Fórumok
Ha esetleg használtok bármilyen rendszerben AVDH "integrációt", akkor érdemes tudni, hogy a tervek szerint jövőre már nem lesz elérhető.
A 2024. augusztus 31-én hatályos E-ügyintézési törvény szerinti azonosításra visszavezetett dokumentumhitelesítés-szolgáltatás használatát 2024. december 31-ig kell biztosítani.
https://jogaszvilag.hu/szakma/az-elektronikus-maganokirat-tisztaz-vagy-…
Hozzászólások
Kapcsolódó előadás/ütemtervvel:
https://tavho.org/uploads/eloadasok/MAT%C3%81SZSZ%20konferencia_D%C3%81…
Az ügyfélkapu változása is érdekes lesz. A prezentációból:
Digitális állampolgárság Idővonal
--
Légy derűs, tégy mindent örömmel
Nekem nagyon furcsa ez az idővonal, valószínűleg már minden állami-államközeli cég dolgozik ezen a témán, viszont a privát cégeknél nem tudom hogy mi a helyzet.
Ha végre eljutnak az Ügyfélkapusok (NISZ / Idomsoft) végre oda, hogy be tudjam kapcsolni a 2FA-t normális hosszúságú (30+ karakter) jelszóhoz is, akkor bekapcsolom. Lásd: https://hup.hu/node/183978
2FA mellé miért kritikus a rettenethosszú jelszó? Már egy 12 karakteres jelszó is elég combos a jelenlegi tudásunk szerint :-)
Ez az ábra megnyugtatja az átlag embert, mert nem specifikálja, hogy milyen számítógépről is beszélünk. Voltaképp egy 286-os PC is számítógép. ;)
Kicsit kapkodnak, úgy érzem. Jelenleg az AVDH *működik*, segítségével tudok ügyet intézni, dokumentumokat beküldeni például egészségpénztárnak, a DÁP meg sehol nincs, a dap.gov.hu arra kér, hogy menjek be a kormányablakba, hogy várólistára kerülhessek. End userként kb. nem érdekes, hogy technológiailag mekkora tákolmány az AVDH, akkor kellene kiváltani, ha már van bejáratott, működő alternatíva.
Előfizetsz egy elektronikus aláírásra, (ingyenes is van)
Én hiába tudok S/MIME aláírt emailt küldeni vagy akár pl. a Docusign nevű rettenetet használni, ha a fogadó oldal kifejezetten AVDH-t szeretne és más fogadására/ellenőrzésére az ottani munkaerő fel sincs készítve. És visszakanyarodva az eredeti hozzászólásomhoz, arra próbáltam kilyukadni, hogy mivel nem elérhető még széles körben az utódjául szánt szolgáltatás, a tervezett év végi kivezetést meglehetősen korainak tartom.
Lehet hogy érdemes lenne a fogadó félnek szólni hogy srácok, készüljetek, mert január 1-től nem lesz AVDH (nem lesz elérhető egyáltalán).
Hat mondjuk a docusign alapbol nem edias kompatibilis, szoval az nem tobb mint egy sima alairas nelkuli fajl.
Domain, tárhely és webes megoldások: aWh
Ebben mennyire vagy biztos? Mert én a Docusign oldalán azt olvasom, hogy ők eIDAS-nak megfelelnek bizonyos mértékben. Továbbá ha jól látom, akkor a franciáknál regisztráltak (https://eidas.ec.europa.eu/efda/tl-browser/#/screen/tl/FR/10).
Tévedés jogát fenntartom.
Az olyan mint a CCA utp kábel, ahol az van a websopokban, hogy
CAT5e* UTP
...
* A CAT5e szabványt csak részben teljesíti
? :)
Nezd meg a planoknal a feature listat, az osszes publikus csomag a “simple”t tudja csak. Ami nem szamit elektronikus alairasnak, technikai ertelemben, az az a szint amikor wordbe odairod a neved vagy beilleszted az alairasod egy kepbol.
sajat maguk is leirjak:
If ID verification is needed, an advanced or qualified electronic signature may be required
rendes megoldas csak custom/enterprise csomagban van plusz penzert
Domain, tárhely és webes megoldások: aWh
De ez még mindig csak azt bizonyítja hogy akitől az üzenet jött annak volt hozzáférése, a személyazonossághoz nincs köze.
A valós digitális aláírást biztosító, auditált rendszerekben a regisztráció során történik egy személy azonosítás (sok helyen ezért kell fizikailag is bemenni) majd pedig létrehoznak egy privát kulcsot egy HSM-ben, valamint beállítják a hozzáférését a felhasználónak az adott kulcshoz (két faktorosat). Innentől a felhasználó feladata ennek a védelme mert ezek az aláírások a bíróság előtt olyannak felelnek meg, mintha 2 tanú előtt történt volna meg az aláírás. Ezért vannak rommá auditálva ezek a bizalmi szolgáltatók.
Pontosan, ezért nem bizonyít semmi mást csak azt hogy volt hozzáférése aláírni, személyazonosságot nem igazol - bárhogy álmodnak az üzemeltetők.
"a minősített elektronikus aláírás a saját kezű aláírással azonos joghatású, azaz ezzel más személyek „segítsége”, tanúk, ügyvéd vagy közjegyző nélkül is létrehozható olyan dokumentum, ami teljes bizonyító erővel bír, azaz az ellenkező bizonyításáig az egész EU területén teljes bizonyító erővel bizonyítja, hogy az okirat aláírója az abban foglalt nyilatkozatot megtette, illetve elfogadta vagy magára kötelezőnek ismerte el."
https://jogaszvilag.hu/szakma/digitalis-vs-elektronikus-alairas/
Ezért kell baromira védeni a digitális aláíráshoz szükséges hozzáférést, mert bizony el lehet adni az autóját valakinek teljesen törvényesen ha nem vigyáz az azonosításhoz szükséges dolgaira.
