O bezbednosti servera koji koriste državne institucije govorilo se mnogo krajem prethodne godine, više o tome čitajte na ovom linku, a informacija koja dolazi sa društvenih mreža, od Gorana Rakića, autora bloga “Goran Rakić i Škrabalica“, daje nam uvid u bezbednost ePotpisa na sajtu APR-a.
Njegov post prenosimo u celosti:
Za razliku od bezbednosno rizične SecurityTray aplikacije za pristup CROSO portalu (gde je problem u međuvremenu ispravljen i sada je korišćenje aplikacije bezbedno), nova aplikacija NexU-Apr koja se koristi za potpisivanje finansijskih izveštaja na „Posebnom informacionom sistemu APR-a“ iako takođe dodaje sertifikat u korisničko Windows Trusted Root skladište nije rizična zato što:
(1) Privatni ključ se generiše za svaki korisnički nalog posebno pri prvom pokretanju programa pa napadač nema mogućnost da pripremi lažni sertifikat bez već dobijenog pristupa računaru
(2) Sertifikat nema ca=True ekstenziju pa iako se nalazi u Trusted Root listi Windows ga ne priznaje pri gradnji lanca.
Bilo bi pravilnije da se sertifikat nalazi u Trusted People skladištu ali Java omogućava jedino pristup Root (Windows-ROOT) i Personal (Windows-MY) skladištu sertifikata. Instalacija sertifikata u drugom skladištu zahtevala bi dodatnu komponentu koja u ovom slučaju nije korišćena.
Korišćenje aplikacije je bezbedno zato što napadač nije u mogućnosti da pripremi lažne SSL sertifikate koji bi „prolazili“ kod svih korisnika aplikacije (svaki korenski sertifikat ima nepoznati i različiti privatni ključ), a dodatno korenski sertifikat nema neophodnu ekstenziju kako bi učestvovao u gradnji lanca poverenja.
Aplikacija je inače zasnovana na nešto starijoj verziji nowina-solutions/nexu komponente iz evropskog projekta Digital Signature Services, slobodne implementacije sveobuhvatnog rešenja za implementaciju elektronskog potpisa.
Izvorni kod aktuelne verzije dostupan je na GitHubu https://github.com/…/java/lu/n…/nexu/https/HttpsPlugin.java…
Suprotno odredbama EUPL v1.1 licence, nije mi poznato da je izmenjeni izvorni kod APR-ove verzije aplikacije igde javno objavljen.
Izvor: Facebook
