Preko 100000 opozvanih kvalifikovanih elektronskih sertifikata na MUP CA

[milos_rs]

Povučen ovim nizom, i tagom od @1van, https://twitter.com/greengy/status/1590285053464285184.

Juce od 13-14h opozvani su elektronski sertifikati MUP-a za #efakure. Da li je to druga javna ustanova posle Katastra?

Pronašao sam da je preko STO HILJADA kvalifikovanih elektronskih sertifikata opozvano rano jutos 09.11.2022 od strane MUP-a, bez vesti ni obaveštenja. Ovi sertifikati se koriste za eUpravu, ePorezi, eFaktura, ...

MUPove CRL Liste su ovde: http://ca.mup.gov.rs/ca/ca_cyr/start/ca_crl/. Pogledao sam MUPCAGradjani3.crl i MUPGradjaniCA4.crl.

Da bi se prevorilo u nešto čitljivo:

Code:

openssl crl -inform DER -text -noout -in MUPGradjaniCA4.crl > crlca4.txt

Onda sam tražio datum kad su rekli iz tvita i pogledao ručno šta se dešava i video da ima na hiljade opozvanih sa tim datumom. Inicijalno sam radio ručno tako da ova uputstva možda nemaju mnogo smisla jer sam ih naknado odradio za ovaj post....

Da bih izbrojao koliko:

Code:

cat crlca4.txt | grep Revocation > crlca4dates.txt
sort crlca4dates.txt > crlca4dates.sorted.txt
cat crlca4dates.sorted.txt | grep "Nov  9" > nov9ca4.txt
cat nov9ca4.txt | grep 2022 | wc -l

CA3 ima 97652 opozvanih u kratkom roku počev sa vremenom Nov  9 05:07:04 2022 GMT u trajanju od 7 sekunde.

CA4 ima 5101 opozvanih, sa početkom od Nov  9 05:04:30 2022 GMT u trajanju od 3 sekunde.

Primer iz CA3:

Code:

    Serial Number: 1B9DD1BF4872F742
        Revocation Date: Nov  9 05:07:04 2022 GMT
        CRL entry extensions:
            Hold Instruction Code:
                Hold Instruction Reject

Primer iz CA4:

Code:

    Serial Number: 767B181319B88AD476
        Revocation Date: Nov  9 05:04:30 2022 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Certificate Hold
            Invalidity Date:
                Jan  2 23:00:00 1 GMT

Zanimljivo je da posle ovih opoziva nema više opoziva sa današnjim datumom što je neobično jer normalno se opozivaju konstantno u toku dana sa raznim vremenima, dakle nešto se pokarambasilo negde u MUP CA, neka skripta ili automatika nepoznatih parametara je to odradila, i ostavila 100000+ ljudi u nemogućnosti da koriste svoje kvalifikovane elektronske sertifikate, bez obaveštenja ni upozorenja. eUprava na delu!

[1van]

Hvala na detaljima Miloše. Ovo se svakako ne radi ovako i pitanje je zašto se desilo. Da li je neko to uradio greškom ili kao što kažeš neka automatizacija je zakazala. Ili je došlo do kompromitovanja sertifikata ili nekog dela infrastrukture.

Istražićemo još, a nadam se da će i odgovorni da se jave sa zvaničnim obaveštenjem.

Arhiviran originalni Tvit: https://archive.ph/HoRHa.

[y0d4]

Dobra analiza, tnx,. Milose!
jel mozes da izlistas koji su cert-ovi opozvani? u smislu oni koji su izdati od-do datuma?

[milos_rs]

Dobra analiza, tnx,. Milose!
jel mozes da izlistas koji su cert-ovi opozvani? u smislu oni koji su izdati od-do datuma?

Samo serijski broj sertifikata je u CRL listi, ne vidi se ništa drugo tako da ne možemo to da saznamo osim ako bi sad ljudi volontirali podatke sa svojih sertifikata pa da pravimo neko poređenje... a to je previše muke i posla

[y0d4]

aha, stoji.
Pa nista, nek` neko izbaci listu svih opozvanih pa da svako uporedi svoj dal` je na listi za pocetak...

[1van]

Ovde je nešto veoma pogrešno, valjalo bi da imamo nekog PKI eksperta da objasni šta se dešava. Ovo je status od danas:

CRL DUMP                                             | November | 10       | Reason (Usual)
--------------------------------------------------------------------------------------------------------------
MUPCAGradjani3.20221110.txt.Nov.csv     | 101537     | 97756     | Hold Instruction Reject
MUPCAResursi3.20221110.txt.Nov.csv       | 1             | 0            | N/A
MUPCASluzbenici3.20221110.txt.Nov.csv   | 235          | 52          | Hold Instruction Reject
MUPCAStranci3.20221110.txt.Nov.csv       | 19            | 19          | Hold Instruction Reject
MUPGradjaniCA4.20221110.txt.Nov.csv     | 8082        | 5101       | Certificate Hold
MUPSluzbeniciCA4.20221110.txt.Nov.csv   | 250          | 0            | N/A
MUPStranciCA4.20221110.txt.Nov.csv       | 27            | 14          | Certificate Hold


MUPCAGradjani3

Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: sha512WithRSAEncryption
        Issuer: emailAddress = [email protected], C = RS, O = MUP Republike Srbije, OU = MUPCA, CN = MUPCA Gradjani 3
        Last Update: Nov 10 05:10:05 2022 GMT
        Next Update: Nov 11 05:53:19 2022 GMT
        CRL extensions:
            X509v3 Authority Key Identifier:
                66:2D:C5:52:9E:23:0D:09:EF:13:2D:51:FB:96F:50:0E:60:2DE
            X509v3 CRL Number:
                3026
Revoked Certificates:
...
    Serial Number: 35A1FE0B5A06C05F
        Revocation Date: Nov 10 05:10:05 2022 GMT
        CRL entry extensions:
            Hold Instruction Code:
                Hold Instruction Reject
...

MUPGradjaniCA4

Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: sha512WithRSAEncryption
        Issuer: C = RS, L = Beograd, organizationIdentifier = VATRS-100184116, OU = Sertifikaciono telo MUP RS, O = Ministarstvo unutra\C5\A1njih poslova Republike Srbije, CN = MUP Gradjani CA 4
        Last Update: Nov 10 05:05:02 2022 GMT
        Next Update: Nov 11 06:03:00 2022 GMT
        CRL extensions:
            X509v3 Authority Key Identifier:
                01:85:5D:EF9:A6:F6:21:70:03:AF:912:A1:B2:3C:F7:93:1F:E1
            X509v3 CRL Number:
                902
Revoked Certificates:
...
    Serial Number: 7D7A54D0BBF610F0AA
        Revocation Date: Nov 10 05:05:02 2022 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Certificate Hold
            Invalidity Date:
                Jan  2 23:00:00 1 GMT
...

Objašnjenje statusa:

ANSI X9.57 Hold instruction reject: X.509 Certificate Revocation List. Certificate is suspended. Reject it!

CertificateHold: A temporary revocation that indicates that a CA will not vouch for a certificate at a specific point in time. Once a certificate is revoked with a CertificateHold reason code, the certificate can then be revoked with another Reason Code, or unrevoked and returned to use. While CertificateHold allows a certificate to be "unrevoked", it is not recommended to place a hold on a certificate, as it becomes difficult to determine if a certificate was valid for a specific time.

[1van]

Još malo zanimljivosti na ovu temu:



Izvor: https://twitter.com/zeljkofor/status/159...8987342848



Izvor: https://twitter.com/Sneki2710/status/159...4327864321