Itečkár Ľubor Illek: Kaliňák mal zlé informácie, problém s e-podpismi nie je len teoretický

Firma Disig v utorok večer zverejnila informáciu, že najneskôr 2. novembra zruší elektronické certifikáty na čipových občianskych preukazoch. Ako to má obyčajný človek čítať?

Povedali tým, že vedia o probléme elektronických certifikátov v preukazoch a vyhodnotili to ako závažnú vec. Je to podľa nich také vážne, že certifikáty treba plošne zneplatniť. V tom sa zhodujú všetci odborníci z IT komunity a hovorili sme o tom aj vo výzve, ktorú sme zverejnili minulý týždeň. Teraz už hovoríme všetci to isté. Disig reaguje aj na to, že 2. novembra má byť medzinárodná konferencia, na ktorej budú zverejnené detaily útoku. Zverejnia ich výskumníci z Brna. Oni sami upozornili, že na základe toho, čo tam povedia, si útočník v priebehu pár hodín bude vedieť spraviť softvér, ktorým by ten útok vedel zrealizovať. Firma zároveň hovorí o 2. novembri preto, aby si firmy vedeli dovtedy splniť svoje povinnosti voči finančnej správe.

To znamená, že do 2. novembra sa ešte dá používať občiansky preukaz na elektronický podpis? Ministerstvo vnútra ešte v pondelok oznámilo, že stopne elektronické služby, ktoré sú viazané na elektronický podpis cez občiansky. Pred chvíľou oznámilo, že elektronický podpis sa dá ešte použiť. Znamená to, že sa dá normálne použiť pri elektronických službách ako trebárs pred mesiacom?

To práve neviem. K tomuto nie sú publikované presnejšie informácie. Ak by platilo to, čo povedali začiatkom týždňa, tak ak by ste v tejto chvíli urobili nejaké podanie kvalifikovaným elektronickým podpisom, verejná správa ho neprijme. O aké služby presne ide, to vám neviem povedať a nie je to jasné ani z právneho hľadiska. To znamená, keď máte certifikát, ktorý nebol zneplatnený, z akého dôvodu ho štát nebude akceptovať? Toto je nejasná časť komunikácie. Ak už hovoria, že elektronický podpis je možné stále používať, potom úrady budú takto podpísané dokumenty aj ďalej prijímať.

Ľubor Illek je jeden zo zakladateľov Slovensko.Digital. Pracoval ako konzultant v oblasti IT bezpečnosti a OpenData, aj na viacerých projektoch e-Governmentu. Komunitným aktivitám sa venuje dlhodobo, od roku 2009 pôsobí v Spoločnosti pre otvorené informačné technológie.

Finančná správa aj ministerstvo spravodlivosti tvrdia, že na ich portáloch sa elektronický občiansky dá pri podpisovaní dokumentov ešte použiť. Hovoria, že u nich je to bezpečné. Je to tak?

My odporúčame, aby ľudia už nevytvárali nové podpisy a aby si zneplatnili svoj podpis čím skôr. Pre tých, ktorí to nestihnú, alebo sa necítia veľmi ohrození, lebo napríklad doteraz ešte nevytvorili svoj elektronický podpis, to 2. novembra bude vyriešené plošne. Či sú uvedené portály bezpečné? Viete, špeciálne pri takej chúlostivej veci ako je elektronický podpis, je namieste preventívna opatrnosť. To, čo sa teraz stalo, je, že to bol veľký a veľmi dlho neriešený problém a špekulovať, čo ešte áno a čo už nie, je z môjho itečkárskeho pohľadu nesprávne riešenie. Myslím si, že treba zablokovať certifikáty a vydať nové s vyšším stupňom ochrany.

Prečo je nutné elektronický podpis zneplatniť? Je to vyšší stupeň ochrany ako napríklad to, že by úrady neprijímali takto podpísané dokumenty?

Elektronický podpis môžete používať aj súkromne, mimo štátnej správy, napríklad keď uzavriete zmluvu s nejakou firmou alebo fyzickou osobou. Môžete ho použiť aj v iných krajinách. Takýto podpis je rovnako zneužiteľný a riziko útoku sa ho rovnako týka ako pri elektronickej komunikácii so štátom. Preto sme vždy hovorili, že treba zneplatniť certifikáty. To je ten štandardný nástroj na riešenie takejto situácie.

Ministerstvo vnútra nebolo prvé, kto povedal, že najneskôr 2. novembra sa elektronické certifikáty zrušia. Informovala o tom najprv firma Disig. Ministerstvo neskôr uviedlo, že s Disigom o tom rokuje. Je to štandardný postup?

Firma Disig je akreditovaná certifikačná autorita, ktorá certifikáty vydáva. Určite to môže spraviť, sú to jej certifikáty, ktoré sú len nahraté do elektronických občianskych preukazov, ktoré obstaralo ministerstvo vnútra. Áno, tejto certifikačnej autorite prislúcha povinnosť zaoberať sa touto situáciou, aj vykonať takýto krok. Predpokladám, že to robili veľmi koordinovane s ministerstvom vnútra, spolu o tom komunikovali a dohodli sa na postupe.

Niektorí advokáti, daňoví poradcovia, konatelia firiem sú z tejto situácie zmätení a nevedia, ako majú elektronický dokument teraz podpísať. Čo by ste im poradili?

