praegune kellaaeg 25.06.2025 20:47:15 |
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
tomes
HV kasutaja
liitunud: 22.01.2009
|
12.09.2017 12:26:32
|
|
|
| Sertifikaadi uuendamise käigus genereeritakse ka uus privaatvõti (seepärast pole peale sertifikaatide uuendamist võimalik eelmise avaliku võtmega krüpteeritud dokumente avada). Ilmselt on lahenduseks tarkvara järgmine versioon, mis annab kaardile võtme genereerimisel täiendavad parameetrid.
|
|
| Kommentaarid: 64 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
58 |
|
| tagasi üles |
|
 |
sukelduja
HV Guru
liitunud: 14.06.2007
|
|
12.09.2017 12:32:24
|
|
|
| LKits kirjutas: |
Oot, aga ma ikka ei saa aru.
Mis asi seal siis nõrk on?
Võtme genereerimine?
Võtmed ei olegi genereeritud ID-kaardi väljastamise hetkel ID-kaardi kiibile? Iga kord genereeritakse uued võtmepaarid?
Et teatud tingimustel genereeritakse 1024bit võtmepaar? Või veel lahjem?
Kas olen tõesti valesti aru saanud, et ID-kaardi väljastamise (või loomise) hetkel genereeritakse RSA võtmepaar (eeldan, et vähemalt 2048 bit, võib-olla 4096 bit) ning salvestatakse ID-kaardile? |
Võtmepaar genereeritakse kaardi sees. Selles osas tundubki probleem olevat. Funktsioonidest on natuke http://www.id.ee/public/NDigiDoc.pdf
|
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
24 |
|
| tagasi üles |
|
|
LKits
HV Guru
liitunud: 06.09.2007
|
|
12.09.2017 12:47:05
|
|
|
Jah, tean, et sertide uuendamise käigus tehakse uued võtmed.
Aga seda ju ei tehta ilma, et oleksid eelneva serdiga autentinud ning avalikku võtit ju ei lisata võtmete serverisse ilma, et see oleks signeeritud vana (ehk eelneva) serdiga.
See, et võtmepaari genereerimine kaardi sees toimub - täitsa äge ja turvaline.
Ehk sellest järeldan:
Ebaturvalisus seisneb siis, kui on vajalik võtmete uuendamine ning JUST SEL KONKREETSEL AJAHETKEL tehakse see toiming nii, et uus võtmepaar on aegunud tehnoloogial - rsa-1024 või vanem?
Et võtmete genereerimise ajahetkel füüsiliselt (või tehnoloogiliselt) kaaperdatakse uuendatav ID-kaart (pannakse omanikule näiteks molli) ja siis genereeritakse halvema tehnoloogiaga võtmed.
Legit.
Seda kontrollida ei saaks siis vä? Et ID-kaardi tarkvarasse paned tingimuse, et genereeritav võti peab olema vähemalt RSA-2048 ning keskserver ei võta vastu kehvemaid võtmeid?
_________________
 itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
|
tomes
HV kasutaja
liitunud: 22.01.2009
|
|
12.09.2017 12:55:20
|
|
|
| Pigem on probleem kehva entroopiaga privaatvõtme genereerimisel, kuna nt nõrk RSA "paistaks" kohe välja.
|
|
| Kommentaarid: 64 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
58 |
|
| tagasi üles |
|
|
sukelduja
HV Guru
liitunud: 14.06.2007
|
|
12.09.2017 12:58:39
|
|
|
| LKits kirjutas: |
Ehk sellest järeldan:
Ebaturvalisus seisneb siis, kui on vajalik võtmete uuendamine ning JUST SEL KONKREETSEL AJAHETKEL tehakse see toiming nii, et uus võtmepaar on aegunud tehnoloogial - rsa-1024 või vanem?
|
Veel on üks võimalus, et võtmepaari genereerimise hetkel ei anna juhuarvude generaator piisavalt erinevaid numbreid. Ehk kui peaks olema suvaline number näiteks ühest sajani, siis antakse ainult 7 või 8 või 9.
