Útočníci podľa expertov mohli lámať a zneužívať kľúče aké boli na eID už roky

Značky: kauza zraniteľných eID

DSL.sk, 6.11.2017

Ďalšiu zaujímavý pohľad na vážnosť problému so zraniteľnými RSA kľúčmi generovanými kryptografickými čipmi Infineonu, aké sú použité aj na slovenských eID, priniesla v nedeľu dvojica kryptografov Daniel Bernstein a Tanja Langeová.

Ako sme už informovali, Bernstein a Langeová z Technickej univerzity v Eidhovene po zverejnení prvotných predbežných informácií o tomto probléme slovensko-českým výskumným tímom z Masarykovej univerzity prišli ešte pred zverejnením všetkých detailov na tieto informácie za pár dní a zároveň skonštruovali ešte efektívnejší útok ako útok ROCA pôvodného tímu.

Bernstein a Langeová sa zamerali na 2048-bitové kľúče, doteraz bežnú dĺžku používanú s týmito čipmi aká bola použitá do ich utorkového zneplatnenia aj na všetkých slovenských eID s certifikátmi.

Technickými zlepšeniami dosiahli podľa svojho hodnotenia útok na 2048-bitové kľúče, ktorý je rýchlejší a teda lacnejší ako originálny ROCA útok o 5% až 25%.

Včera následne detailne popísali ako prišli po zverejnení predbežných informácií na všetky detaily, ako komunikovali s pôvodnými objaviteľmi zraniteľnosti a ako dosiahli o niečo efektívnejší ROCA útok.

Diplom k oceneniu Real-World Impact Award pre slovensko-český výskumný tím z Masarykovej univerzity, kliknite pre zväčšenie (foto: výskumný tím)

Na rozdiel od slovensko-českých výskumníkov, ktorí sa podobe RSA kľúčov venovali už dlhšie pôvodne vo výrazne akademickej práci a k zraniteľnosti sa prepracovali z nej, Bernstein a Langeová pracovali viac s informáciami, s akými by pracovali prípadní útočníci. Navyše informácie, ktoré poukazovali na problém v Infineon čipoch pre zvláštne vlastnosti kľúčov, tím z Masarykovej univerzity zverejnil už v auguste 2016 na konferencii Usenix.

"Útočníci mohli prísť na celý útok už z týchto detailov. Alebo útočníci sa mohli pozrieť na Infineon kľúče sami a nájsť rovnaké informácie," upozorňuje dvojica.

"Náš najlepší odhad je, že pokročilí nebezpeční útočníci našli Infineon zraniteľnosť pred rokmi a odvtedy ju potichu zneužívali," myslí si Bernstein a Langeová.

Za pokročilých nebezpečných útočníkov v tomto kontexte je zrejme možné považovať napríklad tajné služby rozličných krajín ale tiež veľké kriminálne syndikáty.




Najnovšie články:



Diskusia:

Útočníci podľa expertov mohli lámať a zneužívať kľúče aké boli na eID už roky Od: nfdsgfsaasfd | Pridané: 6.11.2017 9:50 Podľa Kaliňáka je útok čisto teoretický :D Aj podľa ministerstva je útok len v teoretickej rovine, takže sa nemáme čoho obávať. Však páni odborníci/úradníci! :D Odpovedať Známka: 5.3 Hodnotiť:

Re: Útočníci podľa expertov mohli lámať a zneužívať kľúče aké boli na eID už roky Od: mattti | Pridané: 6.11.2017 10:00 podľa kaliho sa skutok určite nestal Odpovedať Známka: 3.6 Hodnotiť:

Re: Útočníci podľa expertov mohli lámať a zneužívať kľúče aké boli na eID už roky Od: dj_v | Pridané: 6.11.2017 11:52 to si píš že nie, ani korupciu nevidí, pretože žiadna neexistuje. Odpovedať Známka: 1.4 Hodnotiť:

Re: Útočníci podľa expertov mohli lámať a zneužívať kľúče aké boli na eID už roky Od reg.: Pjetro de | Pridané: 6.11.2017 14:10 --------------- --------------- --------------- tu sa skutok nestal tu nie je korupcia tu nie su oligarchovia tahajuci na nitky na ktorych visi hranol, kali, kapitan a ini smerovi a slovesnko-stranovi tu nie su problemy s e-schrankami tu nie su prelomitelne kluce tu sme doma tu 1+1=3 tu pí = 3,192 --------------- --------------- --------------- Odpovedať Známka: -1.1 Hodnotiť:

Re: Útočníci podľa expertov mohli lámať a zneužívať kľúče aké boli na eID už roky Od: SomPiratAGRRR | Pridané: 6.11.2017 10:00 Vsak je, pocul si, z by sa im to aspon raz podarilo aj realne prelomit? Odpovedať Známka: -7.9 Hodnotiť:

Re: Útočníci podľa expertov mohli lámať a zneužívať kľúče aké boli na eID už roky Od: MaN144 | Pridané: 6.11.2017 10:22 Čakáš, že takéto informácie zverejňuje NSA vo svojej výročnej správe? Odpovedať Známka: 4.6 Hodnotiť:

Re: Útočníci podľa expertov mohli lámať a zneužívať kľúče aké boli na eID už roky Od: syntaxterrorX XX | Pridané: 6.11.2017 10:33 Ked inu nema, je priekazne prejavom inteligencie cakat ich inde. Odpovedať Známka: -2.5 Hodnotiť:

