Už aj bezpečnostní experti vyzvali ohľadne eID ministerstvo na adekvátnu reakciu

Značky: kauza zraniteľných eIDeIDbezpečnosťSlovensko

DSL.sk, 20.10.2017

K tvrdej kritike postupu štátu a odporúčaniam servera DSL.sk ohľadne zraniteľných občianskych eID preukazov sa dnes pridala aj viac ako desiatka slovenských bezpečnostných expertov, ktorí v spoločnej výzve vyzvali ministerstvo vnútra na uskutočnenie dôležitého kroku ku ktorému sa ešte nezaviazalo.

Problém a kauzu sme detailne popisovali v tejto sérii článkov.

Slovensko sme na tento problém upozornili hneď v pondelok, kedy boli zverejnené základné informácie o chybe. Ako sme upozornili už v pondelok, kvôli zraniteľnosti bude nutná výmena všetkých certifikátov postavených na zraniteľných 2048-bitových RSA kľúčoch generovaných doteraz.

Z verejného RSA kľúča nachádzajúceho sa napríklad v každom dokumente podpísanom občanom sa totiž na základe zistení slovensko-českého výskumného tímu z Masarykovej univerzity dá efektívne vypočítať príslušný privátny kľúč.

Štát následne až v stredu konkrétne oznámil prípravu využívania 3072-bitových RSA kľúčov s možnosťou výmeny certifikátov za nové pomocou aplikácie aj na diaľku a neskorší prechod na certifikáty postavené na ECDSA algoritme. Ten je tiež podporovaný na čipoch súčasných eID kariet a aj tento prechod sa dá uskutočniť bez výmeny eID kariet.

Podporu 3072-bitových kľúčov avizovalo o 4 až 5 týždňov, už po pár hodinách ale odhad zmenilo na 5 až 6 týždňov. Podporu ECDSA avizuje o polroka, kuriózne NBÚ ju ale avizuje už na január 2018.

Ministerstvo ale neoznámilo žiadny plán plošnej povinnej výmeny certifikátov ani zneplatnenia doterajších certifikátov. A k takémuto kroku sa stále nezaviazalo ani po explicitnej otázke na plán na zneplatnenie existujúcich certifikátov. "Keď nastanú podmienky pre zrušenie bezpečnostného certifikátu, tak to bude automatické," uviedlo pre DSL.sk vo štvrtok bez akejkoľvek reálnej odpovede na existenciu konkrétneho plánu.

Overenie zraniteľnosti kľúča v certifikáte pre KEP na slovenskom eID, kliknite pre zväčšenie (obrázok: tím objaviteľov zraniteľnosti)

Okrem toho ministerstvo opakovane zavádza verejnosť v hodnotení vážnosti tejto hrozby.

Občanom sme ako vhodné možné individuálne odporúčanie v závislosti na ich posúdení dávali zneplatniť minimálne certifikát pre kvalifikovaný elektronický podpis, prelomenie kľúča v ktorom umožní útočníkom sfalšovať kvalifikovaný elektronický podpis občana právne sa rovnajúci vlastnoručnému podpisu.

Zraniteľné sú aj ďalšie dva certifikáty na eID, PCA a SCA. Pre využívanie ktorých služieb sú ale potrebné a ako sa dá dostať k ich verejným kľúčom nie je jasné a informáciu o tom o aké služby občan príde po ich zneplatnení sme sa snažili zistiť u kompetentných orgánov.

Ministerstvo vnútra majúce na starosti eID to nebolo schopné povedať ani o vlastných službách. "Ministerstvo vnútra nespravuje všetky elektronické služby štátu, zoznam našich nájdete na portáli E-služby MV SR a tiež na www.slovensko.sk," uvedlo na otázku o aké služby občania prídu ak si zneplatnia certifikáty SCA a PCA.

Na tlačovej konferencii ministerstvo avizovalo, že prihlasovanie pomocou eID bude aj bez certifikátov plne funkčné. Informácie o miere obmedzenia služieb po zrušení PCA a SCA nevedel konkrétne poskytnúť ani úrad pre informatizáciu, na odpoveď NASES čakáme.

So zneplatnením PCA a SCA tak môže byť vhodné počkať na tieto informácie, ak ich bude štát schopný poskytnúť.

V každom prípade experti teraz žiadajú ministerstvo, aby zverejnilo dátum plošnej revokácie doterajších certifikátov. A tú žiadajú uskutočniť do konca októbra.

Občanom odporúčajú revokovať certifikát pre kvalifikovaný elektronický podpis a tiež nevytvárať nové podpisy. Cieľom odporúčania nevytvárania nových podpisov respektíve správnejšie nešírenia dokumentov ktoré podpísal kedykoľvek je aby ďalej nešíril svoj verejný kľúč umožňujúci z neho vypočítať privátny.

Ako sme občanov upozornili, ak KEP certifikát nutne potrebujú napríklad pre svoju prácu, majú možnosť KEP na eID si zrušiť a zabezpečiť si komerčný KEP certifikát na inom bezpečnom zariadení.

Pripomeňme, že podľa posledných informácií slovensko-českého výskumného tímu, ktorý zraniteľnosť objavil, sú reálne náklady na zlomenie kľúča doterajším algoritmom cca 7600 dolárov.

Kompletné detaily zraniteľnosti, ktoré umožnia ľubovoľným expertom prípadne útok zlepšiť a zlacniť, budú zverejnené na konferencii ACM CCS 2. novembra.

