Pošta vydáva listy po vizuálnej kontrole eDokladov. Zrejme to nie je bezpečné

S prvotným sprístupnením elektronickej verzie dokladov v podobe aplikácie eDoklady ministerstvom vnútra sa prvou organizáciou, ktorá začala akceptovať túto verziu dokladov okrem polície, stala Slovenská pošta. Pošta ale doklady na svojich pobočkách akceptuje kontroverzne, iba na základe ich vizuálnej kontroly v mobilnej aplikácii. To zrejme nie je bezpečné.

Značky: Slovenskoe-government

DSL.sk, 6.5.2025

S prvotným sprístupnením elektronickej verzie dokladov v podobe aplikácie eDoklady ministerstvom vnútra sa prvou organizáciou, ktorá začala akceptovať túto verziu dokladov okrem polície, stala Slovenská pošta.

Pošta ale doklady na svojich pobočkách akceptuje kontroverzne, iba na základe ich vizuálnej kontroly v mobilnej aplikácii. To zrejme nie je bezpečné.

eDoklady

Ministerstvo vnútra predstavilo elektronickú verziu dokladov eDoklady v polovici apríla. Elektronická verzia je dostupná v podobe mobilnej aplikácie eDoklady pre Android a iOS.

Elektronická verzia jeho dokladov je užívateľovi do aplikácie sprístupnená na základe jeho vytvorenej tzv. mobilnej identity, e-Identita, po overení elektronickým preukazom s čipom. e-Identita je postavená na technológii passkeys, po potvrdení identity užívateľ získava pre zariadenie elektronickú identitu v podobe passkey.

Technickú špecifikáciu fungovania eDokladov ministerstvo s uvedením zrejme nezverejnilo. Aplikácia síce ukazuje vizuálnu podobu dokladu, doklad uložený v aplikácii sa samozrejme ale štandardne overuje elektronicky a nie vizuálne.

Podľa spôsobu fungovania a dokumentácie fungovania v súčasnosti nie sú zrejme aplikáciou prezentované samostatné pomocou kryptografie overiteľné elektronické doklady. Pri kontrole dokladu načítaním QR kódu čítačkou kontrolujúcou osobou je podľa popisu zrejme iba vytvorená požiadavka na sprístupnenie dokladu, tú vlastník dokladu schváli a doklad sa následne kontrolujúcej osobe stiahne zo štátneho systému, pričom aj zariadenie užívateľa potrebuje pri kontrole prístup na Internet.

Slovenská pošta

Hneď v deň sprístupnenia eDokladov avizovala podporu nových elektronických dokladov prvá organizácia okrem polície, Slovenská pošta. Pošta avizovala, že pri overovaní totožnosti začína akceptovať nový elektronický občiansky preukaz v eDoklady.

Na jeho základe začala pošta vydávať doporučené a poistené listy, balíkové zásielky aj vyplácať poštové poukazy okrem poukazov označených textom "Výplata dávok".

Formulácie z oznámenia ale naznačovali, že pošta nepoužíva elektronické overovanie dokladov v eDoklady ale iba ich vizuálnu kontrolu. Pošta to v stanovisku pre DSL.sk následne aj potvrdila. "V aktuálnej fáze pilotného projektu prebieha overenie totožnosti výhradne vizuálnou kontrolou digitálneho občianskeho preukazu (OP) v oficiálnej mobilnej aplikácii eDoklady," potvrdila v stanovisku.

Hoci štát zrejme nezverejnil detaily fungovania elektronického overovania dokladov v eDoklady, dá sa samozrejme predpokladať že sa používa technicky bezpečný princíp elektronického overovania.

Overovanie iba vizuálnou kontrolou aplikácie eDoklady naopak z princípu bezpečné nie je. Okrem iných scenárov môže užívateľ pri kontrole používať prípadnú falošnú aplikáciu, ktorá vyzerá ako eDoklady, správa sa ako eDoklady, volá sa eDoklady ale prezentuje falošné doklady.

Použitie falošnej aplikácie

Hoci nie je jasné ako efektívne je možné na vytvorenie takejto falošnej aplikácie najmä na Androide využiť modifikáciu oficiálnej aplikácie, v každom prípade vytvorenie takejto falošnej aplikácie vyzerajúcej a správajúcej sa ako eDoklady je nepochybne rádovo jednoduchšie a lacnejšie ako vytvorenie kvalitných falošných fyzických občianskych preukazov.

Slovenská pošta nedokázala uspokojivo uviesť, ako rieši riziko takéhoto scenáru. Napriek poukázaniu, že falošná aplikácia sa môže volať, vyzerať a správať rovnako ako oficiálna aplikácia eDoklady, pošta opakuje, že aplikáciu a doklady prezentované užívateľom akceptuje na základe toho ako aplikácia prezentovaná užívateľom vyzerá a funguje.

