Slováci POZOR: Elektronické občianske preukazy majú vážnu bezpečnostnú chybu!

Slováci POZOR: Elektronické občianske preukazy majú vážnu bezpečnostnú chybu!

Moderné občianske preukazy majú vážnu bezpečnostnú chybu, ktorá sa týka aj občanov Slovenska.

6

Nové občianske eID (elektronické ID) majú vážny problém. Chyba, ktorou disponujú bola zverejnená včera. Téme sa venoval server DSL.sk.

eID preukazy majú hneď dve chyby, z ktorých hlavný sa týka kľúčov RSA generovaných čipmi Infineon. Ide o dôležitú informáciu vzhľadom na to, že rovnakým čipom disponujú aj občianske preukazy vydávané na Slovensku. Útočníci tak môžu sfalšovať váš elektronický podpis, o ktorom sa doteraz predpokladalo, že je v absolútnom bezpečí.

Príčina

Generované RSA kľúče sú podľa servera DSL.sk slabé, čo útočníkom umožňuje ľahko zistiť jeho privátnu zložku. Všetko to však podlieha hardvéru, akým útočníci disponujú. 2048-bitový RSA kľúč totiž musí rozlúsknuť procesor. Pre príklad, jednému 3 GHz vláknu procesora Intel Xeon by to trvalo približne 140 rokov. Tento proces sa však dá za použitia viacerých vlákien podstatne zrýchliť. Zistenie privátneho kľúča sa v dostupných službách (napríklad Amazon EC2) pohybuje v cenovej relácii 20 až 40 tisíc eur. Môže to znieť ako veľa, no ak by to útočníkovi za to stálo, veríme, že by sa do toho pustil.

Ako sa to dá zneužiť

Povedzme, že útočník investoval spomínaných 20 až 40 tisíc eur a teraz disponuje privátnym kľúčom, a teda aj vašim elektronickým podpisom, ktorý je mimochodom ekvivalentom vášho fyzického podpisu.

Útočník tak môže podpísať ľubovoľný dokument, a to bez toho, aby ste o tom vedeli. Pri ľuďoch, ktorí sa bežne podpisujú pod dokumenty týkajúce sa väčších súm to teda môže predstavovať veľký problém.

Získanie elektronického podpisu je zatiaľ podmienené získaním verejného kľúča, ktorý sa nedá získať bez zadania šesťciferného kódu BOK. Útočník by tak najskôr musel získať fyzický prístup k eID a BOK kódu, čo je momentálne veľmi nepravdepodobné.

Slovensko zatiaľ mlčí

Slovenská republika zatiaľ o probléme mlčí. Je to pravdepodobne z toho dôvodu, že pre drvivú väčšinu je 20 až 40 tisíc eurová investícia privysoká. Je teda zbytočné vyvolávať paniku, ktorá by systému vôbec neprospela.

Také Estónsko, na druhej strane, svojich obyvateľov upozornilo už pred mesiacom, aj keď, vtedy ešte bez bližších detailov. Viac o zraniteľnosti píše Ján Suchal zo Slovensko.Digital.

Elektronické občianske preukazy sa nám ešte ani poriadne nerozbehli a už tu máme prvú katastrofickú zraniteľnosť. My aj…

Publié par Jano Suchal sur lundi 16 octobre 2017

  • NTN Labs

    Ach jo…

  • LACEESTRIKE

    som zvedavy ako to bude MiNV dany pruser riesit !

  • komboj

    ..a ja som si musel vymenit este platny preukaz v tejto psej riti…este chceli 4 eura svine

  • SeppWinkler

    Úžasný nadpis, tisíce prípadov zneužitia v dotknutých krajinách, jednoduchosť sprístupňuje chybu každému aj v Spišskom Podhradí…

  • Zarathustra

    sak verejne kluce, VEREJNE, sa daju vycitat z kazdeho podpisaneho dokumentu.