Fórumok
Ha esetleg használtok bármilyen rendszerben AVDH "integrációt", akkor érdemes tudni, hogy a tervek szerint jövőre már nem lesz elérhető.
A 2024. augusztus 31-én hatályos E-ügyintézési törvény szerinti azonosításra visszavezetett dokumentumhitelesítés-szolgáltatás használatát 2024. december 31-ig kell biztosítani.
https://jogaszvilag.hu/szakma/az-elektronikus-maganokirat-tisztaz-vagy-…
Hozzászólások
Kapcsolódó előadás/ütemtervvel:
https://tavho.org/uploads/eloadasok/MAT%C3%81SZSZ%20konferencia_D%C3%81…
Az ügyfélkapu változása is érdekes lesz. A prezentációból:
Digitális állampolgárság Idővonal
--
Légy derűs, tégy mindent örömmel
Nekem nagyon furcsa ez az idővonal, valószínűleg már minden állami-államközeli cég dolgozik ezen a témán, viszont a privát cégeknél nem tudom hogy mi a helyzet.
Ha végre eljutnak az Ügyfélkapusok (NISZ / Idomsoft) végre oda, hogy be tudjam kapcsolni a 2FA-t normális hosszúságú (30+ karakter) jelszóhoz is, akkor bekapcsolom. Lásd: https://hup.hu/node/183978
2FA mellé miért kritikus a rettenethosszú jelszó? Már egy 12 karakteres jelszó is elég combos a jelenlegi tudásunk szerint :-)
Ez az ábra megnyugtatja az átlag embert, mert nem specifikálja, hogy milyen számítógépről is beszélünk. Voltaképp egy 286-os PC is számítógép. ;)
30+ karakteres jelszó? Nem gyenge az egy kicsit? Én legalább 60 karaktert javaslok, de úgy, hogy ne lehessen benne két egyforma karaktert megadni :-)
Lehet röhögni. Tudom, hogy "kicsit" maximalista vagyok. 😁
Mivel jelszókezelőt használok, így simán megtehetem, hogy eléggé hosszú jelszavakat használjak. Normál esetben legalább 24 karakteres, magas biztonságot igénylő esetben legalább 32 karakteres, kritikus biztonságot igénylő esetben legalább 48 karakteres legyen. Ez a házi policy nálam.
Ez a policy arra is lehetőséget nyújt, hogy a problémás oldalak, webshopok kiderüljenek számomra. A múlt héten például egy magyar, laptopokkal foglalkozó webshop akasztott ki: a kisbetű-nagybetű-szám karaktereken kívül SEMMILYEN MÁS nem lehetett a jelszóban. Ez 2024-ben egy rossz vicc. Ez így gagyi az én mércémmel mérve.
Lehet, hogy igy vedik az SQL adatbazist, nehogy egy insert torolje az egeszet?
https://xkcd.com/327/
Tehát képtelenek egy rendes parsert használni? Na neeee....
Három karakterosztály bőven elég tud lenni. Az extra írásjel a user által választott jelszavak esetén az írásban "szokásos" írásjeleket fogja jelenteni (pont, kötőjel, esetleg aláhúzás, néha egyenlőségjel vagy plusz jel), aztán ennyivel ennyi a legtöbb usernél ott, ahol kötelező az írásjel a jelszóba - és ráadásul jellemzően a jelszó végére biggyesztve.
Valakinek ez elég. Én ragaszkodom a négy karakterosztályhoz.
Három karakterosztály használatával is készíthető olyan jelszó, ami belátható időn belül rendes hash-t használva nem fejthető vissza. Ha meg a tárolásnál nagyon gyenge a hash, akkor ezen is múlhat inkább, mint a jelszóban használható bájtok halmazának a számosságán.
Oke, de a gyakorlatban mit nyer a webshop azzal, hogy csak harmat engedelyez?
dupla
No, mégse vagyok én olyan hülye: https://www.hwsw.hu/hirek/68245/jelszo-nist-karakter-hosszusag-ajanlas…
NIST ajánlás: https://pages.nist.gov/800-63-4/sp800-63b.html
Köszönöm, végre! 🙇♂️ 🙇♂️ 🙇♂️
Aki ezt kitalálta, az messze van a gyakorlati dolgoktól... Unicode karaktereket vagy be lehet vinni egy adott beviteli eszközön/környezetben, vagy nem, mindamellett, hogy az "a" meg az "а" sem egyforma ugyebár...
-1
Nagyon is gyakorlatias tud lenni, ha pl. az über admin jelszót nem a széfben tartjátok, hanem egy PAM tool kezeli
A PAM döglésének az esetére mit javasolsz? mert ugye ami meg tud dögleni, az meg is döglik... Oké, valami jelszószéf alkalmazás, aminek a jelszavának az n darabját m embertől lehet összeszedni (minden darabot legalább két ember ismer)... Aztán amikor nem tudod kopipaszta a jelszót (mert a jelszószéf program offline/offsite tárolt fájllal dolgozik), ami a fenti hsz-ból a második "a"-betűt tartalmazza, és nem megy a login, akkor lehet agyalni, hogy wtf... Ja, hogy az egy unicode-os ciril kicsi a-betű? Ránézésre nem látszik :-P
Backup-visszaallitast. :)
Szef leegesere/beazasara/eltunesere/stb. mi a best practice? :)
A backup visszaállításához is kell jelszó, mert illendően titkosított backup van, nem?
Ha a széf beázik, elvihető, netán nem bírja ki azt a tüzet, ami után még szükség van a tartalmára, az nem széf, nem biztonságos tárolóeszköz. És ugye nem egy, hanem két széf van minimum, nem ugyanabban az épületben, stb...
Részben nem értek veled egyet. Sajnos a tűz másodlagos hatása (hőhatás) tönkre tudja tenni a digitális adathordozókat. Egyszerűen elolvad a műanyag, tönkremennek a forrasztások. No meg nem mindegy, hogy mekkora tűzről beszélünk és mennyi ideig tart az.
Az sajnos tény, hogy a legtöbb cégnél nem tudnak sem széfet választani, sem elhelyezni azt.
Én meg hiába papolok, hogy nem teszünk széfet gipszkarton válaszfalhoz, padlóhoz rögzítés NÉLKÜL, 1. emeletre, ahonnan közvetlen kilátás van a hátsó udvarra, ami NEM VOLT bekamerázva.
A hőhatás kapcsán írtam azt, hogy "nem bírja ki azt a tüzet, ami után még szükség van a tartalmára" - mellé természetesen az abban elhelyezett adathordozót is jól kell megválasztani, illetve természetesen minimum másik tűzszakaszban, de célszerűen inkább másik telephelyen elhelyezett széfben másolatot is tárolni róla.
Nagy kerdes, hogy elmeleti vagy gyakorlati sikon akarjuk megoldani ezt a problemat. Gyakorlati modszerekkel leteznek kulcsrakesz, kiprobalt megoldasok, ezt onnan tudom, hogy en is egy ilyenen dolgozom.
Elmeletileg persze igazad van, mindig lesz egy erosebb flex, egy meg nagyobb foldrenges, egy meg erosebb urleny-hadsereg, egy meg forrobb szupernova, amig az igazan strapabiro rendszereket is egy pillanat alatt meg tudja semmisiteni :)
Emlékeim szerint már régebben is ajánlgattam: Shamir's secret sharing (ugyanaz a Shamir, mint az RSA-beli "S").
Mi azt találtuk ki, hogy a jelszószéf file-t az ország öt különböző pontján tároljuk, és mindegyik mellett ott van a mesterjelszó egy része is. A mesterjelszó visszaállításához az ötből legalább három rész (bármelyik három) szükséges.
Azt szoktam mondani, hogy ha az ország öt különböző pontján tárolt jelszószéf-file és a mesterjelszó ott tárolt része is megsemmisül, akkor már van nagyobb bajunk is ;-)
Kicsit kapkodnak, úgy érzem. Jelenleg az AVDH *működik*, segítségével tudok ügyet intézni, dokumentumokat beküldeni például egészségpénztárnak, a DÁP meg sehol nincs, a dap.gov.hu arra kér, hogy menjek be a kormányablakba, hogy várólistára kerülhessek. End userként kb. nem érdekes, hogy technológiailag mekkora tákolmány az AVDH, akkor kellene kiváltani, ha már van bejáratott, működő alternatíva.
Előfizetsz egy elektronikus aláírásra, (ingyenes is van)
Én hiába tudok S/MIME aláírt emailt küldeni vagy akár pl. a Docusign nevű rettenetet használni, ha a fogadó oldal kifejezetten AVDH-t szeretne és más fogadására/ellenőrzésére az ottani munkaerő fel sincs készítve. És visszakanyarodva az eredeti hozzászólásomhoz, arra próbáltam kilyukadni, hogy mivel nem elérhető még széles körben az utódjául szánt szolgáltatás, a tervezett év végi kivezetést meglehetősen korainak tartom.
