Ďalší významný dopad zistení slovenských výskumníkov za ROCA, zraniteľné sú populárne autentifikačné karty

Značky: kauza zraniteľných eIDbezpečnosťInternet

DSL.sk, 24.10.2017

Zistenia slovensko-českého tímu z Masarykovej univerzity, ktorý odhalil slabinu RSA kľúčov generovaných na kryptografických čipoch od Infineon a našiel efektívny útok ROCA, majú ďalší významný a vážny praktický dopad.

Trpia ňou evidentne aj populárne autentifikačné karty Gemalto IDPrime .NET, upozornila spoločnosť Enigma Bridge, kde pracujú aj dvaja z členov tímu.

Karty sa používajú na autentifikáciu zamestnancov pri prístupe k počítačovým sieťam a iným zdrojom vo veľkých korporáciách.

Predaj kariet skončil podľa dostupných informácií v tomto septembri, mnohé veľké firmy a ďalšie organizácie ale používajú stále zrejme mnohé milióny týchto kariet.

Pripomíname, že slovensko-český tím výskumníkov identifikoval slabinu v RSA kľúčoch generovaných niektorými kryptografickými čipmi Infineonu. V dôsledku tejto zraniteľnosti nachádzajúcej sa v knižnici na rýchlejšie generovanie kľúčov je možné pomerne efektívne faktorizovať verejný RSA kľúč vygenerovaný takýmto čipom, teda rozložiť jeho modulus na súčin prvočísel a teda zistiť privátny kľúč.

Gemalto IDPrime .NET, kliknite pre zväčšenie (foto: Gemalto)

Ten umožňuje následne uskutočňovať také isté operácie aké môže uskutočňovať legitímny držiteľ kľúča, napríklad zaňho podpisovať alebo dešifrovať šifrovanú komunikáciu určenú držiteľovi. V prípade autentifikačných kariet to znamená napríklad potenciálnu možnosť naklonovať kartu respektíve jej funkčnosť a vydávať sa za daného držiteľa.

Enigma Bridge dostala hlásenia o zraniteľných kľúčoch detekovaných zverejneným nástrojom výskumníkov na kartách Gemalto IDPrime.NET vydaných už od roku 2008. Ako zodpovedná organizácia, ktorá prípadne chce reálne overiť zraniteľnosť kľúčov, vygenerovala na danej karte kľúč a požiadala tím výskumníkov z Masarykovej univerzity aby pre ňu kľúč zlomili.

Použitý bol len 512-bitový kľúč, ktorý sa dnes dá lámať aj hrubou silou, test ale preukázal reálnu efektívnosť na kľúče generované na týchto kartách. Namiesto potrebných dní bol totiž jeden kľúč zlomený na málo výkonnom počítači za 20 minút, ďalší za 3 minúty na notebooku.

Problém ROCA sme popisovali v tomto článku a následne v celej sérii článkov venujúcich sa najmä dopadu na slovenské eID.

Praktický problém kvôli tomu majú napríklad TPM moduly v počítačoch, keď nimi generované kľúče neboli bezpečné a napríklad disk zašifrovaný riešeniami využívajúcimi pritom TPM na generovanie RSA kľúčov nie je zašifrovaný dostatočne bezpečne.

Ďalším vážnym dopadom sú zraniteľné elektronické občianske eID vrátane slovenských, vďaka čomu je možné po zlomení kľúčov z certifikátov falšovať kvalifikovaný podpis občanov s rovnakou účinnosťou ako vlastnoručný podpis.




Najnovšie články:



Diskusia:

Kvalita Od: Ja som | Pridané: 24.10.2017 10:17 "...ďalší za 3 minúty na notebooku..." Tak to uz skoro, ako vo filmoch. :D Odpovedať Známka: 8.8 Hodnotiť:

Re: Kvalita Od reg.: K-NinetyNine | Pridané: 24.10.2017 10:58 aby to bolo ako vo filmoch, tak by musel hacker pocas lamania kluca hrat space invaders, alebo inu podobnu primitivnu hru, zbytocne prevedenu to neprehladneho 3D. Odpovedať Známka: 7.8 Hodnotiť:

Re: Kvalita Od: gfjfg | Pridané: 24.10.2017 12:04 prehadzovat si pero medzi prstami a za nim musi stat niekto, kto sa ho aspon 5x opyta, kedy to uz bude Odpovedať Známka: 10.0 Hodnotiť:

Re: Kvalita Od: sak ja ne? | Pridané: 24.10.2017 12:13 A zatiaľ sa hacker snaží spomenúť si ktorým tlačidlom sa hackuje Odpovedať Známka: 8.7 Hodnotiť:

Re: Kvalita Od: prihlásený užívateľ | Pridané: 24.10.2017 12:22 Presne tak. Ceelkom, ako Boris. https://i.imgur.com/QgAMxOC.gif Odpovedať Hodnotiť:

Re: Kvalita Od: prihlásený užívateľ | Pridané: 24.10.2017 13:43 Pripadne, teda este iny level hackovania, vid film Swordfish. :D https://youtu.be/zfy5dFhw3ik Odpovedať Známka: 10.0 Hodnotiť:

