Škoda, že to podporuje (zatím? doufám) jen ten Idem Key a nic jinýho. Proč?? Yubikey mi to ukazuje jen jako L1, což je dost škoda, protože ten Idem Key je na tom co se týče kvality zpracování o dost hůře.
Nosím na klíčích Yubikey i Idem stejnou dobu (cca rok) a Idem key už praská, plast se odlupuje. Yubikey 5 nfc je stále skoro jak po prvním vybalení.
Yubikey má certifikaci FIDO2 level1. Také doufám, že Yubico certifukuje časem klíče i na level 2. Proč to zatím neudělali jsem však nikde nedohledal, možná jejich design hw nesplňuje certifikační požadavky? Viz třeba "Allowed Restricted Operation Environment (AROE)" .
Problém je v tom, že ty požadavky, jakkoli na první pohled znějí rozumně, vylučují např. možnost updatovat firmware, což je pravý opak toho, co většinou chceme. Takže se dostáváme k paradoxu, kdy nejuznávanější tokeny (Yubikey, Nitrokey) pro úroveň "vysoká" použít nelze a je nutné místo toho pořizovat tokeny podstatně méně renomovaných výrobců. :-(
Jestli se neco nezmenilo, tak zrovna u Yubikey vypada update firmware v praxi (vyzkouseno 2x na Yubikey NEO) tak, ze:
1) vyjde najevo, ze firmware verze X ma nejakou bezpecnostni chybu, kterou opravuje verze Y
2) posle se reklamace, ze klic ma bezpecnostni chybu
3) yubico posle zdarma novy klic s firmware Y
Protoze puvodne upgradovatelny firmware udelali v nejaky moment neupgradovatelny kvuli bezpecnosti. A to u nejstarsich verzi IIRC slo i ruzne kompilovat a nahravat vlastni applety a tim treba ziskat podporu GPG driv, nez tam byla standardni.
Jestli to teda pak u Yubikey 5 zase nezmenili.
ty klíče mají být HW bezpečné, pokud FW může něco opravit, tak může i něco pokazit a to by v tomhle případě nemělo být možné.
Problém s updatem může být nejen vyzrazení klíče (teoreticky), ale třeba i vložení nového klíče a změnu identity, nový klíč může být jen v tom FW a nemusí být v uložišti. Dá se ale určitě vymyslet spousta útoků a je asi dobrý důvod, proč klíče nemá být možné SW měnit.
A co Yubikey 5 FIPS series? Ten by měl mít zabezpečení urovně L2. Prosím může to zde někdo potvrdit nebo vyvrátit? https://www.yubico.com/products/yubikey-fips/
Píše se na webu mvcr.cz:
Prostředek pro elektronickou identifikaci s úrovní záruky VYSOKÁ vydávaný v rámci kvalifikovaného systému el. identifikace se bude sestávat z kombinace uživatelského hesla k mojeID účtu, PINu příslušnému k FIDO2 tokenu certifikovaného minimálně na úroveň L2 dle certifikačního programu FIDO Alliance.
FIDO2 token dále musí být založen na bezpečné platformě certifikované podle standardu FIPS 140-2 Level 3 nebo Common criteria EAL4 + AVA_VAN5 v souladu s příslušným profilem ochrany bezpečné platformy. Pro použití FIDO2 tokenu je zapotřebí zadat minimálně čtyřmístný PIN a zároveň nesmí token umožňovat nahrazení PIN biometrií. FIDO2 token musí dále zajistit, že soukromý klíč bude používán pouze pro podpis výzev dle FIDO2 standardu a FIDO2 token musí být blokován maximálně po 8 neplatných pokusech zadání PIN
....
12. 12. 2021, 12:34 editováno autorem komentáře
Bohužel i v tomto případě by platilo, jak je zmíněno v článku a v odkazované prezentaci, že by bylo třeba dodatečné ověření pomocí dopisu. Rozhodli jsme se nicméně ten dopis implementovat jen pro ty, co šli na CzechPoint. Stála za tím úvaha, že uživatel, který použil pro aktivaci elektronický prostředek, nebude asi ani chtít čekat na poštu a může těch několik kliknutí udělat znovu. Za nutnost použít ten eOP ještě jenou (snad naposledy) se tedy omlouváme.
Zrovna předvčírem jsem to řešil v praxi při (v článku zmíněném) založení majetkového účtu. Na https://www.sporicidluhopisycr.cz/cs/jak-investovat/elektronicky-pristup-ke-sprave-maj-uctu se píše:
Registraci nového uživatele, ..., je možné provést plně elektronicky prostřednictvím své Identity občana s využitím prostředku na úrovni vysoká, např. eObčanka, tj. občanský průkaz s aktivovaným kontaktním elektronickým čipem ...
Abych nemusel vytahovat čtečku a občanku, chtěl jsem zjistit, jaké další identifikační prostředky poskytují úroveň záruky „vysoká“. A to jistit nejde, leda analýzou všech existujících článků p. Peterky.
Při přihlašování se na nia.identitaobcana.cz po výzvě:
Kvalifikovaný poskytovatel žádá o vaši elektronickou identifikaci.
