neprihlásený
|
Štvrtok, 21. novembra 2024, dnes má meniny Elvíra |
|
Certifikát na eID si zneplatnilo 642 ľudí
Značky:
kauza zraniteľných eID
DSL.sk, 30.10.2017
|
|
Od 17. októbra, dňa po oznámení vážnej zraniteľnosti v RSA kľúčoch a certifikátoch na slovenských občianskych preukazoch eID, bol najdôležitejší podpisový certifikát zneplatnený na 642 slovenských eID.
Zneplatnené certifikáty
Vyplýva to zo zoznamu zneplatnených certifikátov certifikačnej autority Disig vydaného dnes o 9:00.
Časť týchto zneplatnených certifikátov vyplýva zo straty alebo krádeže nových elektronických eID. V posledných mesiacoch od zavedenia povinnosti elektronickej komunikácie firiem bolo mesačne zneplatňovaných priemerne cca 400 certifikátov, za pol mesiaca teda približne 200.
Zo 642 zneplatnených certifikátov je teda možné zrejme cca 440 pripísať občanom, ktorí vzhľadom na informácie o probléme pristúpili k zneplatneniu ich certifikátu.
Najviac certifikátov bolo zneplatnených v časovom pásme UTC minulý pondelok 23. októbra, 121, následne v utorok 99 a v piatok predtým 83.
Zoznamy zneplatnených certifikátov zároveň ukazujú, že občania si nie výnimočne aktuálne nezneplatňovali všetky tri certifikáty prítomné na eID. Zvyšné dva menej dôležité certifikáty od PCA a SCA boli totiž zneplatnené približne cca o stovku menej krát.
Oproti tomu napríklad v septembri boli všetky tri typy certifikátov zneplatnené takmer úplne presne rovnaký počet krát, 432 alebo 433-krát.
Problém
Pred dvomi týždňami slovensko-český tím výskumníkov z Masarykovej univerzity zverejnil zatiaľ základné informácie o vážnom bezpečnostnom probléme v softvéri na kryptografických čipoch Infineon použitých aj v našich eID, kvôli ktorému sú 2048-bitové RSA kľúče generované týmito čipmi pomerne ľahko a lacno zlomiteľné.
Reálne náklady na zlomenie takéhoto kľúča sa dnes odhadujú na cca 7600 dolárov rátajúc aj investičné náklady do hardvéru, pričom po zverejnení kompletných informácií tento štvrtok sa očakáva nájdenie efektívnejšieho útoku.
Najväčší problém to predstavuje u kľúča a certifikátu pre kvalifikovaný elektronický podpis, ktorý je ekvivalentný vlastnoručnému podpisu. Takéto zlomenie kľúča následne umožňuje totiž falšovať podpisy občana a napríklad uzatvárať v jeho mene rozličné zmluvy.
O bezpečnostnom probléme a jeho aplikovaní na slovenské eID sme za posledné dva týždne písali v tejto sérii článkov.
Reakcia štátu
Reakcia štátu, ktorý sa o probléme dozvedel pred štyrmi mesiacmi 20. júna, bola spočiatku absolútne neprimeraná, štát dokonca v prvých dňoch popieral, že sú občania ohrození ak si dobre strážia svoj BOK. Problém pritom s BOK priamo žiadnym spôsobom nesúvisí.
Štát, konkrétne ministerstvo vnútra ale vo svojom stanovisku aj NBÚ, trvali a aspoň podľa posledných vyhlásení naďalej trvajú na tom, že problém je teoretický. Toto tvrdenie ale riadne nezdôvodnili. V médiách avizovaný argument, že problém nebol aplikovaný v praxi, samozrejme nie je vo všeobecnosti ani v tomto prípade validný. Ak niečo nebolo použité v praxi, vôbec to nemusí nutne znamenať, že to je len teoretické a nie je to praktické.
