  |
Za poslednú hodinu: 24 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Piatok, 19. apríla 2024, dnes má meniny Jela |
|
Certifikát na eID si zneplatnilo 642 ľudí
kauza zraniteľných eID
Od 17. októbra, dňa po oznámení vážnej zraniteľnosti v RSA kľúčoch a certifikátoch na slovenských občianskych preukazoch eID, bol najdôležitejší podpisový certifikát zneplatnený na 642 slovenských eID. Zneplatnené certifikátyVyplýva to zo zoznamu zneplatnených certifikátov certifikačnej autority Disig vydaného dnes o 9:00.Časť týchto zneplatnených certifikátov vyplýva zo straty alebo krádeže nových elektronických eID. V posledných mesiacoch od zavedenia povinnosti elektronickej komunikácie firiem bolo mesačne zneplatňovaných priemerne cca 400 certifikátov, za pol mesiaca teda približne 200. Zo 642 zneplatnených certifikátov je teda možné zrejme cca 440 pripísať občanom, ktorí vzhľadom na informácie o probléme pristúpili k zneplatneniu ich certifikátu. Najviac certifikátov bolo zneplatnených v časovom pásme UTC minulý pondelok 23. októbra, 121, následne v utorok 99 a v piatok predtým 83. Zoznamy zneplatnených certifikátov zároveň ukazujú, že občania si nie výnimočne aktuálne nezneplatňovali všetky tri certifikáty prítomné na eID. Zvyšné dva menej dôležité certifikáty od PCA a SCA boli totiž zneplatnené približne cca o stovku menej krát. Oproti tomu napríklad v septembri boli všetky tri typy certifikátov zneplatnené takmer úplne presne rovnaký počet krát, 432 alebo 433-krát. ProblémPred dvomi týždňami slovensko-český tím výskumníkov z Masarykovej univerzity zverejnil zatiaľ základné informácie o vážnom bezpečnostnom probléme v softvéri na kryptografických čipoch Infineon použitých aj v našich eID, kvôli ktorému sú 2048-bitové RSA kľúče generované týmito čipmi pomerne ľahko a lacno zlomiteľné.Reálne náklady na zlomenie takéhoto kľúča sa dnes odhadujú na cca 7600 dolárov rátajúc aj investičné náklady do hardvéru, pričom po zverejnení kompletných informácií tento štvrtok sa očakáva nájdenie efektívnejšieho útoku. Najväčší problém to predstavuje u kľúča a certifikátu pre kvalifikovaný elektronický podpis, ktorý je ekvivalentný vlastnoručnému podpisu. Takéto zlomenie kľúča následne umožňuje totiž falšovať podpisy občana a napríklad uzatvárať v jeho mene rozličné zmluvy. O bezpečnostnom probléme a jeho aplikovaní na slovenské eID sme za posledné dva týždne písali v tejto sérii článkov. Reakcia štátuReakcia štátu, ktorý sa o probléme dozvedel pred štyrmi mesiacmi 20. júna, bola spočiatku absolútne neprimeraná, štát dokonca v prvých dňoch popieral, že sú občania ohrození ak si dobre strážia svoj BOK. Problém pritom s BOK priamo žiadnym spôsobom nesúvisí.Štát, konkrétne ministerstvo vnútra ale vo svojom stanovisku aj NBÚ, trvali a aspoň podľa posledných vyhlásení naďalej trvajú na tom, že problém je teoretický. Toto tvrdenie ale riadne nezdôvodnili. V médiách avizovaný argument, že problém nebol aplikovaný v praxi, samozrejme nie je vo všeobecnosti ani v tomto prípade validný. Ak niečo nebolo použité v praxi, vôbec to nemusí nutne znamenať, že to je len teoretické a nie je to praktické. Navyše to nie je celkom tak, keď výskumníci zlomili aj 24 reálnych kľúčov vygenerovaných na zraniteľných Infineon čipoch. Len si vybrali, ktoré kľúče lámali. Hoci si vyberali pomocou informácií nedostupných útočníkovi, ich experiment sa dá chápať aj ako časť myšlienkového útoku, ktorý už je reálnou demonštráciou v praxi na reálne kľúče aj keď s limitovanou úspešnosťou. Pokiaľ štát naozaj verí alebo veril vyhodnoteniu situácie aké prezentoval, nie je vylúčené, že jeho nedostatočná reakcia vyplývala z tohto podľa všetkého nesprávneho posúdenia problému. Ako ktorý z troch zapojených subjektov, NBÚ, Disig a ministerstvo vnútra, situáciu vyhodnocoval a aké kroky robil od 20. júna zisťujeme. Nakoniec minulý týždeň ale štát avizoval už kroky primerané situácii respektíve kroky ktoré skôr alebo neskôr bolo potrebné uskutočniť. Najskôr v pondelok ukončil vydávanie nových zraniteľných certifikátov, potom v utorok Disig avizoval plošné zneplatnenie všetkých doteraz vydaných certifikátov