» »

Z novo aplikacijo eOsebna je za podpis dovolj zgolj mobilni telefon

1
2
»

NuMaN ::

Sam sem se pred leti (med 2010 in 2020) nekaj zanimal za odprtje računa pri SK, pa nisem imel davčne s sabo (nikoli je nimam), pa mi je zaposleni rekel da je davčna blizu, kjer bi dobil naprintano potrdilo.

Ker se mi ni dalo takrat jajcati s tem, računa nisem odprl.

Zdaj sem zasledil, da so spet uvedli fit račun, pa sem spet videl, da ti za aktivacijo spletne banke zakasirajo 15 e ...

Bom pač še naprej kolobaril med bankami na dve leti ...

Karamelo je izjavil:

torej zakaj bi to človek rabil če ima sigenco? dobi s to novo identiteto kaj več?


To je samo za take dinozavre, kot sva midva. Sam urejam bančne zadeve izključno na prenosniku.

Žal pa je pri bankah sigenca uporabna samo pri DH, če si jo nastaviš v Rekono.

Druge so na fončkih z aplikacijo.
Imam 124,9 delnic Vzajemne.

Zgodovina sprememb…

  • spremenil: NuMaN ()

blink ::

Karamelo je izjavil:

torej zakaj bi to človek rabil če ima sigenco? dobi s to novo identiteto kaj več?


eOsebna:
veljavnost 10 let
fizicna in virtualna razlicica
ne dela povsod

Sigenca:
veljavnost 5 let
namestitev na poljubno st. naprav
dela povsod

MrStein ::

Karamelo je izjavil:

torej zakaj bi to človek rabil če ima sigenco? dobi s to novo identiteto kaj več?

Še enkrat: Višji nivo varnosti.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

NuMaN ::

Tega ne razumem.
Certifikat imaš v brskalniku, ki ga sproti brišeš, pa nekje kriptiranega.

Fora je samo v tem, da so vsi na fončkih.
Imam 124,9 delnic Vzajemne.

gruntfürmich ::

za vsako brisat certifikat... pa dajte no, kje živite?

glede osebne pa jo bom morda naložil, ker imam novo, in da vidim kako to deluje.
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

Karamelo ::

ampak a ni varnost manjša če je stvar na telefonu, signeco imam namnreč izključno na enem domačem računalniku in nikjer več

telefon pa lahko izgubiš kjerkoli vsak dan
kje je torej varnost večja?

MrStein ::

Karamelo je izjavil:

ampak a ni varnost manjša če je stvar na telefonu, signeco imam namnreč izključno na enem domačem računalniku in nikjer več

telefon pa lahko izgubiš kjerkoli vsak dan
kje je torej varnost večja?

Certifikat iz PC ti lahko ukradejo.

Iz eOsebne pa ne morejo.
Iz telefona pa tudi težko (odvisno od implementacije - očitno so mnenja, da je "res varno").
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Karamelo ::

ok

kako to misliš ti ne morejo ukrast iz eOsebne?

NuMaN ::

MrStein je izjavil:

Karamelo je izjavil:

ampak a ni varnost manjša če je stvar na telefonu, signeco imam namnreč izključno na enem domačem računalniku in nikjer več

telefon pa lahko izgubiš kjerkoli vsak dan
kje je torej varnost večja?

Certifikat iz PC ti lahko ukradejo.

Iz eOsebne pa ne morejo.
Iz telefona pa tudi težko (odvisno od implementacije - očitno so mnenja, da je "res varno").


In kako mio bodo ukradli certifikat (kriptiran) z neke linux mašine? Fonček pa komot zgubim, ko uporabljam aplikacijo pri trgovcih, vsi za mano pa širijo negativno energijo, ko čakajo ...

Drugo so podjetja, ki imajo "nekje poleg" kar zapisana gesla, pa cerifikate na ključkih ...

gruntfürmich je izjavil:

za vsako brisat certifikat... pa dajte no, kje živite?

glede osebne pa jo bom morda naložil, ker imam novo, in da vidim kako to deluje.


Eni resno jemljemo (spletno) varnost.
Poleg tega nimam podjetja, delnic ali kojnov, da bi moral na veliko operirati s tem.

Sicer imaš prav, mogoče mi res tega ne bi bilo treba.
Imam 124,9 delnic Vzajemne.