Navyše to nie je celkom tak, keď výskumníci zlomili aj 24 reálnych kľúčov vygenerovaných na zraniteľných Infineon čipoch. Len si vybrali, ktoré kľúče lámali. Hoci si vyberali pomocou informácií nedostupných útočníkovi, ich experiment sa dá chápať aj ako časť myšlienkového útoku, ktorý už je reálnou demonštráciou v praxi na reálne kľúče aj keď s limitovanou úspešnosťou.
Pokiaľ štát naozaj verí alebo veril vyhodnoteniu situácie aké prezentoval, nie je vylúčené, že jeho nedostatočná reakcia vyplývala z tohto podľa všetkého nesprávneho posúdenia problému. Ako ktorý z troch zapojených subjektov, NBÚ, Disig a ministerstvo vnútra, situáciu vyhodnocoval a aké kroky robil od 20. júna zisťujeme.
Nakoniec minulý týždeň ale štát avizoval už kroky primerané situácii respektíve kroky ktoré skôr alebo neskôr bolo potrebné uskutočniť. Najskôr v pondelok ukončil vydávanie nových zraniteľných certifikátov, potom v utorok Disig avizoval plošné zneplatnenie všetkých doteraz vydaných certifikátov najneskôr do štvrtka 2. novembra. Vtedy výskumníci na konferencii ACM CCS zverejnia všetky detaily problému a zrejme aj spôsobu ako lámať takéto kľúče.
K zneplatneniu zatiaľ podľa zoznamu zneplatnených certifikátov neprišlo.
Následne po ukončení vydávania a zneplatnení existujúcich 2048-bitových certifikátov začne štát na eID generovať certifikáty postavené na 3072-bitových RSA kľúčoch. Ministerstvo zatiaľ sľubuje, že to bude možné na diaľku pomocou sprístupneného softvéru.
Odkedy budú nové certifikáty vydávané zatiaľ oznámené nebolo, podľa informácií DSL.sk sa zvažoval ako najneskorší možný termín 15. november.
3072-bitové certifikáty by mali byť aspoň podľa informácií NBÚ plne bezpečné, keď 3072-bitové kľúče nie sú generované zraniteľnou knižnicou a nie sú teda prekonané ani teoreticky kryptograficky.
Čoskoro bude nasledovať ale aj ďalší krok, prechod na certifikáty postavené na ECDSA kľúčoch. Dôvody tohto kroku štát neoznámil, dá sa ale predpokladať že dôvodom by mohla byť nedostatočná rýchlosť respektíve pomalosť operácií s 3072-bitovými RSA. ECDSA by pri rovnakej úrovni bezpečnosti mali byť na rovnakom hardvéri výrazne rýchlejšie, konkrétne údaje pre čip na našich eID ale nie sú k dispozícii.
Dôsledky oneskorenej reakcie
Oneskorená reakcia štátu má respektíve zrejme bude mať okrem iného niekoľko negatívnych praktických dopadov. Pre porovnanie Estónsko sa o probléme z neznámych dôvodov dozvedelo až na konci augusta, už na november ale avizuje dostupnosť výmeny certifikátov a prechodu na ECDSA certifikáty a kľúče.
Oproti nasadeniu finálneho riešenia s prechodom na ECDSA certifikáty ešte pred verejným oznámením problému dnes už pociťujeme jeden negatívny efekt načasovania riešenia, keď občania teraz už týždeň nemôžu získať nové certifikáty.
Ak nové 3072-bitové nebudú k dispozícii v čase, keď sa zneplatnia doterajšie, občania v časovom intervale medzi zneplatnením 2048-bitových a sprístupnením 3072-bitových vôbec nebudú môcť pomocou eID využívať okrem iného služby štátu vyžadujúce kvalifikovaný podpis.
Otázne je tiež aký bude komfort a rýchlosť používania 3072-bitových certifikátov, keď štát považuje za potrebné prejsť na ECDSA, a samozrejme či nakoniec bude možné 3072-bitové získať na diaľku.
Pri ECDSA certifikátoch zrejme nie je nutná okamžitá plošná výmena. Ako prebehne tento prechod tak zatiaľ nie je známe, v každom prípade to aj pre občanov bude predstavovať ďalšiu záťaž.