 Spoiler |
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
24 |
|
| tagasi üles |
|
|
LKits
HV Guru
liitunud: 06.09.2007
|
|
12.09.2017 13:05:09
|
|
|
Okei, arusaadav.
Miks peaks võtmeid kodus genereerima?
5a pole piisav aeg sertifikaadi kehtivuseks ning seda saaks teha PPA-s?
Või siis teha kontrollprogramm, mis kontrollib, kas juhtarvude generaator annab piisavalt erinevaid numbreid.
Genereerib senikaua random numbrit, kuni tuleb X vastavuses number, näiteks ühest sajani, senikaua kuni tuleb >80
Aga saan aru - see kõik toimuks kliendipoolselt. See on ka põhjus, miks mina serte ei uuendanud. Mul on lihtsam maksta 30€ ning uus ID-kaart tellida ning olen veendunud, et kaardil olevad serdid on turvaliselt genereeritud.
Mitte ei hakka seda tegema suvalises (kasvõi enda) arvutis, suvalise ID-kaardi lugejaga mille kohta mul puudub info - mine tea, äkki lugeja kiibi peal on "häkk" tehtud.
_________________
itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
|
Sold OUT
no credit
liitunud: 30.07.2002
|
|
12.09.2017 13:06:30
|
|
|
Ja lähed oma tellitud id kaardile järele ning aetakse sind ülekäiguraja peal alla. Parem ikka kodus teha uuendus 
_________________
People have been calling for a month and we've been sold out for a week or so.
 |
|
| Kommentaarid: 92 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
1 :: |
79 |
|
| tagasi üles |
|
|
tomes
HV kasutaja
liitunud: 22.01.2009
|
|
12.09.2017 13:14:35
|
|
|
| LKits kirjutas: |
| Või siis teha kontrollprogramm, mis kontrollib, kas juhtarvude generaator annab piisavalt erinevaid numbreid. |
Siinkohal on takistavaks asjaoluks see, et generaator asub kaardi kiibis ja eeldatavasti sealt neid juhuarve maha lugeda ei saa (või kui saab, siis aeglaselt).
|
|
| Kommentaarid: 64 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
58 |
|
| tagasi üles |
|
|
LKits
HV Guru
liitunud: 06.09.2007
|
|
12.09.2017 13:26:24
|
|
|
| Super AMOLED kirjutas: |
| Ja lähed oma tellitud id kaardile järele ning aetakse sind ülekäiguraja peal alla. Parem ikka kodus teha uuendus |
Sellisel juhul on mul ID-kaardist täiesti pohhui - tervis on see, mille pärast tuleb siis muretseda.
Ning kodus uuendamine toob ühe lisanduva turvariski, mitte ei vähenda teist. ID-kaardi kehtivusaeg on ju ikkagi 5a ning isegi vanad sertifikaadid kehtivad 5a, lihtsalt vahepeal uuendatakse neid, sest vanad olid vist vana krüptoga (RSA-2048 ? nüüd on siis RSA-4096?)
Senimaani pole suudetud isegi RSA-1024 lahti murda (teadaolevalt) ehk üleliigne sertide uuendamine (genereerimine) suurendab lahtimurdmise protsessi ohtlikust, sest kuidagi peab info lõpptarbijani jõudma.
Kumb on ohtlikum:
1) 2015 aastal tehtud ID-kaart, kus on võtmed, mis on kaardi tootmise hetkel genereeritud;
2) 2015 aastal tehtud ID-kaart, kus olid võtmed, mis olid kaardi tootmise hetkel genereeritud, kuid nüüd on võtmed, mis on "kasutaja arvutis genereeritud";
Nr 2 variandi puhul ei kao ära nr 1 variant, vaid tekib juurde lisanduv risk, kus võtmete genereerimise käigus võib toimuda MITMA (man-in-the-middle-attack). Nakatunud arvuti, häkitud ID-kaardi lugeja - midaiganes paranoilist annab välja mõelda.
Ehk kodus võtmete uuendamise korral ei kao ära risk, et keegi võiks mind aastal 2019 PPA majast väljumisel röövida, ID-kaardi ära varastada, sest sel ajal aegub mu ID-kaart.
