?

Log in

 
 
02 June 2017 @ 10:23 am
 
Недавно мимо меня пробегало новенькое израильское удостоверение личности (теудат зеут) - уже не бумажка, а смарткарта - и я, конечно, тут же его зацапал глянуть, что на ентой смарткарте есть. Мда. После потрошения ейного сертификата могу честно сказать - построено ужасно, просто ужасно.

Технические потроха:

1. Поле AIA - линк на службу проверки статуса сертификатов, OCSP:
  • http://va.igcas.gov.il/ocsp/ocsp.cgi
    Такой хост DNS-у просто неизвестен, и служба, соответственно, недоступна.

    Время жизни CRL - три дня. Что означает, если моё удостоверение покрано, то даже если МВД отзовёт сертификат немедленно - то может пройти полных три дня, пока он перестанет приниматься сторонами, проверяющими этот CRL.

    2. Поле AIA - линк на вышестоящий сертификат выглядит так:
  • https://www.igcas.gov.il/cert/ilgov-res.authca-12-01.cer
    Этим идиотам никто не объяснил, что использовать HTTPS для линков в AIA и CDP нельзя? Потому что может возникнуть логическая петля?
    Да к тому же и линк битый.

    То есть если у меня есть корневой сертификат, и мне надо проверить сертификат со смарткарты, а промежуточного у меня нет - то увы мне. Цепочку не выстроить.

    Аналогичный линк с промежуточного на корневой:
  • https://www.igcas.gov.il/cert/ilgov-res-authrootca-12-01.cer
    Опять HTTPS, но на этот раз хотя б линк не битый. Зато сервер отдаёт сертификат с неправильным MIME-type: text/html вместо application/x-x509-ca-cert.

    3. Линки на CRL - их два:
    В конечном:
  • http://crl.igcas.gov.il/crl/ilgov-res-authca-12-01.crl
  • http://crl2.igcas.gov.il/crl/ilgov-res-authca-12-01.crl

    В промежуточном:
  • http://crl.igcas.gov.il/crl/ilgov-res-authrootca-12-01.crl
  • http://crl2.igcas.gov.il/crl/ilgov-res-authrootca-12-01.crl
    Второй в паре - битый, хост crl2.igcas.gov.il на подключения не отвечает.

    4. Линки на документы с policy:
    В промежуточном:
  • https://cps.igcas.gov.il/cp/ilgov-res-authcert-v1.html

    В корневом:
  • http://cps.igcas.gov.il/cp/ilgov-res-authcert-v1.html

    Как ни странно, рабочие, хотя один из них с HTTPS, причём сайт оборудован неизвестным никому сертификатом, поэтому браузер выбрасывает ошибку. Впрочем, кто её читает, эту галиматью?

    5. В поле SAN значится такое:
  • Principal Name=номер_ID@res.igcas.gov.il
    Такой хост DNS-у неизвестен. Не то, чтобы это проблема, но жалко: можно было бы каждому сделать официальный мейлбокс или алиас.

    6. Поле "Enhanced Key Usage":
  • Client Authentication
  • Smart Card Logon
    А почему не Document Signing, к примеру? Да, шифровать ключом, у которого нет бэкапа, и впрямь не стоит - но почему не дать людям возможность документы подписывать, например?

    7. Subject корневого выглядит вот так:
    CN = Residents eID Root CA 12-01
    OU = Population and Immigration Authority
    O = Government of Israel
    C = IL

    А почему бы не произвезти его от главного государственного сертификата, тем более, что такой, похоже, есть: Government of Israel Root CA G2 (правда, эти кретины отдают его мало того, что в бинарном формате, так ещё и с кривым MIME-type)? Чтобы цепочку доверия можно было легче выстроить?


    В общем, сработано халтурщиками, которым возможности и детали технологии совершенно пофигу, базовая функциональность есть - и слава богу. Скажу без ложной скромности, я бы лучше сделал.

    Если кто хочет повтыкать в детали сам - припадайте. "Leaf" сертификат со смарткарты не выкладываю из соображений приватности владельца, а правительственные - на здоровье.
  •  
     
    Current Music: Porcupine Tree - Every Home Is Wired
     
     
     
    Dizzy: Dizzy-Natsudzz on June 2nd, 2017 07:39 am (UTC)
    Такое впечатление, что подготовку ТЗ на карты поручили одним людям, а ТЗ на создание инфраструктуры - другим. А потом "что-то не сошлось" :)
    Налицо отсутствие авторского надзора по проекту, на самом деле.

    Edited at 2017-06-02 07:40 am (UTC)
    Кот Муцийcat_mucius on June 3rd, 2017 09:35 am (UTC)
    Ну, во-первых, да, заказчик явно не знал, как проверить то, что ему сдали. А во-вторых, потенциал технологии остался явно не понят - то есть никто и не задавался вопросом "а как эту штуку можно использовать в Интернете или ещё в каких сетях". На каких-нибудь терминалах МВД работает - ну и славненько.
    Dizzy: Dizzy-Natsudzz on June 3rd, 2017 10:44 am (UTC)
    Как вариант - слизали с какого-нибудь "best practice", не особенно понимая, что зачем.

    > На каких-нибудь терминалах МВД работает - ну и славненько.

    С нашими госорганами и военными это, кстати, сплошь и рядом ;)
    tsiryatsirya on June 2nd, 2017 09:07 am (UTC)
    То есть не спешить делать новый теудат зеут? :)
    Кот Муцийcat_mucius on June 3rd, 2017 09:48 am (UTC)
    We should SWOT this. :-)

    На самом деле, эти проблемы сейчас малорелевантны, потому что и приложения для этих карт сейчас практически нет - ты не можешь залогиниться с этим теудат зеутом на сайт банка, скажем, или больничной кассы, или хоть самого же МВД, или хотя бы деньги из банкомата с ним снять.

    Хотя потенциал огромный - вот когда его начнут приводить в действие, тогда эти все баги и повылезут. А технология, которую не используют, по определению беспроблемна. :-)

    С другой стороны, я и сам не спешу этой карточкой обзаводиться - делать мне с ней особо нечего, наличие единой базы данных мне не нравится, а от identity theft её наличие меня само по себе не защищает - покуда бумажные теудат зеуты принимаются. Когда их перестанут принимать, тогда и толк в этом смысле будет.
    Линксlynx9 on June 2nd, 2017 10:23 am (UTC)
    А напиши им . Без шуток. Глядишь еще и пригласят сделать лучше 😊
    Кот Муцийcat_mucius on June 3rd, 2017 09:37 am (UTC)
    Я б написал, на самом деле, не знаю лишь куда.