"Zákazník musí otvoriť aplikáciu eDoklady priamo pred pracovníkom pošty. Aplikácia musí byť plne funkčná - zamestnanec overuje, či je možné v nej scrollovať a zobraziť všetky údaje," uvádza napríklad.

Pošta sa v aprílovom stanovisku ohľadne bezpečnosti odvolávala na súčinnosť s ministerstvom vnútra a jeho metodické usmernenie k používaniu eDoklady. Nie je jasné, či metodické usmernenie rieši a odporúča vizuálnu kontrolu eDokladov. Pošta nám totiž usmernenie odmietla poskytnúť a odkázala nás ohľadne usmernenia na ministerstvo, ministerstvo na otázky do publikovania článku ale neodpovedalo.

Podľa informácií pošty sa využíva výlučne vizuálna kontrola eDoklady a informácie sa evidentne nekontrolujú v žiadnom inom systéme. Dajú sa samozrejme predstaviť prípadné ochranné prvky, ktoré by mohli pracovníci pri vizuálnej kontrole informácií v eDoklady kontrolovať. Nič z informácií pošty nenaznačuje, že sa niečo také využíva, a navyše vzhľadom na dnešné štandardy elektronickej bezpečnosti by to zrejme nebolo považované za reálnu bezpečnostnú ochranu.

eDoklady na pošte

Nie je jasné, či pre niekoho dáva zmysel pokúsiť sa získať zásielku alebo vyplatiť poukaz niekoho iného pomocou prezentovania falošných elektronických dokladov.

Na druhej strane nie je jasné, prečo po sprístupnení elektronických dokladov umožňujúcich reálnu elektronickú kontrolu začala pošta využívať vizuálnu kontrolu elektronických dokladov a nepočkala na nasadenie elektronického overovania. To spoločnosť plánuje.

"V budúcnosti bude overovanie ešte efektívnejšie a bezpečnejšie - cez QR kód, čo zrýchli vybavovanie klientov a zároveň uľahčí prácu našim priehradkovým zamestnancom aj doručovateľom. Implementácia tohto kroku je závislá od zabezpečenia technického vybavenia na pobočkách, následne bude prebiehať postupné rozširovanie služby na ďalšie pobočky a medzi doručovateľmi," uviedla pošta pre DSL.sk.

V súčasnosti eDoklady akceptuje pošta vizuálnou kontrolou iba na vybraných poštách, hlavných poštách v krajských mestách. Či plánuje tento spôsob overovania dokladov začať používať aj na ďalších poštách nie je jasné.




Najnovšie články:



Diskusia:

čudná bezpečnosť Od: Fajnšmeker | Pridané: 6.5.2025 12:52 Ako keby tých falošných QR kódov nebolo aj dosť. Odpovedať Známka: 5.0 Hodnotiť:

Re: čudná bezpečnosť Od: Raj zlodejov SD | Pridané: 6.5.2025 13:47 V Poľsku sú štyri rodinné mafiánske gengy a tým to bezpečné rozhodne príde. Podnikajú v tomto obore už roky, takže sú profesionálne. Odpovedať Hodnotiť:

dochodok Od: jakr | Pridané: 6.5.2025 13:10 ale zobrat bakin dochodok by uz bol zaujimave Odpovedať Hodnotiť:

Eau de Toilet Od: Mimonko | Pridané: 6.5.2025 13:14 Robite z toho zasa… ved do nedavna tie obcianske ani cipy nemali a podvadzal s nimi niekto? Odpovedať Známka: -6.7 Hodnotiť:

Re: Eau de Toilet Od: ehkjhkj | Pridané: 6.5.2025 13:29 Mozno podvadzali len o tom nevies... Mali by edoklady robit formou opt-in , to znamena ze musite si to sami vyziadat aby to bolo pristupne online ato iba osobne a pisomne na polici. Ak nie, defaultne by mali byt iba fyzicke doklady. a radsej kazde 2.-3 roky menit security fyzicky cip na obcianskom (cely obciansky) ako takete babracke riesenia. Odpovedať Hodnotiť:

ultraradikálny konšpiratorizmus Od: syntaxterrorXXX, . Y | Pridané: 6.5.2025 13:30 eDoklady sú aj tak len divadielko na roztopenie miliárd a autentifikácia priekazne už dávno prebieha cez čipy, čo boli vo vakcínach. Odpovedať Známka: 3.3 Hodnotiť:

5znak Od: XMen | Pridané: 6.5.2025 13:49 Aj vam tie eDoklady niekomu funguju? Mne sa to stale cykli na prihladovacej obrazovke. Skusal som aj zmenit def. browser a je jedno aky pouzijem. Zadam kluc, vzor a vratim sa na prihlasenie a bez chybovej hlasky. Odpovedať Hodnotiť:

dnes má meniny Hemeromína Od: Teta Žoržeta | Pridané: 6.5.2025 13:52 Lebo uz mas priekazne hacknuty edoklad, a prihlasuje sa s nim niekto iny. :o) Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár