Autentizace na daňový portál

Jack

Autentizace na daňový portál
« kdy: 12. 08. 2013, 16:37:33 »
Zdravim,
zajimalo by me, jestli nekdo z vas zkoumal, jak vlastne probiha samotna autentizace uzivatele na danovem portalu (ted konkretne myslim, pristup do danove informacni schranky)
Jakozto uzivatel pouzivajic jak Linux, tak Windows - jsem se rozhodl pouzivat pro autentizaci ve Windows token (uz z toho duvodu, ze je to pracovni PC) - mam tedy vsechno pekne nastaveno a funkcni, ale pokud provedu nasledujici scenar, tak se do danove schranky prihlasim i bez toho abych byl pozadan o PIN k tokenu, jak je to mozne?!

Prerekvizity:
Alespon jednou se pres IE prihlasit do danove schranky a mit tedy odkaz na soukrome klice ve windos ulozisti
Postup:
1. Odpojit token
2. Zapnout IE jako admin a navigovat se na danovy portal
3. Prihlasit se do datove schranky se vsim souhlasit
4. Na zadost vlozit smart kartu a odkliknout
5. Nasledne vyskoci zadost "Signing data with your private signature key" - potvrdim OK - a ted bych ocekaval dotaz na PIN - to se vsak nestane a ja jsem prihlasen a to i v pripade, ze pred stisknutim OK token vyjmu!


Co si o tom myslite? Je to mrzacka a vlastne nefungujici implementace? Nebo je problem nekde jinde? Ale nedokazu si predstavit kde, na logu s openSC nize je videt, ze pri pokusu, ktery je na scenari vyse (tedy bez zprvu zasunuteho tokenu) nedojde k zadnemu podepsani zadnych dat a presto dojde k prihlasni.

Pouzity token je ePass2003.

Kód: [Vybrat]
----------------------- BEZ zapojeneho tokenu

2013-08-12 16:06:22.626 associate_card
2013-08-12 16:06:24.015 set 'cmapfile'
2013-08-12 16:06:26.838 OpenSC init done.
2013-08-12 16:06:26.838
P:8968 T:6944 pCardData:006FD190
2013-08-12 16:06:26.839
P:8968 T:6944 pCardData:006FD190
2013-08-12 16:06:26.839 CardReadFile
2013-08-12 16:06:26.892
P:8968 T:6944 pCardData:006FD190
2013-08-12 16:06:26.893
P:8968 T:6944 pCardData:006FD190
2013-08-12 16:06:26.893 CardReadFile
2013-08-12 16:06:26.895
P:8968 T:6944 pCardData:006FD190
2013-08-12 16:06:26.896 CardGetContainerProperty
2013-08-12 16:06:26.896
P:8968 T:6944 pCardData:006FD190
2013-08-12 16:06:36.502
P:8968 T:6944 pCardData:006FD190
2013-08-12 16:06:36.502 CardReadFile
2013-08-12 16:06:36.504
P:8968 T:6944 pCardData:006FD190
2013-08-12 16:06:36.505 CardGetContainerInfo bContainerIndex=0, dwFlags=0x00000000, dwVersion=1, cbSigPublicKey=0, cbKeyExPublicKey=0
2013-08-12 16:06:36.505 now read certificate 'Qualified'
2013-08-12 16:06:36.525 certificate '0' read error -1205


----------------------- SE zapojenym tokenem


2013-08-12 16:10:33.010 associate_card
2013-08-12 16:10:34.402 set 'cmapfile'
2013-08-12 16:10:37.270 OpenSC init done.
2013-08-12 16:10:37.271
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:37.272
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:37.272 CardReadFile
2013-08-12 16:10:37.273
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:37.274
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:37.274 CardReadFile
2013-08-12 16:10:37.276
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:37.276 CardGetContainerProperty
2013-08-12 16:10:37.277
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:37.279
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:37.280 CardReadFile
2013-08-12 16:10:37.282
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:37.282 CardGetContainerInfo bContainerIndex=0, dwFlags=0x00000000, dwVersion=1, cbSigPublicKey=0, cbKeyExPublicKey=0
2013-08-12 16:10:37.282 now read certificate 'Qualified'
2013-08-12 16:10:38.663
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:38.663 CardReadFile
2013-08-12 16:10:38.666
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:38.666 CardGetContainerInfo bContainerIndex=0, dwFlags=0x00000000, dwVersion=0, cbSigPublicKey=0, cbKeyExPublicKey=0
2013-08-12 16:10:38.667 now read certificate 'Qualified'
2013-08-12 16:10:40.048
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:40.048 CardReadFile
2013-08-12 16:10:40.051
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:40.051 CardGetContainerInfo bContainerIndex=0, dwFlags=0x00000000, dwVersion=0, cbSigPublicKey=0, cbKeyExPublicKey=0
2013-08-12 16:10:40.051 now read certificate 'Qualified'
2013-08-12 16:10:41.432
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:41.433 CardReadFile
2013-08-12 16:10:41.436
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:41.436 CardReadFile
2013-08-12 16:10:45.344 associate_card
2013-08-12 16:10:46.736 set 'cmapfile'
2013-08-12 16:10:49.567 OpenSC init done.
2013-08-12 16:10:49.567
P:8484 T:8488 pCardData:08A51134
2013-08-12 16:10:49.568
P:8484 T:8488 pCardData:08A51134
2013-08-12 16:10:49.568 CardAuthenticateEx
2013-08-12 16:10:49.636
P:8484 T:8488 pCardData:08A51134
2013-08-12 16:10:49.636 CardDeauthenticate(user) 0
2013-08-12 16:10:49.637 CardDeauthenticate bPinsFreshness:2
2013-08-12 16:10:49.637
P:8484 T:8488 pCardData:08A51134 hScard=0xEA030000 hSCardCtx=0xCD020000 CardDeleteContext
2013-08-12 16:10:49.637 disassociate_card
2013-08-12 16:10:49.660
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:49.660 CardAuthenticateEx
2013-08-12 16:10:49.728
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:49.728 CardSignData
2013-08-12 16:10:50.597
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:50.598 CardGetContainerInfo bContainerIndex=0, dwFlags=0x00000000, dwVersion=0, cbSigPublicKey=0, cbKeyExPublicKey=0
2013-08-12 16:10:50.598 now read certificate 'Qualified'
2013-08-12 16:10:51.979
P:8484 T:7004 pCardData:00979428
2013-08-12 16:10:51.979 CardDeauthenticateEx PinId=2 dwFlags=0x00000000
2013-08-12 16:10:51.980 CardDeauthenticateEx bPinsFreshness:2
2013-08-12 16:10:51.980
P:8484 T:7004 pCardData:00979428 hScard=0xEA010001 hSCardCtx=0xCD010001 CardDeleteContext
2013-08-12 16:10:51.981 disassociate_card

