Vlákno názorů k článku
Vláda dala zelenou projektu eDoklady, DIA na něm může začít pracovat předčasně
od horde - se všemi názory v diskusi se ztotožňuji -...
-
se všemi názory v diskusi se ztotožňuji - zajímavé, že nikdo nezmínil možnost hacku té aplikace a tedy i falešné identity "někoho jiného". . co si budeme povídat, na světě jen stěží existuje aplikace, kterou by nebylo možné hacknout - a o kvalitě těch "státních" si opravdu nedělám žádné iluze. Já se v žádném případě nehodlám stát slepou, pohodlnou ovcí - kterých vidím dnes u pokladny v supermarketu moře, co platí tu hodinkami, tu mobilem atd.. a vůbec si neuvědomují ta rizika s tím spojená.. ale jo.. je to "cool" a proč sahat do peněženky pro plastovou kartu (nejlépe ještě bezdotykovou) a vymačkat tam ten 4-místní pin.. .. náhodný průzkum v mém okolí (ad hoc při setkání) ukázal, že ti, co platí phonem si už nepamatují svůj pin ke kartě.. boží.. za chvíli zapomenou i kod pro komunikaci s bankou.
P.S. co mě až ex-post napadlo.. to byla i s tou "slavnou tečkou".. jak v jednu chvíli všem vyběhl nějaký rudý alert, a kvůli tomu i řada lidí se nedostala do letadla (co jsem četl).. a nebyla to státem "certifikovaná" aplikace?
17. 5. 2023, 22:38 editováno autorem komentáře
-
zajímavé, že nikdo nezmínil možnost hacku té aplikace a tedy i falešné identity "někoho jiného"
Nezmínil to nikdo proto, že to nejde. Ta aplikace je jenom nosič, průkaz identity je chráněn asymetrickou kryptografií. Data z té aplikace by klidně mohla být vytištěna na papíře jako QR kód – a drtivou většinu lidí nenapadne přemýšlet o hacku papíru s QR kódem.co platí tu hodinkami, tu mobilem atd.. a vůbec si neuvědomují ta rizika s tím spojená..
O jakých rizicích to píšete? Platba kartou v mobilu/hodinkách je bezpečnější, než bezkontaktní platba kartou – mobil musíte mít alespoň odemčený, můžete si ho nastavit tak, abyste musel potvrzovat každou platbu.ti, co platí phonem si už nepamatují svůj pin ke kartě.. boží.. za chvíli zapomenou i kod pro komunikaci s bankou
Představte si, že si nepamatují dokonce ani telefonní čísla svých přátel nebo rodiny. K čemu přesně by podle vás bylo dobré muset si něco pamatovat? -
Bude to fungovat na stejném principu, na jakém fungovaly třeba covidové certifikáty, nebo na jakém fungují jakékoli jiné elektronické dokumenty. Dokument/doklad je podepsán elektronickým podpisem založeným na privátním klíči nějaké autority. Při ověření dokladu se pomocí veřejného klíče ověří ten podpis a tím se ověří, že doklad vydala ta autorita, která je k tomu oprávněná.
-
Když umíte hacknout asymetrickou kryptografii, tak nám sem vložte text podepsaný důvěryhodným certifikátem vystaveným na doménu www.lupa.cz. Od reality jste odtržený vy a vaše předpovědi, co bude za pár let, které nikdy nevyjdou.
-
Odkdy se bezpečnost v IT řeší tak, že když to neumíš hacknout, je to bezpečné?
Jak je asymetrická kryptografie bezpečná jsme právě v přímém přenosu viděli přesně před dvěma lety, tehdy několik dní si mohl kdokoliv vydávat jakýkoliv certifikát na covidpass, důvěryhodný a podepsaný. Dokonce v té době jsme viděli, že trvalo několik dní než se daný certifikát zneplatnit, chudáci lidi v Makedonii nemohli nějakou dobu nikam odcestovat.
Nebo např. ECDSA, dodnes se používá pro asymetrickou kryptografii, teoreticky neprolomitelný, používalo ho i Playstation 3 a jak dopadl jeho hack víme, že?
Ta plastová kartička dneska už obsahuje také privátní klíč a certifikát a už dneska jí lze fyzicky, tak i digitálně ověřit a obě části musí sedět vč. fotky. To je ta zvýšená bezpečnost proti QR kódu na obrazovce.
-
Odkdy se bezpečnost v IT řeší tak, že když to neumíš hacknout, je to bezpečné?