Nem ez az első hülye rendelkezés a világon, de van az a lobbi ami átnyomta.
Technikai szempontból nem változik semmi: a digitális aláírás azt bizonyítja hogy XY kulcsához volt hozzáférés, nem pedig azt hogy XY aláírta.
És persze: a felhasználó hibája ha ellopják az adatait, nem a rendszer rossz.
Ez az egész EU-ban érvényes.
Nem csak EU-ban, de ettől függetlenül ökörség, mert kulcshoz való hozzáférést igazol. Az hogy ezzel igazolható az aláíró személyazonossága elég nagy kamu.
Az AVDH valóban baromság volt úgy,ahogy itt ment: user bejelentkezett usernév/jelszó párossal, és utána kapott a dokumentumára egy stemplit, hogy az AVDH-s aláíró azonosította és ő az, akinek mondja magát. Azonosította. Akár egy usernévvel meg egy jelszóval.
Az e-személyi az ennél fényévekkel jobb megoldás (volt), mivel ott egy célhardver birtoklása, és az azon lévő érvényes(!) certhez tartozó privát kulcs feloldásához szükséges, kötelezően x számjegyből álló PIN ismerete (volt) szükséges az aláíráshoz. Ez a módszer jelenleg is működik üzleti szolgáltatásként, csak épp egy QSCD eszköz kb. nettó 20E Ft körül van, és erre még kell a megfelelő szintű tanúsítvány is (jellemzően a kártya/token cert igénylésével együtt olcsóbb), de nem ördögtől való a birtoklás+tudás alapján elkészített, teljes bizonyító erejű magánokiratot biztosító elektronikus aláírás. Mivel a telefonból a privát kulcsot ugyanúgy nem tudod kinyerni, _és_ az eID-hez megkövetelték vagy a személyes azonosítást, vagy az NFC-s e-személyis azonosítást (személyi+pin), így az aláíráshoz szükséges kulcspár/cert elkészülte és telefonba költözése sem ördögtől való.
Az AVDH az volt, mint amit a neve is elárul: Azonosításra Visszavezetett Dokumentum Hitelesítés.
Az E-személyis aláírás tényleg jobb volt, de az meg már nincsen.
A DÁP meg nem megy megfelelő okostelefon nélkül. Szóval egy számítógéppel már nem használható semmire sem.
Érdekel, hogy így januárban hogy lehet majd ügyet intézni.
Nagy Péter
Mobil telefon nélkül? Vagy bemész és sorba állsz, vagy pedig veszel egy digitális tanúsítványt valamelyik tanúsítvány kiadó cégtől és azzal írod alá a dokumentumaidat.
Hát, pontosan ez a gondom! A Digitális Állampolgárság nevű kezdeményezés azt eredményezi, hogy amit eddig ingyen és kényelmesen el tudtam intézni számítógépről, ahhoz most vagy be kell mennem, és papíron intézni, vagy tanúsítványt kell vennem pénzért (amihez szintén személyesen kell azonosítanom magam egy tanúsítvány-kiállítónál), és azzal intézni.
Nem érzem magam tőle Digitálisabbnak.
Nagy Péter
És persze itt is felmerül az a kérdés, hogy ha a fogadó fél kifejezetten DÁP aláírást vár el, akkor kitörölheted a seggedet a digitális tanusítványoddal a _valamelyik_ kiadó cégtől.
Nem kell emlékeztetnem senkit ugyebár, hogy itthon még mindig csak a Netlock számít sok helyen elismert hitelesítésszolgáltatónak _kizárólag_.
Blog | @hron84
via @snq-
Jogilag kötelező elfogadnia mindenkinek. Az AVDH-t azért kérte sok cég mert annak van egy nagyon hasznos tulajdonsága: a PDF-hez csatolja a 4T-t. Ez önmagában egy baromi erős funkció, és nem tudom, hogy ezzel mi lesz.
Sok-sok eve el kene fogani a minositett alairast, aztan a gyakorlat megint mas.
Domain, tárhely és webes megoldások: aWh
Netlock és Microsec.
És nem hitelesítés szolgáltató, hanem bizalmi szolgáltató. Picit más a kettő.
Amiben az azonosítás egy ügyfélkapu usernév/jelszó páros volt.
Erre akkor nem az lett volna a jó megoldás, hogy adott időponttól az AVDH-ra történő belépés helyett ügyfélkapus belépés helyett előirják a két faktoros ügyfélkapu+ vagy más erősebb azonosítás (e-személyi vagy az új DÁP) használatát?
Az egészben a legviccesebb, hogy az AVDH megszűnésének pillanattától pont előírták, hogy az ügyfélkapu eléréséhez kötelező a két faktoros ügyfélkapu+, vagy a DÁP használata. (az e-személyi-s bejelentkezést pedig attól a pillanattól vezetik ki éppen)
Nagy Péter
Szólj a fogadó félnek, hogy amennyiben AVDH-t fogad akkor el kell fogadnia eIDAs-t is. (törvényi kötelezettség)
1 faktoros authentikacioval, Juliska123! jelszó mellett egyébként is megkerdojelezheto a hitelesség.
Error: nmcli terminated by signal Félbeszakítás (2)
Ez egy magyar csinálmány volt, valójában arra kitalálva hogy mint állampolgár kommunikálj az állammal, "hiteles" módon. Erre mondjuk kb. pont jó is volt, másra nem szabadott volna használni.
Erre _sem_ lett volna szabad használni, mivel egy usernév/jelszó párossal teljes egészében megszemélyesíthető az adott állampolgár úgy, hogy annak, amit így tesz a támadó az adott polgár viseli az összes jogkövetkezményét - de elég, ha az összes adatát, ami üf.kapun keresztül elérhető leszipkázzák...