Zgodovina sprememb…

  • spremenil: NuMaN ()

Karen ::

Gre za nivo zaupanja v identiteto: obstaja nizek nivo (npr. dokažeš za je gmail account tvoj, tako da navedeš kodo, ki ti je bila poslana na mail), srednji nivo (imaš certifikat, pri katerem si predhodno identificiran (npr. na UE ko si dal vlogo za sigenco) ki si ga prevzel na računalnik - tak, ki ga je možno izvoziti), ter visok nivo (kjer si predhodno identificiran in certifikata iz naprave ni mogoče izvoziti (npr. če naročniš sigenco na dedicated ključku s čipom, ali osebna izkaznica - ne moreš si narediti "backup-a" nekam drugam, če izgubiš ali se ti pokvari lahko samo prekličeš in greš po novega). Ko se prijavljaš preko sistema identitete, npr. SI-PASS. ima vsak sistem, kamor se želiš prijaviti, v shemi določen določen nivo identitete, ki je zahtevan da sploh prideš v sistem (npr. najmanj srednji nivo pomeni, da se lahko prijaviš s sigenca certom na računalniku, sms-pass ali certom na ključku/kartici oz. osebno izkaznico (ki je dejansko cert na kartici)).

rkobarov ::

hočem prijaviti vlogo za novo osebno na svoji upravni enoti z digitalnim potrdilom in dobim to sporočilo:


Zaradi tehničnih težav lahko prihaja do motenj pri oddaji elektronskih vlog za uporabnike, ki se prijavljajo z elektronsko osebno izkaznico. Uporabite lahko drugo digitalno identiteto.

pri nas je vse neki polovičarsko narejeno, stran dela 1 leto, nihče ne posodablja in potem vse zamre..
Ryzen 5800x AIO280 32gb 16c3200 3080ti Msi b550 tomahawk Samsung 970 1Tb M27q

Oberyn ::

Kdo je izdelal čipe, ki so na teh osebnih izkaznicah? Ali je znano?
Ali z drugimi besedami, kdo je USTVARIL zasebni ključ, da ga je lahko v procesu izdelave vtisnil v čip?

MrStein ::

blink je izjavil:


Sigenca:
veljavnost 5 let
namestitev na poljubno st. naprav
dela povsod

No ja, "povsod".

EU login recimo dela z eOsebno, ne dela pa s SIGEN.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

NuMaN je izjavil:

MrStein je izjavil:

Karamelo je izjavil:

ampak a ni varnost manjša če je stvar na telefonu, signeco imam namnreč izključno na enem domačem računalniku in nikjer več

telefon pa lahko izgubiš kjerkoli vsak dan
kje je torej varnost večja?

Certifikat iz PC ti lahko ukradejo.

Iz eOsebne pa ne morejo.
Iz telefona pa tudi težko (odvisno od implementacije - očitno so mnenja, da je "res varno").


In kako mio bodo ukradli certifikat (kriptiran) z neke linux mašine? Fonček pa komot zgubim, ko uporabljam aplikacijo pri trgovcih, vsi za mano pa širijo negativno energijo, ko čakajo ...

Trojanec komot skopira fajl. Geslo pa dobijo prej ali slej.

S pametne kartice (kar eOsebna je) pa "ni poti ven".

Tale "vmesna" zadeva s telefonom je nekje vmes. Je še vedno bolj varno, ker ti ne morejo kar tako iz spletne strani skopirati ključev.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

NuMaN ::

Saj file moraš imeti kriptiran, mogoče celo kje drugje, ločeno od delovne mašine.

Je pa zamudno, to pa ja ...
Imam 124,9 delnic Vzajemne.

MrStein ::

NuMaN je izjavil:


gruntfürmich je izjavil:

za vsako brisat certifikat... pa dajte no, kje živite?

glede osebne pa jo bom morda naložil, ker imam novo, in da vidim kako to deluje.


Eni resno jemljemo (spletno) varnost.

Kaj točno brišeš?
Certifikat iz Firefox-a?
p12 fajl iz sistema?

In vsakič nazaj import, ko ga potrebuješ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

NuMaN ::

Točno tako.
Odkar kolobarim med bankami, sedaj nisem več na DH, tako da certifikat potrebujem samo za upravne zadeve, torej referendume in volitve, pa da preberem kar mi pošlje davčna.
Torej sila redko, tako da sem skoraj pozabil komplicirano geslo za sigenco.

