifikáty do eID.

Keďže pri každej tvorbe certifikátu na každé jedno eID sa kontroluje platnosť nadradného certifikátu, ministerstvo musí zas požiadať o ocertifikovanie svojich nástrojov. A to sa stane až keď si aktualizujú SW, aby v ňom nebola chyba.

Revokácia je úplne bežná vec

Keď človek stratí občianku, tak si zájde na políciu, starú deaktivujú a vystavia vám novú. Takže ak by niekto chcel potom použiť u notára na overované podpísanie starý občiansky, notár sa pozrie do zoznamu a nedovolí overiť vašu totožnosť starým občianskym.

Tak isto, aj užívateľ KEPu môže kedykoľvek pomocou vhodného SW nástroja vyhlásiť svoje certifikáty na tvorbu KEP (ten atrament) za neplatný – revokuje ho. Je jedno z akého dôvodu, či už že je v nich nejaká chyba (ako teraz), alebo že vám eID niekto na chvíľu ukradol alebo len z čistého rozmaru. Následne požiada nejakú certifikovanú autoritu – pre eID je to polícia – aby mu na čip nahral nové čerstvé a platné certifikáty.

A práve tento proces zneplatnenia (revokácie) a nahrania nových čerstvých nesprofanovaných certifikátov ani za 5 rokov od roku 2012, kedy si Smeráci vymysleli eGov riešenia, nedokázali zvládnuť. Tento opravný proces proste potrebujeme mať nachystaný v pohotovosti. To vieme každý, kto sme sa niekedy zabávali s PGP či inými šifrovacími nástrojmi.

Potrebujeme mať ošéfovaný proces tak, aby mohli všetci občania zájsť kamsi (na políciu, na matriku, na obecný úrad, proste kde aj dnes môžete overiť podpis…) a nechať si pregenerovať certifikáty – načapovať neskazený atrament do eID. A musí to byť vymyslené tak, aby to za cca 7-14 dní zvládlo cca 0,5 milióna užívateľov.

Nahratie nových certifikátov je otázka 3-5 minút na užívateľa.  Naozaj nejde o žiadnu vysokú náročnosť.

eGov riešenia stáli cca 1,5 miliardy eur len z EU-fondov. To, že sa niekde v reťazci od výrobcov SW, cez štát, skladisko pre overovanie podpisov, vyskytne nejaká chyba a treba niečo opraviť, je v IT svete úplne normálne. Čo nie je normálne, aby sme na opravu čakali týdne až mesiace a trápili sa s logistikov pregenerovania certifikátov.

 

Zdieľajte obsah s priateľmi:

Slovensko vraj ide vykročiť do 21. storočia v elektronickej komunikácii

Stavíme sa, že na Slovensku vymyslia ďalšie koleso?

Elektronická komunikácia občanov s úradmi, ako aj medzi orgánmi verejnej správy, by mala byť jednoduchšia a efektívnejšia. Predpokladá to návrh zákona o elektronizácii administratívnych procesov, ktorý na pripomienkové konanie predložilo ministerstvo financií. Napomôcť má tomu zavedenie elektronických osobných schránok a elektronického doručovania.

Záznamy z týchto registrov poskytnuté v elektronickej forme budú navyše z hľadiska zákona zrovnoprávnené s “papierovou” úradnou listinou.

Komunikácia s úradmi cez internet má byť jednoduchšia – Živé.sk.

K tomu zrovnoprávneniu: Ak to dopadne tak, ako si dnes Ministerstvo financií predstavuje elektronickú faktúru, tak nech radšej nič nerobia. Myslím to skutočne úprimne.

Dnes totiž poslanie faktúry elektronicky znamená klik-klik, poslanie elektronickej faktúry znamená 10 klikov a ako bonus súženie s paródiou na elektronický podpis.  Áno, taký zásadný rozdiel vyplýva zo zmeny slovosledu.