Platnosť podpisov
So zneplatnením certifikátov súvisí dôležitá otázka platnosti podpisov. Táto otázka síce nie je špecifická len pre plošné zneplatňovanie a občania ju musia riešiť individuálne aj pri napríklad strate občianskeho, teraz musia na ňu myslieť a prípadne ju riešiť ale všetci občania ktorí KEP na eID využívali.
A to prakticky bez akejkoľvek osvety štátu, keď túto otázku len vo svojom oznámení načrtla certifikačná autorita Disig.
Elektronický a tiež kvalifikovaný podpis je totiž platný len ak sa vytvorí v čase, keď je platný príslušný podpisový certifikát. Aj keď podpis je technicky možné vytvoriť aj neskôr.
Ak tak niekto v minulosti pomocou svojho eID vytvoril podpis, u ktorého nie je potvrdené kedy vznikol, po zneplatnení certifikátu nebude pri overovaní považovaný za platný. Na účely potvrdenia času sa používa tzv. časová pečiatka, ďalší podpis dôveryhodnej autority potvrdzujúci čas existencie podpisu dokumentu. Podpis doplnený časovou pečiatkou následne platí naďalej aj po zneplatnení certifikátu.
V styku s verejnou správou sa často časová pečiatka k dokumentom podpísaným občanmi pridáva automaticky, keď ju pridávajú napríklad bežne používané riešenia elektronických podateľní.
Užívatelia, ktorí podpisovali iné dokumenty respektíve majú na nich aj elektronické podpisy iných strán a nemajú ich opatrené časovou pečiatkou, si ju môžu doplniť ešte aj teraz. Vo všeobecnosti je samozrejme ale vhodné pri podpisoch, kde zneplatnenie certifikátov a tým podpisov môže predstavovať problém, myslieť na ich doplnenie časovou pečiatkou už pri podpisovaní.
Najnovšie články:
Diskusia:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Znak Znak Znak Znak Znak
Od: sak ja ne?
|
Pridané:
30.10.2017 12:07
Papaláši.
Ľuďom ako som ja nič nehrozí, pretože sa nikomu neoplatí aby mal za 7 litrov môj podpis.
|
|
Re: Znak Znak Znak Znak Znak
Od: brano2
|
Pridané:
30.10.2017 12:14
Iba zeby nim podpisal hypoteku na 50 litrov..
Cloudy su stale lacnejsie a po zverejneni algoritmu to moze rychlo klesnut na daleko prijatelnejsie sumy. Potom co, pockame 10 rokov kym uplynie platnost OP a budeme dufat ze sa s tym nikomu nebude chciet pohrat?
|
|
Re: Znak Znak Znak Znak Znak
Od: dietny suchar
|
Pridané:
30.10.2017 12:28
alebo urobia z neho nahodou ministra
|
|
Re: Znak Znak Znak Znak Znak
Od: The RED smiling KING
|
Pridané:
30.10.2017 12:40
na to netreba vela skusenosti len silnu pravacku (dvihat ruku pocas hlasovania). nasi cerveni buzeranti preto maju naskok
|
|
Re: Znak Znak Znak Znak Znak
Od: to by ani nebol zlocin
|
Pridané:
30.10.2017 14:18
Kedy niekto ukradol ficov a Kalinakov podpis a previedol by kalinakobe a bastrnakove nehnuteľnosti na Fica.
To by bola vojna.
|
|
Re: Znak Znak Znak Znak Znak
Od: gertrudo
|
Pridané:
30.10.2017 14:51
Ked uz presunut tak skor na Matovica.
CI myslis ze Fico by im to na poziadenie nevratil?
Ty kamosom nevracias veci ked si ich u teba zabudnu?
|
|
Re: Znak Znak Znak Znak Znak
Od: tkingu
|
Pridané:
30.10.2017 15:30
lebo matovic im to nevrati, je to jedna banda.
|
|
Re: Znak Znak Znak Znak Znak
Od: to by ani nebol zlocin
|
Pridané:
30.10.2017 16:29
Nepochopili ste to.
