reklama

O elektronickom podpise aj pre moje deti, inžinierov a zememeračov

Fakt je taký, že RSA kľúč s dĺžkou 2048 sa dá hrubou silou prelomiť v rádoch stoviek rokov.  Treba mať len dostatok kapacít na pregenerovanie certifikátov, aby sa to v pokoji stihlo za 7-14 dní.

Písmo: A- | A+
Diskusia  (26)

Je to naozaj betónová technológia. Ak niekto neurobí hlúpu chybu pri práci s náhodnou sekvenciou toho kľúča, ako sa to stalo teraz.

Kto sa niekedy hral s asymetrickým šifrovaním, PGP a podobnými vecami vie, že revokácia kľúčov je úplná normálka.

Treba mať len dostatok kapacít na pregenerovanie certifikátov tak, aby sa to v pokoji stihlo za 7-14 dní. A tie kapacity tu sú - policajti, notári, matriky, obecné úrady - proste všetky miesta, kde sa dá overiť papierový dokument, tak by mali mať už dávno pripravený SW a HW na generovanie certifikátov ku KEP. Celá operácia trvá 3-5 minút aj s pozdravom.

SkryťVypnúť reklamu
Článok pokračuje pod video reklamou

To je logistika na 2 dni - zazáplatovať SW na "pobočkách" a vyhlásiť hromadnú revokáciu rizikových kľúčov skrz nachystané kapacity.

KEĎ máte na to akčný plán. KEĎ máte na to pripravené "ochranné opatrenia".

eID je pero, certifikáty sú atrament

Všetko, aj eID, aj komerčné certifikáty na komerčných usb-zariadeniach sú jednej jedinej technológie - ich použitím sa do podpisovaného dokumentu pridá kvalitatívne rovnaký kvalifikovaný elektronický podpis.

eID je nosič certifikátov na tvorbu kvalifikovaného elektronického podpisu. Ministerstvo vnútra a ich predĺžená ruka - policajti - sú certifikovaná autorita, ktorá vám na certifikovaný čip v eID nahrá certifikáty na tvorbu KEP zadarmo, teda za naše dane.

SkryťVypnúť reklamu
reklama

Môžete si kúpiť iný certifikovaný nosič, napríklad USB-kľúč, na ktorý vám certifikovaná firma vygeneruje za prachy (takže komerčne) certifikáty na tvorbu elektronického podpisu.

Máte pero, v ňom atrament a keď to dohromady použijete, vznikne podpis na papieri.

Máte kus plastu alebo USB s čipom (simkou), na nej certifikáty. A použitím vznikne v dokumente elektronický podpis.

Ale stále je to rovnaká technológia asymetrického šifrovania RSA. Keď sa dodržiavajú pravidlá technológie RSA šifrovania, tak je celá technológia bezpečná a reálne neprelomiteľná. Páni z SW firmy, ktorá predáva svoj SW pre túto technológiu do Estónska, Rakúska a na Slovensko niečo pokazili a tak podpisy nie sú bezpečné a neprelomiteľné.

SkryťVypnúť reklamu
reklama

Keď sa na papier overene podpíšete, tak k podpisu dá notár pečiatku a číslo, ktoré odkazuje do notárskej knihy podpisov. Takže ktokoľvek v budúcnosti si podľa toho čísla môže nájsť ten zápis v notárskej knihe a tak si potvrdiť, že podpis na dokumente je OK. Súčasne notár uštrikuje na dokument stužtičku, aby zabezpečil, že nikto do dokumentu nebude nič vkladať ani vyberať strany.

Vo svete kvalifikovaného elektronického podpisu to funguje tak, že keď dostanete dokument podpísaný KEPom, a kliknete vo vhodnej aplikácii na "overiť podpis", tak sa táto aplikácia pozrie cez internet do nejakého depozitára overených elektronických podpisov a skontroluje platnosť.

SkryťVypnúť reklamu
reklama

Počas podpisovania dokumentu sa spočíta akýsi kontrolný súčet a ten sa vloží do podpisu. Takže ak by došlo k zmene v dokumente po podpísaní, aplikácia zistí, že kontrolný súčet už nesedí. (príklad s kontrolným súčtom je trochu zjednodušenie)

Tak ako štát vyhlasuje, že notár je spôsobilý, tak aj ten depozitár, kam sa chodia overovať podpisy musí byť "certifikovaný", aby bola istota, že sa mu dá veriť.