« Poslední změna: 12. 08. 2013, 18:40:27 od Petr Krčmář »


Re:Autentizace na daňový portál
« Odpověď #1 kdy: 12. 08. 2013, 19:50:28 »
"Signing data with your private signature key" nevypadá jako žádost, ale spíš jako informace o tom, co už probíhá. Potvrzení podle mne probíhá v tom kroku "na žádost vložit smart kartu a odkliknout". Přístup ke kartě zůstává ve Windows v rámci aplikace po určitou dobu platný, tj. pokud do aplikace jednou zadáte PIN, nějakou dobu ho nemusíte zadávat znovu. A především, celý podpis je záležitostí především ovladačů příslušné smart karty (a samozřejmě jejich komunikace se samotnou kartou), aplikace jen nastaví parametry (algoritmus, délka klíče) a pošle podepisovaná data, nic dalšího ale ovlivnit nemůže.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Autentizace na daňový portál
« Odpověď #2 kdy: 13. 08. 2013, 10:05:08 »
Přístup ke kartě zůstává ve Windows v rámci aplikace po určitou dobu platný, tj. pokud do aplikace jednou zadáte PIN, nějakou dobu ho nemusíte zadávat znovu.

Wow, to je ale hutna bezpecnostni ficura! Uplne jako kdysi u bankomatu v CR, kdy se daly vybrat prachy po nejakych deset vterin po vyjmuti karty.

Re:Autentizace na daňový portál
« Odpověď #3 kdy: 13. 08. 2013, 10:20:44 »
Wow, to je ale hutna bezpecnostni ficura! Uplne jako kdysi u bankomatu v CR, kdy se daly vybrat prachy po nejakych deset vterin po vyjmuti karty.
Nejak moc se to nelisi od sudo, ktere tady neustale nekdo za bezpecnostni featuru povazuje ;)

Jack

Re:Autentizace na daňový portál
« Odpověď #4 kdy: 13. 08. 2013, 10:22:19 »
Cele je to nejake divne, zkousel jsem to jeste ve virtualu, ktery byl uplne cisty a tam se to nedeje.

Na tom PC kde tento problem je, jsem drive mel ceritifkaty nahrane primo v ulozisti, ale po porizeni tokenu jsem je smazal - v domneni ze budou smazany permanentne - lec vypadato, ze Windows si je nekde ulozil a kdyz se token zasune, wokna to podle seriaku certifikatu nekde vycuchaji a znova je natahnou.
Protoze se daji i EXPORTOVAT(!), coz na tom druhem systemu, kde fyzicky nikdy nebyli (jen na tokenu) nejde. Boze, to je zase featura - no ted musim zjistit jak je naporad odstranit.

Přístup ke kartě zůstává ve Windows v rámci aplikace po určitou dobu platný, tj. pokud do aplikace jednou zadáte PIN, nějakou dobu ho nemusíte zadávat znovu.

Wow, to je ale hutna bezpecnostni ficura! Uplne jako kdysi u bankomatu v CR, kdy se daly vybrat prachy po nejakych deset vterin po vyjmuti karty.
Tim to nebude, v openSC jsem zakazal cache PINu a pocet zapamatovani nastavil na 0 a hlavne, log skutecne rika, ze v tu chvili se pres token nic nepodepisuje.


Jack

Re:Autentizace na daňový portál
« Odpověď #5 kdy: 13. 08. 2013, 19:57:18 »
Hm, jak jsem ocekaval "to me poser", fakt "bezpecnost" nadevse. Ale co jsem mel cekat, windows!
Kód: [Vybrat]
http://seclists.org/fulldisclosure/2006/Apr/164