In ni mi znano, da bi sploh katera banka uporabljala sigenco. Včasih jo je DH, kjer pa so te zadeve prepustili Rekoni, tam si pa urediš prijavo po želji in certifikat sploh več ni nujno potreben.

Nekatere banke imajo sicer svoje certifikate, ampak mislim da bo to kmalu izginilo.
Imam 124,9 delnic Vzajemne.

Zgodovina sprememb…

  • spremenil: NuMaN ()

hruske ::

NuMaN je izjavil:

MrStein je izjavil:

Karamelo je izjavil:

ampak a ni varnost manjša če je stvar na telefonu, signeco imam namnreč izključno na enem domačem računalniku in nikjer več

telefon pa lahko izgubiš kjerkoli vsak dan
kje je torej varnost večja?

Certifikat iz PC ti lahko ukradejo.

Iz eOsebne pa ne morejo.
Iz telefona pa tudi težko (odvisno od implementacije - očitno so mnenja, da je "res varno").


In kako mio bodo ukradli certifikat (kriptiran) z neke linux mašine? Fonček pa komot zgubim, ko uporabljam aplikacijo pri trgovcih, vsi za mano pa širijo negativno energijo, ko čakajo ...


Certifikat na tvoji linux mašini je shranjen na disku, ki se ga da skopirat. Ja, lahko je certifikat kriptiran, ampak če ti nekdo naredi kopijo, bo pač imel kriptirano kopijo, s katero lahko počne kar se mu zljubi, npr. poljubno bruteforca.

Telefoni danes imajo kriptografsko shrambo, v katero ti hardver dopušča samo zapis ključa, potem pa hardver dela operacije s ključem. OS nima več dostopa do tega, tako da ključa ne moreš sploh prebrat.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

NuMaN ::

Tudi to sem predvidel.

Zato imam posebno starejšo mašino za to, ki jo redko ujporabljam in ni namenjena brskanju po spletu ali zabavi (itak ima zanič ekran, vid pa je tudi slabši kot nekoč).

Tako da dvomim, da mi "lahko kak trojanec prekopira datoteko".

Bolj me skrbi, da bi kje izgubil osebno ... Pa potem komplikacije glede tega, da ti nepridiprav ne naredi kake pogodbe.
Imam 124,9 delnic Vzajemne.

hruske ::

@NuMaN - če vsakič na novo importaš certifikat v brskalnik in ga potem izbrišeš, je zelo verjetno, da na tvojem disku ostane več kopij tvojega ključa, kot bi jih sicer. Ker pač datotečni sistemi ne pobrišejo podatkov, ko jim rečeš, da naj pobrišejo datoteko.

Za take namene so kriptirani diski dokaj ok.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

NuMaN ::

Saj vem vse to ... Že nekaj časa se spravljam delati arhiv oziroma ga urediti, kar se je nabralo tekom let, tako da imam zadeve na več mestih, nekaj podvojenega in nepregledno vse skupaj.

Ampak to je sila nezanimivo početje, ampak upam da bom uspel narediti ta "projekt" v zimskih mesecih.

Po tem bom pa sveže inštaliral Debian, s kriptirano particijo (domnevam, da bo to zahtevalo vpisovanje dodatnega gesla).
Imam 124,9 delnic Vzajemne.

Ales78 ::

Omenil bi samo, da ima GrapheneOS opcijo, da wipa telefon, ce je geslo vpisano "v rikverc".

Ne rabite se sekirati z raznimi podrobnostmi varnosti, pac boste vpisali pin v obratno smer.

3man ::

Karamelo je izjavil:

torej zakaj bi to človek rabil če ima sigenco? dobi s to novo identiteto kaj več?

Tega seveda nihče ne rabi. Namenjeno je kasnejši povezavi digitalne identitete s CBDC in popolnim suženstvom. Zapor na prostem.
Kdor to uporablja spodbuja diktaturo in cenzuro. Eden je napisal, da bi blo fajn imet tudi volitve s tem sranjem LOL... A da bi še v realnem času podgane eu komisije oz. wef odločale kdo bo zmagal v kateri državi?

NuMaN ::

Biješ boj z mlini na veter.
Ni ga čez komformizem, že danes pa ti lahko brez tega sledijo in te popolnoma onemogočijo, če si jim zanimiv.