Lehet hogy érdemes lenne a fogadó félnek szólni hogy srácok, készüljetek, mert január 1-től nem lesz AVDH (nem lesz elérhető egyáltalán).
Hat mondjuk a docusign alapbol nem edias kompatibilis, szoval az nem tobb mint egy sima alairas nelkuli fajl.
Domain, tárhely és webes megoldások: aWh
Ebben mennyire vagy biztos? Mert én a Docusign oldalán azt olvasom, hogy ők eIDAS-nak megfelelnek bizonyos mértékben. Továbbá ha jól látom, akkor a franciáknál regisztráltak (https://eidas.ec.europa.eu/efda/tl-browser/#/screen/tl/FR/10).
Tévedés jogát fenntartom.
Az olyan mint a CCA utp kábel, ahol az van a websopokban, hogy
CAT5e* UTP
...
* A CAT5e szabványt csak részben teljesíti
? :)
Nezd meg a planoknal a feature listat, az osszes publikus csomag a “simple”t tudja csak. Ami nem szamit elektronikus alairasnak, technikai ertelemben, az az a szint amikor wordbe odairod a neved vagy beilleszted az alairasod egy kepbol.
sajat maguk is leirjak:
If ID verification is needed, an advanced or qualified electronic signature may be required
rendes megoldas csak custom/enterprise csomagban van plusz penzert
Domain, tárhely és webes megoldások: aWh
De ez még mindig csak azt bizonyítja hogy akitől az üzenet jött annak volt hozzáférése, a személyazonossághoz nincs köze.
A valós digitális aláírást biztosító, auditált rendszerekben a regisztráció során történik egy személy azonosítás (sok helyen ezért kell fizikailag is bemenni) majd pedig létrehoznak egy privát kulcsot egy HSM-ben, valamint beállítják a hozzáférését a felhasználónak az adott kulcshoz (két faktorosat). Innentől a felhasználó feladata ennek a védelme mert ezek az aláírások a bíróság előtt olyannak felelnek meg, mintha 2 tanú előtt történt volna meg az aláírás. Ezért vannak rommá auditálva ezek a bizalmi szolgáltatók.
Pontosan, ezért nem bizonyít semmi mást csak azt hogy volt hozzáférése aláírni, személyazonosságot nem igazol - bárhogy álmodnak az üzemeltetők.
"a minősített elektronikus aláírás a saját kezű aláírással azonos joghatású, azaz ezzel más személyek „segítsége”, tanúk, ügyvéd vagy közjegyző nélkül is létrehozható olyan dokumentum, ami teljes bizonyító erővel bír, azaz az ellenkező bizonyításáig az egész EU területén teljes bizonyító erővel bizonyítja, hogy az okirat aláírója az abban foglalt nyilatkozatot megtette, illetve elfogadta vagy magára kötelezőnek ismerte el."
https://jogaszvilag.hu/szakma/digitalis-vs-elektronikus-alairas/
Ezért kell baromira védeni a digitális aláíráshoz szükséges hozzáférést, mert bizony el lehet adni az autóját valakinek teljesen törvényesen ha nem vigyáz az azonosításhoz szükséges dolgaira.
Nem ez az első hülye rendelkezés a világon, de van az a lobbi ami átnyomta.
Technikai szempontból nem változik semmi: a digitális aláírás azt bizonyítja hogy XY kulcsához volt hozzáférés, nem pedig azt hogy XY aláírta.
És persze: a felhasználó hibája ha ellopják az adatait, nem a rendszer rossz.
Ez az egész EU-ban érvényes.
Nem csak EU-ban, de ettől függetlenül ökörség, mert kulcshoz való hozzáférést igazol. Az hogy ezzel igazolható az aláíró személyazonossága elég nagy kamu.
Az AVDH valóban baromság volt úgy,ahogy itt ment: user bejelentkezett usernév/jelszó párossal, és utána kapott a dokumentumára egy stemplit, hogy az AVDH-s aláíró azonosította és ő az, akinek mondja magát. Azonosította. Akár egy usernévvel meg egy jelszóval.
Az e-személyi az ennél fényévekkel jobb megoldás (volt), mivel ott egy célhardver birtoklása, és az azon lévő érvényes(!) certhez tartozó privát kulcs feloldásához szükséges, kötelezően x számjegyből álló PIN ismerete (volt) szükséges az aláíráshoz. Ez a módszer jelenleg is működik üzleti szolgáltatásként, csak épp egy QSCD eszköz kb. nettó 20E Ft körül van, és erre még kell a megfelelő szintű tanúsítvány is (jellemzően a kártya/token cert igénylésével együtt olcsóbb), de nem ördögtől való a birtoklás+tudás alapján elkészített, teljes bizonyító erejű magánokiratot biztosító elektronikus aláírás. Mivel a telefonból a privát kulcsot ugyanúgy nem tudod kinyerni, _és_ az eID-hez megkövetelték vagy a személyes azonosítást, vagy az NFC-s e-személyis azonosítást (személyi+pin), így az aláíráshoz szükséges kulcspár/cert elkészülte és telefonba költözése sem ördögtől való.
Az AVDH az volt, mint amit a neve is elárul: Azonosításra Visszavezetett Dokumentum Hitelesítés.
Az E-személyis aláírás tényleg jobb volt, de az meg már nincsen.
A DÁP meg nem megy megfelelő okostelefon nélkül. Szóval egy számítógéppel már nem használható semmire sem.
Érdekel, hogy így januárban hogy lehet majd ügyet intézni.
Nagy Péter
Mobil telefon nélkül? Vagy bemész és sorba állsz, vagy pedig veszel egy digitális tanúsítványt valamelyik tanúsítvány kiadó cégtől és azzal írod alá a dokumentumaidat.
Hát, pontosan ez a gondom! A Digitális Állampolgárság nevű kezdeményezés azt eredményezi, hogy amit eddig ingyen és kényelmesen el tudtam intézni számítógépről, ahhoz most vagy be kell mennem, és papíron intézni, vagy tanúsítványt kell vennem pénzért (amihez szintén személyesen kell azonosítanom magam egy tanúsítvány-kiállítónál), és azzal intézni.
Nem érzem magam tőle Digitálisabbnak.
Nagy Péter
És persze itt is felmerül az a kérdés, hogy ha a fogadó fél kifejezetten DÁP aláírást vár el, akkor kitörölheted a seggedet a digitális tanusítványoddal a _valamelyik_ kiadó cégtől.
Nem kell emlékeztetnem senkit ugyebár, hogy itthon még mindig csak a Netlock számít sok helyen elismert hitelesítésszolgáltatónak _kizárólag_.
Blog | @hron84
via @snq-
Jogilag kötelező elfogadnia mindenkinek. Az AVDH-t azért kérte sok cég mert annak van egy nagyon hasznos tulajdonsága: a PDF-hez csatolja a 4T-t. Ez önmagában egy baromi erős funkció, és nem tudom, hogy ezzel mi lesz.
Sok-sok eve el kene fogani a minositett alairast, aztan a gyakorlat megint mas.
Domain, tárhely és webes megoldások: aWh
Netlock és Microsec.
És nem hitelesítés szolgáltató, hanem bizalmi szolgáltató. Picit más a kettő.
Amiben az azonosítás egy ügyfélkapu usernév/jelszó páros volt.
Erre akkor nem az lett volna a jó megoldás, hogy adott időponttól az AVDH-ra történő belépés helyett ügyfélkapus belépés helyett előirják a két faktoros ügyfélkapu+ vagy más erősebb azonosítás (e-személyi vagy az új DÁP) használatát?
Az egészben a legviccesebb, hogy az AVDH megszűnésének pillanattától pont előírták, hogy az ügyfélkapu eléréséhez kötelező a két faktoros ügyfélkapu+, vagy a DÁP használata. (az e-személyi-s bejelentkezést pedig attól a pillanattól vezetik ki éppen)
Nagy Péter
Szólj a fogadó félnek, hogy amennyiben AVDH-t fogad akkor el kell fogadnia eIDAs-t is. (törvényi kötelezettség)
1 faktoros authentikacioval, Juliska123! jelszó mellett egyébként is megkerdojelezheto a hitelesség.
Error: nmcli terminated by signal Félbeszakítás (2)
Ez egy magyar csinálmány volt, valójában arra kitalálva hogy mint állampolgár kommunikálj az állammal, "hiteles" módon. Erre mondjuk kb. pont jó is volt, másra nem szabadott volna használni.