See risk jääb ikka alles.
_________________
itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
|
tomes
HV kasutaja
liitunud: 22.01.2009
|
|
12.09.2017 13:40:43
|
|
|
LKits, võtme genereerib kaardi kiip, privaatvõti ei lahku kaardilt KUNAGI. Nr 2 stsenaarium on võimalik siis, kui keegi suudab RSA murda, vastasel juhul võib MITM käigus küll CSR-i muuta/asendada, kuid siis pole sertifikaat ja privaatvõti enam vastavuses.
Küll on aga küsimus parameetrites, mida võtme genereerimisel kaardile anda saab.
|
|
| Kommentaarid: 64 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
58 |
|
| tagasi üles |
|
|
LKits
HV Guru
liitunud: 06.09.2007
|
|
12.09.2017 13:47:11
|
|
|
| tomes kirjutas: |
LKits, võtme genereerib kaardi kiip, privaatvõti ei lahku kaardilt KUNAGI. Nr 2 stsenaarium on võimalik siis, kui keegi suudab RSA murda, vastasel juhul võib MITM käigus küll CSR-i muuta/asendada, kuid siis pole sertifikaat ja privaatvõti enam vastavuses.
Küll on aga küsimus parameetrites, mida võtme genereerimisel kaardile anda saab. |
Sa mõtled liiga tehnoloogiliselt.
MITM ei ole ainult tehniline MITM, vaid ka füüsiline.
Näiteks korrupeerunud politseiametnik teeb ID-kaardi ümbriku lahti, kirjuta PIN-koodid maha - see on ka MITM.
Kui sertifikaadid kehtivad nagunii terve ID-kaardi eluea vältel, siis milleks neid vahepeal uuendada, kui ei ole toimunud vanade võtmete tehnoloogia lahtimurdmist? Saaksin aru, kui RSA-1024, RSA-2048 oleks lahti murtud - aga ei ole.
Kui mul on RSA-2048 võti, mis kehtib 2a ning vahepeal on tulnud RSA-4096, siis ma ei katkesta vanat võtit ega uuenda uueks - ootan eluea ära. Vahetamine toimub ainult siis, kui vanaga on midagi juhtunud.
EDIT: Nüüd on minul ID-kaardi turvalisuse kohapealt veidi usk kadunud, kuna tean, et ka pärast ID-kaardi väljastamist on seal võimalik võtmeid uuesti genereerida. Varem arvasin, et see ei ole võimalik ning see on ühekorde protsess, mida ID-kaardi eluea jooksul korrata ei saa.
Kahju... Kohustuslik ta on, kuid laialdaselt ma seda enam ei kasuta.
_________________
itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
|
sukelduja
HV Guru
liitunud: 14.06.2007
|
|
12.09.2017 13:55:10
|
|
|
| LKits kirjutas: |
| tomes kirjutas: |
LKits, võtme genereerib kaardi kiip, privaatvõti ei lahku kaardilt KUNAGI. Nr 2 stsenaarium on võimalik siis, kui keegi suudab RSA murda, vastasel juhul võib MITM käigus küll CSR-i muuta/asendada, kuid siis pole sertifikaat ja privaatvõti enam vastavuses.
Küll on aga küsimus parameetrites, mida võtme genereerimisel kaardile anda saab. |
Sa mõtled liiga tehnoloogiliselt.
MITM ei ole ainult tehniline MITM, vaid ka füüsiline.
Näiteks korrupeerunud politseiametnik teeb ID-kaardi ümbriku lahti, kirjuta PIN-koodid maha - see on ka MITM.
|
Tal ei ole nende PIN koodidega ilma kaardita mitte midagi teha. Kui ta aga kaardi endale jätab, siis on see lihtsalt (identiteedi)vargus.