(Pustimo ob strani promil Mkgajverjev).
Imam 124,9 delnic Vzajemne.

lucca brassi ::

kaj vpišeš kot tisti stranski pin na desni strani , če nimaš nove biometrične osebne izkaznice ?
moments before detonation

Karen ::

Nič, ker stara nima čipa gor in je posledično ne moreš virtualizirati - nisem študiral točnega mehanizma, ampak logično bi bilo da se par kjučev, ki se shranijo v shrambo telefona generira/podpiše s ključem na čipu osebne izkaznice, ergo...

gruntfürmich ::

ok. instalirana je aplikacija, osebna dodana, virtualizirat je ne morem ker telefon teži za prstni odtis ali obraz, izgleda da za vsako bom moral brezvezen PIN vpisovati če jo bom želel uporabiti...

torej kako naprej? kaj naj z osebno počnem?
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

Zgodovina sprememb…

energetik ::

hruske je izjavil:


Certifikat na tvoji linux mašini je shranjen na disku, ki se ga da skopirat. Ja, lahko je certifikat kriptiran, ampak če ti nekdo naredi kopijo, bo pač imel kriptirano kopijo, s katero lahko počne kar se mu zljubi, npr. poljubno bruteforca.

Telefoni danes imajo kriptografsko shrambo, v katero ti hardver dopušča samo zapis ključa, potem pa hardver dela operacije s ključem. OS nima več dostopa do tega, tako da ključa ne moreš sploh prebrat.
Ne vem zate, ampak dandanes imamo Linux mašino komplet kriptirano z LUKS, cel disk. Da ne omenjam, da mora heker najprej vlomit v bajto, najti pravi disk, ga odtujiti in nato bruteforcati CSRNG geslo.

Sicer nikjer v novici nisem zasledil, ali se da v tej novi aplikaciji dodati tudi Sigenco in zakaj ne?

Drugače pa bi po mojem najprej morali prepovedati podpisovanje dokumentov s fizičnimi podpisi, ki so za par velikostnih redov bolj enostavni za ponaredit/ukrast kot digitalni podpis. Pa vendar so mi ravnokar na Modri zavarovlnici predlagali, naj sprintam obrazec, ga fizično podpišem in pošljem po nepodpisanem emailu, kljub temu da sem jim že poslal veljavno s Sigenco podpisan obrazec - pa ga niso znali preveriti ;((
vires in numeris

MrStein ::

energetik je izjavil:


Sicer nikjer v novici nisem zasledil, ali se da v tej novi aplikaciji dodati tudi Sigenco in zakaj ne?

Gre dodati le tisto iz osebne izkaznice. Ki kolikor vem ni SIGEN-CA.

Gre za "bližnjico" do osebne izkaznice in nič drugega.

energetik je izjavil:

Ne vem zate, ampak dandanes imamo Linux mašino komplet kriptirano z LUKS, cel disk. Da ne omenjam, da mora heker najprej vlomit v bajto, najti pravi disk, ga odtujiti in nato bruteforcati CSRNG geslo.

Dovolj je da ti iz fotela v Koreji (v resnici VPN iz južne amerike) namesti trojanca.

Za osebno ali telefon pa res mora priti v Slovenijo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Vlayke ::

Karamelo je izjavil:

torej zakaj bi to človek rabil če ima sigenco? dobi s to novo identiteto kaj več?


Odgovor je: v tem primeru ne rabiš.

Prednost pred sigenco je ta, da ima vsak osebno. In ko bodo imeli enkrat vsi nove osebne, bodo imeli avtomatično tudi možnost online prijavljanja v storitve. Sigenco si si moral it naročit in to se dosti ljudem ni dalo, oz. se jim je zdelo, da je komplicirano. Zdej pa imaš.
In če boš zgubil osebno, boš tako ali tako novo naročil in boš imel ponovno certifikat, stari bo pa preklican.

Načeloma ne vidim slabosti.

Dodatna možnost je, ki ne zajeda v tiste, ki že obstajajo, jih pa zna v prihodnje narediti za redundatne in s tem na dolgi rok poenostaviti vzdrževanje infrastrukture.

energetik ::

Ne vem no, meni je Sigenca izredno enostavna in priročna. Ko jo enkrat imaš, ti nikamor ni več treba hodit naročat, samo pazit moraš, da novo naročiš pred pretekom stare. Certifikat fajl shraniš na več varnih mest, geslo za uvoz shraniš v Bitwarden in si rešen.
V e-davke, portal ZD LJ, ZVEM in podobne dostopam z enim klikom, ko imam enkrat vnešen master password v Firefoxu.
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

hruske ::

Videt je, da veš kako se rečem streže, energetik. Nihče te ne sili uporabljat eOsebne, sploh če ti certifikat dobro služi.

Ampak če boš moral nekomu pomagat, da si vzpostavi digitalno identiteto, je morda fino, da veš da eOsebna obstaja, da omogoča prijavo z visokim nivojem zaupanja, ter približno kako deluje. Ker mogoče pa komu v tvoji okolici certifikat ne bo ustrezal, ker ima npr. samo telefon.

Kot država pa je prav, da omogočamo ljudem, da do njenih storitev dostopajo kakor jim je lažje, sploh če je želja, da se raba digitalnih storitev poveča. Del uporabnosti je tudi omogočanje več načinov dostopa.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

Karen ::

Še dodatno: če imaš Sigenco ki ni na smart ključku ali kartici (kakor berem, če je na ključku je isto kot osebna) in se boš želel prijaviti nekam, kjer je zahtevana višja raven varnosti, s Sigenco ne boš prišel notri, ker je ta srednja raven. Zdaj pustimo to za katere servise je sploh zahtevana visoka raven zaupanja (za naštete, kot so ZD, zvem ipd ne), tako da v praksi za večino servisov res ne bo razlike, zna pa biti pravna razlika pri servisu podpisovanja.

MrStein ::

Ja, eOsebna je višji nivo in ima dostop do "več storitev" kot SIGEN-CA (sploh če se gre preko SI-PASS).

Je pa res, da marsikje podpirajo SIGEN-CA in vprašanje, če in kdaj bodo podprli še eOsebno.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

tony1 ::

Spet mešanje dreka, ki bo 99,9% userjev samo zmedlo.

energetik ::

Karen je izjavil:

Še dodatno: če imaš Sigenco ki ni na smart ključku ali kartici (kakor berem, če je na ključku je isto kot osebna) in se boš želel prijaviti nekam, kjer je zahtevana višja raven varnosti, s Sigenco ne boš prišel notri, ker je ta srednja raven. Zdaj pustimo to za katere servise je sploh zahtevana visoka raven zaupanja (za naštete, kot so ZD, zvem ipd ne), tako da v praksi za večino servisov res ne bo razlike, zna pa biti pravna razlika pri servisu podpisovanja.
Kje je pa o tem kaj napisano, da Sigenca ni višja raven? Berem na https://storitve.si-trust.gov.si/sl pa nič takega ne najdem. Še nisem našel storitve, kjer se ne bi mogel prijaviti s sigenco.
vires in numeris

David Mayer ::

1

MrStein ::

energetik je izjavil:

Karen je izjavil:

Še dodatno: če imaš Sigenco ki ni na smart ključku ali kartici (kakor berem, če je na ključku je isto kot osebna) in se boš želel prijaviti nekam, kjer je zahtevana višja raven varnosti, s Sigenco ne boš prišel notri, ker je ta srednja raven. Zdaj pustimo to za katere servise je sploh zahtevana visoka raven zaupanja (za naštete, kot so ZD, zvem ipd ne), tako da v praksi za večino servisov res ne bo razlike, zna pa biti pravna razlika pri servisu podpisovanja.
Kje je pa o tem kaj napisano, da Sigenca ni višja raven? Berem na https://storitve.si-trust.gov.si/sl pa nič takega ne najdem. Še nisem našel storitve, kjer se ne bi mogel prijaviti s sigenco.

https://trusted-digital-identity.europa... (klikni "Manage my account" in potem "Sign in with your eID")

Prideš na SI-PASS, in imaš možnost prijave z eOsebno, nimaš pa SIGEN-CA.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

hruske ::

MrStein je izjavil:

energetik je izjavil:

Karen je izjavil:

Še dodatno: če imaš Sigenco ki ni na smart ključku ali kartici (kakor berem, če je na ključku je isto kot osebna) in se boš želel prijaviti nekam, kjer je zahtevana višja raven varnosti, s Sigenco ne boš prišel notri, ker je ta srednja raven. Zdaj pustimo to za katere servise je sploh zahtevana visoka raven zaupanja (za naštete, kot so ZD, zvem ipd ne), tako da v praksi za večino servisov res ne bo razlike, zna pa biti pravna razlika pri servisu podpisovanja.
Kje je pa o tem kaj napisano, da Sigenca ni višja raven? Berem na https://storitve.si-trust.gov.si/sl pa nič takega ne najdem. Še nisem našel storitve, kjer se ne bi mogel prijaviti s sigenco.

https://trusted-digital-identity.europa... (klikni "Manage my account" in potem "Sign in with your eID")

Prideš na SI-PASS, in imaš možnost prijave z eOsebno, nimaš pa SIGEN-CA.