Erre _sem_ lett volna szabad használni, mivel egy usernév/jelszó párossal teljes egészében megszemélyesíthető az adott állampolgár úgy, hogy annak, amit így tesz a támadó az adott polgár viseli az összes jogkövetkezményét - de elég, ha az összes adatát, ami üf.kapun keresztül elérhető leszipkázzák...
Igen, ezért kellett volna már az elejétől két faktoros auth-ot bevezetni, de nyilván csináltak egy rizikó vizsgálatot, és az jött ki, hogy amire kell, arra pont elég ez a szintű védelem.
Mondjuk úgy, hogy az qrvarégen volt, hogy a usernév/jelszó elégségesnek tekinthető volt - az igazi gond a 2FA kiterjesztésével/kötelezővé tételével az volt, hogy az n+1 ügyfélkapu alá integrált rendszerben nem voltak képesek mindenütt megvalósítani az ügyfélkapu+ kompatibilis működést...
Ha jól értem, hogyha valaki 2FA-t akar, akkor bizonyos ügyfélkapuhoz kötött szolgáltatásokat nem tud ezután használni? Lehet tudni, hogy melyek ezek?
Nem jól érted. Korábban nekem a Lechner tudásközpontnál lévő szolgáltatásokhoz nem működött az ügyfélkapu+ (az érdeklődésemre válaszul azt írták, hogy dolgoznak rajta - legalább fél évvel voltunk az ügyfékapu+ bevezetése/élesítése után egyébként...) de tippre azért bátorkodnak betervezni a 2FA kötelezővé tételét (vagy ugye az e-személyis logint), mert addigra minden érintett/kapcsolódó rendszer képes lesz ezt kezelni.
nekem azt írja, hogy az eszemélyis login is megszűnik 2025.01.01-jén
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
Az faca, egy durva nagy visszalépés, mert ugye ToTP-t kávédarálón is lehet futtatni minden biztonsági körítés nélkül, egy hardvertokenes cert alapú login ennél sokkal biztonságosabb, hiszen a birtoklás az egy és csak egy eszközhöz köti a logint, nem egy szoftveresen simán másolhatóhoz. (Kereshetem elő a üfkapu+ usernév/jelszó párost - szerencsére a GA-ban minimum két telefonon ott van a 2. faktorhoz a secret...)
Na, úgy látom, kezded megérteni a lényeget.
Csak tudd is kibányászni nem rootolt telefonból.
Menű -> Transfer Codes -> Kódok exportálása ?
Nem tűnik olyan bonyolultnak.
Ja aha és ezt minden autentikátor app tudni fogja, még az e-személyi saját tákolmánya is, igaz? Ja nem.
A TOTP nem varázslat, ha tudod mi secret akkor felveszed annyi rendszerbe amennyibe csak tudod. (márpedig a secretet tudnod kell valamilyen módon)
Na és hogy tudod meg, ha az autentikátor app nem hajlandó megmondani?
eSzemélyi app leszinkronizálja proprietary API-n keresztül a base32 secretet, aztán eltárolja a saját bugyraiban valahol, amit bányászhatsz, már ha egyáltalán van root jogod a telefonra.
Mivel az ügyfélkapu+ megmarad, így standard TOTP-s app is megetethető a szabványos QR-kóddal, amit az üfkapu+ -ra váltáskor kapsz a böngészőben.
Az ügyfélkapu+ jelenleg is GA-val vagy MS Authenticator-ral, szabványos TOTP-vel működik, mindkettő képes a kódokat (azaz azokat a shared secret-eket, ami alapján generálható az idő alapú kód) google, illetve microsoft fiókba menteni... És onnan sima liba kihúzni egy másik eszközre az összeset egyben, de GA-ból egy saját formátumú QR-kóddal is átvihető egy másik GA instance-ba. Ez lesz ahelyett, hogy egy kizárólag egy példányben létező hardvertokenen tárolt, onnan ki nem nyerhető kulcsot használna azonosításra az ügyfélkapu... (hogy ez e-személyi, vagy valamilyen más, X509-es certet használó megoldás, jelen esetben mindegy.)
Annyit még hozzátennék, hogy TOTP-t pl. KeePass is tud kezelni (pluginnal még jobban), és a GA-ból a QR kóddal exportált tokeneket a KeePass alá is be lehet olvasni (vagy fordítva is, lehet exportálni is). A KeePass pedig utána kiír minden secretet, ami csak érdekel, akár QR kódot is mutat hozzá.
Nagy Péter
A tokennel az a baj, hogy ahhoz minimum driver kell a géphez, és telefonról például mérsékelten lesz üzemképes, mert nem tudod hova bedugni, stb.
Sajnos hiába az a legbiztonságosabb megoldás, az r=0.5 felhasználókkal inkompatibilis. Még a TOTP azonosítás is rengeteg helyen billeg, nagyon komoly mennyiségű felhasználó támogatás fog kelleni a használatához, de azt jelenleg beláthatóbbnak gondolom (mert jobban el is van terjedve) mint egy token alapú cuccot.
Blog | @hron84
via @snq-
Az e-személyi tökéletes eszköz lett volna, ahogy az eID-re történő, qrmányablakba befáradás nélküli regisztrálás is működik. Vagy ahogy az eszemélyihez készült app is, ami egy sima kártyaolvasót csinál a telefonból, amivel az eszig PC-s alkalmazás hálózaton beszélget...
Mondjuk a faxhoz képest előrelépés volt minden szempontból.
Az okostelefonos szutyok pedig visszalépés lesz.
Mert miért is?
Az okostelefonbuzi mivolta miatt, a Google/Apple-függősége miatt és amiatt, mert jól működő okostelefonok százezreit kell kidobálni, az Android 10 és iOS 16 minimum OS-követelményeknek köszönhetően. Mindeközben biometrikus azonosítás már Android 5.0-án is van.
Nem a biometrikus azonosítás hiánya a probléma, hanem az, hogy a régi android-okban rengeteg olyan hiba, sérülékenység van,a mit de facto már nem fognak javítani. Egy security device lukas, gyártói supporttal nem rendelkező szoftverrel nem security device, hanem e-hulladék, akár tetszik, akár nem. Nem kell a régi telefont kidobni, csak épp biztonsági eszköznek, illetve elektronikus okmánynak nem lehet azokat használni.
Lehet őket használni, biztonságtudatosan, pont úgy, mint egy Windows XP-t, a támadási felületeket minimalizálva. iOS esetben pedig nem is igaz, amit írsz, mert biztonsági javításokat szokott kapni.
...pont úgy, mint egy Windows XP-t...
Ott a pont :D
Mutatjuk:
hajbazer "nyenyenyenye"
Aki pedig nem rendelkezik kétévente újravásárolt okostelefonnal, az visszatérhet a papíralapú ügyintézéshez, aláíráshoz, ugyanis már induláskor Android 11 az igénye az IdomSoft Zrt. babzsákfejlesztői által összetákolt Digitális Állampolgár csinálmánynak.
Ismét jól működő rendszerek tönkretételével akarunk fejlődni™.
Érdekes, a weboldalon Android 10 vagy újabb szerepel. Az meg öt éve jelent meg.
Úgy sajnállak..
Ebben egyébként kivételesen igaza van.
Az, hogy egy korábban bármilyen HTML-képes eszközről műküdő rendszert most apple/google-onlyvá* teszünk, visszalépés.
*: tippelek csak, de gondolom lineageos-en nem fognak elindulni ezek a csodák, mert safetynet, meg security...
Nem, nincs igaza csak minimális ismeretekkel rendelkeztek erről mert addig jutottatok, hogy valaki aláír valamit, többes aláírás, egyebek nem számítanak. AVDH egy csökevény volt sülyesztőben a helye.
Ezt nem vitatja senki.
Az új megoldással el fogom tudni intézni az állami (egészségpénztári, stb) dolgaimat a desktop Fedorámról vagy hozzáköt valami szűk platformhoz, mert csak? Ha hozzáköt, akkor per definition funkciót vesztek el, ami zavar.
Az appot nem én fejlesztem, de ahogy sejtem a telefont fogja használni aláíró eszközként (mint szinte minden ilyen). Ami teljesen rendben van. Nem hinném, hogy a te desktopodat fel kellene adnod emiatt, csak épp kell egy (meglévő) eszköz majd az aláírás elfogadására. Ha nem így csinálják meg, akkor Viktornál panaszkodj.
Van ügyfélkapud? Van. Abból tessék ügyfékapu+ -ra váltani. Mivel a QR-kód tartalma jól definiált,a mit a 2FA beállításához kapsz, azzal akár egy konzolos totp-alpkalmazást is meg tudsz etetni, és onnantól kezdve készen is vagy.
