» Poradna » Web a internet

Je bezpečné exportovat privátní klíč certifikátu a nahrát ho na "cizí" server?

 |   |  Linux Firefox 58.0

Dobrý den,v krátkosti popis situace:- konkrétně se jedná o vystavování ereceptu- SUKL poskytl webovou aplikaci, přes kterou je možné erecepty vystavovat- tato webová aplikace pro "podepsání ereceptu" vyžaduje vybrat v počítači cestu k exportovanému privátnímu klíči certifikátu (formát pfx) + k němu zadat heslo- konkrétní postup pro export je popsán zde: https://www.epreskripce.cz/sites/default/files/soubo... - moje otázka zní: je bezpečné vystavovat na "cizí" (i když v tomto případě se jedná o "důvěryhodný" SUKL) server export mého osobního podepisovacího certifikátu?

Odpovědi na otázku

 |   |  Microsoft Windows 7 Firefox 58.0

Není to bezpečné, navíc certifikáty nemusí ani jít exportov s privátním klíčem, protože už nemusí existovat. Typicky privátnímu klíči skončí platnost. Tohle by vůbec neměli požadovat.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 58.0

Pokud nějaká aplikace vyžaduje export privátního klíče, porušuje všechny možné bezpečnostní zásady a neměla být vůbec uvedena do provozu. Člověk, který to schválil, už měl být ze svého místa okamžitě vyhozen.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Linux Firefox 58.0

V tom navodu je jenom jak vyexportovat privatni klic, ne jakym zpusobem ho ta webovka pouziva. Predpokladam, ze ho nikam posilat nebudes.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 IE 11.0

Při podepisování eReceptu nikam nevystavuješ svůj privátní klíč na server. Tím, že zadáš cestu a heslo k vyexpotovanému certifikátu, který máte uložený na svém PC, jenom provedeš podepsání právě vystaveného eReceptu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 IE 11.0

Jenom doplním, ten export dle návodu se provádí proto, že webová aplikace neumí přistupovat do úložiště certifikátů Windows, proto je nutné certifikát exportovat do podoby *.pfx, případně může být uložený i na přenosném USB klíči - tokenu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Linux Firefox 58.0

arco-cz: ono to vypadá jako klasické okno prohlížeče pro "upload souboru", ty myslíš, že po vybrání souboru probíhá jen nějaká klient-side validace?jen doplním, že ten proces "vybrání certifikátu" vypadá přesně takto: https://www.epreskripce.cz/sites/default/files/soubo... (čas 5:02)

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 IE 11.0

Nemyslím, já to vím.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Linux Firefox 58.0

autor projektu? můžu se jen zeptat, jak se tahle webová technologie jmenuje? stačí mi nějaké heslo, zbytek už si dohledám

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 IE 11.0

Autor zrovna ne, ale podílím se na technické implementaci, instalaci a podpoře EET a eReceptů.https://cs.wikipedia.org/wiki/Elektronick%C3%BD_po...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 58.0

Jak se podepíše e-recept, pokud mám certifikát vč. soukromého klíče na tokenu?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Linux Firefox 58.0

mě by zajímalo, jak to funguje technicky v prohlížeči, jestli je to závislé na IE, jestli to vyžaduje JS, či jinou technologiipoznámka bokem je, že na stejném počítači nefunguje podepsání přes aplikaci ERecept Signer (píše chybovou hlášku "byl zadán neplatný algoritmus") a když certifikát exportuju a použiju metodu "výběru cesty k certifikátu", tak to projde... a doptat se na tyto informace na podpoře ereceptu je nereálné (tam mi řekli, že míchám komerční a osobní certifikát)

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 58.0

a nemícháš?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Linux Firefox 58.0

a bylo by to vůbec reálně možné míchat, pokud:a) metoda "vybrat podepisovací certifikát (pfx)" mi fungujeb) metoda "ERecept Signer" na stejném počítači hlasí onu chybu "byl zadán neplatný algoritmus"?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 58.0

bylo, systém rozezná certifikáty až při práci s nima, formát navenek působí stejným dojmem včetně přípon atp. ... pro jistotu, od koho jsou certifikáty vydané?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Linux Firefox 58.0

Česká pošta -- a je používaný i na konci měsíce pro komunikaci s pojišťovnami

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 IE 11.0

https://www.epreskripce.cz/sites/default/files/dokum... A můžeš studovat.Hlavně aby Ti zbyl nějaký čas i na ty pacienty. Toho dnes mají lékaři již takhle velice málo, většinu ho stráví sepisováním zprávy, vypisováním eReceptů a na vlastní vyšetření pacienta jim už téměř žádný nezbývá.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 63.0.3239.132

Pokud jsem dobře četl, tak se jedná o nahrání PK podpisového certifikátu pro mobilní aplikaci na vaše zařízení, nikoliv na nějaký server.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Linux Firefox 58.0

https://www.epreskripce.cz/sites/default/files/soubo... (čas 5:02) -- přesně takto vypadá dialog pro vybrání cesty k certifikátu ve webové aplikaci (tzn. nikoli v mobilní)