štátna tajomníčka rezortu vnútra Denisa Saková SMER SD Od: Denisa Saková SMER SD | Pridané: 24.10.2017 20:52 Tento problém je len teoretický. Tento problém je len teoretický. Tento problém je len teoretický. Tento problém je len teoretický. Vy tomu nerozumiete tu rozhodujú iný. Odpovedať Hodnotiť:

Re: štátna tajomníčka rezortu vnútra Denisa Saková SMER SD Od: čitateľ | Pridané: 25.10.2017 7:27 Chúďa Denisa, ani tú gramatiku nevie? Odpovedať Hodnotiť:

Re: Kvalita Od reg.: Zapredaný | Pridané: 24.10.2017 12:48 viz: http://dopice.sk/kqU <3 Odpovedať Hodnotiť:

Re: Kvalita Od: a6666666 | Pridané: 24.10.2017 12:55 cela tato doba ide do kytek dufam ze aj anal bude na ekluc, aby som mohol pretahovat kohokolvek kedykolvek jednoduchym hackom Odpovedať Známka: 0.0 Hodnotiť:

20min Od: Koumak | Pridané: 24.10.2017 10:18 Takze vpodstate obratom poslali spolocnosti desifrovany kluc, cim v danej spolocnosti management spravil hromadne harakiri, lebo si nedokazali prijat zlyhanie a pri predstave mozneho odskodnenia im zamrzla sanka? ;) Odpovedať Známka: 3.3 Hodnotiť:

Re: 20min Od: syntaxterrorX XX | Pridané: 24.10.2017 10:47 Hromadne harakiri managementu moze byt little bit tricky, nakolko harakiri je priekazne vrcholnym prejavom ultrapravicoveho extremizmu. Odpovedať Známka: -1.7 Hodnotiť:

Re: 20min Od: Klávesnice | Pridané: 24.10.2017 16:13 Čím viac harakiri tým menej harakiri. To dá rozum... Odpovedať Známka: 10.0 Hodnotiť:

Re: 20min Od: trolololo | Pridané: 24.10.2017 20:49 hmmm harakiri, to je niečo ako čevapčiči? Odpovedať Známka: 3.3 Hodnotiť:

šak prečo nie :D Od: KEK-BUR | Pridané: 24.10.2017 10:19 Tento október je v znamení samých pozitívnych správ jak tak kukám :D securiťáci sa asi nenudia :D Odpovedať Známka: 6.0 Hodnotiť:

Re: šak prečo nie :D Od: dj_v | Pridané: 24.10.2017 11:21 black october for isecurity Odpovedať Známka: 5.6 Hodnotiť:

výskumníkov za ROCA Od reg.: kamaradzkosicrobihiphopcijeho | Pridané: 24.10.2017 11:12 toz mensi kviz. Objavene zranitelnosti su : a)nevedoma chyba zo strany vyrobcu. b)zadne dvierka vlozene vyrobcom z donutenia. Odpovedať Známka: 5.3 Hodnotiť:

Re: výskumníkov za ROCA Od: sak ja ne? | Pridané: 24.10.2017 11:38 c) 0 shits given by developer Odpovedať Známka: 8.6 Hodnotiť:

Re: výskumníkov za ROCA Od: koumak | Pridané: 24.10.2017 19:42 d) koniec pracovnej doby kryptografa, nefunkcny vytah a MHD ide o 5 minut... odovzdanie projektu pri rannej porade. Odpovedať Známka: 7.1 Hodnotiť:

Pošli kvety Od: dnes má meniny Kvetoslava | Pridané: 24.10.2017 11:14 Patty James ;) Odpovedať Známka: 5.0 Hodnotiť:

Mienkotvornosť ^devet Od: syntaxterrorX XX | Pridané: 24.10.2017 13:50 Najvýznamnejší dopad zistení slovenských výskumníkov! "odborný portál DSL.sk" https://tinyurl.com/priekazneodborny Odpovedať Známka: 10.0 Hodnotiť:

Re: Mienkotvornosť ^devet Od: sak ja ne? | Pridané: 24.10.2017 13:58 OMG! Chalani sme v novinách! Gratulka adminovi Odpovedať Známka: 10.0 Hodnotiť:

Re: Mienkotvornosť ^devet Od: MaN144 | Pridané: 24.10.2017 15:35 A to keby ešte vedeli akí odborníci sú diskutujúci. ;-) Odpovedať Známka: 10.0 Hodnotiť:

Karty Od reg.: miggg | Pridané: 25.10.2017 0:04 Este keby nasli nieco na skidata karty, hned by winter is coming znelo veselsie... Odpovedať Hodnotiť:

a na afričanov prečo zabudli? Od: Jojo gogo | Pridané: 25.10.2017 10:26 Keďže všetci pochádzame z jednej africkej matky, tak by to zrejme mal byť slovensko-česko-africký tím Odpovedať Hodnotiť:

Pridať komentár