Egyébként meg lehet venni kártyaolvasót nem túl súlyos pénzekért, és azzal, meg az e-személyiddel (és a megfelelő alkalmazással) alá tudsz írni, be tudsz jelentkezni az ügyfélkapu-n.
Hogy egy rolling disztribúcióban ezek mennyire működőképesek, azt nem tudom, de a szolgáltatásokat jellemzően a felhasználói bázis eloszlása alapján a nagy többségre alakítják ki.
what? Ez hogy jön ahhoz, hogy kivezetik az AVDH-t, és, ha jól értem a szálat, a helyette jövő DÁP nem lesz elérhető desktopon?
(régesrég 2FA-s az ügyfélkapum, ne is beszéljünk róla, mekkora szar megvalósításban)
Most még alá tudsz írni, de az e-személyis aláírást ki fogják vezetni.
Úgysem találták még ki azt a helyet ahol elfogadták az azzal aláírt cuccot, én egyszer próbálkoztam a KIFÜ-nél visszajött, hogy nincs aláírva. :D
Közigazgatásban használták, azon kívül szerintem kevéssé. Mondjuk kaptam már a polgármesterünktől is így aláírt .pdf-et.
Mivel teljes bizonyító erejű magánokirat, így azt mindenhol el kell fogadni, ahol ilyenre van szükség. Egyébként közműszolgáltatóknak is kötelező talán...
El kellene én egyedül a KIFÜ-nél próbáltam, ott nem ment. (Nem is kértem újra amikor lejárt :))
Szerintem Polgárjenő vagy ASP-s iktatórendszerrel ír alá (az is ilyen AVDH szerű hozzácsapja PDF-be mellékletként ki írta alá, majd a rendszer aláírja), vagy a NISZ-es GOVCA-s PKI-s mókolással, hisz az esziges aláírásából nemigazán derül ki, hogy ő polgármesterként írta alá.
Erre forrás?
https://g7.hu/kozelet/20240830/nyolc-eltekozolt-ev-utan-vege-a-szemelyi…
A cikkből:
Az ütemtervük szerint a DÁP mobilalkalmazás, eAláírás, eAzonosítás 09.01-től elérhető és úgy néz ki január 1-től megkerülhetetlen. Mintha most lenne teszt üzem jövőre pedig éles üzem...
--
Légy derűs, tégy mindent örömmel!
Szerencsére te mindig mindenről átfogó™ és kiemelkedő™ ismeretekkel rendelkezel.
Nem, amennyiben nem lesz kompatíbilitásban és funkcióban azonos helyettesítője. Az Android 10+ csiligány okostelefonos app nem az.
Ne érezz alsóbbrendűséget, nem én okozom a tapasztalatodat. Majd ha műveled magad, és nem csak erős véleményed, hanem tudás is lesz mellé, majd biztosan elmondod miért jó az AVDH. Akkor talán tudnánk _vitatkozni_ addig sajnos be kell érnünk ezzel.
Azért jó az AVDH, mert működik, platform-független és tetszőleges dokumentum aláírható vele. Emellett PDF-be is képes beágyazni az aláírást. Ha a Digitális Állampolgárság fronton is születik egy ilyen megoldás, akkor az is megfelelő lesz az AVDH helyett. Ha nem születik, akkor az visszalépés lesz az AVDH-hoz képest, akkor is, ha az AVDH most egyesek szerint nem tökéletes.
1, sehol nem fogadják el, csak Magyaroszágon
2, az aláírás azt igazolja, hogy mikor írta alá a rendszer és a rendszer által van aláírva nem a felhasználó által
3, a biztonsága a KAÜ azonosítás biztonságától függ ami egy csapnivaló szar.
1. Irreleváns, amennyiben magyarországi ügyintézésről van szó.
2. A felhasználó és a rendszer által van aláírva, pontosabban a rendszer által, a felhasználó nevében.
3. Semmivel sem szarabb, mint egy okostelefonos szutyok, ami még a kétfaktoros hitelesítés koncepcióját sem teljesíti, ha minden az okostelefonon történik.
Már többször mondtam, olyanról nyilatkozz amit értesz, ehhez nem értesz.
Téged idézve: Attól, hogy többször mondod, még nem lesz igazad.
és milyen igazad van. Nem ettől. Hanem ettől lesz igazam:
Ez mi? Érted mi az az elektronikus aláírás? Vagy csak megerősíted, hogy igazam van és ilyen formában helyeselsz?
Miről beszélsz? Tudod hogy fog működni?
Te érted, hogy az elektronikus aláírás mitől lesz hiteles? Nem attól, hogy én generálok egy random kulcsot és azzal aláírok valamit. Hanem attól, hogy azt a Belügyminisztérium is hitelesnek ismeri el és ez a hitelesség bármikor ellenőrizhető. Ha az aláírás az én gépemen történik, nem az Ügyfélkapu szerverein, ugyanúgy szükségem van hitelesített kulcsra, amit a Belügyminisztérium is hitelesnek tekint. Ezt felfogod? Ha igen, akkor innentől már csak egy lépésre van az, hogy kb. mindegy, kinek a gépén történik az aláírás. A lényeg, hogy kinek a megbízásából.
Pontosan úgy, ahogy az összes többi "kétfaktoros" app, ami megelégszik azzal, hogy az egyik faktor az okostelefon, meg a másik faktor is az okostelefon.
Tehát, nem, megint nincs igazad, csak igyekszel erőltetni a csőlátásod azzal, hogy másokat leminősítgetsz.
Nem érted a pki "lényegét" és ilyen "apróságokat" elfelejtesz, hogy mindketten egy harmadik (megbízható) entitásban - a tanúsítóban bíztok meg - ill. hogy a privát kulcsod a te birtokodban van jó esetben egy biztonságos tároló eszközön és azt nem hagyja el soha, ezért más a te "nevedben" aláírást nem tud készíteni.
Sajnos hajbazernek abban igaza van, hogy ha egy azonosítás mindkét faktora elvégezhető ugyanazon az okostelefonon (weboldalon bejelentkezés, plusz appban hitelesítés), akkor tökmindegy, hogy a mobilappba ki adta ki a tanúsítványt, és az sem segít, ha a tanúsítvány telepítése netán az okmányirodában történt, személyes azonosítás után.
Hajbazernek abban nincs igaza, hogy ez a megoldás olyan, mint a jelenlegi AVDH. Nem olyan, mert illetéktelen behatolónak előbb fizikailag hozzá kell férni az eszközhöz. Ez azért mégsem ugyanaz a szint, mint ha nekiállnék az Ügyfélkapuban próbálgatni a neveket, jelszavakat.
Ha úgy csinálják meg ahogy kell, akkor valószínűleg összeraktak egy teljes cert. rendszert a háttérben, azaz van egy SSA, van egy SAM, illetve van egy HSM amelybe legenerálódnak a privát kulcsok de ezt kívülről nem lehet kinyerni hanem csak aláírásra használni. A HSM előtti dobozok feladata a kulcshoz való hozzáférést korlátozni: azt biztosítani, hogy mindenki csak a saját kulcsához fér hozzá és azzal csinál aláírást. Ha minősített aláírást akarnak, akkor ehhez szükséges a 2 faktor (ha jól emlékszem a SAM-hez tartozó CC PP-ben vannak a követelmények, de ez kihivatkozik az EN 419 241-1, ahol leírja hogy ezt hogyan kell), mindenesetre itt van a kapcsolódó PP:
https://www.commoncriteriaportal.org/files/ppfiles/anssi-cc-pp-2018_02f…
Az aláírás során a dokumentumból képződik egy hash, ehhez hozzácsapják az auth információt, meg hogy melyik kulccsal szeretnénk aláírni, átmegy az SSA-SAM-be, ott megtörténik az ellenőrzés, a privát kulcsot aktiválják, ezzel aláírják a hash-t, majd az aláírás plusz a cert bekerül a PDF-be. Hogy a komplett dokumentum elküldésre kerül-e és ők csinálják meg a csomagolást vagy hogy ez a kliens oldalon történik-e, ez egy jó kérdés.
De a lényeg: ahhoz hogy ez a folyamat végigmenjen tehát szükséges a 2 faktor megadása, ez általában egy felhasználónév/jelszó illetve egy TOTP kód lesz. Ez igy együtt fogja engedélyezni az aláírást.
Az állam megengedte magának hogy bízzon benned (meg te is benne), hogy helyetted készít aláírást - ha előzőleg azonosított elégséges módon. Ennek viszonylag kevés köze van ahhoz, hogy technikailag mi lenne a megbízható vagy hol kéne még a világban megbízható aláírást készíteni tudni.
(Ha jól tudom személyit is lehet úgy pótolni, hogy nem változik a privát kulcsod... Az kit zavar? ;) )
Használhatsz bármilyen szabványos authenticator alkalmazást az ügyfélkapu+ -hoz...
loop: #comment-3106996
Nem szükséges. Nem fog lerohadni a lábam, ha be kell mennem a kormányablakhoz személyesen, ügyet intézni.