V tem primeru gre za čezmejno rabo, za ta namen se uporablja zgolj fizična osebna izkaznica, ki jo moraš prislonit k telefonu, ter pin. Tudi virtualizirana ni dovolj.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

anoq ::

Me kar mal preseneča nepoznavanje sodobne tehnologije na tehničnem forumu 8-O

En hitri TLDR; Novodobni telefoni (vsaj višji cenovni ranga npr. iPhone ,Pixel fon ...) imajo za ustvarjanje, shranjevanje in uporabo kriptografskih ključev za to namenski čip (npr. iOS Secure Enclave) iz katerega ključa ni mogoče izvleči (primer: Apple-FBI encryption dispute).
Kriptografski ključ se načeloma ustvari v tem čipu in čipa nikoli ne zapusti.
Iz tega stališča je potem tudi bolj varno kot namenski varnostni USB ključek za certifikat, kjer se ključ naloži na USB in je v nekem trenutku bil kriptografski ključ izpostavljen za krajo.
Seveda je potem hranjenje kriptografskega ključa veliko bolj varna na telefonu kot pa imeti kriptografski ključ shranjen na PC, z ali brez brez namenskega čipa (TPM).

Kar se tiče pa virtualne osebne, bi blo zanimivo videt sam protokol. Sklepam sicer, da niso naredili kak svoj protokol ampak recikliral obstoječ protokol.
Upam samo, da se ključ ne naloži v varnostno enklavo, ampak ga ustvari čip na telefonu. Potem pa telefon pošlje javni ključ v podpis si-trust serverju kateri naredi certifikat za virtualno osebno.

Zgodovina sprememb…

  • spremenilo: anoq ()

bbbbbb2024 ::

anoq je izjavil:

Me kar mal preseneča nepoznavanje sodobne tehnologije na tehničnem forumu 8-O

En hitri TLDR; Novodobni telefoni (vsaj višji cenovni ranga npr. iPhone ,Pixel fon ...) imajo za ustvarjanje, shranjevanje in uporabo kriptografskih ključev za to namenski čip (npr. iOS Secure Enclave) iz katerega ključa ni mogoče izvleči (primer: Apple-FBI encryption dispute).
Kriptografski ključ se načeloma ustvari v tem čipu in čipa nikoli ne zapusti.
Iz tega stališča je potem tudi bolj varno kot namenski varnostni USB ključek za certifikat, kjer se ključ naloži na USB in je v nekem trenutku bil kriptografski ključ izpostavljen za krajo.


Ne pretiravaj. Nihče nima certifikatov na USB ključku, razen kot backup. Je pa tako, da je vsaj pri sigenci bilo svojčas tako, da si imel prazen smartcard, ter se je ključ generiral, ampak če ti smartcard ni brezhibno delal, si nasrkal, ker ni hotel shraniti (generiranega ključa) nikamor drugam, kot na kartico.

To so kasneje skenslali. Osebno sem doživel, da je reader dobro delal, razpoznal kartico, potem pa po enem času neaktivnosti preprosto izginil. In je šlo shranjevanje ključa v maloro, postopka pa nisi mogel ponoviti.

Ta hip ima Apple najboljšo rešitev na iOS, podobno kot je TPM za PCja.

anoq ::

bbbbbb2024 je izjavil:

Ne pretiravaj. Nihče nima certifikatov na USB ključku, razen kot backup.

Pod varnostni USB ključ ne mislim ključ za shranjevanje podatkov, ampak smart-card like ključ (npr. Gemalto K30).
Ta ima varnostni čip na katerega se da naložit privatni ključ in certifikat, ključa pa se ne da potem izvozit iz naprave.
Nekaj takega npr. ponuja pošta Slovenije.

bbbbbb2024 ::

anoq je izjavil:

bbbbbb2024 je izjavil:

Ne pretiravaj. Nihče nima certifikatov na USB ključku, razen kot backup.

