Disig

Máme jasnú víziu do budúcnosti

Vyhlásenie pre držiteľov certifikátov na eID a eDoPP kartách

24. októbra 2017

eid_infineon

Vyhlásenie prevádzkovateľa certifikačných autorít SVK eID ACA/PCA/SCA pre držiteľov kvalifikovaného certifikátu pre elektronický podpis, certifikátu na podpisovanie a certifikátu na šifrovanie uložených na eID a eDoPP kartách.

V zmysle Nariadenia Európskeho parlamentu a Rady č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o rušení smernice 1999/93/ES (Nariadenie eIDAS) poskytovatelia dôveryhodných služieb prijmú vhodné technické a organizačné opatrenia na riadenie rizík ohrozujúcich bezpečnosť dôveryhodných služieb, ktoré poskytujú. V zmysle Nariadenia eIDAS, ak môže narušenie bezpečnosti alebo integrity negatívne ovplyvniť fyzickú alebo právnickú osobu, ktorej sa dôveryhodná služba poskytovala, poskytovateľ dôveryhodných služieb oznámi narušenie bezpečnosti alebo integrity aj tejto fyzickej či právnickej osobe.

Spoločnosť Disig, a.s., ako poskytovateľ dôveryhodných služieb a prevádzkovateľ certifikačných autorít SVK eID ACA/PCA/SCA, ktoré občanom vydali certifikáty na verejný kľúč z kľúčových párov generovaných na elektronických občianskych preukazoch (eID) respektíve elektronických dokladoch o pobyte (eDoPP) vydávaných MV SR, informuje o postupe, ktorý plánuje realizovať v najbližších dňoch.

Vzhľadom k potencionálnej zraniteľnosti slovenských eID kariet (CVE-2017-15361) a dostupným informáciám (vrátane informácií od výrobcu čipu a ďalších dotknutých autorít spolu s blížiacim sa termínom zverejnenia ďalších detailov zraniteľnosti), ktoré naznačujú jej možné budúce zneužitie, sme sa ako poskytovateľ služieb po zhodnotení možných rizík a prípadných incidentov pre držiteľov certifikátov uložených na eID a eDoPP kartách rozhodli, že najneskôr dňa 2.11.2017 pristúpime k zrušeniu všetkých certifikátov, ktoré boli vydané certifikačnými autoritami SVK eID ACA/PCA/SCA na eID a eDoPP karty.

Občanom týmto krokom chceme umožniť splniť si v rámci aktuálneho mesiaca zákonom stanovené povinnosti súvisiace s agendou elektronickej komunikácie so štátnou správou.

Do obdobia, kedy prikročíme k plošnému zrušeniu uvedených certifikátov, odporúčame držiteľom, ktorí prostredníctvom eID a eDoPP kariet vyhotovovali v minulosti kvalifikovaný elektronický podpis bez časovej pečiatky, aby si ho, v zmysle odporúčaní NBÚ, doplnili o kvalifikovanú elektronickú časovú pečiatku, alebo ho uložili u kvalifikovanej dôveryhodnej služby uchovávania kvalifikovaných elektronických podpisov.

V zmysle platnej certifikačnej politiky SVK eID ACA/PCA/SCA bude o zrušení certifikátu každý držiteľ informovaný prostredníctvom vydaného zoznamu zrušených certifikátov (CRL). Tí držitelia, ktorí uviedli v žiadosti o uvedené doklady svoje telefónne číslo, budú, v zmysle prísľubu MV SR, o zrušení certifikátov informovaní prostredníctvom SMS od Ministerstva vnútra Slovenskej republiky.

Po zrušení certifikátov uložených na eID a eDoPP kartách bude možné i naďalej vyhotovovať kvalifikované elektronické podpisy pomocou komerčne dostupných kvalifikovaných certifikátov uložených na iných certifikovaných kvalifikovaných zariadeniach.