Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

LVRTC prezentē virtuālo e-parakstu mākonī

Kategorija: Datu drošība + eID + eparaksts + ePārvalde + Juridiskie aspekti + LVRTC

Autentifikācija eParaksta mājas lapā notiek ar bankas lietotāja numuru un kodu karti vai kodu kalkulatoru. Pašlaik tas iespējams banku Swedbank, SEB un Citadele klientiem. Portālā autentificēties var arī esošie e-paraksta lietotāji, izmantojot viedkarti. Dokumentu parakstīšanai lietotājs izmanto PIN kodu, ko saņem eParaksta saņemšanas brīdī, un paša radīto paroli.

Iepriekš izteiktās spekulācijas ir piepildījušās. Kaut kas tāds, kas ir pretrunā ar publiskās atslēgas infrastruktūras (PKI) principiem, tiešām vēl nevienam sertifikācijas pakalpojumu sniedzējam Eiropā nebija ienācis prātā. Interesanti, ka DVI pieļauj šādu uzticamu sertifikācijas pakalpojuma sniedzēja rīcību, kas ir klajā pretrunā ar ES direktīvu un Elektronisko dokumentu likumu, kurš skaidri nosaka:

23.pants. Uzticama sertifikācijas pakalpojumu sniedzēja pienākumi
19) neglabāt un nekopēt droša elektroniskā paraksta radīšanas datus;

LVRTC mierina, ka Jūsu elektroniskā paraksta privātās atslēgas glabājas pie viņiem aparatūras drošības modulī (HSM), kas nodrošina tādu pašu drošības līmeni kā viedkarte, taču būtiskais apstāklis ir tas, ka šie radīšanas dati neglabājas pie parakstītāja, bet ir pievienoti LVRTC datorsistēmai, kura ir patstāvīgi pieslēgta Internetam, un kurā parakstītāji autentificējas ar autentifikācijas līdzekļiem, kas nenodrošina nenoliegumu (non-repudation) un nav droši pret pārsūtīšanas uzbrukumiem (replay attacks).

Gadījumā, ja PHP versijā, kas griežas www.eparaksts.lv serverī tiks atklāta nulles dienas ievainojamība, tad uzbrucējs būs spējīgs pārtvert lietotāju ievadītos PIN kodus un pilnvērtīgi izmantot eparaksts.lv lietotāju elektronisko parakstu bez parakstītāju ziņas.

Avoti:
LTV: http://www.ltvzinas.lv/?n=video&id=3488
Ir.lv: http://www.ir.lv/2011/2/1/e-parakstam-sogad-paredz-100-tukstos-jaunu-lietotaju
Eparaksts.lv: http://www.eparaksts.lv/lv/jaunumi/latvija-izstradata-eiropa-unikala-eparaksta-tehnologija-no-sodienas-eparaksts-pieejams-interneta/

Tagged: » »

2011-02-01  »  edgars

  1. Anonymous
    1 February 2011 @ 17:05

    VID arī vairākkārt auditēja savu EDS, taču tas netraucēja Poikāna kungam novilkt visus datus izmantojot ļoti primitīvu ievainojamību “noauditētā” sistēmā LOL.

Re: LVRTC prezentē virtuālo e-parakstu mākonī







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>