Pod varnostni USB ključ ne mislim ključ za shranjevanje podatkov, ampak smart-card like ključ (npr. Gemalto K30).
Ta ima varnostni čip na katerega se da naložit privatni ključ in certifikat, ključa pa se ne da potem izvozit iz naprave.
Nekaj takega npr. ponuja pošta Slovenije.


Malo bolj pomisli. Nič ne ne "nalaga". Ključ se generira na samem hardverskem čipu. Tajni del ključa nikoli ne zapusti ključka.

Najbolj tak znan je Yubico:
https://developers.yubico.com/U2F/Proto...

anoq ::

bbbbbb2024 je izjavil:

anoq je izjavil:

bbbbbb2024 je izjavil:

Ne pretiravaj. Nihče nima certifikatov na USB ključku, razen kot backup.

Pod varnostni USB ključ ne mislim ključ za shranjevanje podatkov, ampak smart-card like ključ (npr. Gemalto K30).
Ta ima varnostni čip na katerega se da naložit privatni ključ in certifikat, ključa pa se ne da potem izvozit iz naprave.
Nekaj takega npr. ponuja pošta Slovenije.


Malo bolj pomisli. Nič ne ne "nalaga". Ključ se generira na samem hardverskem čipu. Tajni del ključa nikoli ne zapusti ključka.

Najbolj tak znan je Yubico:
https://developers.yubico.com/U2F/Proto...


Mal mešaš avtentikacijski protokol (FIDO 1) in identifikacijski protokol.
Za identifikacijski protokol sem skoraj ziher da si-trust uporablja standard PKCS#11 in #13, preko x.509 certifikata.
FIDO 1 ti tega ne omogoča, ker lahko samo generira ključ za določeno entiteto (spletno stran), ne pa x.509 certifikat.

Za identifikacijo po standardu PKCS#11 lahko uporabiš pametno-kartico ali varnostni ključ/pametni ključ če hočeš (varnostni ključe je bolj priročen, ker ne rabiš čitalnika).
Na katerikoli od teh napravah je naložen Java applet z programom po standardu ISO 7816-4.
Na te naprave se vedno nalaga x.509 certifikat in privatni ključ certifikata v PKCS#13 formatu.
Nikoli pa ti naprava ne zgenerira privatnega ključa in x.509 certifikata.

Pa da ne boš mislu, da govorim kar tako nekaj na pamet. Pred leti sem sam tako naložu od SI-GENCe certifikat na pametni ključ, ki sem ga od prej imel od pošte Slovenije, in prihranu 100€ :D

Karamelo ::

Karen je izjavil:

Še dodatno: če imaš Sigenco ki ni na smart ključku ali kartici (kakor berem, če je na ključku je isto kot osebna) in se boš želel prijaviti nekam, kjer je zahtevana višja raven varnosti, s Sigenco ne boš prišel notri, ker je ta srednja raven. Zdaj pustimo to za katere servise je sploh zahtevana visoka raven zaupanja (za naštete, kot so ZD, zvem ipd ne), tako da v praksi za večino servisov res ne bo razlike, zna pa biti pravna razlika pri servisu podpisovanja.


e to sm rabu slišat..hvala.

MrStein ::

Pri koraku potrditve PIN-a v app-u napiše "Prišlo je do napake pri branju osebne izkaznice prek NFC. Poskusite ponovno."

Poskusil vsaj 10 krat. Samsung A56

V čem je fora?

NFC je vklopljen (sicer napiše, da ni in naj v Nastavitvah vklopim).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

Heh, rešeno.

- sem pobil aplikacijo (itak...)
- ponovno zagnal, in zdaj je ta korak že kao bil narejen in je aplikacija delovala


No, potem sem dal "virtualiziraj" , ampak pozneje pri poskusu prijave (SI-PASS) vseeno zahteva fizično kartico.

No ja, vsaj prijava deluje.

UX kot ponavadi zanič...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()
1
2
»

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Z novo aplikacijo eOsebna je za podpis dovolj zgolj mobilni telefon (strani: 1 2 )

Oddelek: Novice / Varnost		968209 (765) MrStein
»

Elektronska osebna izkaznica (strani: 1 2 )

Oddelek: Informacijska varnost		6213037 (3531) reglo
»

eOsebna in PC

Oddelek: Pomoč in nasveti		122387 (1508) Scorpy84
»

Aplikacija za uporabo elektronskih osebnih izkaznic nared (strani: 1 2 )

Oddelek: Novice / Ostale najave		7519795 (13593) blink

Več podobnih tem