Tehniliselt loetakse MITM ikka seda kui keegi asub andmevahetusele vahele.
| tsitaat: |
Kui sertifikaadid kehtivad nagunii terve ID-kaardi eluea vältel, siis milleks neid vahepeal uuendada, kui ei ole toimunud vanade võtmete tehnoloogia lahtimurdmist? Saaksin aru, kui RSA-1024, RSA-2048 oleks lahti murtud - aga ei ole.
Kui mul on RSA-2048 võti, mis kehtib 2a ning vahepeal on tulnud RSA-4096, siis ma ei katkesta vanat võtit ega uuenda uueks - ootan eluea ära. Vahetamine toimub ainult siis, kui vanaga on midagi juhtunud.
EDIT: Nüüd on minul ID-kaardi turvalisuse kohapealt veidi usk kadunud, kuna tean, et ka pärast ID-kaardi väljastamist on seal võimalik võtmeid uuesti genereerida. Varem arvasin, et see ei ole võimalik ning see on ühekorde protsess, mida ID-kaardi eluea jooksul korrata ei saa.
Kahju... Kohustuslik ta on, kuid laialdaselt ma seda enam ei kasuta. |
Algselt oligi uute kaartidega nii planeeritud, aga kuna serdid ei vastanud päris standardile, siis tuli hakata neid serte vahetama.
Mis siis siin selles vahetamises nii erilist on? Sinu serte saab ikkagi ainult sinu kaardi peal genereerida. Ehk sertide genereerimiseks ( ja hilisemaks kasutamiseks ) on vaja sinu kaarti, PIN1 ja PIN2-te. Kui pahalasel need niikuinii käes on, siis pole vahet, kas serdid on uued või vanad.
|
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
24 |
|
| tagasi üles |
|
|
tomes
HV kasutaja
liitunud: 22.01.2009
|
|
12.09.2017 13:57:10
|
|
|
| Jah, mu vastus oli antud teema võtmes - 2015 kaart kuulub riskigruppi ja (tõenäoliselt) vajab uut võtmepaari ja sertifikaate. PIN koodiga on lihtne, selle saab ära muuta. Kaart aga tehakse aktiivseks alles teenindusletis vahetult enne üle andmist - pole nii?
|
|
| Kommentaarid: 64 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
58 |
|
| tagasi üles |
|
|
LKits
HV Guru
liitunud: 06.09.2007
|
|
12.09.2017 14:21:00
|
|
|
| sukelduja kirjutas: |
| LKits kirjutas: |
| tomes kirjutas: |
LKits, võtme genereerib kaardi kiip, privaatvõti ei lahku kaardilt KUNAGI. Nr 2 stsenaarium on võimalik siis, kui keegi suudab RSA murda, vastasel juhul võib MITM käigus küll CSR-i muuta/asendada, kuid siis pole sertifikaat ja privaatvõti enam vastavuses.
Küll on aga küsimus parameetrites, mida võtme genereerimisel kaardile anda saab. |
Sa mõtled liiga tehnoloogiliselt.
MITM ei ole ainult tehniline MITM, vaid ka füüsiline.
Näiteks korrupeerunud politseiametnik teeb ID-kaardi ümbriku lahti, kirjuta PIN-koodid maha - see on ka MITM.
|
Tal ei ole nende PIN koodidega ilma kaardita mitte midagi teha. Kui ta aga kaardi endale jätab, siis on see lihtsalt (identiteedi)vargus.
Tehniliselt loetakse MITM ikka seda kui keegi asub andmevahetusele vahele.
| tsitaat: |
Kui sertifikaadid kehtivad nagunii terve ID-kaardi eluea vältel, siis milleks neid vahepeal uuendada, kui ei ole toimunud vanade võtmete tehnoloogia lahtimurdmist? Saaksin aru, kui RSA-1024, RSA-2048 oleks lahti murtud - aga ei ole.
Kui mul on RSA-2048 võti, mis kehtib 2a ning vahepeal on tulnud RSA-4096, siis ma ei katkesta vanat võtit ega uuenda uueks - ootan eluea ära. Vahetamine toimub ainult siis, kui vanaga on midagi juhtunud.
