Preko 100000 opozvanih kvalifikovanih elektronskih sertifikata na MUP CA - Printable Version +- Bezbedan Balkan (https://bezbedanbalkan.net) +-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html) +--- Forum: Neadekvatno zaštićeni resursi (https://bezbedanbalkan.net/forum-7.html) +--- Thread: Preko 100000 opozvanih kvalifikovanih elektronskih sertifikata na MUP CA (/thread-240.html) |
Preko 100000 opozvanih kvalifikovanih elektronskih sertifikata na MUP CA - milos_rs - 11-09-2022 Povučen ovim nizom, i tagom od @1van, https://twitter.com/greengy/status/1590285053464285184. Quote:Juce od 13-14h opozvani su elektronski sertifikati MUP-a za #efakure. Da li je to druga javna ustanova posle Katastra? Pronašao sam da je preko STO HILJADA kvalifikovanih elektronskih sertifikata opozvano rano jutos 09.11.2022 od strane MUP-a, bez vesti ni obaveštenja. Ovi sertifikati se koriste za eUpravu, ePorezi, eFaktura, ... MUPove CRL Liste su ovde: http://ca.mup.gov.rs/ca/ca_cyr/start/ca_crl/. Pogledao sam MUPCAGradjani3.crl i MUPGradjaniCA4.crl. Da bi se prevorilo u nešto čitljivo: Code: openssl crl -inform DER -text -noout -in MUPGradjaniCA4.crl > crlca4.txt Onda sam tražio datum kad su rekli iz tvita i pogledao ručno šta se dešava i video da ima na hiljade opozvanih sa tim datumom. Inicijalno sam radio ručno tako da ova uputstva možda nemaju mnogo smisla jer sam ih naknado odradio za ovaj post.... Da bih izbrojao koliko: Code: cat crlca4.txt | grep Revocation > crlca4dates.txt CA3 ima 97652 opozvanih u kratkom roku počev sa vremenom Nov 9 05:07:04 2022 GMT u trajanju od 7 sekunde. CA4 ima 5101 opozvanih, sa početkom od Nov 9 05:04:30 2022 GMT u trajanju od 3 sekunde. Primer iz CA3: Code: Serial Number: 1B9DD1BF4872F742 Primer iz CA4: Code: Serial Number: 767B181319B88AD476 Zanimljivo je da posle ovih opoziva nema više opoziva sa današnjim datumom što je neobično jer normalno se opozivaju konstantno u toku dana sa raznim vremenima, dakle nešto se pokarambasilo negde u MUP CA, neka skripta ili automatika nepoznatih parametara je to odradila, i ostavila 100000+ ljudi u nemogućnosti da koriste svoje kvalifikovane elektronske sertifikate, bez obaveštenja ni upozorenja. eUprava na delu! RE: Preko 100000 opozvanih kvalifikovanih elektronskih sertifikata na MUP CA - 1van - 11-10-2022 Hvala na detaljima Miloše. Ovo se svakako ne radi ovako i pitanje je zašto se desilo. Da li je neko to uradio greškom ili kao što kažeš neka automatizacija je zakazala. Ili je došlo do kompromitovanja sertifikata ili nekog dela infrastrukture. Istražićemo još, a nadam se da će i odgovorni da se jave sa zvaničnim obaveštenjem. Arhiviran originalni Tvit: https://archive.ph/HoRHa. RE: Preko 100000 opozvanih kvalifikovanih elektronskih sertifikata na MUP CA - y0d4 - 11-10-2022 Dobra analiza, tnx,. Milose! jel mozes da izlistas koji su cert-ovi opozvani? u smislu oni koji su izdati od-do datuma? RE: Preko 100000 opozvanih kvalifikovanih elektronskih sertifikata na MUP CA - milos_rs - 11-10-2022 (11-10-2022, 11:00 AM)y0d4 Wrote: Dobra analiza, tnx,. Milose! Samo serijski broj sertifikata je u CRL listi, ne vidi se ništa drugo tako da ne možemo to da saznamo osim ako bi sad ljudi volontirali podatke sa svojih sertifikata pa da pravimo neko poređenje... a to je previše muke i posla RE: Preko 100000 opozvanih kvalifikovanih elektronskih sertifikata na MUP CA - y0d4 - 11-10-2022 aha, stoji. Pa nista, nek` neko izbaci listu svih opozvanih pa da svako uporedi svoj dal` je na listi za pocetak... RE: Preko 100000 opozvanih kvalifikovanih elektronskih sertifikata na MUP CA - 1van - 11-10-2022 Ovde je nešto veoma pogrešno, valjalo bi da imamo nekog PKI eksperta da objasni šta se dešava. Ovo je status od danas: CRL DUMP | November | 10 | Reason (Usual) -------------------------------------------------------------------------------------------------------------- MUPCAGradjani3.20221110.txt.Nov.csv | 101537 | 97756 | Hold Instruction Reject MUPCAResursi3.20221110.txt.Nov.csv | 1 | 0 | N/A MUPCASluzbenici3.20221110.txt.Nov.csv | 235 | 52 | Hold Instruction Reject MUPCAStranci3.20221110.txt.Nov.csv | 19 | 19 | Hold Instruction Reject MUPGradjaniCA4.20221110.txt.Nov.csv | 8082 | 5101 | Certificate Hold MUPSluzbeniciCA4.20221110.txt.Nov.csv | 250 | 0 | N/A MUPStranciCA4.20221110.txt.Nov.csv | 27 | 14 | Certificate Hold MUPCAGradjani3 Quote:Certificate Revocation List (CRL): MUPGradjaniCA4 Quote:Certificate Revocation List (CRL): Objašnjenje statusa: Quote:ANSI X9.57 Hold instruction reject: X.509 Certificate Revocation List. Certificate is suspended. Reject it! Quote:CertificateHold: A temporary revocation that indicates that a CA will not vouch for a certificate at a specific point in time. Once a certificate is revoked with a CertificateHold reason code, the certificate can then be revoked with another Reason Code, or unrevoked and returned to use. While CertificateHold allows a certificate to be "unrevoked", it is not recommended to place a hold on a certificate, as it becomes difficult to determine if a certificate was valid for a specific time. RE: Preko 100000 opozvanih kvalifikovanih elektronskih sertifikata na MUP CA - 1van - 11-11-2022 Još malo zanimljivosti na ovu temu: Izvor: https://twitter.com/zeljkofor/status/1590837948987342848 Izvor: https://twitter.com/Sneki2710/status/1591068144327864321 |