E-uprava

ePotpis na APR-u bezbedan!

written by Jelena Jovičić February 3, 2017

O bezbednosti servera koji koriste državne institucije govorilo se mnogo krajem prethodne godine, više o tome čitajte na ovom linku, a informacija koja dolazi sa društvenih mreža, od Gorana Rakića, autora bloga “Goran Rakić i Škrabalica“, daje nam uvid u bezbednost ePotpisa na sajtu APR-a.

Njegov post prenosimo u celosti:

Za razliku od bezbednosno rizične SecurityTray aplikacije za pristup CROSO portalu (gde je problem u međuvremenu ispravljen i sada je korišćenje aplikacije bezbedno), nova aplikacija NexU-Apr koja se koristi za potpisivanje finansijskih izveštaja na „Posebnom informacionom sistemu APR-a“ iako takođe dodaje sertifikat u korisničko Windows Trusted Root skladište nije rizična zato što:

(1) Privatni ključ se generiše za svaki korisnički nalog posebno pri prvom pokretanju programa pa napadač nema mogućnost da pripremi lažni sertifikat bez već dobijenog pristupa računaru

(2) Sertifikat nema ca=True ekstenziju pa iako se nalazi u Trusted Root listi Windows ga ne priznaje pri gradnji lanca.

Bilo bi pravilnije da se sertifikat nalazi u Trusted People skladištu ali Java omogućava jedino pristup Root (Windows-ROOT) i Personal (Windows-MY) skladištu sertifikata. Instalacija sertifikata u drugom skladištu zahtevala bi dodatnu komponentu koja u ovom slučaju nije korišćena.

Korišćenje aplikacije je bezbedno zato što napadač nije u mogućnosti da pripremi lažne SSL sertifikate koji bi „prolazili“ kod svih korisnika aplikacije (svaki korenski sertifikat ima nepoznati i različiti privatni ključ), a dodatno korenski sertifikat nema neophodnu ekstenziju kako bi učestvovao u gradnji lanca poverenja.

Aplikacija je inače zasnovana na nešto starijoj verziji nowina-solutions/nexu komponente iz evropskog projekta Digital Signature Services, slobodne implementacije sveobuhvatnog rešenja za implementaciju elektronskog potpisa.

Izvorni kod aktuelne verzije dostupan je na GitHubu https://github.com/…/java/lu/n…/nexu/https/HttpsPlugin.java…

Suprotno odredbama EUPL v1.1 licence, nije mi poznato da je izmenjeni izvorni kod APR-ove verzije aplikacije igde javno objavljen.

Izvor: Facebook

0
Facebook Twitter Google + Pinterest

Pročitajte i ovo!

Ovo je najbolji način za vođenje Srbije...

Vlada usvojila Predlog zakona o elektronskom dokumentu

Stižu pritužbe zbog pečata

Zbog PayPala možete završiti i na sudu!

Elektronski dnevnici u svim školama do kraja...

Konferencija „Stvaranje digitalnih lokalnih skupština“ 30. i...

Prijava boravišta stranaca na klik preko Portala...

E-uprava: Preko Interneta do energetskog pasoša

Dostavljanje finansijskih izveštaja od sada putem elektronskog...

E-inspekcija i novi zakoni za borbu protiv...