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 58.0

podle toho videa to vypadá, že se udělá jen otisk certifikátu a ten otisk pak putuje dál, tj. neuploaduje se certifikát jako takový, není tam nějaký activex prvek nebo něco podobného?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Linux Firefox 58.0

v pohlížeči (IE) nic explicitně nepovoluji (žádné rozšíření), po kliknutí na tlačítko "odeslat" to probíhá stejně jako na videu

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 63.0.3239.132

NE!Co by server mohl vyžadovat je veřejná část certifikátu, aby si ověřili že jsi ten recept podepsal ty.Pokud mají aplikaci udělanou tak blbě že se erecept a privátní klíč certifikátu odešle na jejich server a k samotnému podpisu dojde až na jejich serveru tak to snad ani není chyba. To je ignorování všech bezpečnostních opatření a zásadní problém v návrhu celé aplikace. Privátní klíč by nikdy neměl opustit "prostor" který je výhradně pod tvojí správou a kde přesně víš kdo k tomu má přístup.Ikdyž za určitých okolností by se dalo přistoupit i na to že se soukromý klíč odešle na cizí server, ale v tom případě by to vyžadovalo mít s provozovatelem toho webu nějakou smlouvu, kde je přesně stanoveno jakým způsobem s tím bude zacházet a ty budeš muset být velice obezřetný a kontrolovat zda komunikuješ s tím správným serverem, aby jsi certifikát neposlal nějakému podvodníkovy.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 56.0

ANO! Během exportu ani při nahrávání klíče na cizí server nebezpečí nehrozí, takže obě operace jsou bezpečné.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 63.0

To snad nemyslíte vážně, běžte si trollovat někam jinam... Rozhodně NE, není to správně. Celá filozofie certifikátů je založená na tom, co psal někdo výše - tedy že nikdy privátní klíč neopustí "prostor", který spravuje jenom ten daný uživatel - tedy buď PC (dřívější podpisy ne-eIDAS) a nebo USB Token (eIDAS).Je to srovnatelné, jako kdybyste někomu dal svoji ruku, aby s ní mohl podepisovat... přesně tak je zapotřebí certifikát chápat a má to i stejné právní dopady!!

Souhlasím  |  Nesouhlasím  |  Odpovědět

Související témata: Cizí server, Privátní klíč, Lékař, Webová aplikace


Určitě si přečtěte

17 užitečných tipů a triků pro Mapy Googlu, které byste měli znát

17 užitečných tipů a triků pro Mapy Googlu, které byste měli znát

** Mapy Googlu mají spoustu funkcí, které jsou často přehlíženy ** Využijte například podrobnější možnosti plánování cest ** Hodit se mohou i tipy na sdílení nebo pohledy do minulosti

Karel Kilián | 25

Pojďme programovat elektroniku: Co se skrývá uvnitř běžné SD karty a jak ji oživit

Pojďme programovat elektroniku: Co se skrývá uvnitř běžné SD karty a jak ji oživit

** Máme ji v mobilech a fotoaparátech ** SD karta je dnes už standard ** A proto ji zkusíme připojit i k Arduinu

Jakub Čížek | 20

Vyzkoušeli jsme TP-Link Deco P9: zajistí doma Wi-Fi díky drátům ve zdi

Vyzkoušeli jsme TP-Link Deco P9: zajistí doma Wi-Fi díky drátům ve zdi

** Nová generace Mesh Wi-Fi s propojením přes elektrické rozvody ** Lepší parametry a nižší cena než u předchůdce ** Aplikace zatím podporuje jen základní nastavení bez rozšířených funkcí

Tomáš Holčík | 25

Výkon herního počítače za 139 Kč nebo i úplně zadarmo. Geforce Now startuje!

Výkon herního počítače za 139 Kč nebo i úplně zadarmo. Geforce Now startuje!

** Dlouhý betatest končí a nyní všichni mohou hrát přes internet ** Nemusíte žádné hry kupovat znovu. Jede to, co už máte v knihovnách na Steamu, Uplay, Battle.net a jinde ** Roční náklady odpovídají ceně jedné běžné hry

Tomáš Holčík | 53

Nejlevnější router s Wi-Fi 6 v testu: vážně ještě chcete kupovat routery jen pro 802.11ac?

Nejlevnější router s Wi-Fi 6 v testu: vážně ještě chcete kupovat routery jen pro 802.11ac?

** Otestovali jsme TP-Link Archer AX10, nejdostupnější router s Wi-Fi 6 ** Šetřilo se, ale zatím ty ústupky tolik nebolí ** Pro domácí síťování pohodlná volba, do firmy ale chcete něco lepšího

Tomáš Holčík | 45



Aktuální číslo časopisu Computer

Velký test autokamer

Test ATX skříní

Jak surfovat pohodlně

Sportovní aplikace

Jak funguje procesor