Certifikačná autorita ČAK: Sodoma Gomora

26. januára 2015 | Michael Grafnetter

Česká Advokátní Komora (ČAK) vydáva všetkým advokátom a advokátskym koncipientom čipové identifikačné preukazy postavené na kartách HID Crescendo C700. Nedávno som sa k jednému takémuto preukazu dostal, keď som pomáhal kamarátke s prístupom do dátovej schránky. Pri pohľade na certifikát vystavený certifikačnou autoritou ČAK, ktorý bol na čipe nahraný, som sa nestačil diviť vlastným očiam. Jedná sa o ukážkový príklad toho, ako by sa nemala nakonfigurovať certifikačná autorita.

Dump certifikátu

Tuto je anonymizovaný dump certifikátu získaný pomocou príkazu certutil -dump:

Version: 3
Serial Number: 20b2a634beacb4be124f
Signature Algorithm: sha512RSA
Issuer: CN=CAK-CAWS
NotBefore: 8/23/2014 11:46
NotAfter: 8/23/2019 11:56
Subject: CN=JUDr. KAREL NOVÁK
Public Key Algorithm: RSA
Public Key Length: 2048 bits
Key Usage:

  • Digital Signature
  • Non-Repudiation
  • Key Encipherment
  • Data Encipherment

Enhanced Key Usage: Client Authentication
Subject Alternative Name:

  • Other Name: Principal Name=“12458″
  • Other Name: Principal Name=“A“

CRL Distribution Points:

  • URL=http://win-js5ffai62i4/CertEnroll/CAK-CAWS(1).crl
  • URL=file://WIN-JS5FFAI62I4/CertEnroll/CAK-CAWS(1).crl

Authority Information Access:

  • URL=http://win-js5ffai62i4/CertEnroll/WIN-JS5FFAI62I4_CAK-CAWS(2).crt
  • URL=file://WIN-JS5FFAI62I4/CertEnroll/WIN-JS5FFAI62I4_CAK-CAWS(2).crt

Dump nie je kompletný, pretože som pozmenil alebo odstránil všetky osobné informácie. Z tvaru CRL a AIA URL je jasné, že bol certifikát vydaný pomocou Active Directory Certificate Services, nakonfigurovanej pravdepodobne v režime Standalone Root CA.

Chyby v konfigurácii

Z certifikátu je vidno viacero nedostatkov v konfigurácii resp. politike CA. Toto sú najzávažnejšie z nich:

Východzí názov serveru

Názov serveru, na ktorom beží certifikačná autorita, je WIN-JS5FFAI62I4. Áno, je to východzí názov, ktorý si vygeneroval Windows Server v rámci inštalačného procesu a príslušný správca si nedal tú námahu ho premenovať. To je doslova amaterizmus.

Nedostupné CRL a CDP

Keby ste tento certifikát chceli na svojom počítači zvalidovať, tak máte smolu: Mimo internú sieť ČAKu sa Vám nepodarí stiahnuť Certificate Revocation List (CRL) ani certifikát certifikačnej autority na základe Authority Information Access (AIA). URL v certifikáte totiž obsahujú len NetBIOS názov serveru, namiesto nejakého verejného DNS názvu, napríklad http://www.cak.cz/ca/cak_caws_2014.crt. Nehovoriac o tom, že okrem HTTP URL je v certifikáte aj FILE (tzn. SMB) URL a to býva tiež dostupné len z intranetu.

Keby sa jednalo o certifikáty používané len v rámci intranetu v sídle ČAK, tak nič nepoviem. Ale u certifikátov, ktoré majú byť používané v externom prostredí a sú vydávané širokému okruhu ľudí (v ČR je cca. 14 000 advokátov a koncipientov) sa podľa mňa jedná o zásadnú chybu.

Konfliktný subjekt

Vzhľadom k tomu, že v subjekte je uvedený len titul, krstné meno a priezvisko a v ČR sa pravdepodobne nájdu advokáti s rovnakým menom, budú určite vznikať konflikty. Chýba tam nejaký jednoznačný identifikátor, napríklad adresa pôsobnosti.

Položka Subject Alternative Name (SAN) obsahuje číslo advokátskeho preukazu a nejednoznačnosť aspoň trochu napráva. Dojem ale kazí záhadný identifikátor Principal Name=“A“, ktorý zrejme nebude unikátny naprieč certifikátmi. Predpokladám, že to má odlíšiť advokáta (A) od koncipienta (K). To sa ovšem typicky rieši cez OU v subjekte alebo SAN dirName.

Pofidérny middleware

Príliš veľkú dôveru vo mne nevzbudila ani aplikácia Průvodce kartou ČAK, ktorá má uľahčiť správu certifikátov na karte:

Pruvodce kartou ČAK

Certifikátov nie je nikdy dosť

Otázny je aj samotný zmysel vydávania týchto certifikátov. Pokiaľ chcú advokáti pristupovať do dátovej schránky a robiť konverziu dokumentov, aj tak potrebujú mať kvalifikovaný a komerčný certifikát od riadnej certifikačnej autority. Takže dohromady má bežný advokát v ČR minimálne 3 rôzne certifikáty, ktoré si musí obnovovať pred ukončením ich platnosti. No a pri tom už človeku ostáva stáť rozum.

Záver

Celé to na mňa pôsobí dojmom, že CA ČAK bola šitá horúcou ihlou, bez zamyslenia sa nad jej účelom a konfiguráciou. To je ČAK skutočne tak chudobná organizácia, že musí šetriť na svojom IT a zveriť ho „bastličom“? Osobne by som niečo takéto v živote nepustil z ruky.

Na celej veci som našiel len jedno pozitívum: Každý advokát dostane čipovú kartu, na ktorú si môže uložiť svoje certifikáty, ktoré sa mu tým pádom nebudú len tak „povaľovať“ na disku či flashke. Niekto by mohol namietať, že k tomuto účelu predsa majú slúžiť nové čipové občianske preukazy, ale ich rozšírenosť je zatiaľ mizivá, pretože čip je v nich len za príplatok.


Tags:

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.