Povedzme si najprv, čo sa bude diať. Aj týmto občianskym preukazom si každý môže podpísať čo a kedy chce. Pri zneplatnení certifikátu sa stane len to, že ak podpísaný dokument nemá časovú pečiatku, automaticky sa podpis na takomto dokumente stane neplatný. A je jedno, či dokument bol podpísaný už v máji, alebo neskôr, lebo vlastne sa ani nedá zistiť, kedy bol podpísaný. Podpisy, ktoré majú časovú pečiatku pred zneplatnením certifikátu, zostanú platné. A tie, ktoré budú mať časovú pečiatku po zneplatnení certifikátov, budú neplatné. Je množstvo iných kartičiek, pomocou ktorých sa dá podpisovať, napríklad tie, čo vydávajú certifikačné autority ako komerčné alebo mandátne certifikáty (profesijné preukazy). Tie sa dajú používať ďalej. Či sa ich týka takýto problém zraniteľnosti, by si každý mal zistiť od svojej certifikačnej autority. Ja neviem o tom, že by nejaké iné karty ako občianske preukazy mali na Slovensku problém. Dúfam, že do niekoľkých týždňov budú spojazdnené nové certifikáty v občianskych preukazoch s inou dĺžkou kľúča. Verím tomu, že nebude treba chodiť na políciu, ale bude to softvér, ktorý si doma stiahnete a zapnete a spojí sa to online so serverom ministerstva vnútra a tým si vytvoríte nové certifikáty. Dúfam tiež, že to bude čo najskôr. Veľa podaní sa dá robiť papierovo, no tam, kde je povinná elektronická komunikácia, očakával by som presnejšiu informáciu, ako sa počas prechodného obdobia zariadiť.

Malo by ministerstvo vnútra občanom poradiť, či si majú na elektronický podpis kúpiť komerčný preukaz, alebo čo by mali teraz urobiť?

Ministerstvo by malo hlavne povedať, kedy začnú ich riešenia fungovať, aby si každý mohol vyhodnotiť, či dovtedy počká, alebo to potrebuje riešiť. Veľa vecí má termín, no niektoré sa dajú o tri týždne odložiť. Aspoň ja mám takú skúsenosť s podaniami. Pri podaniach, ktoré sú povinne elektronické, by som očakával najmä od vicepremiéra Pellegriniho ako gestora informatizácie, prípadne od úradov, čo danú agendu spravujú, že k tomu povedia, čo s tým.

Napríklad daňoví poradcovia majú obavu, či sa v Registri partnerov verejného sektora dajú využiť preukazy s komerčným certifikátom. Oni svoje profesijné preukazy napríklad na rozdiel od advokátov nemajú.

Prečo by sa nedali použiť? Aj v občianskom preukaze sú komerčné certifikáty, len za ne neplatíme. Doslova to funguje tak, že ministerstvo vnútra je takzvaná registračná autorita pre Disig pri vydávaní elektronického podpisu v občianskom preukaze.

Platí, že aj keď sa zneplatnia elektronické certifikáty, do e-schránky na Slovensko.sk sa každý, kto má elektronický občiansky, po zadaní BOK-u dostane bez problémov a bude môcť prijímať aj posielať elektronické dokumenty?

Áno. Na rozdiel od Estónska naše elektronické občianske preukazy majú dve časti, ktoré sú úplne nezávislé od seba. Jedna časť je na prihlasovanie sa do schránok a na iné portály a tá nie je vôbec dotknutá týmto problémom.

Ako podľa vás zvládlo ministerstvo vnútra komunikáciu problému? Minulý týždeň ešte tvrdili, že nejde o reálne riziko, v pondelok povedali, že zastavujú časť elektronických služieb, pri ktorých sa používa elektronický podpis a včera ešte nehovorili o zrušení certifikátov.

Áno, komunikácia nebola dobrá. Budilo to dojem, že ju nemali vopred premyslenú. Je to veľká škoda, lebo o probléme vedeli už dlhšie. Pravdepodobne podcenili závažnosť problému, ale neviem, prečo hovorili, že hrozba je len teoretická vo chvíli, keď celá IT verejnosť bola presvedčená, že toto je jeden z najvážnejších problémov, ktoré sme v IT oblasti za posledné roky videli. Ich komunikácia sa menila, ale závažnosť problému nie. Je to veľká škoda, lebo zase to vyzerá tak, že naša verejná správa spravila niečo zle, ale pritom to nie je pravda.

Ako ste vnímali výzvu ministra Roberta Kaliňáka, nech teda niekto skúsi prelomiť jeho elektronický certifikát?

Vysvetľoval som si to tak, že dostal také informácie, na základe ktorých si bol v tej chvíli istý, že problém je ozaj len teoretický. Dostal však nesprávne informácie. Je jedno, či ja na mojom počítači viem prelomiť podpisové kľúče, ale z informácií, ktoré publikovali výskumníci v Brne, vyplýva, že hrozba je reálna a vyplýva to aj z vyjadrení nemeckého výrobcu čipov, firmy Infineon. Aj nemecká certifikačná autorita BSI ešte v júli doplnila certifikát týchto kariet o nové vyjadrenie, v ktorom sa hovorí, že tieto kľúče nie sú bezpečné, používajte iné dĺžky kľúčov, alebo si spravte poriadnu analýzu, prečo stačí používať aktuálne dĺžky kľúčov. Hrozba je úplne reálna a špekulovať, či itečkár to dokáže spraviť na svojom počítači, nie je správne. Okrem toho od 2. novembra to bude vedieť v podstate celý svet.