Tak ako notár musí byť "certifikovaný" štátom, tak aj ministerstvo musí byť certifikované. A aj nástroje ktoré používajú musia byť certifikované - teda podpísané nejakou vyššou autoritou, že sú bezpečné na generovanie certifikátov pre občanov. Proste zákon padajúceho certifikátu.

A tak sa, podľa dostupných informácii, už nemohol nejaký vyšší certifikátor pozerať na flákanie zodpovednosti od ministerstva vnútra a zneplatnili im certifikát, ktorým je ocertifikovaný ten SW nástroj, čo generuje podpisové certifikáty do eID.

Keďže pri každej tvorbe certifikátu na každé jedno eID sa kontroluje platnosť nadradeného certifikátu, ministerstvo musí zas požiadať o ocertifikovanie svojich nástrojov. A to sa stane až keď si aktualizujú SW, aby v ňom nebola chyba.

Revokácia je úplne bežná vec

Keď človek stratí občianku, tak si zájde na políciu, starú deaktivujú a vystavia vám novú. Takže ak by niekto chcel potom použiť u notára na overované podpísanie starý občiansky, notár sa pozrie do zoznamu a nedovolí overiť vašu totožnosť starým občianskym.

Tak isto, aj užívateľ KEPu môže kedykoľvek pomocou vhodného SW nástroja vyhlásiť svoje certifikáty na tvorbu KEP (ten atrament) za neplatný - revokuje ho. Je jedno z akého dôvodu, či už že je v nich nejaká chyba (ako teraz), alebo že vám eID niekto na chvíľu ukradol alebo len z čistého rozmaru. Následne požiada nejakú certifikovanú autoritu - pre eID je to polícia - aby mu na čip nahral nové čerstvé a platné certifikáty. Naplníte pero atramentom. 

A práve tento proces zneplatnenia (revokácie) a nahrania nových čerstvých nesprofanovaných certifikátov ani za 5 rokov od roku 2012, kedy si Smeráci vymysleli eGov riešenia, nedokázali zvládnuť. Tento opravný proces proste potrebujeme mať nachystaný v pohotovosti. To vieme každý, kto sme sa niekedy zabávali s PGP či inými šifrovacími nástrojmi.

Potrebujeme mať ošéfovaný proces tak, aby mohli všetci občania zájsť kamsi (na políciu, na matriku, na obecný úrad, proste kde aj dnes môžete overiť podpis či identitu...) a nechať si pregenerovať certifikáty - načapovať neskazený atrament do eID. A musí to byť vymyslené tak, aby to za cca 7-14 dní zvládlo cca 0,5 milióna užívateľov.

Naozaj nie každý občan hneď zajtra potrebuje podpísať daňové priznanie za firmu k DPH. Ale nie je nás ani málo. Nahratie nových certifikátov je otázka 3-5 minút na užívateľa. Naozaj nejde o žiadnu vysokú náročnosť.

eGov riešenia stáli cca 1,5 miliardy eur len z EU-fondov. To, že sa niekde v reťazci od výrobcov SW, cez štát, skladisko pre overovanie podpisov, vyskytne nejaká chyba a treba niečo opraviť, je v IT svete úplne normálne. Čo nie je normálne, aby sme na opravu čakali týždne až mesiace a trápili sa s logistikou pregenerovania certifikátov.

Pod čiarou: Ja vám to raz o tých inžinieroch a zememeračoch vysvetlím, sľubujem.

Martin Pilnik

Martin Pilnik

Bloger 
  • Počet článkov:  402
  •  | 
  • Páči sa:  666x

Člen SaS. Som muž, lekárnik a jedno M zo 4M. Blogér číslo 9 na blog.sme.sk od roku 2004. Zoznam autorových rubrík:  Farmácia/lekárenstvoŠkola praktického životaGeocachingPDAPočítačeInternetNenapísal by som to lepšie...

Prémioví blogeri

Pavol Koprda

Pavol Koprda

9 článkov
Post Bellum SK

Post Bellum SK

73 článkov
Zmudri.sk

Zmudri.sk

3 články
Karolína Farská

Karolína Farská

4 články
Milota Sidorová

Milota Sidorová

5 článkov
reklama
reklama
SkryťZatvoriť reklamu