Igen, ezért kellett volna már az elejétől két faktoros auth-ot bevezetni, de nyilván csináltak egy rizikó vizsgálatot, és az jött ki, hogy amire kell, arra pont elég ez a szintű védelem.
Mondjuk úgy, hogy az qrvarégen volt, hogy a usernév/jelszó elégségesnek tekinthető volt - az igazi gond a 2FA kiterjesztésével/kötelezővé tételével az volt, hogy az n+1 ügyfélkapu alá integrált rendszerben nem voltak képesek mindenütt megvalósítani az ügyfélkapu+ kompatibilis működést...
Ha jól értem, hogyha valaki 2FA-t akar, akkor bizonyos ügyfélkapuhoz kötött szolgáltatásokat nem tud ezután használni? Lehet tudni, hogy melyek ezek?
Nem jól érted. Korábban nekem a Lechner tudásközpontnál lévő szolgáltatásokhoz nem működött az ügyfélkapu+ (az érdeklődésemre válaszul azt írták, hogy dolgoznak rajta - legalább fél évvel voltunk az ügyfékapu+ bevezetése/élesítése után egyébként...) de tippre azért bátorkodnak betervezni a 2FA kötelezővé tételét (vagy ugye az e-személyis logint), mert addigra minden érintett/kapcsolódó rendszer képes lesz ezt kezelni.
nekem azt írja, hogy az eszemélyis login is megszűnik 2025.01.01-jén
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
Az faca, egy durva nagy visszalépés, mert ugye ToTP-t kávédarálón is lehet futtatni minden biztonsági körítés nélkül, egy hardvertokenes cert alapú login ennél sokkal biztonságosabb, hiszen a birtoklás az egy és csak egy eszközhöz köti a logint, nem egy szoftveresen simán másolhatóhoz. (Kereshetem elő a üfkapu+ usernév/jelszó párost - szerencsére a GA-ban minimum két telefonon ott van a 2. faktorhoz a secret...)
Na, úgy látom, kezded megérteni a lényeget.
Csak tudd is kibányászni nem rootolt telefonból.
Menű -> Transfer Codes -> Kódok exportálása ?
Nem tűnik olyan bonyolultnak.
Ja aha és ezt minden autentikátor app tudni fogja, még az e-személyi saját tákolmánya is, igaz? Ja nem.
A TOTP nem varázslat, ha tudod mi secret akkor felveszed annyi rendszerbe amennyibe csak tudod. (márpedig a secretet tudnod kell valamilyen módon)
Na és hogy tudod meg, ha az autentikátor app nem hajlandó megmondani?
eSzemélyi app leszinkronizálja proprietary API-n keresztül a base32 secretet, aztán eltárolja a saját bugyraiban valahol, amit bányászhatsz, már ha egyáltalán van root jogod a telefonra.
Mivel az ügyfélkapu+ megmarad, így standard TOTP-s app is megetethető a szabványos QR-kóddal, amit az üfkapu+ -ra váltáskor kapsz a böngészőben.
Az ügyfélkapu+ jelenleg is GA-val vagy MS Authenticator-ral, szabványos TOTP-vel működik, mindkettő képes a kódokat (azaz azokat a shared secret-eket, ami alapján generálható az idő alapú kód) google, illetve microsoft fiókba menteni... És onnan sima liba kihúzni egy másik eszközre az összeset egyben, de GA-ból egy saját formátumú QR-kóddal is átvihető egy másik GA instance-ba. Ez lesz ahelyett, hogy egy kizárólag egy példányben létező hardvertokenen tárolt, onnan ki nem nyerhető kulcsot használna azonosításra az ügyfélkapu... (hogy ez e-személyi, vagy valamilyen más, X509-es certet használó megoldás, jelen esetben mindegy.)
Annyit még hozzátennék, hogy TOTP-t pl. KeePass is tud kezelni (pluginnal még jobban), és a GA-ból a QR kóddal exportált tokeneket a KeePass alá is be lehet olvasni (vagy fordítva is, lehet exportálni is). A KeePass pedig utána kiír minden secretet, ami csak érdekel, akár QR kódot is mutat hozzá.
Nagy Péter
A tokennel az a baj, hogy ahhoz minimum driver kell a géphez, és telefonról például mérsékelten lesz üzemképes, mert nem tudod hova bedugni, stb.
Sajnos hiába az a legbiztonságosabb megoldás, az r=0.5 felhasználókkal inkompatibilis. Még a TOTP azonosítás is rengeteg helyen billeg, nagyon komoly mennyiségű felhasználó támogatás fog kelleni a használatához, de azt jelenleg beláthatóbbnak gondolom (mert jobban el is van terjedve) mint egy token alapú cuccot.
Blog | @hron84
via @snq-
Az e-személyi tökéletes eszköz lett volna, ahogy az eID-re történő, qrmányablakba befáradás nélküli regisztrálás is működik. Vagy ahogy az eszemélyihez készült app is, ami egy sima kártyaolvasót csinál a telefonból, amivel az eszig PC-s alkalmazás hálózaton beszélget...
Mondjuk a faxhoz képest előrelépés volt minden szempontból.
Az okostelefonos szutyok pedig visszalépés lesz.
Mert miért is?
Az okostelefonbuzi mivolta miatt, a Google/Apple-függősége miatt és amiatt, mert jól működő okostelefonok százezreit kell kidobálni, az Android 10 és iOS 16 minimum OS-követelményeknek köszönhetően. Mindeközben biometrikus azonosítás már Android 5.0-án is van.
Nem a biometrikus azonosítás hiánya a probléma, hanem az, hogy a régi android-okban rengeteg olyan hiba, sérülékenység van,a mit de facto már nem fognak javítani. Egy security device lukas, gyártói supporttal nem rendelkező szoftverrel nem security device, hanem e-hulladék, akár tetszik, akár nem. Nem kell a régi telefont kidobni, csak épp biztonsági eszköznek, illetve elektronikus okmánynak nem lehet azokat használni.