Inkább sajnáld azt az Isten tudja mennyi okostelefont, amit emiatt fognak újravásárolni, kidobni.
Sajnáld a privát szféráját azoknak, akiknek ezentúl muszáj lesz eladniuk a lelküket minimum az Apple-nek vagy a Google-nek, hogy élhessenek a Digitális Állampolgárság lehetőségével.
Nem kell semmit sem kidobni. Az e-személyihez kell egy megfelelő kártyaolvasó, amit akár az eSzemélyiM alkalmazással is ki lehet váltani, ha minden igaz.
Az, hogy a személyazonosításra használt okmány vagy elektronikus eszköz milyen biztonsági feltételeket kell, hogy teljesítsen, azt szerencsére nem te határozod meg - ha nem tetszik, nincs megfelelő eszközöd, akkor nem kell használni.
Már a 6-os android, mint minimum (API level 23) is warning-ot generál a google store-ba töltött alkalmazásnál, és a tervek szerint hamarosan a "nem frissíthető" kategóriába kerülnek azok az alkalmazások, amik ezt a minimumot adják meg. Ami meg ennél régebbi minimumot igényel, az már most sem megy át a Google élesítési validáción. Szóval hiába is akartak volna 21 vagy 22 API-szintet adni minimumnak, a Google nem fogadta volna be az alkalmazást.
"Egy eszköz annyira biztonságos, amennyire a felhasználója biztonságtudatos."
Ha hálózat felől, alkalmazásokon keresztül törhető, akkor nem adok neki hálózatot soha, mert biztonságtudatos vagyok... Csak épp jelen esetben pont kell neki hálózat...
Az eszköz feloldása és az alkalmazáson belüli azonosítás nagyon nem ugyanaz a réteg, nem ugyanaz a funkció. Használsz jelszót a windows-on? Minek, mikor az összes webes alkalmazásban, amit nyomogatsz róla, van jelszó...
Akkor lehetett volna Android 7 a minimum.
Én is ugyanezt mondtam. Az ilyen biztonságos™ alkalmazások mégis kikényszerítik, hogy legyen lock screen.
"Én is ugyanezt mondtam. Az ilyen biztonságos™ alkalmazások mégis kikényszerítik, hogy legyen lock screen."
Nem véletlenül egyébként, de sebaj...
Nem véletlenül: A babzsákfejlesztők kényelmeskedéséből és az idealista termékmenedzserek idealizmusából.
Mindeközben elég lenne akkor is kérni az ujjlenyomatot, amikor megnyitásra kerül az app.
A lock screen/képernyővédő a képernyőn lévő (app által megjelenített) információkat fedi el és megakadályozza a használatot a felügyelet nélkül hagyott készüléken.
(Látszik, hogy még nem találkoztál jogszabályi/formális biztonsági előírásokkal. :) )
Captain Obvious Stirkes Again.
Attól, hogy értelmező szótárt játszol, még nem lesz szükséges a lock screen egy olyan alkalmazásnak, amit lehetne egymagában is védeni ujjlenyomat bekérésével úgy, hogy a többi appot békénhagyjuk (a felhasználó belátására bízzuk) az által, hogy nem rakunk kötelezően lock screen-t.
Örülök, hogy obvious. Lépjünk is tovább arra, hogy a te javaslatod mennyire életszerű: majd mutass egy appot, ami maga teszi olvashatatlanná a képernyőjét bizonyos inaktivitás után.
Ja, kösz, nem kell válaszolni.
Nem kell ilyen appot mutatnom, ugyanis számtalan olyan app van, ami a kritikusabb műveletek elvégzése előtt is kérnek azonosítást, pl. Apple FaceID-t. Ilyen alapon nyugodtan lehetne bekérni az ujjlenyomatot az e-személyi appban.
Nem beszélve arról, hogy a lock screen-nek is van timeoutja, tehát ha a felhasználó nem zárja le a telefonját, az ugyanaz a kategória, mint amikor nem lép ki a NetBankból, vagy nem zárja be az ujjlenyomattal indított e-személyi appot.
Na még egyszer (utoljára): nem csak az számít, hogy milyen műveleteket lehet azonosított módon elvégezni, hanem hogy mi látható a képernyőn akkor, ha épp nincs ott a gazdája.
Captain Obvious Strikes Again.
"Már a 6-os android, mint minimum (API level 23) is warning-ot generál a google store-ba töltött alkalmazásnál"
ugy erted akkor is, ha a minimum sdk android 6.0/api level 23 es target sdk android 15/api level 35 ?
neked aztan fura humorod van...
Igen, úgy.
Valaki esetleg használja az eszemélyi-s ügyfélkapu belépést linux alatt? Neten nem sok infót találtam róla...
Válaszolok magamnak: mindegy, mert megszűnik:
https://kau.gov.hu/dap/sugo
Amúgy van linuxos eszig kliens azzal szerintem megy, vagyis két éve még ment.
Csak azt használom.
"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."
Én most júliusban kaptam új típusú személyit, elkezdtem használni belépésre, de látom, hogy januárban ki fogják vezetni. Hurrá.
... The vision and the mission lost,
For those with corporate souls ...
Slackware Linux current | 5.10.38-janos
Nezem itt ezt az ugyfelkapus valtozast.
Csak nekem nem tiszta az, hogy hogyan lesz titkosabb valami, ha egy nem titkos csatornan "upgradelek"?
Ugyfolekapu --> ugyfelkapu+
Ja, es kotelezo ide telefon, vagy Linux / oauthtool is megy valahogy?
? Ez egy TOTP dolog. Minden TOTP-t implementáló megoldás jó.
Ha meg tudod vele időben etetni a szabványos QR-kódot, amit az ügyfélkapu+ -ra váltáskor a TOTP-hez kapsz.
? A QR kód csak a titkot tartalmazza.. Miért ne tudnád elolvasni?
Persze, de azért mondjuk egy parancssoros TOTP referenciaimplementációval nem biztos, hogy egyszerű lesz :-) És itt is van a hátulütője, illetve a visszalépés a hardvertokenes (e-személyi) azonosításhoz képest: az azonosításra szolgáló eszköz illetve információ tetszőleges számban észrevétlenül másolható, ellopható.
Pont ez a celom. Sajnos fater mar oregszik, butatelefonja oregebb mint Hajbinak (es ez igy jo), en meg 1000+km tavolsagban vagyok. Szoval igen, pont, hogy masolnom kell...
Biztonsági szempontból viszont nagyon erős visszalépés a hard tokenhez (e-személyi) képest. Ja, és de jure nem járhatsz el más nevében az ügyfélkapun keresztül elérhető szolgáltatásokban...
Tízezer könyvelő likes this. :)
Naszoval. Ugyfelkapu+ igenylese soran ott a QR kod, de el lehet kerni tole a TOTP secretet is. Ez mehet az oathtool-nak, es boldogsag.
Igy nem kell mindenfelet jottment telefonos auth applikaciora bizni a titkaimat. Mehet a kod egy jelszo adatmazisba, AES256 titkositott fileba, szep sarga Post-it papirosra a monitor szelere stb.
Hasonló okokból (idős szülő, butatelefon) én most ezt néztem ki:
https://addons.mozilla.org/en-US/firefox/addon/totp/
3 kattintás és a vágólapon van a kód.
És hány kattintás a shared secret ellopása...?
FF Password managerben tarolja.
Egyebkent meg fogsz lepődni, de a hivatalos dokisban is szerepel, hogy használd a https://totp.app weboldalt, ha nincs okostelefonod.
Nagyon nem tudja arrafelé senki, hogy hogy működik ez...? Mert nekem kifejezetten úgy tűnik... A TOTP esetén a secret (gy.k. "titok") az ott van mindkét oldalon, és abból meg a pontos időből készül publikus algoritmussal egy numerikus kód. Ha a secret-et elviszi valaki, akkor onnantól kezdve b/6-ja a 2FA-t, mert aki elvitte, az is tud 2. faktorhoz kódot generálni...
Lehet kérni, hogy ne a QR kódot mutassa, hanem a közvetlenül írja ki a secretet (A QR-kód alatt van a gomb)
Nagy Péter
Ez zseniális. Most néztem, hogy a KAÜ azonosításnál az e-Személyi-s NFC olvasós bejelentkezési módot is kivezetik 2025. január 16.-án. Hurrá, adtak a szarnak egy pofont.
... The vision and the mission lost,
For those with corporate souls ...
Slackware Linux current | 5.10.38-janos
Én is ezt mondom, hogy ez egy olyan előrelépés, ami hátrafelé történik... Ennél még az e-személyin lévő cert alapján történő login is jobb lenne... És az sem egy űrtechnolóia...