Re: Útočníci podľa expertov mohli lámať a zneužívať kľúče aké boli na eID už roky Od: mdl... | Pridané: 6.11.2017 13:01 ano, realne to spravili na obcianskych SR Odpovedať Známka: -4.3 Hodnotiť:

?????? Od: Ja som | Pridané: 6.11.2017 10:11 A teraz vazne, toto niekoho naozaj prekvapuje? Ved naco su vladam (tym, ktore na to maju, aj tym, ktore nie) tie superpocitace na "simulaciu pocasia", alebo "simulaciu jadrovych testov". A tych dvadsat super nam nestaci, musime to "pocasie a spol." simulovat este intenzivnejsie. ;-) Odpovedať Známka: -0.8 Hodnotiť:

Re: ?????? Od: a6666666 | Pridané: 6.11.2017 10:49 neudujem sa, je to bezna vojna, len bez olova, teraz preferuju kremik ci co... a je to uplne bezna ludska nátura.. sa divim, ze toto niekto povazuje za paranoju, staci mrk do ucebnice dejepisu... ale ako vieme, tu nejde o to, pripravit niekoho o byt ci auto, ale skor o zlozitejsie myslienky, ako to zneuzit... alebo len sledovat.. paradoxne dnes tie super silne servre ani nepotrebujes, dnes staci urobit announce nejakeho shitty coin a ludia ti daju vypoctovy vykon zadarmo. kedysi si musel pisat zlozity malware a nebyt detekovatelny... iny svet no. Odpovedať Známka: 1.4 Hodnotiť:

Ja to vravím už DÁVNO Od: Mešuge | Pridané: 6.11.2017 13:48 komunikovať na neťe šifrovaňe je OK, pretože je to potrebné abi nám Ňiekto Ňemodifikoval momunikáciu... a keďže zlomeňie šifri ňiečo trvá... takto tak ľahké ňie je... Kďež to podpísdať ňejakí dokument.. na lámaňie takejto šifri máme koľkokoľvek času.. to je čistá STUPÍDIA!!! To je ako dať ňiekomu podpísané čisté papiere!!! Štandardné overeňioe je také že dokument overí NOTÁR a u tohoto notára zostane záznam v jeho KŇIHE!!! A v tejto KŇIHE sa dá overiť či za MŇA ŇIEKTO ŇIEČO ŇEPODPÍSAL!!! Pretože ten elektronickí GRC je dobrí LEN na to že zo mňa môže urobiť bezdomovca (Pretože veď som SVOJ dom predal. a peňiaze dostal do paprče...) alebo hoci aj z komplet úplňe celého národa!!! Keď ňiečo elektronicki podpisovať, tak len s VIAC stupňovím OVEROVAŇÍM a s poňechaňím záznamu že sa vôbec ňiečo PODPISOVALO... hoc aj LEN s pár digitálnimi otlačkami na servri..... Odpovedať Známka: -6.4 Hodnotiť:

Re: Ja to vravím už DÁVNO Od: Samael | Pridané: 6.11.2017 15:14 Domnievaš sa, že si niekto prečíta aj viac ako jeden riadok tvojho príspevku? Odpovedať Známka: 0.9 Hodnotiť:

Re: Ja to vravím už DÁVNO Od: syntaxterrorX XX | Pridané: 6.11.2017 15:32 Mozne zdravotne nasledky prerusovaneho vracania su hodnotene rizikovym faktorom na zaklade individualnych predispozicii. Odpovedať Známka: -1.4 Hodnotiť:

kto by cakal Od: qdfadsa | Pridané: 6.11.2017 14:56 ze zapasuje stare socialisticke: nemysli - pokud myslis, nemluv - pokud mluvis, nepis - pokud pises, nepodpisuj - a pokud podpises, tak se nediv... Odpovedať Známka: -6.0 Hodnotiť:

Kluce Od: ratibor z trstic | Pridané: 6.11.2017 15:40 Ja som zlomil kluc na chate uz pred cca siedmimi rokmi. Odpovedať Známka: 10.0 Hodnotiť:

Re: Kluce Od reg.: Uhlik | Pridané: 6.11.2017 16:24 A na ktorom chate to bolo? Odpovedať Známka: 7.1 Hodnotiť:

Re: Kluce Od: rejdovy tanec | Pridané: 6.11.2017 18:51 mysli na chate, ako rekreacnej budove, Ty IT-ckar. :-))) Odpovedať Známka: -7.8 Hodnotiť:

...a zasa nič... Od: Bavorak | Pridané: 6.11.2017 18:13 Ani nejaké odškodné za úplne na hovno čipy od Infineonu nebude balkánsky cigáň pýtať, lebo už raz pýtal ... predtým. Odpovedať Hodnotiť:

Zlomené srdce Od: MoKy | Pridané: 7.11.2017 9:28 Dievčatá sa vedia dostať dnu aj bez kľúčov. Odpovedať Hodnotiť:

Re: Zlomené srdce Od: Jkkjkjjjjhh | Pridané: 8.11.2017 7:53 Nejaky zoznam overenych zranitelnosti, ako sa dostat do dievcat by bol? Okrem znasilnenia. Odpovedať Hodnotiť:

Hey, its not bug,its feature! Od: .renee | Pridané: 7.11.2017 16:45 Takze take male zadne vratka. Ako vsetko softweerove. Aj tu mam e vratka. Jedny ich vyrabaju ,druhy nachadzaju,treti o nich pisu,a zbytok sa na tom zabava. A hned je nizsia nezamestnanost. Odpovedať Hodnotiť:

Pridať komentár