Lehet őket használni, biztonságtudatosan, pont úgy, mint egy Windows XP-t, a támadási felületeket minimalizálva. iOS esetben pedig nem is igaz, amit írsz, mert biztonsági javításokat szokott kapni.
...pont úgy, mint egy Windows XP-t...
Ott a pont :D
Mutatjuk:
hajbazer "nyenyenyenye"
Aki pedig nem rendelkezik kétévente újravásárolt okostelefonnal, az visszatérhet a papíralapú ügyintézéshez, aláíráshoz, ugyanis már induláskor Android 11 az igénye az IdomSoft Zrt. babzsákfejlesztői által összetákolt Digitális Állampolgár csinálmánynak.
Ismét jól működő rendszerek tönkretételével akarunk fejlődni™.
Érdekes, a weboldalon Android 10 vagy újabb szerepel. Az meg öt éve jelent meg.
Úgy sajnállak..
Ebben egyébként kivételesen igaza van.
Az, hogy egy korábban bármilyen HTML-képes eszközről műküdő rendszert most apple/google-onlyvá* teszünk, visszalépés.
*: tippelek csak, de gondolom lineageos-en nem fognak elindulni ezek a csodák, mert safetynet, meg security...
Nem, nincs igaza csak minimális ismeretekkel rendelkeztek erről mert addig jutottatok, hogy valaki aláír valamit, többes aláírás, egyebek nem számítanak. AVDH egy csökevény volt sülyesztőben a helye.
Ezt nem vitatja senki.
Az új megoldással el fogom tudni intézni az állami (egészségpénztári, stb) dolgaimat a desktop Fedorámról vagy hozzáköt valami szűk platformhoz, mert csak? Ha hozzáköt, akkor per definition funkciót vesztek el, ami zavar.
Az appot nem én fejlesztem, de ahogy sejtem a telefont fogja használni aláíró eszközként (mint szinte minden ilyen). Ami teljesen rendben van. Nem hinném, hogy a te desktopodat fel kellene adnod emiatt, csak épp kell egy (meglévő) eszköz majd az aláírás elfogadására. Ha nem így csinálják meg, akkor Viktornál panaszkodj.
Van ügyfélkapud? Van. Abból tessék ügyfékapu+ -ra váltani. Mivel a QR-kód tartalma jól definiált,a mit a 2FA beállításához kapsz, azzal akár egy konzolos totp-alpkalmazást is meg tudsz etetni, és onnantól kezdve készen is vagy.
Egyébként meg lehet venni kártyaolvasót nem túl súlyos pénzekért, és azzal, meg az e-személyiddel (és a megfelelő alkalmazással) alá tudsz írni, be tudsz jelentkezni az ügyfélkapu-n.
Hogy egy rolling disztribúcióban ezek mennyire működőképesek, azt nem tudom, de a szolgáltatásokat jellemzően a felhasználói bázis eloszlása alapján a nagy többségre alakítják ki.
what? Ez hogy jön ahhoz, hogy kivezetik az AVDH-t, és, ha jól értem a szálat, a helyette jövő DÁP nem lesz elérhető desktopon?
(régesrég 2FA-s az ügyfélkapum, ne is beszéljünk róla, mekkora szar megvalósításban)
Most még alá tudsz írni, de az e-személyis aláírást ki fogják vezetni.
Úgysem találták még ki azt a helyet ahol elfogadták az azzal aláírt cuccot, én egyszer próbálkoztam a KIFÜ-nél visszajött, hogy nincs aláírva. :D
Közigazgatásban használták, azon kívül szerintem kevéssé. Mondjuk kaptam már a polgármesterünktől is így aláírt .pdf-et.
Mivel teljes bizonyító erejű magánokirat, így azt mindenhol el kell fogadni, ahol ilyenre van szükség. Egyébként közműszolgáltatóknak is kötelező talán...
El kellene én egyedül a KIFÜ-nél próbáltam, ott nem ment. (Nem is kértem újra amikor lejárt :))
Szerintem Polgárjenő vagy ASP-s iktatórendszerrel ír alá (az is ilyen AVDH szerű hozzácsapja PDF-be mellékletként ki írta alá, majd a rendszer aláírja), vagy a NISZ-es GOVCA-s PKI-s mókolással, hisz az esziges aláírásából nemigazán derül ki, hogy ő polgármesterként írta alá.
Erre forrás?
https://g7.hu/kozelet/20240830/nyolc-eltekozolt-ev-utan-vege-a-szemelyi…
A cikkből:
Az ütemtervük szerint a DÁP mobilalkalmazás, eAláírás, eAzonosítás 09.01-től elérhető és úgy néz ki január 1-től megkerülhetetlen. Mintha most lenne teszt üzem jövőre pedig éles üzem...
--
Légy derűs, tégy mindent örömmel!
Szerencsére te mindig mindenről átfogó™ és kiemelkedő™ ismeretekkel rendelkezel.
Nem, amennyiben nem lesz kompatíbilitásban és funkcióban azonos helyettesítője. Az Android 10+ csiligány okostelefonos app nem az.
Ne érezz alsóbbrendűséget, nem én okozom a tapasztalatodat. Majd ha műveled magad, és nem csak erős véleményed, hanem tudás is lesz mellé, majd biztosan elmondod miért jó az AVDH. Akkor talán tudnánk _vitatkozni_ addig sajnos be kell érnünk ezzel.
Azért jó az AVDH, mert működik, platform-független és tetszőleges dokumentum aláírható vele. Emellett PDF-be is képes beágyazni az aláírást. Ha a Digitális Állampolgárság fronton is születik egy ilyen megoldás, akkor az is megfelelő lesz az AVDH helyett. Ha nem születik, akkor az visszalépés lesz az AVDH-hoz képest, akkor is, ha az AVDH most egyesek szerint nem tökéletes.
