Closed andrewkostevich closed 5 years ago
"Блокируется навсегда" означает, что разблокировать нельзя. И активировать нельзя. Блокировка/разблокировка -- это внутренние механизмы карты (контроль знания секретов аутентификации). Активация/деактивация -- это принудительное внешнее управление объектами аутентификации.
Предложение: добавить пояснения в п. 6.3, сделав текст однозначно понимаемым.
Если PIN не может быть никак возобновлен, то доступ к личному ключу ЭЦП и всем функциям ЭЦП утерян.
Что следует делать в случае "блокировки навсегда" кроме блокировки аутентификации по PIN:
@andrewkostevich писал: "Если PIN заблокирован и CAN напечатан на карте, то доступ ко всем функциям eID сохраняется по CAN (таблица 8). Это несет риск несанкционированной аутентификации и доступа к персональным данным в случае кражи ID-карты".
Поясню некоторые моменты:
Считаю, что в случае "блокировки навсегда" кроме блокировки аутентификации по PIN ничего делать не нужно:
- Практически все данные eID печатаются на самой карте
Речь в возможности получения злоумышленником доступа к электронным сервисам от имени пользователя при краже карты
- Доступ по CAN к данным eID может получить только аутентифицированный терминал, в сертификате которого указано соответствующее право.
Согласен. Считаю, что в стандарте следует обратить внимание, что право аутентификации по CAN не должно предоставляться обычным терминалам, а только терминалам инспекционных систем
- В зарубежных спецификациях ничего не говорится о каких-то дополнительных действиях при блокировке PIN.
В Signature creation and administration for eIDAS token (https://www.ssi.gouv.fr/uploads/2015/09/eidas_tr_signature_part1_v1_rc9-4.pdf) определяется жизненный цикл приложения eSign (см. тикет #16), требования к его активам в каждом состоянии, вводится состояние TERMINATED, в котором ключи ЭЦП уничтожены (ключи eID уничтожать нельзя для аутентификации по CAN)
Согласно "Signature creation and administration for eIDAS token" в состояние TERMINATED для личного ключа производится переход при вызове apdu-команды TERMINATE (см. п. 3.7.18): "This command is used to turn the state of the [eSign application], a key or a user credential to the terminated state". В нашем стандарте такая команда определена. В документе eIDAS я нигде не нашел, что в состояние TERMINATED происходит переход при полной блокировке PIN. Поэтому считаю, что наш стандарт никак не противоречит документу eIDAS в части блокировки PIN и уничтожения личного ключа.
Речь в возможности получения злоумышленником доступа к электронным сервисам от имени пользователя при краже карты
Идет речь о доступе по CAN при краже карты? Но при чем здесь блокировка PIN?
Согласен. Считаю, что в стандарте следует обратить внимание, что право аутентификации по CAN не должно предоставляться обычным терминалам, а только терминалам инспекционных систем
В BTOK нет понятия "терминал инспекционных систем".
Вопрос свелся к следующему: следует ли при блокировке PIN уничтожать лк ЭЦП? Варианты ответа:
Вслед за @olegotory я не нашел в приведенном тексте прямых указаний на ответ Да. Этот ответ проблематичен по нескольким причинам:
Ситуация станет еще запутаннее, если будет принято предложение #18, и будет введен дополнительный PIN, обслуживающий eSign. Следует ли уничтожать лк ЭЦП при блокировке глобального PIN, или только локального?
В целом, сохраняю свое Предложение: добавить пояснения в п. 6.3, сделав текст однозначно понимаемым.
Для удаления личных ключей ЭЦП необходимы дополнительные команды - целесообразность?
Нет, о дополнительных командах речь не идет. Идет речь о том, что ключи должны (?) удаляться при возникновении определенных внутренних событий.
Кто-то должен дать команду на активацию процедуры удаления ключей.
ср, 27 февр. 2019 г., 17:09 Sergey Agievich notifications@github.com:
Нет, о дополнительных командах речь не идет. Идет речь о том, что ключи должны (?) удаляться при возникновении определенных внутренних событий.
— You are receiving this because you commented. Reply to this email directly, view it on GitHub https://github.com/bcrypto/btok/issues/39#issuecomment-467875187, or mute the thread https://github.com/notifications/unsubscribe-auth/AsFH5eRBXM6ySTEZjELCwM_mx9wXdnK0ks5vRpG1gaJpZM4ak15A .
@alexshibkov: Не идет речь о внешней команде. Идет речь о побочном эффекте (удаление ключей) при обработке других команд (10 попыток ввода неверного PUK).
Считаю, что вопрос достаточно обсужден. Реакция представлена в #45. Продолжение дискуссии (если в нем есть необходимость) переносится туда.
Согласно п. 6.3 "если при заблокированном PIN пароль PUK вводится неверно 10 раз, то PIN блокируется навсегда". Что означает "PIN блокируется навсегда"? Может ли быть выполнена деактивация заблокированного навсегда PIN, затем активация и смена PIN?