EDIT: Nüüd on minul ID-kaardi turvalisuse kohapealt veidi usk kadunud, kuna tean, et ka pärast ID-kaardi väljastamist on seal võimalik võtmeid uuesti genereerida. Varem arvasin, et see ei ole võimalik ning see on ühekorde protsess, mida ID-kaardi eluea jooksul korrata ei saa.
Kahju... Kohustuslik ta on, kuid laialdaselt ma seda enam ei kasuta. |
Algselt oligi uute kaartidega nii planeeritud, aga kuna serdid ei vastanud päris standardile, siis tuli hakata neid serte vahetama.
Mis siis siin selles vahetamises nii erilist on? Sinu serte saab ikkagi ainult sinu kaardi peal genereerida. Ehk sertide genereerimiseks ( ja hilisemaks kasutamiseks ) on vaja sinu kaarti, PIN1 ja PIN2-te. Kui pahalasel need niikuinii käes on, siis pole vahet, kas serdid on uued või vanad. |
Ei ole päris nii must-valge.
Kui pahalane on suutnud minu arvutisse (või ID-kaardi lugejasse) paigaldada pahavara, mis edastab uute võtmete genereerimisel ID-kaardile parameetrid, et genereeritaks vanal tehnoloogial võtmed, siis neid vanu võtmeid saab lahti murda. Selles peakski olema hetkel murekoht.
| tomes kirjutas: |
| Jah, mu vastus oli antud teema võtmes - 2015 kaart kuulub riskigruppi ja (tõenäoliselt) vajab uut võtmepaari ja sertifikaate. PIN koodiga on lihtne, selle saab ära muuta. Kaart aga tehakse aktiivseks alles teenindusletis vahetult enne üle andmist - pole nii? |
Miks 2015 kaart kuulub riskigruppi?
Miks vajab see kaart uut võtmepaari ja sertifikaate?
Kas hetkel kaardil olemasolevad võtmed on ebaturvalised?
Kui jah, siis mille alusel? Võtmete krüptotehnoloogia/šiffer on ebaturvaline?
Kui jah, siis sooviks andmeid - minu teada väljastati alates 2014 aastast RSA 2048 genereeritud võtmetega ID-kaarti ning RSA-2048 ja SHA-256 hetkel veel küll murtud pole.
_________________
itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
|
sukelduja
HV Guru
liitunud: 14.06.2007
|
|
12.09.2017 14:27:11
|
|
|
| LKits kirjutas: |
Kui pahalane on suutnud minu arvutisse (või ID-kaardi lugejasse) paigaldada pahavara, mis edastab uute võtmete genereerimisel ID-kaardile parameetrid, et genereeritaks vanal tehnoloogial võtmed, siis neid vanu võtmeid saab lahti murda. Selles peakski olema hetkel murekoht.
|
Ma ei ole üldse kindel, kas kaardi sisemisele softile saab neid parameetreid ette anda, et genereeri nõrgem võtmepaar. Ja ka sellel juhul peab see genereerimine nii töötama, et avalik võti standardile vastaks.
|
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
24 |
|
| tagasi üles |
|
|
friik1
HV Guru
liitunud: 18.06.2004
|
|
12.09.2017 14:35:01
|
|
|
| tsitaat: |
| Kui pahalane on suutnud minu arvutisse (või ID-kaardi lugejasse) paigaldada pahavara, mis edastab uute võtmete genereerimisel ID-kaardile parameetrid, et genereeritaks vanal tehnoloogial võtmed, siis neid vanu võtmeid saab lahti murda. Selles peakski olema hetkel murekoht. |
Ei ole nii. Arvuti ega lugeja ei ütle kaardile võtme genereerimise parameetreid, seda ütleb kaardil olev rakendus, mida naljalt muuta ei saa (RIA/PPA muidugi saavad...).
Tehnoloogia pole muutunud, võtmed on endiselt RSA-2048 sest enamik kiipkaarte (ma pole kindel kas praegused ID-Kaardid samuti) ei toeta pikemaid võtmeid. Eelmise sertifikaadiuuendamise kampaaniaga parandati negatiivse mooduliga sertifikaadid (tõenäoliselt kaardi operatsioonisüsteemi ja/või ID-kaardi rakenduse uuendusega) ning mingi üle SHA256 räsile.
| tsitaat: |
Miks 2015 kaart kuulub riskigruppi?