1, sehol nem fogadják el, csak Magyaroszágon
2, az aláírás azt igazolja, hogy mikor írta alá a rendszer és a rendszer által van aláírva nem a felhasználó által
3, a biztonsága a KAÜ azonosítás biztonságától függ ami egy csapnivaló szar.
1. Irreleváns, amennyiben magyarországi ügyintézésről van szó.
2. A felhasználó és a rendszer által van aláírva, pontosabban a rendszer által, a felhasználó nevében.
3. Semmivel sem szarabb, mint egy okostelefonos szutyok, ami még a kétfaktoros hitelesítés koncepcióját sem teljesíti, ha minden az okostelefonon történik.
Már többször mondtam, olyanról nyilatkozz amit értesz, ehhez nem értesz.
Téged idézve: Attól, hogy többször mondod, még nem lesz igazad.
és milyen igazad van. Nem ettől. Hanem ettől lesz igazam:
Ez mi? Érted mi az az elektronikus aláírás? Vagy csak megerősíted, hogy igazam van és ilyen formában helyeselsz?
Miről beszélsz? Tudod hogy fog működni?
Te érted, hogy az elektronikus aláírás mitől lesz hiteles? Nem attól, hogy én generálok egy random kulcsot és azzal aláírok valamit. Hanem attól, hogy azt a Belügyminisztérium is hitelesnek ismeri el és ez a hitelesség bármikor ellenőrizhető. Ha az aláírás az én gépemen történik, nem az Ügyfélkapu szerverein, ugyanúgy szükségem van hitelesített kulcsra, amit a Belügyminisztérium is hitelesnek tekint. Ezt felfogod? Ha igen, akkor innentől már csak egy lépésre van az, hogy kb. mindegy, kinek a gépén történik az aláírás. A lényeg, hogy kinek a megbízásából.
Pontosan úgy, ahogy az összes többi "kétfaktoros" app, ami megelégszik azzal, hogy az egyik faktor az okostelefon, meg a másik faktor is az okostelefon.
Tehát, nem, megint nincs igazad, csak igyekszel erőltetni a csőlátásod azzal, hogy másokat leminősítgetsz.
Nem érted a pki "lényegét" és ilyen "apróságokat" elfelejtesz, hogy mindketten egy harmadik (megbízható) entitásban - a tanúsítóban bíztok meg - ill. hogy a privát kulcsod a te birtokodban van jó esetben egy biztonságos tároló eszközön és azt nem hagyja el soha, ezért más a te "nevedben" aláírást nem tud készíteni.
Az állam megengedte magának hogy bízzon benned (meg te is benne), hogy helyetted készít aláírást - ha előzőleg azonosított elégséges módon. Ennek viszonylag kevés köze van ahhoz, hogy technikailag mi lenne a megbízható vagy hol kéne még a világban megbízható aláírást készíteni tudni.
(Ha jól tudom személyit is lehet úgy pótolni, hogy nem változik a privát kulcsod... Az kit zavar? ;) )
Használhatsz bármilyen szabványos authenticator alkalmazást az ügyfélkapu+ -hoz...
loop: #comment-3106996
Nem szükséges. Nem fog lerohadni a lábam, ha be kell mennem a kormányablakhoz személyesen, ügyet intézni.
Inkább sajnáld azt az Isten tudja mennyi okostelefont, amit emiatt fognak újravásárolni, kidobni.
Sajnáld a privát szféráját azoknak, akiknek ezentúl muszáj lesz eladniuk a lelküket minimum az Apple-nek vagy a Google-nek, hogy élhessenek a Digitális Állampolgárság lehetőségével.
Nem kell semmit sem kidobni. Az e-személyihez kell egy megfelelő kártyaolvasó, amit akár az eSzemélyiM alkalmazással is ki lehet váltani, ha minden igaz.
Az, hogy a személyazonosításra használt okmány vagy elektronikus eszköz milyen biztonsági feltételeket kell, hogy teljesítsen, azt szerencsére nem te határozod meg - ha nem tetszik, nincs megfelelő eszközöd, akkor nem kell használni.
Már a 6-os android, mint minimum (API level 23) is warning-ot generál a google store-ba töltött alkalmazásnál, és a tervek szerint hamarosan a "nem frissíthető" kategóriába kerülnek azok az alkalmazások, amik ezt a minimumot adják meg. Ami meg ennél régebbi minimumot igényel, az már most sem megy át a Google élesítési validáción. Szóval hiába is akartak volna 21 vagy 22 API-szintet adni minimumnak, a Google nem fogadta volna be az alkalmazást.
"Egy eszköz annyira biztonságos, amennyire a felhasználója biztonságtudatos."
Ha hálózat felől, alkalmazásokon keresztül törhető, akkor nem adok neki hálózatot soha, mert biztonságtudatos vagyok... Csak épp jelen esetben pont kell neki hálózat...
Az eszköz feloldása és az alkalmazáson belüli azonosítás nagyon nem ugyanaz a réteg, nem ugyanaz a funkció. Használsz jelszót a windows-on? Minek, mikor az összes webes alkalmazásban, amit nyomogatsz róla, van jelszó...
Akkor lehetett volna Android 7 a minimum.
Én is ugyanezt mondtam. Az ilyen biztonságos™ alkalmazások mégis kikényszerítik, hogy legyen lock screen.
"Én is ugyanezt mondtam. Az ilyen biztonságos™ alkalmazások mégis kikényszerítik, hogy legyen lock screen."
Nem véletlenül egyébként, de sebaj...
Nem véletlenül: A babzsákfejlesztők kényelmeskedéséből és az idealista termékmenedzserek idealizmusából.