Vyberte si prosím z následujících možností přihlášení
nabízí všechny prostředky. Očekával bych, že z aplikace, která vyžaduje úroveň záruky „vysoká“ budou ostatní odfiltrovány. Nebo alespoň by jejich úroveň zde měla být uvedena (alespoň v popisu pod ). Nebo aspoň na informačním webu, kde je sice na https://info.identitaobcana.cz/idp/ uveden výčet prostředků a zvlášť popis úrovní, ale u prostředků jejich úroveň napsána není (až na Občanský průkaz).
Teď z článku vidím, že je to ještě komplikovanější. Jeden prostředek může za různých okolností poskytovat různé úrovně záruky. Řádek MojeID se tak časem v možnostostech přihlášení rozdvojí. Mělo by to ale být přehlednější.
Omlouvám se, nenosím s sebou stále čtečku čipových karet. Zatím všude, kam se přihlašuji, stačí úroveň „značná“, a na to je pohodlnější používat MojeID než eObčanku. Ale podařilo se a už mám zprovozněnou úroveň vysoká i na MojeID ;-)
Trochu mne překvapilo, že jsem prý byl stále (muselo to být několik dní, spíš týdnů) přihlášen úrovní „vysoká“ k přihlašovacímu portálu ČÚZK, a když jsem se z něj chtěl odhlásit, musel jsem se nejprve přihlásit…
A portál Identita občana po přihlášení úrovní „vysoká“ hlásí chyby 100403 v části Mobilní klíč e-governmentu. Asi je to celé nějaké hodně čerstvé.
Odpověď se supportu:
Moje ID nyní opravdu nově nabízí úroveň zabezpečení vysoká. Prověřili jsme Váš pokus o registraci majetkového účtu v portálu pro Dluhopisy Republiky, důvodem odmítnutí přihlášení bylo neposkytnutí rodného čísla ze strany registru. Na úpravě služby pro cizince v tuto chvíli pracujeme, doporučujeme Vám zřídit majetkový účet prostřednictvím některého z vybraných distributorů - Česká spořitelna, a.s. nebo ČSOB, a.s.
Nízká, značná, vysoká. Jak pozná běžný uživatel z názvu, že značná je méně než vysoká? Sám bych odhadnul, že je tomu naopak. Proč nevyužívá názvosloví některé existující uspořádání, třeba nízká-vyšší-vysoká, nebo I., II., III., nebo Z1, Z2, Z3, nebo jánevímco? Proč vymýšlejí názvosloví blbci?
Obdobně vypadá názvosloví v oblasti el. podpisů.
Každé z navržených řešení je lepší. Uvedeny byly jen proto, aby bylo vidět, že není problémem udělat to pořádně, protože to tu bude smrdět dalších 30 let. Ale to není moje práce.
Když nebudete spekulovat, pak vyšší číslo je logicky vyšším zabezpečením s prostorem k dalšímu rozšíření, ale i opačně to má alespoň zřejmé uspořádání narozdíl od přijatého zprasku.
Ale zkuste sám, fakt to tady za nikoho nebudu řešit.
Název má být slovo, takže jste navrhl jedno reálné řešení – a to má úplně stejný problém, jako stávající stav. Takže to evidentně tak snadné není.
Nicméně souhlasím s tím, že zvolená varianta je neintuitivní, navíc nejpoužívanější varianta „značná“ já právě to slovo, které se obtížně zařazuje. Třeba posloupnost nízká – střední – vysoká by byla srozumitelnější. V češtině. Jenže ono bylo potřeba najít termín, který bude fungovat ve 24 jazycích EU. Navíc to pak nejspíš překládal někdo jako právnický text a vůbec nepředpokládal, že se tyhle termíny budou vyskytovat jako „nálepka“ někde na webu.
Taky to mohlo dopadnout jako "zelená - žlutá - rudá", protože ty úrovně nejsou vlastně tak úplně "lepší" a "horší", ale pro jednotlivá použití specifické. Obecně je potřeba rozlišit, kdy potřebujete chránit přístup třeba k "osobním údajům" a kdy "k penězům".
Mimochodem mi to připomnělo angličtinu a pět stup%nů slova "good":
"good"-"better"-the best"-"bester"-"the bestiest". ;o) (Zajímavé, že Angličani pro to mají víc pochopení, než učitelky angličtiny.)
Mně se to na úroveň vysoká přes NFC nepodařilo.
Nastavil jsem to dříve dle článku na PC s Windows přes USB a funguje to stále.
Pokud se přihlásím na MojeID – úroveň „značná“ (standardní přístup), stačí se dotknout klíče, pro MojeID – úroveň „vysoká“ to navíc vyžaduje zadání PIN.
Přes NFC v android prostor pro zadání PIN nedostanu, takže se dostanu jen na úroveň značná.
Možná je to tím, že v postupu podle článku ve druhém kroku "nastavení PINu u tokenu" jsem použil variantu pomocí Nastavení Windows. Je dost matoucí, jak to souvisí s nastavením Windows, a zda se to pak uplatní i na jiném zařízení. Když jde o zadávání citlivých údajů, neměl by proces probíhat tak, že se najednou píší do úplně jiné aplikace. V článku to vysvětleno není, jen popsáno. V předposledním příspěvku zde Ondřej Filip píše "PIN je uložen přímo v tom HW klíči, takže u jiného PC Vám to bude normálně fungovat." Co ale v mobilu s klíčem přes NFC?
13. 12. 2021, 21:06 editováno autorem komentáře