Miks vajab see kaart uut võtmepaari ja sertifikaate?
Kas hetkel kaardil olemasolevad võtmed on ebaturvalised?
Kui jah, siis mille alusel? Võtmete krüptotehnoloogia/šiffer on ebaturvaline?
Kui jah, siis sooviks andmeid - minu teada väljastati alates 2014 aastast RSA 2048 genereeritud võtmetega ID-kaarti ning RSA-2048 ja SHA-256 hetkel veel küll murtud pole. |
Tõenäoliselt on viga uuema kiibipõlvkonna RNG-s, mis muudab vajalikud juhuslikud algarvud statistiliselt prognoositavamaks. Prognoositavamaks aga mitte 100% prognoositavaks.
Krüpto on OK, aga kui krüptoalgoritmi aluseks olevad juhuslikud algarvud pole päris juhuslikud, võib motiveeritud (rahakas) ründaja arvutada näiteks võimalike algarvude/privaatvõtmete rainbow table ning siis seda võrrelda avalike võtmetega. Selleks peaks ta muidugi teadma-tundma nõrka RNG algoritmi...
|
|
| Kommentaarid: 188 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
166 |
|
| tagasi üles |
|
|
cronstein
HV vaatleja
liitunud: 17.09.2004
|
|
12.09.2017 14:43:29
|
|
|
Pisut häguseks jäi pressikal väide, et muutusi tuleb teha ka e-teenuste osutajate ning browserite tootjate süsteemidesse. Ma ei oska seda teadaoleva info põhjal muuks nimetada kui hämamiseks. Kui ID-kaardi salajase võtme kaitsmiseks on tarvis kiibiväliste tegurite abi, siis on tegemist ikka pehmelt öeldes poolpiduse paigaga 
|
|
| Kommentaarid: 12 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
11 |
|
| tagasi üles |
|
|
jägaja
HV Guru
liitunud: 06.08.2004
|
|
| Kommentaarid: 141 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
126 |
|
| tagasi üles |
|
|
netcat
Kreisi kasutaja
liitunud: 13.01.2010
|
|
12.09.2017 15:53:07
|
|
|
| Üks kolmandik on siis peaaegu olematu hulk, aitäh uue definitsiooni eest.
|
|
| Kommentaarid: 6 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
6 |
|
| tagasi üles |
|
|
jeesus188
kodustatud
liitunud: 14.04.2003
|
|
12.09.2017 15:57:47
|
|
|
No ma olen ka seal miljoni hulgas, sest see ei arvesta mobiil-id kasutajaid.
Huvitav oleks olnud teada, et palju 134k-st kasutab igapäevaselt mobiil-id lahendust
_________________
This message was sent from space using stargate
Inimene on troopiline AHV Aga kes on naine? Valge on ka inimene !
"Vaese inimese juttu räägid. Kui tundub kallis, siis on see kellelegi teisele mõeldud"
viimati muutis jeesus188 12.09.2017 15:58:16, muudetud 1 kord |
|
| Kommentaarid: 71 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
64 |
|
| tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
12.09.2017 15:58:01
|
|
|
| tsitaat: |
Riigi Infosüsteemi Amet
Politsei- ja Piirivalveamet
12.09.2017
Pressiteade - ID-kaardi turvariskile on leitud võimalik lahendus
Riigi Infosüsteemi Amet (RIA) ning Politsei- ja Piirivalveamet (PPA) töötavad välja lahendust, mille abil uuendada 750 000 ID-kaarti, mille kiibil on turvarisk.