Én a "sima" ügyfélkapuróla hogy kitolták az ügyfélkapu+ -t, váltottam, illetve amikor az első e-személyit megkapta, akkor vettem egy kártyaolvasót, és inkább azt használtam bejelentkezésre - mert a három közül azt tartom a leginkább biztonságosnak. Erre most vissza..asznak a usernév-jelszó-tetszőlegesen sokszorosítható TOTP használatára, mert az e-személyis fejlesztésből... már nem lehet több gempát kiszedni...
Mondjuk ha az eID-s azonosítás úgy fog működni, hogy qr-kód, amit az eID beolvas, és másik csatornán beküldi, hogy "oké, mehet", akkor az jó is lehet - csak ugye ehhez média, illetve kamera jog kell az alkalmazásnak...
"Mondjuk ha az eID-s azonosítás úgy fog működni, hogy qr-kód, amit az eID beolvas, és másik csatornán beküldi, hogy "oké, mehet", akkor az jó is lehet - csak ugye ehhez média, illetve kamera jog kell az alkalmazásnak..."
ez nem olyan, mint az otp qr kodos belepese?
neked aztan fura humorod van...
Fejlődés™
Egyébként is tönkreteszi valid pdf/A3 -at:
verapdf avdhA3-ff846980-c6b4-48b6-8f55-62b479775289.pdf
Az egész eIDAS találmány egy katasztrófa (mivel a gyakorlatban drága és körülményes, nincsen elég szolgáltató megfizethető áron és platformfüggetlenül, aki megfelel az eIDAS-nak), csak akkor használjon valaki elektronikus aláírást, ha kötelező, egyébként jobb a papír alapú. Amit sokan elfelejtenek, hogy nem elég valamit elektronikusan aláírni, hanem azt utána elektronikusan archiválni is kell, minősített elektronikus archiváló szolgáltatással, különben idővel lehetséges, hogy a már aláírt dokumentum elveszíti a hitelességét.
Gyakorlatilag 2 db ilyen archiváló szolgáltató van, ebből az egyik a Netlock volt amit éppen most szüntette meg teljesen az elektronikus archiválást! Nem viccelek. Elektronikus aláírást adnak, de az archiválást már oldd meg, ahogy tudod... Van a Microsec archiválás és nagyjából ennyi, mást nem is tudok.
Nem, az archiválás nem azt jelenti, hogy fellövöm felhőbe, ennél sokkal bonyolultabb.
Akkor tudna terjedni az elektronikus aláírás, ha az állam biztosítana legalább magánszemélyeknek ingyenes elektronikus aláírást, időbélyeget ÉS minősített elektronikus archiválást is, ami mind eIDAS-kompatibilis lenne, ez tudná kiváltani a papír alapú ügyintézést. Az archiválás hiányában én semmit sem írnék alá elektronikusan, hiszen idővel a már aláírt dokumentum elveszítheti a hitelességét, és akkor olyan mintha nem is létezne. Csak az archiválás biztosítja hogy hosszú távon is megőrzi a dokumentum a hitelességét, de amíg az állam nem ad ilyet ingyen, addig sokkal jobb papír alapon aláírni. (Most magánszemélyként / kkv-ként értem, nyilván ha naponta keletkezik több ezer aláírandó dokumentum, az más kategória.)
Laikusként kérdezem: az ügyfélkapus dokumentumtár / tartóstár az nem ilyen? Vagy arra gondolsz, hogy a paraszt random digitálisan aláírt dokumentumokat is feltölthessen?
Blog | @hron84
via @snq-
Ne add alá a lovat, már vagy 42 topicot szétcseszett az archiváláson való arcon prögéssel, miszerint ő a helikopter.
Nem, az csak annyi hogy nem törlik az ügyfélkapus tárhelyről, hanem továbbra is tárolják szerveroldalon mint biztonsági mentés, annak semmi köze az elektronikus archiváláshoz.
Az eIDAS egy nagyon erős szabályozás, mert egy minősített elektronikus aláírással aláírt dokumentum teljes bizonyító erővel bír. Ez egy nagyon nagyon erős vélelem, és ezért nagyon magas szintre van rakva a biztonság: egy tanúsítványkiadó cégnek elképesztően sok szabályozásnak kell megfelelni mind IT biztonság, mind folyamatok szintjén, ráadásul folyamatosan auditálják őket, mind a szoftvereket mind pedig a működést/folyamatokat. Ez egy nagyon nehéz domain, folyamatosan tanulni és képezni kell a dolgozókat mert csak igy tartható fenn egy bizalmi szolgáltató működése. Az eszközök pedig folyamatosan avulnak, a szoftvereket pedig fejleszteni kell.
Ehhez képest valójában nem drága, havi durván 5 ezer forint + áfa körül van mindkét cégnél egy minősített tanúsítvány, cserébe az irodádból el tudsz mindent intézni. Hogy ez valakinek megéri-e, vagy sem, ez egy jó kérdés, ki kell számolni.
Az archiválást valószínűleg azért szüntette meg a Netlock mert amennyibe az valójában kerülne, annyit nem hajlandó érte senki fizetni, a felülbélyegzés egyébként még csak-csak megoldható, de a végtelen ideig tárolás úgy, hogy az tutira meglegyen... hát, nem egyszerű. Egyébként van olyan cég, amely ad is erre megoldást:
https://www.digitdoc.hu/megoldasaink/hosszu-tavu-archivalas
Archiválásra egyébként 5+ illetve 11+ év esetén érdekes, a legtöbb kézzel aláírt dokumentumot valójában már 5 év után selejtezik.
Az elektronikus aláírással alapvetően szerintem nincs gond, ha bejön ez az új mobilos megoldás azzal egy átlag ember a használati eseteinek a 95%-át le tudja fedni, a maradék 5% esetén pedig majd szépen kézzel aláír, a cégeknek meg letöbbször tömeges aláírásra van szükség, azt pedig most is megoldják.
De az milyen már hogy elektronikus aláírás archiválási szolgáltatás nélkül? Pont ez a baj az elektronikus aláírással, hogy kell mellé archiválás is, az meg te is írod olyan bonyolult és drága, hogy nem akar vele senki bajlódni. Tehát a gyakorlatban jelenleg az eIDAS nemigazán működik. Kellene sokkal több cég aki kínál megfizethető áron elektronikus aláírást, időbélyeget ÉS archiválást egyszerre, vagy ha ez nem megy, akkor az állam adjon ingyen, hogy terjedjen a digitalizáció. El tudom képzelni hogy megérné, ha az állam adná ingyen mindenkinek, ha ezzel nőne a GDP (pl. sok időt spórolna mindenki amit produktív, termelő munkára fordíthatna).
Érdekes lenne megnézni, hogy az USA-ban hogy működik ez ez elektronikus aláírás dolog, valahogy csak eldöcögnek ott milliárd dolláros cégek.
De érted, az a baj, hogy a magyar piac csórókból áll, itt még az is meglepő hogy van egyáltalán két épkézláb cég amely digitális aláírással foglalkozik, eiDAS-t rendesen betartva (jó, három, mert ott a NISZ is). Mindenki azt hiszi hogy ez mekkora egy atom biznisz, pedig valójában nem, mint valaki, aki azért pár évet lehúzott ebben az iparban, biztos hogy eszem ágában nem lenne ilyen céget csinálni, lényegében bármilyen másik céget csinálok akkor nagyságrenddel kevesebb szívással sokkal de sokkal több pénzt lehetne keresni.
Igen, ideális esetben a magyar állam adna mindent is, valójában meg a mobilos aláírásos megoldás szerintem bőven jó lesz a legtöbb embernek. Nem fognak azzal foglalkozni hogy dokumentumokat archiválgassanak, főleg most, hogy már mindenki átállt ECC-re, annyi ideig meg a legtöbb dokumentumra nincs szükség hogy felül kelljen hitelesíteni, vagy esetleg biztonságosan elarchiválni.
^This. Ez itt a lényeg. Kicsi piac számra és fizetőképes keresletre is.
De az egész EU-ban nem nagyon van épkézláb szolgáltató, ez a baj. Lehetne legalább egy cég aki az egész EU-t kiszolgálja, többnyelven, platformfüggetlenül, megfizethető áron. A múltkor ahogy néztem, nem találtam ilyet. Elektronikus archiválásra kértem ajánlatot külföldi cégektől és horror árakat mondtak. Valamiért az egész EU-ban nem nagyon megy ez az eIDAS dolog, ezért kellene akkor a tagállamoknak mögé tenniük ingyenes állami infrastruktúrát, mert eddig a magánszektor nem látott benne fantáziát, pedig a digitalizáció nagyon fontos lenne az egész EU-ban.
