Hlavní navigace

Názor k článku Ke službám eGovernmentu se už přihlásíte i pomocí svého účtu u služby MojeID od Filip Jirsák - Problém je v tom, že ty dva kroky...

  • 18. 9. 2020 10:26

    Filip Jirsák

    Problém je v tom, že ty dva kroky v tom propojení jsou propojené jen přes „slabší“ MojeID účet. Prokážu vlastnictví autentizačního prostředku slaběji zabezpečenému MojeID účtu, a pak ten slaběji zabezpečený MojeID účet na základě ověření totožnosti propojím s NIA. Jak píšete, když budu (logicky) očekávat, že někdo svou NIA identitu nedaroval jinému držiteli autentizačního prostředku, můžu se spolehnout na to, že když se někdo přihlásí přes MojeID + autentizační prostředek, je to ta správná NIA identita. Takže by člověk očekával, že to platí i opačně – že když se tímhle způsobem přihlásím, mám stejně silně zaručeno, že je to ta správná MojeID identita. Jenže tohle zaručené není. Nejvíc matoucí na tom je asi to, že propojit na NIA jde jenom MojeID účet, který má přiřazený autentizační prostředek, ale v okamžiku připojování se to vlastnictví autentizačního prostředku neověřuje.

    Problémový případ tedy není ten, kdy bych svou NIA identitu spojil s autentizačním prostředkem někoho jiného. Problém bych viděl v tom, když si někdo k cizímu MojeID účtu připojí svůj autentizační prostředek a celé to následně propojí s NIA identitou.

    A ještě k tomu „darování“ identity. Např. v PKI musí být každá žádost o certifikát podepsána privátním klíčem příslušným k veřejnému klíči, pro který se o certifikát žádá. Technicky to není potřeba a dá se to vyřešit přesně tou vaší odpovědí – pokud někdo požádá o svůj certifikát k privátnímu klíči, který vlastní někdo jiný, prakticky daruje svou identitu vlastníkovi privátního klíče. Je to jeho chyba. Ano, je. A právě proto, aby se pravděpodobnost téhle chyby snížila, musí být každá žádost o certifikát podepsaná.