„Praeguseks teame, millist lahendust saame ID-kaartide turvariski likvideerimiseks kasutada,“ ütles RIA peadirektor Taimar Peterkop. „Turvarisk on kiibis, mida muuta ei ole võimalik. Saame aga uuendada Eesti ID-kaardi tarkvara nii, et kiibis peituv turvarisk ei avaldu. Töö selle lahenduse rakendamiseks käib 24/7. Olen optimistlik, et avalikkusele lubatud kahe kuu jooksul suudame lahenduse kasutusele võtta nii uute kaartide tootmiseks kui ka varem väljastatud kaartide uuendamiseks.“
Ohuhinnang turvariski tõenäosuse osas ei ole Peterkopi sõnul nädala jooksul muutunud. „Tegemist on turvariskiga, mis ei ole realiseerunud. Mitte kellegi digitaalset identiteeti ei ole siiani selle abil kuritarvitatud. See turvarisk on piisav, et võimalikult kiiresti parandada, kuid mitte nii tõsine, et peaksime praegu kaardid sulgema. Pingutame selle nimel, et ID-kaartide uus tarkvara oleks valmis enne, kui keegi suudab turvariski realiseerida. Piltlikult öeldes me jookseme ajaga võidu,“ ütles RIA peadirektor.
Kui kaartide uuendamiseks vajalik tarkvara on valmis, annavad RIA ja PPA sellest avalikkuse kohe teada. Siis tuleb inimestel oma arvutisse laadida alla tarkvara, mis võimaldab isikliku kaardilugejaga ID-kaarti uuendada. Pärast uuenduse rakendamist tuleb turvariski täielikuks maandamiseks turvariskiga ID-kaardid elektrooniliseks kasutuseks sulgeda, see toimub hiljemalt ühe aasta jooksul. Inimeste jaoks, kes ID-kaarti elektrooniliselt ei kasuta, ei muutu midagi. Isikut tõendava dokumendina kehtib kaart igal juhul oma kehtivusaja lõpuni.
PPA peadirektori Elmar Vaheri sõnul on praegu ID-kaart jätkuvalt turvaline ning kõik e-teenused toimivad. „ID-kaarti on turvaline kasutada, aga soovitame võimalikult paljudel inimestel teha endale ka mobiil-ID. Eesti e-riik on tulevikuohtude vastu palju tugevam, kui paralleelselt on kasutusel kaks erinevat riiklikult tunnustatud autentimisvahendit. Kui avastatud turvarisk peaks realiseeruma ja turvariskiga ID-kaartide elektrooniline kasutus tuleb sulgeda, siis on mobiil-ID abil võimalik jätkuvalt enamikke e-teenuseid kasutada,“ ütles Vaher.
„Töö selle turvariski lahendamiseks käib intensiivselt. See professionaalsus ja pühendumus, mida olen RIA ekspertide töös näinud, on muljetavaldav. Erasektor ja teised riigiasutused on tulnud appi ja tunnen selle koostöö üle uhkust nii riigiametniku kui ka lihtsalt Eesti inimesena,“ lisas Vaher.
Taustaks:
30. augustil informeeris rahvusvaheline teadlaste grupp Riigi Infosüsteemi Ametit (RIA), et nad avastasid turvariski, mis mõjutab Eestis alates 2014. aasta oktoobrist välja antud ID-kaarte. Võimalik turvarisk puudutab alates 2014. aasta oktoobrist välja antud ID-kaarte (sealhulgas e-residentidele väljastatud kaarte) ehk kokku ligi 750 000 kaarti. Enne 2014. aasta 16. oktoobrit väljastatud ID-kaartidel oli kasutusel teine kiip ning neid see risk ei mõjuta. Samuti ei puuduta antud turvarisk mobiil-ID-d. |
_________________
Hinnavaatlus.ee - leia parim hind!
HV valuutakalkulaator |
|
| Kommentaarid: 465 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
358 |
|
| tagasi üles |
|
|
jägaja
HV Guru
liitunud: 06.08.2004
|
|
12.09.2017 16:01:57
|
|
|
| jeesus188 kirjutas: |
No ma olen ka seal miljoni hulgas, sest see ei arvesta mobiil-id kasutajaid.
Huvitav oleks olnud teada, et palju 134k-st kasutab igapäevaselt mobiil-id lahendust |
Kehtiv mobiil-ID on 134 000 eestlasel, vast pooled maksavad, kuid kasutavad harva.