najneskôr do štvrtka 2. novembra. Vtedy výskumníci na konferencii ACM CCS zverejnia všetky detaily problému a zrejme aj spôsobu ako lámať takéto kľúče. K zneplatneniu zatiaľ podľa zoznamu zneplatnených certifikátov neprišlo. Následne po ukončení vydávania a zneplatnení existujúcich 2048-bitových certifikátov začne štát na eID generovať certifikáty postavené na 3072-bitových RSA kľúčoch. Ministerstvo zatiaľ sľubuje, že to bude možné na diaľku pomocou sprístupneného softvéru. Odkedy budú nové certifikáty vydávané zatiaľ oznámené nebolo, podľa informácií DSL.sk sa zvažoval ako najneskorší možný termín 15. november. 3072-bitové certifikáty by mali byť aspoň podľa informácií NBÚ plne bezpečné, keď 3072-bitové kľúče nie sú generované zraniteľnou knižnicou a nie sú teda prekonané ani teoreticky kryptograficky. Čoskoro bude nasledovať ale aj ďalší krok, prechod na certifikáty postavené na ECDSA kľúčoch. Dôvody tohto kroku štát neoznámil, dá sa ale predpokladať že dôvodom by mohla byť nedostatočná rýchlosť respektíve pomalosť operácií s 3072-bitovými RSA. ECDSA by pri rovnakej úrovni bezpečnosti mali byť na rovnakom hardvéri výrazne rýchlejšie, konkrétne údaje pre čip na našich eID ale nie sú k dispozícii. Dôsledky oneskorenej reakcieOneskorená reakcia štátu má respektíve zrejme bude mať okrem iného niekoľko negatívnych praktických dopadov. Pre porovnanie Estónsko sa o probléme z neznámych dôvodov dozvedelo až na konci augusta, už na november ale avizuje dostupnosť výmeny certifikátov a prechodu na ECDSA certifikáty a kľúče.Oproti nasadeniu finálneho riešenia s prechodom na ECDSA certifikáty ešte pred verejným oznámením problému dnes už pociťujeme jeden negatívny efekt načasovania riešenia, keď občania teraz už týždeň nemôžu získať nové certifikáty. Ak nové 3072-bitové nebudú k dispozícii v čase, keď sa zneplatnia doterajšie, občania v časovom intervale medzi zneplatnením 2048-bitových a sprístupnením 3072-bitových vôbec nebudú môcť pomocou eID využívať okrem iného služby štátu vyžadujúce kvalifikovaný podpis. Otázne je tiež aký bude komfort a rýchlosť používania 3072-bitových certifikátov, keď štát považuje za potrebné prejsť na ECDSA, a samozrejme či nakoniec bude možné 3072-bitové získať na diaľku. Pri ECDSA certifikátoch zrejme nie je nutná okamžitá plošná výmena. Ako prebehne tento prechod tak zatiaľ nie je známe, v každom prípade to aj pre občanov bude predstavovať ďalšiu záťaž. Platnosť podpisovSo zneplatnením certifikátov súvisí dôležitá otázka platnosti podpisov. Táto otázka síce nie je špecifická len pre plošné zneplatňovanie a občania ju musia riešiť individuálne aj pri napríklad strate občianskeho, teraz musia na ňu myslieť a prípadne ju riešiť ale všetci občania ktorí KEP na eID využívali.A to prakticky bez akejkoľvek osvety štátu, keď túto otázku len vo svojom oznámení načrtla certifikačná autorita Disig. Elektronický a tiež kvalifikovaný podpis je totiž platný len ak sa vytvorí v čase, keď je platný príslušný podpisový certifikát. Aj keď podpis je technicky možné vytvoriť aj neskôr. Ak tak niekto v minulosti pomocou svojho eID vytvoril podpis, u ktorého nie je potvrdené kedy vznikol, po zneplatnení certifikátu nebude pri overovaní považovaný za platný. Na účely potvrdenia času sa používa tzv. časová pečiatka, ďalší podpis dôveryhodnej autority potvrdzujúci čas existencie podpisu dokumentu. Podpis doplnený časovou pečiatkou následne platí naďalej aj po zneplatnení certifikátu. V styku s verejnou správou sa často časová pečiatka k dokumentom podpísaným občanmi pridáva automaticky, keď ju pridávajú napríklad bežne používané riešenia elektronických podateľní. Užívatelia, ktorí podpisovali iné dokumenty respektíve majú na nich aj elektronické podpisy iných strán a nemajú ich opatrené časovou pečiatkou, si ju môžu doplniť ešte aj teraz. Vo všeobecnosti je samozrejme ale vhodné pri podpisoch, kde zneplatnenie certifikátov a tým podpisov môže predstavovať problém, myslieť na ich doplnenie časovou pečiatkou už pri podpisovaní. 
Najnovšie články: inzercia Diskusia:
Pridať komentár | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