Mindeközben elég lenne akkor is kérni az ujjlenyomatot, amikor megnyitásra kerül az app.
A lock screen/képernyővédő a képernyőn lévő (app által megjelenített) információkat fedi el és megakadályozza a használatot a felügyelet nélkül hagyott készüléken.
(Látszik, hogy még nem találkoztál jogszabályi/formális biztonsági előírásokkal. :) )
Captain Obvious Stirkes Again.
Attól, hogy értelmező szótárt játszol, még nem lesz szükséges a lock screen egy olyan alkalmazásnak, amit lehetne egymagában is védeni ujjlenyomat bekérésével úgy, hogy a többi appot békénhagyjuk (a felhasználó belátására bízzuk) az által, hogy nem rakunk kötelezően lock screen-t.
Örülök, hogy obvious. Lépjünk is tovább arra, hogy a te javaslatod mennyire életszerű: majd mutass egy appot, ami maga teszi olvashatatlanná a képernyőjét bizonyos inaktivitás után.
Ja, kösz, nem kell válaszolni.
Nem kell ilyen appot mutatnom, ugyanis számtalan olyan app van, ami a kritikusabb műveletek elvégzése előtt is kérnek azonosítást, pl. Apple FaceID-t. Ilyen alapon nyugodtan lehetne bekérni az ujjlenyomatot az e-személyi appban.
Nem beszélve arról, hogy a lock screen-nek is van timeoutja, tehát ha a felhasználó nem zárja le a telefonját, az ugyanaz a kategória, mint amikor nem lép ki a NetBankból, vagy nem zárja be az ujjlenyomattal indított e-személyi appot.
Na még egyszer (utoljára): nem csak az számít, hogy milyen műveleteket lehet azonosított módon elvégezni, hanem hogy mi látható a képernyőn akkor, ha épp nincs ott a gazdája.
Captain Obvious Strikes Again.
"Már a 6-os android, mint minimum (API level 23) is warning-ot generál a google store-ba töltött alkalmazásnál"
ugy erted akkor is, ha a minimum sdk android 6.0/api level 23 es target sdk android 15/api level 35 ?
neked aztan fura humorod van...
Igen, úgy.
Valaki esetleg használja az eszemélyi-s ügyfélkapu belépést linux alatt? Neten nem sok infót találtam róla...
Válaszolok magamnak: mindegy, mert megszűnik:
https://kau.gov.hu/dap/sugo
Amúgy van linuxos eszig kliens azzal szerintem megy, vagyis két éve még ment.
Csak azt használom.
"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."
Én most júliusban kaptam új típusú személyit, elkezdtem használni belépésre, de látom, hogy januárban ki fogják vezetni. Hurrá.
... The vision and the mission lost,
For those with corporate souls ...
Slackware Linux current | 5.10.38-janos
Nezem itt ezt az ugyfelkapus valtozast.
Csak nekem nem tiszta az, hogy hogyan lesz titkosabb valami, ha egy nem titkos csatornan "upgradelek"?
Ugyfolekapu --> ugyfelkapu+
Ja, es kotelezo ide telefon, vagy Linux / oauthtool is megy valahogy?
? Ez egy TOTP dolog. Minden TOTP-t implementáló megoldás jó.
Ha meg tudod vele időben etetni a szabványos QR-kódot, amit az ügyfélkapu+ -ra váltáskor a TOTP-hez kapsz.
? A QR kód csak a titkot tartalmazza.. Miért ne tudnád elolvasni?
Persze, de azért mondjuk egy parancssoros TOTP referenciaimplementációval nem biztos, hogy egyszerű lesz :-) És itt is van a hátulütője, illetve a visszalépés a hardvertokenes (e-személyi) azonosításhoz képest: az azonosításra szolgáló eszköz illetve információ tetszőleges számban észrevétlenül másolható, ellopható.
Pont ez a celom. Sajnos fater mar oregszik, butatelefonja oregebb mint Hajbinak (es ez igy jo), en meg 1000+km tavolsagban vagyok. Szoval igen, pont, hogy masolnom kell...
Biztonsági szempontból viszont nagyon erős visszalépés a hard tokenhez (e-személyi) képest. Ja, és de jure nem járhatsz el más nevében az ügyfélkapun keresztül elérhető szolgáltatásokban...
Tízezer könyvelő likes this. :)
Naszoval. Ugyfelkapu+ igenylese soran ott a QR kod, de el lehet kerni tole a TOTP secretet is. Ez mehet az oathtool-nak, es boldogsag.
Igy nem kell mindenfelet jottment telefonos auth applikaciora bizni a titkaimat. Mehet a kod egy jelszo adatmazisba, AES256 titkositott fileba, szep sarga Post-it papirosra a monitor szelere stb.
Hasonló okokból (idős szülő, butatelefon) én most ezt néztem ki:
https://addons.mozilla.org/en-US/firefox/addon/totp/
3 kattintás és a vágólapon van a kód.
És hány kattintás a shared secret ellopása...?
FF Password managerben tarolja.
Egyebkent meg fogsz lepődni, de a hivatalos dokisban is szerepel, hogy használd a https://totp.app weboldalt, ha nincs okostelefonod.
Nagyon nem tudja arrafelé senki, hogy hogy működik ez...? Mert nekem kifejezetten úgy tűnik... A TOTP esetén a secret (gy.k. "titok") az ott van mindkét oldalon, és abból meg a pontos időből készül publikus algoritmussal egy numerikus kód. Ha a secret-et elviszi valaki, akkor onnantól kezdve b/6-ja a 2FA-t, mert aki elvitte, az is tud 2. faktorhoz kódot generálni...
