ePotpis na APR-u bezbedan!

Izvor: NovaEnergija.net, 03.Feb.2017, 12:01   (ažurirano 02.Apr.2020.)

ePotpis na APR-u bezbedan!

O bezbednosti servera koji koriste državne institucije govorilo se mnogo krajem prethodne godine, više o tome čitajte na ovom linku, a informacija koja dolazi sa društvenih mreža, od Gorana Rakića, autora bloga “Goran Rakić i Škrabalica“, daje nam uvid u bezbednost ePotpisa na sajtu APR-a.
Njegov post prenosimo u celosti:
Za razliku od bezbednosno rizične SecurityTray aplikacije za pristup CROSO portalu (gde je problem u međuvremenu ispravljen i sada je korišćenje >> Pročitaj celu vest na sajtu NovaEnergija.net << aplikacije bezbedno), nova aplikacija NexU-Apr koja se koristi za potpisivanje finansijskih izveštaja na „Posebnom informacionom sistemu APR-a“ iako takođe dodaje sertifikat u korisničko Windows Trusted Root skladište nije rizična zato što:
(1) Privatni ključ se generiše za svaki korisnički nalog posebno pri prvom pokretanju programa pa napadač nema mogućnost da pripremi lažni sertifikat bez već dobijenog pristupa računaru
(2) Sertifikat nema ca=True ekstenziju pa iako se nalazi u Trusted Root listi Windows ga ne priznaje pri gradnji lanca.
Bilo bi pravilnije da se sertifikat nalazi u Trusted People skladištu ali Java omogućava jedino pristup Root (Windows-ROOT) i Personal (Windows-MY) skladištu sertifikata. Instalacija sertifikata u drugom skladištu zahtevala bi dodatnu komponentu koja u ovom slučaju nije korišćena.
Korišćenje aplikacije je bezbedno zato što napadač nije u mogućnosti da pripremi lažne SSL sertifikate koji bi „prolazili“ kod svih korisnika aplikacije (svaki korenski sertifikat ima nepoznati i različiti privatni ključ), a dodatno korenski sertifikat nema neophodnu ekstenziju kako bi učestvovao u gradnji lanca poverenja.
Aplikacija je inače zasnovana na nešto starijoj verziji nowina-solutions/nexu komponente iz evropskog projekta Digital Signature Services, slobodne implementacije sveobuhvatnog rešenja za implementaciju elektronskog potpisa.
Izvorni kod aktuelne verzije dostupan je na GitHubu https://github.com/…/java/lu/n…/nexu/https/HttpsPlugin.java…
Suprotno odredbama EUPL v1.1 licence, nije mi poznato da je izmenjeni izvorni kod APR-ove verzije aplikacije igde javno objavljen.

Izvor: Facebook

Nastavak na NovaEnergija.net...






Napomena: Ova vest je automatizovano (softverski) preuzeta sa sajta NovaEnergija.net. Nije preneta ručno, niti proverena od strane uredništva portala "Vesti.rs", već je preneta automatski, računajući na savesnost i dobru nameru sajta NovaEnergija.net. Ukoliko vest (članak) sadrži netačne navode, vređa nekog, ili krši nečija autorska prava - molimo Vas da nas o tome ODMAH obavestite obavestite kako bismo uklonili sporni sadržaj.