Tady ale neřešíme bezpečnost v IT. Tady řešíme pár hlupáků, kteří o tom vůbec nic nevědí, nemají žádný vektor útoku, jenom mají silný názor, že to někdo „hackne“.Jak je asymetrická kryptografie bezpečná jsme právě v přímém přenosu viděli přesně před dvěma lety, tehdy několik dní si mohl kdokoliv vydávat jakýkoliv certifikát na covidpass, důvěryhodný a podepsaný. Dokonce v té době jsme viděli, že trvalo několik dní než se daný certifikát zneplatnit, chudáci lidi v Makedonii nemohli nějakou dobu nikam odcestovat.
Váš popis se s realitou shoduje jen velmi přibližně.Nebo např. ECDSA, dodnes se používá pro asymetrickou kryptografii, teoreticky neprolomitelný, používalo ho i Playstation 3 a jak dopadl jeho hack víme, že?
Ne, nevíme. Dokonce ani nevíme, zda píšete o hacku Playstation 3 (a co by to mělo společného s asymetrickou kryptografií) nebo o hacku ECDSA (a pak zase nevíme, co by mohl znamenat výraz „hacknout podpisový algoritmus“ ).Ta plastová kartička dneska už obsahuje také privátní klíč a certifikát a už dneska jí lze fyzicky, tak i digitálně ověřit a obě části musí sedět vč. fotky. To je ta zvýšená bezpečnost proti QR kódu na obrazovce.
Privátní klíč a certifikát neobsahuje plastová kartička, ale čip, který je v té kartičce. V ČR se to aktuálně při ověření identity používá jenom jako ta plastová kartička, tu digitální část nikdo nekontroluje, takže by nikdo nezjistil, že obě části nesedí. A moc nedává smysl, když už tu občanku mám v ruce, proč bych ještě načítal informace z čipu. Naopak se také občanka dá použít vzdáleně, kde zase nemáte tu fyzickou část, takže také nemáte jak porovnat obě části. Takže tam žádná zvýšená bezpečnost oproti QR kódu není. Naopak celá bezpečnost plastových občanek je založená na tom, že nikdo nedokáže věrohodně napodobit ochranné prvky té plastové kartičky, což není pravda; a na tom, že každý dokáže ty ochranné prvky plastové kartičky správně vyhodnotit, což už vůbec není pravda. Reálně je tedy nejdůležitějším bezpečnostním prvkem plastové občanky to, že její padělání je trestné. -
Mýlíte se, rozporuji jenom některé nesmysly (jako teď ten váš). Někteří lidé bohužel na vyvrácení nesmyslu reagují dalším nesmyslem, takže je to na dlouho.
-
Ano, stále tvrdím, že to nejde hacknout. Ochrana asymetrickou kryptografií je podstatně silnější, než plastová kartička s pár ochrannými prvky. Privátní klíče pro covid certifikáty neunikly. Pouze byl špatně zabezpečen přístup k API pro jejich vydávání, takže bylo neoprávněně vydáno nějaké množství certifikátů, které byly následně zneplatněny. Vydávání covid certifikátů se dělalo ve spěchu a bylo potřeba, aby se daly vydávat na základě požadavků lékařů, nemocnic, očkovacích center. Občanské průkazy bude pořád vydávat jenom Ministerstvo vnitra prostřednictvím pověřených úřadů.
Pro veřejnost bude kontrola jednoduchá – použije aplikaci pro mobilní telefon, která občanku ověří. Zajímalo by mne, kolik lidí z veřejnosti podle vás umí zkontrolovat ochranné prvky občanky nebo dokonce pasů různých států. A jak veřejnost pozná, že byl nějaký fyzický občanský průkaz zneplatněn.
Abyste obešel zabezpečení elektronické občanky, budete muset buď uživatele, který občanku ověřuje, přesvědčit, že občanka je pravá, i když mu aplikace bude ukazovat opak. Nebo mu na mobil podvrhnout falešnou aplikaci. A to píšu o veřejnosti, ne o policistech nebo úřednících. Nejsnazší bude to přesvědčení uživatele, ať aplikaci nevěří – ale stejně tak můžete dotyčného přesvědčit, ať nevěří plastové občance.
-
Baví mne častý argument lidí, co platí mobilem, že je pro ně nepohodlné vytahovat kartu z peněženky a že je to zdržuje. Vytahování mobilu z kapsy jim asi nevadí i když to časově vyjde nastejno. Mne zase zdržuje, když zákazník přede mnou u pokladny trefuje pin/heslo pro odemčení mobilu až na 3. pokus a někdy ani to ne. Já např. ze své dolarovky kartu nevytahuji (mám v ní karty 2, každou na opačném konci peněženky) a přikládám ke čtečce celou peněženku, takže ten výše zmíněný "argument" padá.
