NovaEnergija.net
  • Vesti
  • ESG
  • Marketing
  • Mediji
  • IKT
  • Preduzetništvo
  • E-uprava
  • E-prodaja
  • Kolumne
  • Društ. mreže
  • Projekti
    • Konferencija
    • Sedam kulturnih vrednosti
  • O NAMA

NovaEnergija.net

  • Vesti
  • ESG
  • Marketing
  • Mediji
  • IKT
  • Preduzetništvo
  • E-uprava
  • E-prodaja
  • Kolumne
  • Društ. mreže
  • Projekti
    • Konferencija
    • Sedam kulturnih vrednosti
  • O NAMA
E-uprava

ePotpis na APR-u bezbedan!

written by Jelena Jovičić February 3, 2017

O bezbednosti servera koji koriste državne institucije govorilo se mnogo krajem prethodne godine, više o tome čitajte na ovom linku, a informacija koja dolazi sa društvenih mreža, od Gorana Rakića, autora bloga “Goran Rakić i Škrabalica“, daje nam uvid u bezbednost ePotpisa na sajtu APR-a.

Njegov post prenosimo u celosti:

Za razliku od bezbednosno rizične SecurityTray aplikacije za pristup CROSO portalu (gde je problem u međuvremenu ispravljen i sada je korišćenje aplikacije bezbedno), nova aplikacija NexU-Apr koja se koristi za potpisivanje finansijskih izveštaja na „Posebnom informacionom sistemu APR-a“ iako takođe dodaje sertifikat u korisničko Windows Trusted Root skladište nije rizična zato što:

(1) Privatni ključ se generiše za svaki korisnički nalog posebno pri prvom pokretanju programa pa napadač nema mogućnost da pripremi lažni sertifikat bez već dobijenog pristupa računaru

(2) Sertifikat nema ca=True ekstenziju pa iako se nalazi u Trusted Root listi Windows ga ne priznaje pri gradnji lanca.

Bilo bi pravilnije da se sertifikat nalazi u Trusted People skladištu ali Java omogućava jedino pristup Root (Windows-ROOT) i Personal (Windows-MY) skladištu sertifikata. Instalacija sertifikata u drugom skladištu zahtevala bi dodatnu komponentu koja u ovom slučaju nije korišćena.

Korišćenje aplikacije je bezbedno zato što napadač nije u mogućnosti da pripremi lažne SSL sertifikate koji bi „prolazili“ kod svih korisnika aplikacije (svaki korenski sertifikat ima nepoznati i različiti privatni ključ), a dodatno korenski sertifikat nema neophodnu ekstenziju kako bi učestvovao u gradnji lanca poverenja.

Aplikacija je inače zasnovana na nešto starijoj verziji nowina-solutions/nexu komponente iz evropskog projekta Digital Signature Services, slobodne implementacije sveobuhvatnog rešenja za implementaciju elektronskog potpisa.

Izvorni kod aktuelne verzije dostupan je na GitHubu https://github.com/…/java/lu/n…/nexu/https/HttpsPlugin.java…

Suprotno odredbama EUPL v1.1 licence, nije mi poznato da je izmenjeni izvorni kod APR-ove verzije aplikacije igde javno objavljen.

Izvor: Facebook

ePotpis na APR-u bezbedan! was last modified: February 2nd, 2017 by Jelena Jovičić
aprbezbednoste-potpisepotpissajttop
0
Facebook Twitter Google + Pinterest
previous post
Medalje na Olimpijskim igrama u Tokiju od recikliranih mobilnih telefona!
next post
Ova deca nisu upisana u školu. Sve uče na kompjuteru uz igrice!

Pročitajte i ovo!

Proverite preko interneta šta je planirano na...

Ministarstvo raspisalo tender za kontakt centar za...

E-Pisarnica u Upravnom sudu

Ko je dobio sredstava u oblasti razvoja...

Elektronska uknjižba nepokretnosti: Velika ušteda vremena i...

Uverenje o (ne)kažnjavanju od sada se izdaje...

E-uprava omogućila elektronsko zakazivanje termina za PCR...

Otvaranje preduzeća jednim klikom od novembra 2018....

E-uprava: Plaćanje državnih usluga karticom

Dva miliona građana Srbije sledeće godine postaju...


NAJNOVIJE NA PORTALU

  • Engleska antiplastična revolucija – zabranjuje se jednokratna plastična ambalaža

  • #Digital2022: Konstantin Kostadinov, Rakuten Viber – Razmena poruka postala je sastavni deo svakodnevne rutine

  • Harmonity Group postavlja standarde u IT sektoru i briše granice između realnosti i mašte

  • Uz D Express od oktobra i karticom!

  • Digital 2022 i MaxBet tombola za krstarenje u dvoje!

  • Rakuten Viber na konferenciji #Digital2022: Svi učesnici na Chatbotu!

  • Satnica frilencera usled pandemije porasla za 40 odsto

Popularni postovi

  • Kompanija Huawei sluša zahteve svojih korisnika i njihovo iskustvo implementira u modernizaciju svojih proizvoda!

  • Ako e-mail završite ovim rečima primalac će vam se uskoro javiti!

  • WoW: Legion obara sve dosadašnje rekorde!

  • 7 trendova u ishrani promeniće način na koji jedemo

  • 7 trendov v prehrani bo spremenilo navade, kaj jemo

@2018 - CMC. All Right Reserved.


Back To Top