Ide o to že Kaliňák tvrdil že sa to nedá zneužiť, lebo páchateľ by sa prezradil.
Keby chcel páchateľ, vyvolať vojnu medzi kumpánmi, nikto by ho neodhalil.
Fico by mal čo vysvetľovať.
|
|
Re: Znak Znak Znak Znak Znak
Od: awwda
|
Pridané:
30.10.2017 15:32
a si myslíš, že matovič nie je ich kamarát?
|
|
Re: Znak Znak Znak Znak Znak
Od: gertrudo
|
Pridané:
30.10.2017 16:28
Mas zaujimavych kamosov ked na nich bezne davas trestne oznamenia a volas na nich danovu kontrolu.
|
|
Všelibárs čo
Od: Klon M5
|
Pridané:
31.10.2017 5:51
Kamaráti buďme, dlhy si plaťme...
|
|
Re: Znak Znak Znak Znak Znak
Od: slecna.l
|
Pridané:
30.10.2017 17:34
Neboj, takito su mimo centralnych registrov. :)
|
|
Re: Znak Znak Znak Znak Znak
Od: lal
|
Pridané:
30.10.2017 12:57
v akej banke sa podpisuje hypoteka elektronickym podpisom?
|
|
Re: Znak Znak Znak Znak Znak
Od: Ficiak
|
Pridané:
30.10.2017 14:26
Hovori sa kto hlada najde.
|
|
AFAIK na slovensku ani jedna
Od: lal
|
Pridané:
30.10.2017 19:32
Hovori sa kto nema odpoved zahmlieva.
Ukaz mi jednu banku ktora akceptuje elektronicky podpis urceny pre komunikaciu so statnou spravou, dakujem
|
|
Re: Znak Znak Znak Znak Znak
Od: Lotusrg
|
Pridané:
30.10.2017 14:48
Samozrejme , ale ludia pouzivaju TV , facebook a ine sprostosti vratane opozicie a ich IT odbornikov ktore im nahovaraju v akom obrovskom nebezpecenstve sa nachadzaju.
Pritom je vacsina na wifine ktoru nabura aj stredoskolsky student a zisti uplne vsetko o sietovej prevadzke...
|
|
trestne oznamenie
Od reg.: Lars Schotte
|
Pridané:
30.10.2017 15:12
nech tito 642 ludi podaju trestne oznamenie na policii.
v tom, co sa z teho da vycitat trestny cin podvodu.
a potom bude sranda, ako budu policajti vysetrovat stat (resp jeho uradnikov) za tento pruser.
|
|
Re: trestne oznamenie
Od: Boh1
|
Pridané:
30.10.2017 20:04
Ako by to vyšetrovali? Skutok sa nestal.
|
|
Re: trestne oznamenie
Od reg.: Lars Schotte
|
Pridané:
31.10.2017 11:44
saq prave!
|
|
wwww5
Od: wwww5
|
Pridané:
31.10.2017 0:35
Da sa elektronicky podpisat zrusenie certifikatu?
|
|
3072bit
Od: baGoLo
|
Pridané:
31.10.2017 8:17
plne bezpečné = ešte ich nikto neprelomil
|
|
Platnosť časovej pečiatky
Od reg.: Uhlik
|
Pridané:
31.10.2017 9:02
A čo sa stane po uplynutí platnosti certifikátu časovej pečiatky na.dokumente so zneplatneným elektronickým podpisom?
|
|
Re: Platnosť časovej pečiatky
Od reg.: K-NinetyNine
|
Pridané:
31.10.2017 10:14
ak bol dokument podpisany a s casovou peciatkou pred zneplatnenim, tak nic. podpis je platny.
|
|
eID SMS
Od: Meee
|
Pridané:
31.10.2017 9:38
Práve prišla SMS:
Vazeny klient, oddnes si mozete vymenit podpisovy certifikat eID na vsetkych Klientskych centrach Okresnych uradov. Vasa financna sprava.
|
Pridať komentár
|
|
|
|