Доска почёта ЭЦП — aisoip.adilet.gov.kz
Автоматизированная информационная система органов исполнительного производства — это информационная система Министерства юстиции Республики Казахстан.
При анализе обнаружено одно замечание жёлтого уровня [😐] (об уровнях).
😐 Неполное использование цифрового сертификата при регистрации
Для регистрации в информационной системе необходим сертификат, выданный удостоверяющим центром, но его не используют для подписания, а только получают из сертификата данные о субъекте. Вероятно, таким образом не дают регистрироваться тем, кто ещё не получил сертификаты в НУЦ.
Важно понимать, что сертификат пользователя является общедоступной информацией, сертификаты присутствуют во всех корректно созданных цифровых подписях, то есть злоумышленнику достаточно получить доступ к какому-либо электронному документу, подписанному ЭЦП гражданина, и он получит доступ к сертификату данного гражданина. Открытый ключ ЭЦП также хранится в сертификате.
Потенциально, злоумышленник может зарегистрироваться в системе от имени других граждан.
Аутентификация в информационной системе реализована по логину и паролю, без участия ЭЦП.
Vladimir Turekhanov ・ April 21, 2021