Lehet kérni, hogy ne a QR kódot mutassa, hanem a közvetlenül írja ki a secretet (A QR-kód alatt van a gomb)
Nagy Péter
Ez zseniális. Most néztem, hogy a KAÜ azonosításnál az e-Személyi-s NFC olvasós bejelentkezési módot is kivezetik 2025. január 16.-án. Hurrá, adtak a szarnak egy pofont.
... The vision and the mission lost,
For those with corporate souls ...
Slackware Linux current | 5.10.38-janos
Én is ezt mondom, hogy ez egy olyan előrelépés, ami hátrafelé történik... Ennél még az e-személyin lévő cert alapján történő login is jobb lenne... És az sem egy űrtechnolóia...
Én a "sima" ügyfélkapuróla hogy kitolták az ügyfélkapu+ -t, váltottam, illetve amikor az első e-személyit megkapta, akkor vettem egy kártyaolvasót, és inkább azt használtam bejelentkezésre - mert a három közül azt tartom a leginkább biztonságosnak. Erre most vissza..asznak a usernév-jelszó-tetszőlegesen sokszorosítható TOTP használatára, mert az e-személyis fejlesztésből... már nem lehet több gempát kiszedni...
Mondjuk ha az eID-s azonosítás úgy fog működni, hogy qr-kód, amit az eID beolvas, és másik csatornán beküldi, hogy "oké, mehet", akkor az jó is lehet - csak ugye ehhez média, illetve kamera jog kell az alkalmazásnak...
"Mondjuk ha az eID-s azonosítás úgy fog működni, hogy qr-kód, amit az eID beolvas, és másik csatornán beküldi, hogy "oké, mehet", akkor az jó is lehet - csak ugye ehhez média, illetve kamera jog kell az alkalmazásnak..."
ez nem olyan, mint az otp qr kodos belepese?
neked aztan fura humorod van...
Fejlődés™
Egyébként is tönkreteszi valid pdf/A3 -at:
verapdf avdhA3-ff846980-c6b4-48b6-8f55-62b479775289.pdf
Az egész eIDAS találmány egy katasztrófa (mivel a gyakorlatban drága és körülményes, nincsen elég szolgáltató megfizethető áron és platformfüggetlenül, aki megfelel az eIDAS-nak), csak akkor használjon valaki elektronikus aláírást, ha kötelező, egyébként jobb a papír alapú. Amit sokan elfelejtenek, hogy nem elég valamit elektronikusan aláírni, hanem azt utána elektronikusan archiválni is kell, minősített elektronikus archiváló szolgáltatással, különben idővel lehetséges, hogy a már aláírt dokumentum elveszíti a hitelességét.
Gyakorlatilag 2 db ilyen archiváló szolgáltató van, ebből az egyik a Netlock volt amit éppen most szüntette meg teljesen az elektronikus archiválást! Nem viccelek. Elektronikus aláírást adnak, de az archiválást már oldd meg, ahogy tudod... Van a Microsec archiválás és nagyjából ennyi, mást nem is tudok.
Nem, az archiválás nem azt jelenti, hogy fellövöm felhőbe, ennél sokkal bonyolultabb.
Akkor tudna terjedni az elektronikus aláírás, ha az állam biztosítana legalább magánszemélyeknek ingyenes elektronikus aláírást, időbélyeget ÉS minősített elektronikus archiválást is, ami mind eIDAS-kompatibilis lenne, ez tudná kiváltani a papír alapú ügyintézést. Az archiválás hiányában én semmit sem írnék alá elektronikusan, hiszen idővel a már aláírt dokumentum elveszítheti a hitelességét, és akkor olyan mintha nem is létezne. Csak az archiválás biztosítja hogy hosszú távon is megőrzi a dokumentum a hitelességét, de amíg az állam nem ad ilyet ingyen, addig sokkal jobb papír alapon aláírni. (Most magánszemélyként / kkv-ként értem, nyilván ha naponta keletkezik több ezer aláírandó dokumentum, az más kategória.)
Laikusként kérdezem: az ügyfélkapus dokumentumtár / tartóstár az nem ilyen? Vagy arra gondolsz, hogy a paraszt random digitálisan aláírt dokumentumokat is feltölthessen?
Blog | @hron84
via @snq-
Ne add alá a lovat, már vagy 42 topicot szétcseszett az archiváláson való arcon prögéssel, miszerint ő a helikopter.
Nem, az csak annyi hogy nem törlik az ügyfélkapus tárhelyről, hanem továbbra is tárolják szerveroldalon mint biztonsági mentés, annak semmi köze az elektronikus archiváláshoz.
Az eIDAS egy nagyon erős szabályozás, mert egy minősített elektronikus aláírással aláírt dokumentum teljes bizonyító erővel bír. Ez egy nagyon nagyon erős vélelem, és ezért nagyon magas szintre van rakva a biztonság: egy tanúsítványkiadó cégnek elképesztően sok szabályozásnak kell megfelelni mind IT biztonság, mind folyamatok szintjén, ráadásul folyamatosan auditálják őket, mind a szoftvereket mind pedig a működést/folyamatokat. Ez egy nagyon nehéz domain, folyamatosan tanulni és képezni kell a dolgozókat mert csak igy tartható fenn egy bizalmi szolgáltató működése. Az eszközök pedig folyamatosan avulnak, a szoftvereket pedig fejleszteni kell.
Ehhez képest valójában nem drága, havi durván 5 ezer forint + áfa körül van mindkét cégnél egy minősített tanúsítvány, cserébe az irodádból el tudsz mindent intézni. Hogy ez valakinek megéri-e, vagy sem, ez egy jó kérdés, ki kell számolni.
Az archiválást valószínűleg azért szüntette meg a Netlock mert amennyibe az valójában kerülne, annyit nem hajlandó érte senki fizetni, a felülbélyegzés egyébként még csak-csak megoldható, de a végtelen ideig tárolás úgy, hogy az tutira meglegyen... hát, nem egyszerű. Egyébként van olyan cég, amely ad is erre megoldást:
https://www.digitdoc.hu/megoldasaink/hosszu-tavu-archivalas
Archiválásra egyébként 5+ illetve 11+ év esetén érdekes, a legtöbb kézzel aláírt dokumentumot valójában már 5 év után selejtezik.
Az elektronikus aláírással alapvetően szerintem nincs gond, ha bejön ez az új mobilos megoldás azzal egy átlag ember a használati eseteinek a 95%-át le tudja fedni, a maradék 5% esetén pedig majd szépen kézzel aláír, a cégeknek meg letöbbször tömeges aláírásra van szükség, azt pedig most is megoldják.
De az milyen már hogy elektronikus aláírás archiválási szolgáltatás nélkül? Pont ez a baj az elektronikus aláírással, hogy kell mellé archiválás is, az meg te is írod olyan bonyolult és drága, hogy nem akar vele senki bajlódni. Tehát a gyakorlatban jelenleg az eIDAS nemigazán működik. Kellene sokkal több cég aki kínál megfizethető áron elektronikus aláírást, időbélyeget ÉS archiválást egyszerre, vagy ha ez nem megy, akkor az állam adjon ingyen, hogy terjedjen a digitalizáció. El tudom képzelni hogy megérné, ha az állam adná ingyen mindenkinek, ha ezzel nőne a GDP (pl. sok időt spórolna mindenki amit produktív, termelő munkára fordíthatna).
Érdekes lenne megnézni, hogy az USA-ban hogy működik ez ez elektronikus aláírás dolog, valahogy csak eldöcögnek ott milliárd dolláros cégek.
De érted, az a baj, hogy a magyar piac csórókból áll, itt még az is meglepő hogy van egyáltalán két épkézláb cég amely digitális aláírással foglalkozik, eiDAS-t rendesen betartva (jó, három, mert ott a NISZ is). Mindenki azt hiszi hogy ez mekkora egy atom biznisz, pedig valójában nem, mint valaki, aki azért pár évet lehúzott ebben az iparban, biztos hogy eszem ágában nem lenne ilyen céget csinálni, lényegében bármilyen másik céget csinálok akkor nagyságrenddel kevesebb szívással sokkal de sokkal több pénzt lehetne keresni.
Igen, ideális esetben a magyar állam adna mindent is, valójában meg a mobilos aláírásos megoldás szerintem bőven jó lesz a legtöbb embernek. Nem fognak azzal foglalkozni hogy dokumentumokat archiválgassanak, főleg most, hogy már mindenki átállt ECC-re, annyi ideig meg a legtöbb dokumentumra nincs szükség hogy felül kelljen hitelesíteni, vagy esetleg biztonságosan elarchiválni.
^This. Ez itt a lényeg. Kicsi piac számra és fizetőképes keresletre is.
De az egész EU-ban nem nagyon van épkézláb szolgáltató, ez a baj. Lehetne legalább egy cég aki az egész EU-t kiszolgálja, többnyelven, platformfüggetlenül, megfizethető áron. A múltkor ahogy néztem, nem találtam ilyet. Elektronikus archiválásra kértem ajánlatot külföldi cégektől és horror árakat mondtak. Valamiért az egész EU-ban nem nagyon megy ez az eIDAS dolog, ezért kellene akkor a tagállamoknak mögé tenniük ingyenes állami infrastruktúrát, mert eddig a magánszektor nem látott benne fantáziát, pedig a digitalizáció nagyon fontos lenne az egész EU-ban.
A révészt is fizetnie kell valakinek....
Egy jó és megbízható minősített elektronikus archiváló rendszer drága. Mind hardveresen, mind szoftveresen. Csak a hardver (CAS) 100+ millió Ft-nál kezdődik. Pl: Dell EMC Centera - nem tudom, hogy most mi a pontos utódja a Dell EMC-nél, ha van egyáltalán; talán az ECS vagy az ObjectScale.
Persze, össze lehet tákolni / rakni Garázs Bt. módon is - csak az nem egy enterprise megoldás, amire komoly üzletet is lehet építeni.
Ami nagyon érdekes lesz a DÁP aláírásnál, hogy mekkora értékhatárig van biztosítva / szolgáltatói felelősségvállalás mértéke. Ha csak 5-10 millió Ft, akkor azzal még egy új autó vásárlási szerződést is nehéz lesz aláírni. Ráadásul csak magánszemélyként érvényes. Nem hiszem, hogy mondjuk egy cégvezető vagy egyéni vállalkozó használhatná a DÁP-ot aláírásra.
Ez idővel úgyis kiderül.
Amikor elolvasom az ilyen rant-et az első pár mondatból mindig kijön, hogy orbitális információhiány van vagy bias. eIDAS nem kizárólag (és specifikusan nem) csak elektronikus aláírásról szól.
Másrészről elég sok nemzeti szolgáltató van, több köztük ingyenesen biztosít eIDAS kompatibilis XAdES/PAdES aláírást amit borzasztóan könnyű. Sok közül külföldi személyek számára is elérhető.
Az elektronikus aláírásban azért van timestamp, hogy vizsgálható legyen, hogy az adott időpontban valid volt e az aláírás. Így az aláírás érvényességének elvesztése ne érintse a dokumentum valid voltát. (ide véve az e-seal-t is)
Nem Magyarország specifikus, de az embereknek idegen ez és nem eléggé elterjedt. Az ezt támogató eljárások pont a normál EU direktívák implementálása okán abba a ciklusba érnek mint pl. Magyarországon a DÁP által (jövőben) elvégezhető aláírás. Sajnos ezt akadályozzák az olyan tényezők, hogy a magyar kormánynak jelenleg a hatalom megőrzés fontosabb ezért a lopás előbbre való, ezért is nincsenek kész ezek a dolgok időben, nem csak az elterjedtség miatt.