A révészt is fizetnie kell valakinek....
Egy jó és megbízható minősített elektronikus archiváló rendszer drága. Mind hardveresen, mind szoftveresen. Csak a hardver (CAS) 100+ millió Ft-nál kezdődik. Pl: Dell EMC Centera - nem tudom, hogy most mi a pontos utódja a Dell EMC-nél, ha van egyáltalán; talán az ECS vagy az ObjectScale.
Persze, össze lehet tákolni / rakni Garázs Bt. módon is - csak az nem egy enterprise megoldás, amire komoly üzletet is lehet építeni.
Ami nagyon érdekes lesz a DÁP aláírásnál, hogy mekkora értékhatárig van biztosítva / szolgáltatói felelősségvállalás mértéke. Ha csak 5-10 millió Ft, akkor azzal még egy új autó vásárlási szerződést is nehéz lesz aláírni. Ráadásul csak magánszemélyként érvényes. Nem hiszem, hogy mondjuk egy cégvezető vagy egyéni vállalkozó használhatná a DÁP-ot aláírásra.
Ez idővel úgyis kiderül.
Amikor elolvasom az ilyen rant-et az első pár mondatból mindig kijön, hogy orbitális információhiány van vagy bias. eIDAS nem kizárólag (és specifikusan nem) csak elektronikus aláírásról szól.
Másrészről elég sok nemzeti szolgáltató van, több köztük ingyenesen biztosít eIDAS kompatibilis XAdES/PAdES aláírást amit borzasztóan könnyű. Sok közül külföldi személyek számára is elérhető.
Az elektronikus aláírásban azért van timestamp, hogy vizsgálható legyen, hogy az adott időpontban valid volt e az aláírás. Így az aláírás érvényességének elvesztése ne érintse a dokumentum valid voltát. (ide véve az e-seal-t is)
Nem Magyarország specifikus, de az embereknek idegen ez és nem eléggé elterjedt. Az ezt támogató eljárások pont a normál EU direktívák implementálása okán abba a ciklusba érnek mint pl. Magyarországon a DÁP által (jövőben) elvégezhető aláírás. Sajnos ezt akadályozzák az olyan tényezők, hogy a magyar kormánynak jelenleg a hatalom megőrzés fontosabb ezért a lopás előbbre való, ezért is nincsenek kész ezek a dolgok időben, nem csak az elterjedtség miatt.
itt asszisztáltok Orwellnek , szép világ ez. :) Lassan kihalnak az öregek kell ez a francnak , élvezzetek.
Akarsz beszélni róla? A témát egyébként érted?
Persze hogy értem a témát. Másrészt amikor gyerek koromba olvastam Orwellről már tudtam hogy nem érem meg de csak sikerült az utópiából eljutni a peremére azaz ide és nap mint nap szembesülni vele hogy a környezetembe mennyire másként élnek meg dolgokat emberek. A HUP közösség is hihetetlenül megosztott, elég csak a komment szekciót olvasgatni, ami nagy részben már nem a szakmai részről szól. Régen nem feszültek ennyire egymásnak a hozzászolok. https://disztopia2038.hu/ Ezzel a DÁP-pal csak közelebb kerülünk valamihez ami senkinek sem azt jelenti amit gondol róla.
Oké segítek a téma az AVDH megszűnéséről szól a következő helyet itt hagyom neked, hogy az AVDH megszüntetése milyen módon járul hozzá az orwelli látomásodhoz:
(hint az AVDH-t egy magánszemély által személyes megjelenés alapján létrehozott virtuális fiókon keresztül érted el, AVDH helyett használhattál eddig is bármilyen eIDAS kompatibilis minősített aláírást)
tudom miről szól, de ez az egész nem oszt nem szoroz, aki akart eddig is és ezek után is megtalálja a pajzson a rést, viszont az információk egyre jobban összeérnek olyanok kezében akiknek ez hatalmi előnyt jelent, ha nem érted az a Te buborékod , de ez nem baj , majd akkor lesz ha valami nem fog tetszeni mert Te másképp gondoltad
Ha esetleg megse lesz semmi a dáp-os alairasbol, es nem hosszabbitjak meg az avdh-t, milyen (olcsó) eidasos szolgaltato van, akinel lehet venni minositett alairast (mint maganszemely)?
Domain, tárhely és webes megoldások: aWh
Ez szerintem reklám lenne, van nemzetközi és magyar is.
Magyarországon két nagy cég ad minősített aláírást, ez a Microsec és a Netlock. Külföldiből van egy csomó.
0. kérdés: Mi az olcsó neked?
1. kérdés: Mekkora értékben akarsz aláírni? Lásd: szolgáltatói felelősségbiztosítás.
olcso, hat jo kerdes. Avdh ugye nulla volt, de persze csak itthon volt ervenyes. Node a netlock oldalan latott evi 50 is soknak tunik.
Nem feltetlenul akarok ertekben alairni, hivatalos ugyet inteznj tok jo az avdh, pl nak fele, vagy az nfk (ok siman emailbe kuldott dolgot pattintjak vissza, vagy posta, vagy elektronikus alairas jatszik). De akar egy sima domain atregisztraciorol legyen szo.
Domain, tárhely és webes megoldások: aWh
Netlock.com, itt az újabb rendszerük, ami magánszemélyek részére ingyenes. Videó azonosítás van, tehát legyen egy jó minőségű webkamerád.
Kipróbáltam az ügyfélkapu+-t oathtool-lal. Ment, mint atom.
A családot decemberben átmozgatom ügyfélkapu+-ra.
Úgy tűnik, hogy az újságírók sincsenek toppon.
Ruszin Zsolt szerint a könyvelőirodák egyelőre abba az irányba indultak, hogy kihasználják azt a lehetőséget, miszerint egy Ügyfélkapu-fiókhoz (a főnökéhez) a gyakorlatban korlátlan számú mobiltelefont/autentikátort lehet párosítani, így a többiek is használhatják tovább a főnök ügyfélkapuját. Ez azonban valójában kiskapu, amit az üzemeltető Idomsoft bármikor bezárhat a párosítható autentikátorok számának korlátozásával.
Van egy közös titok (shared secret), meg egy időpont. A kettő összekombinálásával valahogy létrejön egy 6 számjegyű kód. Teljesen mindegy, hogy korlátozzák-e az authentikátorok számát, vagy nem. A shared secret is jelszó, magyarul két jelszó van: a belépési és a shared secret. Ehhez jön hozzá az aktuális idő. A három input ismeretében bárhonnan képes az ember belépni bármivel. Ha úgy tetszik, ESP32-vel is.
Hiába korlátoz a rendszer egy authentikátorra, mert semmi nem akadályoz, hogy a shared secretet még 67000 telefonnal és 98000 PC-vel megosszam. Magyarul semmi sem változik a szimpla jelszó authentikációhoz képest. Nincs telefonhoz kötve, nincs tablethez kötve, tetszőleges gépen legenerálhatom a 6 jegyű kódot, tetszőleges operációs rendszer tetszőleges programja előállíthatja, tetszőleges mennyiségben.
Egy shared secretet használva simán belépek Linuxról és Androidról is. Kipróbáltam.
https://hvg.hu/kkv/20241008_ugyfelkapu-dap-digitalizacio-ugyintezes-kat…
Ezért tartom baromi rossz iránynak az e-személyis login kivezetését, mert az egy és csak egy eszközhöz kapcsolt bejelentkezési lehetőség, aminél gyakorlatilag garantálható, hogy az jelentkezik be, akinek a birtokában van az azonosítóeszköz és ismeri a hozzá tartozó megfelelő méretű PIN-t, mivel az eszköz nem másolható. A standard ToTP alapvetően egy másolható eszközre bízza a második faktort, bár ezt is meg lehet csűrni-csavarni azzal, hogy a device azonosítását is beleszövik az így már nem szabványos második faktorba. De ez egyedi klienst, illetve egyedileg fejlesztett szerver oldali komponenst igényel.
Szóval egyelőre megy, de az eID-s login, mivel a 2. faktort biztosító szoftver és a szerver oldal is ugyanannál a fejlesztőnél van, így a megrendelő döntése alapján simán be lehet hozni egy egyedi megoldást, ami device azonosítását is megoldja, és n darab eszközre korlátozza az adott állampolgár megszemélyesítését az ügyfélkapu felé.
Elosztott jelszót jelent röviden. A jelszó egyik felét a PC-n tárolod a böngészőben, a másik felét meg az authentikátor alkalmazás tárolja.
A hozzáadott érték minimális:
- hosszabb lesz a jelszavad
- két helyen lesz tárolva
Ugyanakkor kriptográfiailag a történet egyenértékű a szimpla jelszavas azonosítással.
+ a jelszó egyik felét nem kell rendszeresen kiadnod, egyszer kell biztonságos tranzakcióval eltenni. Azért az nem mindegy.
És biztonságos módon tárolni - na ez az, amiben gondok vannak/lehetnek - hiszen nincs semmilyen garancia arra nézve, hogy ezek a secret-ek nem vihetők el, nem másolhatók le n+1 példányban akár észrevétlenül. A személyi, mint fizikai eszköz (benne a kívülről nem elérhető privát kulcs) többszörözése azért khm. kifejezetten nehéz feladat. Volt addig, amíg az eID app meg nem jelent, lehetővé téve bárkinek bárki személyijét behúzni az alkalmazásba a PIN-kód ismeretében - onnantól az eredeti hardveres azonosítóeszköz pin-kódja (tudás), illetve birtoklása (kártyaolvasóba berakott személyi) nem szükséges ahhoz, hogy adott illetőként azonosítsa magát az ügyfélkapu felé - vagy akár egy rendőri igazoltatásnál.
Tudom, corner-case, hogy valakinek az e-személyije ideiglenesen olyan kézbe kerül, aki valahogy megismerte a megfelelő PIN-t, és annál a támadónál van arra alkalmas mobiltelefon, és...
Nem állítottam, hogy a TOTP jobb, mintha valami tokenen volna, azt vitattam, hogy minimális előnye van A TOTPnek egy sima jelszóhoz képest. Mert persze lehet szarul csinálni, de nem túl nehezen lehet úgy is jól, hogy én reasonably biztonságosan tárolom a shared secretet, és nem kell mindenféle megbízhatatlan hálózaton kiadnom a kezemből állandóan.
Úgy tűnik 2026-tól a DÁP kötelező lesz. Akkor vissza fogom mondani az ügyfélkaput és visszatérek a papír alapú bevalláshoz.
Az Ügyfélkapu+ elfogadható számomra. Biometrikus azonosítás nem. Akkor jöjjön a papír újra.
Fogsz egy minimálisan szükséges képességű telefont, egy randomjoska gugli fiókot, aztán hajrá... Ha ennyire nagyon parázol attól, hogy úristenmittudnakmegrólad... Igen, a "hol vagy" az a ufk+ esetén is nagyon jól behatárolható IP-cím alapján... De te tudod, hogyan akarod magadat szivatni... (Ugyebár a NAV által elkészült szja bevallás tervezetet sem fogod tudni elérni máshogy, úgyhogy nulláról kell majd neked összevadászni minden adatot (helyesen és pontosan!), de te tudod... (Egyébként az eID képes PIN-kóddal is menni, bár a 6 számjegy kontra biometria kapcsán nekem egyelőre ez utóbbi tűnik jobbnak... )
> Ugyebár a NAV által elkészült szja bevallás tervezetet sem fogod tudni elérni máshogy
Postázzák, ha nincs ügyfélkapu, nem?
Igen, kipostázzák, de külön igényelni szükséges.
Ha szeretsz postára járni, akkor tedd... (Kézbesítő kedvétől lábszagától csillagok állásától függ, hogy a tv.ajánlottat kiviszi-e, vagy csak a már bent a küldemények átvételekor előkészített értesítőt dobja be...)
Szeretek postára járni. Jó dolog a friss levegőt szívni.
Váljék egészségedre... Én inkább kirándulni járok, a postát meg nem etetem feleslegesen... (Ja, és nézz utána a kézbesítési vélelem című szivatásnak...)
Lehet, hogy besétálok a NAV-hoz leadni. Kiveszek egy nap szabadságot. Mindig szerettem emberekkel beszélgetni.
Na jó, de az a dápos honlap azt állítja, hogy be kell kapcsolni a biometriát.
Jelenleg, de dolgoznak már a biometria nélküli DÁP-on. Olvasd el a google play válaszokat a hozzászólásoknál. Az IdomSoft visszaválaszol.
Szóval lesz DÁP biometria nélkül, gyanítom, hogy 2027-ig meg is engedik, hogy így lépj be.
Első körben azt oldják meg, hogy a saját adatok megjelenjenek, mert elég sok ilyen panasz van, illetve az e-aláírás funkciót is jó lenne, ha határidőre... oh, wait...
Az erős azonosításnál kell a "birtoklás" is, ha tényleg jól akarjuk csinálni. Az e-személyinél a birtoklás egy és csak egy eszközhöz köti az azonosítást, a ToTP meg az n darabból egyiknek a birtoklásához. Azaz a megfelelő tudás birtokában n user azonosíthatja magát adott személyként - és ezt az érintett akár észlelni sem tudja, mivel a totp secret tárolható olyan szoftveres megoldásban, ahonnan azt észrevétlenül el lehet vinni.
E-személyi-s bejelentkezés alternatívája a DAP.
És mi van, ha nincs okostelefonod?
Pont ugyanaz van, mint a 2000-es évek elején, a kormány Microsoft Windows alá írt exe fájlokat osztott meg, mer az úgyis jó.
Akkor legalább volt wine, hogy a kormányzati szarságokat hellyel-közzel futtatni tudjuk.
Most előírják, hogy kötelező vagy Android, vagy iPhone okostelefont vásárolnod. Miért is?
Ez jó lesz nekünk? A történelem megismétli önmagát, csak sokkal rosszabb leosztásokkal.
Ha nincs okostelefonod, akkor kiveszel szabadságot, besétálsz a megfelelő hivatalba/hatósághoz, beszélgetsz az ottani emberekkel... (Nem te írtad, hogy szereted ezeket a dolgokat?)
Az ügyfélkapu-val elérhető szolgáltatásokat ilyen módon is igénybe lehet venni - az üfk és a rá épülő szolgáltatások a használatot teszik kényelmesebbé, ennyi, és nem több.
Nagy plusz. Remélem megmarad.
Ugyanakkor tud a gyermeked internet nélkül (kréta) iskolába járni?
Mi a kapcsolat az e-kréta (mobilos és webes felülete is van) és az eID / ügyfélkapu plusz authentikációs módjainak változása között? Mert én nem látok ilyet... Vagy arra akarsz célozni, hogy "nekünsevótokostelefonunkosztmégis..."? Ebbe a mocsárba nem húzol le - neked a lovaskocsi meg a penna-ténta-papíros a módi - másnak meg más...
Arról van szó, hogy nem lesz választásod, ha nem teszel ellene semmit.
Az e-krétával jelenleg semmi bajom. De azt is el fogják baszni, mert nagy rutinjuk van benne.
Mi a tököm lenne? Besétálsz a kormányhivatalba, ahogy eddig is tetted.
Egyelőre alternatíva, de később az e-személyis kártyaolvasós login kivezetésre kerül sajnos :-(
Milyen előnye lenne ehhez képest?
Az e-személyis azonosításnak? Mondjuk az, hogy technológiából adódóan egy és csak egy példányban létező eszközzel történik az azonosítás, azaz nem elég egyszer rövid időre hozzáférni az okmányhoz és a kapcsolódó PIN-kódhoz, amivel tetszőleges számú mobiltelefonra fel lehet pattintani az adott személy azonosítására alkalmas szoftvert...
Szándék szerint a DÁP is ilyen.
A DÁP-ot fel lehet konfigurálni két telefonra, ugyanazzal az e-személyivel? Ha igen, akkor többszörözhető az identitás...
A DÁP topicban volt, aki azt írta, hogy neki sikerült.
Na ez az... Ha sikerül valakinek megszerezni a személyihez tartozó pin-t, és pár percre hozzáférni az igazolványához, akkor máris lehet egy "valódi hamis" eID, amivel őt minden szempontból megszemélyesítheti a támadó.
Ha ez tömegesen előforduló jelenség lesz, akkor az állam nyilván le tudja korlátozni 1 eszközre a DÁP-ot központilag, bármikor. Egyébként pedig elvárt az állampolgártól a gondosság, hogy ne írja filctollal a pint a személyire, miegymás. Én nem látok ebben kivetnivalót. Nem kötelező PIN kódot kérni a személyihez, ha kérsz, akkor nagyobb a felelősséged is, ennyi. A bankok sem térítenek ha az ügyfél volt hülye.
Azért a személyit és a PIN-t egyidejűleg nem egyszerű megszerezni. Gyanítom, hogy az átlagembernek 80%-ban arról sincs fogalma, hogy van hozzá PIN, nemhogy a tartalma :) Ráadásul előfordul, hogy az okmányirodában nem is foglalkoznak a kezdeti PIN beállítással, vagyis marad az, amit a borítékban kiküldtek, és mivel viszonylag kevés embernek van e-személyi olvasója, amivel ez esetleg megváltoztatható, az úgy is marad.