_________________
" Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine." |
|
| Kommentaarid: 141 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
126 |
|
| tagasi üles |
|
|
netcat
Kreisi kasutaja
liitunud: 13.01.2010
|
|
| Kommentaarid: 6 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
6 |
|
| tagasi üles |
|
|
LKits
HV Guru
liitunud: 06.09.2007
|
|
12.09.2017 16:30:14
|
|
|
| friik1 kirjutas: |
| tsitaat: |
| Kui pahalane on suutnud minu arvutisse (või ID-kaardi lugejasse) paigaldada pahavara, mis edastab uute võtmete genereerimisel ID-kaardile parameetrid, et genereeritaks vanal tehnoloogial võtmed, siis neid vanu võtmeid saab lahti murda. Selles peakski olema hetkel murekoht. |
Ei ole nii. Arvuti ega lugeja ei ütle kaardile võtme genereerimise parameetreid, seda ütleb kaardil olev rakendus, mida naljalt muuta ei saa (RIA/PPA muidugi saavad...).
Tehnoloogia pole muutunud, võtmed on endiselt RSA-2048 sest enamik kiipkaarte (ma pole kindel kas praegused ID-Kaardid samuti) ei toeta pikemaid võtmeid. Eelmise sertifikaadiuuendamise kampaaniaga parandati negatiivse mooduliga sertifikaadid (tõenäoliselt kaardi operatsioonisüsteemi ja/või ID-kaardi rakenduse uuendusega) ning mingi üle SHA256 räsile.
| tsitaat: |
Miks 2015 kaart kuulub riskigruppi?
Miks vajab see kaart uut võtmepaari ja sertifikaate?
Kas hetkel kaardil olemasolevad võtmed on ebaturvalised?
Kui jah, siis mille alusel? Võtmete krüptotehnoloogia/šiffer on ebaturvaline?
Kui jah, siis sooviks andmeid - minu teada väljastati alates 2014 aastast RSA 2048 genereeritud võtmetega ID-kaarti ning RSA-2048 ja SHA-256 hetkel veel küll murtud pole. |
Tõenäoliselt on viga uuema kiibipõlvkonna RNG-s, mis muudab vajalikud juhuslikud algarvud statistiliselt prognoositavamaks. Prognoositavamaks aga mitte 100% prognoositavaks.
Krüpto on OK, aga kui krüptoalgoritmi aluseks olevad juhuslikud algarvud pole päris juhuslikud, võib motiveeritud (rahakas) ründaja arvutada näiteks võimalike algarvude/privaatvõtmete rainbow table ning siis seda võrrelda avalike võtmetega. Selleks peaks ta muidugi teadma-tundma nõrka RNG algoritmi... |
Ehk siis krüptovõtmete genereerimiseks kasutatav RNG "võib olla" ebaturvaline ja ennustatav?
Selle ümber keerlebki praegune probleem?
Küsin täpselt sellepärast, et üpris suur hulk inimesi on ühendust võtnud ning see olukord vajab konkreetsemalt selgitamist - mis osa täpsemalt turvaline on.
Kui RNG, siis ütleme nii, et suhteliselt perses. Korraliku arvutusvõimekusega ründaja saab teha tabeli, sealt võtmeid genereerida ning lahe topelt-kuubis.
_________________
itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
|
Sold OUT
no credit
liitunud: 30.07.2002
|
|
12.09.2017 16:33:55
|
|
|
| jägaja kirjutas: |
| jeesus188 kirjutas: |
No ma olen ka seal miljoni hulgas, sest see ei arvesta mobiil-id kasutajaid.
Huvitav oleks olnud teada, et palju 134k-st kasutab igapäevaselt mobiil-id lahendust |
Kehtiv mobiil-ID on 134 000 eestlasel, vast pooled maksavad, kuid kasutavad harva. |
Kuidas sa saad kehtiva mID eest mitte maksta?
_________________
People have been calling for a month and we've been sold out for a week or so.
|
|
| Kommentaarid: 92 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
1 :: |
79 |
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