Zdieľajte obsah s priateľmi:

Zaručený elektronický podpis – predražená hračka

Po prečítaní informácie o bezpečnosti HW zariadenia iKey 2032 som mal chuť do nadpisu napísať predražená sračka.

Při chytře zadaných hodnotách a pár iteracích se dá přijít na vnitřní algoritmus a přihlásit se k iKey jako administrátor (a tím se dostat ve veškerému obsahu uvnitř). Celou tuto operaci lze provést v čase kolem dvou minut.

USB token: pamatuje si hesla a šifruje. Útok zabere dvě a půl minuty – LUPA.

Trochu som zapátral po webe a okolo ZEP sa zdá sa dejú zaujímavé veci. Na výber je až jedno zariadenie. Aj  počet certifikačných autorít nám pekne klesá. Na stránkach nbusr123 sú uvedené len 3. Navyše len jedna si so svojou prezentáciou dala toľko námahy, aby sa človek ako tak zorientoval v tom informačnom bordeli. Ostatné nadchnú ostatnou novinkou z roku 2008 respektíve 2005 a absenciou slov zaručený elektronický podpis na celom webe. Čo to vlastne teda ponúkajú? Nejaké certifikáty? Ale ja chcem podpis! 😉

Tiež zaujalo, že nbus123r na rok 2011 necertifikoval iKey 2032 (PDF dokument sa odkazuje fakt super). Asi vedia prečo. No má to jeden háčik. Ak máte ZEK na tomto zariadení, na ďalší rok si musíte kúpiť nové. Preto v nadpise to predražená. Cca 80€ určite nie je veľa. No v prípade, keď to použijem 4x do roka sa pomer cena/výkon dostáva pomaly k deleniu nulou.  Vzhľadom na to, že u prostriedkov na zabezpečenie čohokoľvek je to vždy o súperení ochrancu a zlodeja, vlastne to ani neprekvapí.

Nie je trh, nie je produkt, nie je potreba

Viete, uvažoval som nad tým, že si konečne ten ZEK vybavím. No rád by som potom používal to drahé HW príslušenstvo aj na niečo zmysluplnejšie, ako len podávanie Súhrnného výkazu k DPH. Správa hesiel, kľúč na prístup k nejakým HW zariadeniam, šifrovanie obsahu, podpisovanie dokumentov aj  v bežnej komunikácii a tak podobne. No ten článok na Lupe medzi riadkami a v súvislostiach hovorí, že to celé ja vlastne stále  nezmyslená úvaha.

Celé tieto certifikáty a podpisy mi pripadajú ako hrajkanie sa na dospelákov. Nič z toho stále poriadne nefunguje, nikoho to nezaujíma a ak to spomeniete, ste za exota väčšieho ako je v IT obvyklé. A to stále trvá už od konca 90 rokov minulého storočia. Vtedy som sa v časopise Internet prvýkrát stretol s PGP a vygeneroval si svoj prvý pár kľúčov. Ešte by som niekde vyhrabal disketu s nimi. Nadchlo ma to, Bersha Bershovic o tom písal veľmi príjemne a zaujímavo.

A aký je stav dnes? Nič. Z pohľadu užívateľa je to len kopa podivných pojmov a paragrafov, predražené zariadenia, nepochopiteľné služby a zmysel to nemá vonkocom žiaden. No DPH z EU-cudziny vám bez zaručeného elektronického podpisu nevrátia.

Zdieľajte obsah s priateľmi:

Slovenské vysoké školy zaspali v 50. rokoch?

Vysoké školy tiež upozorňujú študentov na častú chybu – ak si tlačivo stiahnu z internetovej stránky, musia skopírovať jednotlivé strany obojstranne na jeden list formátu A3. Tlačivá s iným rozmerom sú neplatné.

Internet na prihlášku nestačí | Téma | pocitace.sme.sk

A tiež ďalší dôkaz, že USB kľúč s elektronickým podpisom si môžete tak akurát zarámovať a zavesiť na stenu.

Zdieľajte obsah s priateľmi: