új típusú személyi igazolvány - törve?

Security-all

Apropó a téma újbóli feldobására,
Spanyol helyzet (Infineon):
- http://www.zdnet.com/article/id-card-security-spain-is-facing-chaos-ove…

Észt helyzet (Gemalto):
- http://www.zdnet.com/article/estonias-id-card-scrisis-how-e-states-post…

Részletek:
- https://arstechnica.com/information-technology/2017/10/crypto-failure-c…
- https://crocs.fi.muni.cz/public/papers/rsa_ccs17

Röviden: "A remote attacker can compute an RSA private key from the value of a public key. The private key can be misused for impersonation of a legitimate owner, decryption of sensitive messages, forgery of signatures (such as for software releases) and other related attacks."

Vajon a hazai igazolványokkal mi a helyzet?

  • 4807 megtekintés

( uid_20269 | 2017. 11. 20., h – 13:52 )

Majd jól nem fogadják el aztán problem solved..
--
God bless you, Captain Hindsight..

Én ilyenkor meg szoktam kérdezni a bürökratát, hogy most a személyt vagy a lakcímet szeretné azonosítani? (Annakidején az adatvédelmi biztos ezért választotta szét a két igazolványt, hogy sok helyen nem feltétlenül kellene tudniuk a címét az embernek, a személy azonosítása elegendő kellene legyen, aztán az élet közbeszólt)

Attól tartok a digitális okmányok nagyja részét jóval a lejáratuk előtt biztonsági okokból kell majd visszahívni.

Most megvilágosítottatok, hogy ez már lakcím kártya is. :D Elnevezték végre az utcát ahol a lakhelyem van gyerekkorom óta, minden családtagomnak kiküldték az új lakcímkártyát, csak nekem nem. Nekem van egyedül új típusú személyim. BTW számhordozásnál most pont azon szívok, hogy a telenor nem tudja kezelni a régi címem ( dűlő + hrsz ) és 2 x utasították el csak ma a kérelmet.

Szerintetek lehet köze az új típusú személyinek és a lakcímkártya nem kiküldésének egymáshoz?

Tudomásom szerint nem is tervezik, hogy a lakcímkártyát kiváltsa az új személyi.

Számhordozáshoz:
Amikor elhordoztam a számomat a Telenortól, akkor nekem is okozott egy plusz kört lakcím. Mint kiderült a lakcímet csak a házszámig küldik el. A lakcímem Kökörcsin utca 38. sz. 2. ép.…, így az új szolgáltató elküldte, hogy Kökörcsin utca 38. Azonban a Telenor valamiért úgy rögzítette a lakcímemet, hogy Kökörcsin utca 38/2. Mivel a 38-as szám alatt nem lakott ilyen nevű előfizető szerintük, így elutasították a kérelmemet. Az ügy úgy oldódott meg, hogy felhívtam a Telenor ügyfélszolgálatát, és megkérdeztem, hogy szerintük a számhordozás szempontjából mi a lakcímem. Ennek a tudásnak a birtokában már sikerült a számhordozás.

Na jó, de amikor meghatalmazotti papírt vittem az okmányirodába (a meghatalmazó nem hitte el nekem, amit én kinézek 2018-ban a bürokráciából, hogy tényleg igaz, hogy tanú nélkül csak akkor jó egy székhely-használati engedély, ha az _egész_ _kézzel_ van írva...), amire kb. ezt az egészet kitalálták, ne nézzen rám az ügyintéző, mint a sátánra, mert meg merem említeni, hogy egyébként az aláírt/időbélyegzett/... PDF-et szívesen továbbítom. :)

(de legalább a mellettem levő ablaknál ment a személyik kiadása, úgyhogy ~10 várakozó hallgatta végig a "deakkormégismirejóadigitálisaláíráshaarranemamirevaló?" monológom :)... aztán másnap bementem a kézzel írt papírral)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Nekem a kedvencem a közjegyző, aki adatközlésre felhívja feleségemet, de elektronikusan aláírt emailt nem fogad el közlésként, csak papír levelet. A MOKK szerint meg ha azt akarom, hogy a közjegyző bírságoljon akkor ragaszkodjak az elektronikushoz, ők nem kötelesek emailt olvasni, mivel a kézbesítés nem igazolható hitelesen. Ergo a MOKK szerint olyan, hogy hivatalos email nem létezik.

Igen, ezt én is értem, de hogy egy közjegyző ne akarná átvenni a kézbesítést, és azért nem foglalkozik emaillel mert nem igazolható, hogy átvette... a levélszekrényből is kidobnak mindent ami nem ajánlott?

Mert ugyebár hostile delivery esetén az igazolhatóság fontos, de azt feltételezni, hogy a közjegyző nem akarja átvenni a küldeményt... Mert onnantól ha megérkezett, onnantól már van értelme az elektronikus aláírásnak. Meg kellene oldani a kézbesítés problémát is.

Nem, de nem bizonyítható, valamint a jogszabály (PP) nem ismeri el az e-mailt hivatalos kapcsolattartási formának. A közjegyző meg nem nem akarja átvenni, hanem nincs rá lehetősége. Erre (lenne) való az Ügyfélkapus kézbesítés, de ugye az jellemzően egyirányú - viszont azt a jogszabály elfogadja hivatalos kézbesítésnek, hiszen a teljes folyamat minden elemét tudja kontrollálni és biztosítani az állam.

Ha nagyon érdekel, hogy ez miért nem jó, hívjátok fel a MOKK Jogi Irodáját, ott el tudják magyarázni. (több ismerősöm is ott dolgozik :P)

--
Mobilbarát és reszponzív weboldal készítés

Szerintem naponta érkeznek a papír levélszekrényükbe a közjegyzőknek a könyveletlen (nem hivatalosan kézbesített) küldemények, amiket iktatnak és azok alapján intézkednek. Csak azt nem értem, hogy ugyanezt hiteles elektronikusan aláírt emaillel miért nem hajlandóak megtenni.

Az a része teljesen korrekt, hogy ő a kimenő emailek kézbesítését nem tudja hivatalosan igazolni ezért érdemi kimenő forgalma nincs. De hogy a _közjegyzőhöz bejövőt_ is ilyen mostohán kezelje...

A jogalkotó meg csinált elektronikus aláírást, az elektronikus dokumentumokat hivatalosan meg fel lehet adni ajánlott levélben. Ez jogalkotói mulasztás. (2011-ben amikor először sikerült átverni a dolgot az ország házán, és azóta is elfeledkeztek arról, hogy az elektronikus dokumentumot esetleg elektronikusan továbbítani is kellene tudni... hivatalosan is)

"Szerintem [...]" - ez a kulcsszó. :) Egyébként pont hogy a kimenő leveleket tudhatná igazolni, de pont a bejövőknél nem biztosítja semmi, hogy kétség nélkül bizonyíthassa az ügyfél, hogy a levelet elküldte (és ő küldte el, ő ült a gép előtt, stb.). Az, hogy az ő postaládájában ott van, nem jelent semmit.

--
Mobilbarát és reszponzív weboldal készítés

Véleményem röviden: A jelen államapparátus is ad bőven ihletet a következő generáció Kafkáinak és Gogoljainak hozzáállásával.
Amúgy tudom, hogy de iure igazad van, de álláspontom szerint ez nem hozzáállás ahol hatékony és gyors állami ügyintézés lenne a cél, ami előfeltétele szerintem egy hatékony és erős gazdaságnak.
Az állam szerintem nem attól erős, hogy le tudja pattintani az ügyfeleket, hanem attól, hogy hatékonyan, gyorsan, modern módon ügyintéz, és ennek megteremti a jogi, technikai és megfelelő humán erőforrás hátterét.

Na jó, még +1: a közjegyzők nem részei a közigazgatásnak. :D

Egyébként teljesen (sőt, nagyon is) egyetértünk, mielőtt arra gondolnál, hogy nem. Pusztán arról próbáltam írni, hogy ennél bonyolultabb a jogi környezet és a helyzet, mint hogy az egyszeri közjegyző nem akar elfogadni egy e-személyit/digitálisan aláírt e-mailt/stb-t: erről ő pont nem tehet.

Ahhoz viszont, hogy ide elérjünk, még nagyon sok mindent kell letenni az asztalra - többek között kb. mindenkinek ki kell halnia, aki most politikával foglalkozik, ezzel párhuzamosan pedig egy teljesen eltérő attitűddel rendelkező utánpótlást kellene kinevelnie a rendszernek - ami szerintem lehetetlen, szóval én nem fűznék nagy reményeket a dologhoz. Éppencsak kapcsolódik, szép, ahogy az évek gyarapodnak: https://hup.hu/node/146959?comments_per_page=9999#comment-2138844

--
Mobilbarát és reszponzív weboldal készítés

Trololoo: nullazni kene mar a jogrendszert - a ~2000eves romai jog toldozgatasaval csak fasitjuk az erdot ahol az embereknek kotelezo tevelyegniuk. Aka a jog nem ismerete nem mentesit a lokalis jogsertesek alol... Lsd meg: hol szabad, hol nem szabad kanabiszt tartani magamnal, raadasul mennyit is..?

Douglas Adamsnak kellett volna igazgatnia a vilagot, mar reg terraformalnank a Marsot, hogy legyen hova koltoztetni az ugyvedeket, konyveloket, fodraszokat stb... :DDD

Igen, ez elképzelhető.

De hogyan működhetne a tuti kézbesítés, a küldő és címzett egyértelmű azonosítását is beleértve?
Közjegyzőt kihagyva.

Talán a postás
- azonosít (rápillant egy felmutatott személyire?)
- megvárja míg kinyitom,
- mindkét példányt aláírom és
- a postás is aláírja és lepecsételi mindkettőt, mint EGY DB. HIVATALOS tanú,
- a borítékban található válaszborítékban A POSTÁS ÁLTAL INTÉZVE HIVATALBÓL vissza a feladónak az egyik példányt?

Természetesen biztosítva, hogy a leragasztott válaszboríték tartalma semmiképpen sem változhasson meg, míg visszajut az érintetthez, de nagyon személyesen.

Mert jelenleg mondhatja bár ki, hogy igen, a küldeményt átvette, de semmi, vagy üres A4-es lap volt a borítékban.

Publikus kulcsú titkosítással ez ugyanígy:
Alice elküldi Bobnak a saját kulcsával aláírt PDF-et, Bob ellenőrzi, hogy aláírt PDF-et kapott-e, és ha igen, válaszul küld egy a saját kulcsával aláírt időbélyegzőt Alice-nek.

1) Alice nem tudja letagadni, mert ott az aláírása a PDF-en
2) Bob nem tudja letagadni, mert Alicenél ott van a Bob által küldött Timestamp
3) Harmadik fél csak addig kell, amíg Alice és Bob megkapják a certjeiket

Ad absurdum, ez egy darab jól irányzott HTTP kérés, azonnal tudsz rá tenni titkosítást (HTTPS), azonosítást (összes random HTTP auth metódus vagy SSL/TLS azonosítást), vannak jól definiált hibakezelési (nem 200 ok és egy RFC3161 szerinti TS response a válasz -> valami el volt bökve) metódusok stb.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ez így nem teljesen igaz!

Nem e-recepthez kell. Hanem mindenféle beutaló és recept írásához! Papír alapúhoz is, ugyanis autentikálni kell a dolgozót, mert EESZT rendszerbe megy fel minden adat.
Az "e-recept" gyakorlatilag mellékesen keletkezik.
Amúgy működik, már ha az adott HIS/háziorvosi rendszer fel van erre készítve (nagyrésze felvan már), inkább a totális káosz minden téren....legfőképp a benne dolgozók fejében :/
Amúgy 19 jan.-tól lesz kötelező, illetve 18 őszétől minden magán ellátónak is kell(ene) csatlakoznia....van, és lesz is még káosz....

( Charybdis | 2017. 11. 21., k – 11:35 )

Húbasszus, ez eléggé komoly gond. Jó dolog az e-személyi, de ilyen sebezhetőségekkel nagyon komolyan kell foglalkozni.
Nem értek hozzá teljes mértékben, de alábbi megoldással nem lehetne elkerülni hasonló hibákat?

Hármas védelem: jelszó + fizikai kulcs + egyszer használatos dinamikus jelszó

Tehát az azonosításhoz kell először az e-személyi kártya fizikailag, utána kell tudni a jelszót (amit fejben kell tartani), de ez még nem lenne elég, mert lenne egy token is, ami minden azonosításkor generálna egy egyszer használatos jelszót, amit mindig külön be kéne írni kézzel. A tokent is kellene védeni jelszóval. A token és a webszerver között nincsen kommunikáció, tehát nem lehet lehallgatni.

Tehát a támadónak meg kéne szerezni a fejben tárolt jelszót, el kéne lopni a kártyát és a tokent, és még a token jelszavát is meg kéne szereznie. Persze a token letiltaná magát a túl sok hibás próbálkozás után.

Használok élesben egy ilyen tokent, csak azt nem értem, miért nem kér még a rendszer mellé egy statikus jelszót is, amit fejlben kell tárolni. Mert most úgy van, hogy kell felhasználónév és a token által generált dinamikus jelszó. De ezzel az a baj, hogyha esetleg fizikailag megszerzi valaki a tokent, onnantól nem lehet túl nehéz feltörni a 4 jegyű pin kódot a tokenhez, mert ugye nincs sok variáció. Viszont ha lenne még statikus jelszó is, még azt is ki kéne találni, így már elég reménytelen a támadás.