Zároveň vyvstáva otázka, či metóda neumožňuje dopredu z verejného kľúča odhadnúť ako dlhý čas bude trvať výpočet privátneho kľúča. Ak by to bolo možné, už súčasný stav vecí bez ďalšieho očakávaného zlepšenia metódy by bol absolútne fatálny. Niekto s prístupom k veľkej sade verejných kľúčov občanov, ktoré sú zo svojej podstaty verejné, napríklad úradník na úrade komunikujúcom s veľkým počtom ľudí, by potom totiž dokázal aj bez očakávaného zlepšenia algoritmu časť kľúčov efektívne vypočítať s istotou so zlomkovými nákladmi.




Najnovšie články:



Diskusia:

Ty Expert Od: Agent | Pridané: 20.10.2017 11:47 No dobre, posledný raz, ale posielam bezpečnostných expertov... Odpovedať Známka: 8.9 Hodnotiť:

Re: Ty Expert Od: zxcvbn | Pridané: 20.10.2017 11:57 Ja by som radsej poslal Chucka Norrisa s jedinou instrukciou - kopacka z otocky. Odpovedať Známka: 7.8 Hodnotiť:

Re: Ty Expert Od: 77889965875 | Pridané: 20.10.2017 14:08 https://youtu.be/6dGJTNmy0Pg Odpovedať Hodnotiť:

Re: Ty Expert Od: nudaaaaa | Pridané: 21.10.2017 16:53 Tým čo sa to nechce celé pozerať prezradím, že to má Happy end s kopačkou z otočky. Odpovedať Hodnotiť:

Re: Ty Expert Od: Nsndnndndnd | Pridané: 20.10.2017 14:25 DSL.SK gratulujem! Krasne ste ich nalozili, argumentacne ste ich rozlozili na haliere. Dobra paca, drzim vam palce. Odpovedať Známka: 9.0 Hodnotiť:

Re: Ty Expert Od: aasami | Pridané: 20.10.2017 15:30 mne sa najviac paci veta: "... ak ich bude štát schopný poskytnúť" :-) Odpovedať Známka: 10.0 Hodnotiť:

asi tak Od: agentostajnos | Pridané: 20.10.2017 12:04 ludia z vnutra teraz nemaju cas riesit nejake eID-cka, narodna paranoja teraz nahana svojho virtualneho duchotiena Odpovedať Známka: 7.1 Hodnotiť:

Odpoved na otazku: Od reg.: TommyBB | Pridané: 20.10.2017 12:07 "Zároveň vyvstáva otázka, či metóda neumožňuje dopredu z verejného kľúča odhadnúť ako dlhý čas bude trvať výpočet privátneho kľúča. " Neda. Ono to sa to dopredu povedat neda. Je to ako vyhrat v lote, moze sa to stat hned na prvu supu alebo o 140 rokov. Pre vypocet sa ale statisticky uricila stredna hodnota v polovici maximalneho casu. Co vsak negarantuje, ze to nebude v poslednej iteracii. Odpovedať Známka: -2.5 Hodnotiť:

Kali ako kali linux minister Od: Tukos | Pridané: 20.10.2017 12:19 Kali ale predsa jasne povedal ze sa to heknut neda Odpovedať Známka: 8.7 Hodnotiť:

Re: Kali ako kali linux minister Od: dj_v | Pridané: 20.10.2017 12:22 Kali povedal aj to, že korupcia neexistuje :D Odpovedať Známka: 9.3 Hodnotiť:

Re: Kali ako kali linux minister Od: dziny1 | Pridané: 20.10.2017 12:28 No vsak neexistuje. Poctivo ju dlho hladal a nic nenasiel. QED. Odpovedať Známka: 8.8 Hodnotiť:

Re: Kali ako kali linux minister Od: taglajf | Pridané: 20.10.2017 13:13 poznas to prislovie,ze pod Kalinakom je najvacsia tma? Jeho zena to potvrdila Odpovedať Známka: 10.0 Hodnotiť:

Re: Kali ako kali linux minister Od: kekeket | Pridané: 20.10.2017 12:32 Kali je reper. Kaliňák je Balkánsky cigáň už sa to naučte. Nedávajte tomu nosatemu fetakovi a kriminálnikovi friendly name. Odpovedať Známka: 3.8 Hodnotiť:

Re: Kali ako kali linux minister Od: WTFHACK | Pridané: 20.10.2017 12:42 Reper? Akoze ma repertuar?? Alebo spieva repete? Odpovedať Známka: 7.1 Hodnotiť:

Re: Kali ako kali linux minister Od: dj_v | Pridané: 20.10.2017 14:15 ten by sa neuzivil ani v repete :D ..tie jeho makke rapy... Odpovedať Hodnotiť:

Re: Kali ako kali linux minister Od: 65432122 | Pridané: 20.10.2017 12:42 Povedal si rapper, potom že friendly name. Tak ktoré? jedno alebo druhé? Odpovedať Hodnotiť:

Re: Kali ako kali linux minister Od: Jolaus Gubata Hrud | Pridané: 20.10.2017 14:39 Ako vzniklo to Balkánsky cigáň ? :D Odpovedať Známka: 10.0 Hodnotiť:

Re: Kali ako kali linux minister Od: Makovník | Pridané: 20.10.2017 20:00 Tak isto ako aj Ty, porodila ho jeho matka. Odpovedať Známka: 10.0 Hodnotiť:

Re: Kali ako kali linux minister Od reg.: John D. Bill | Pridané: 20.10.2017 19:47 Reaper Odpovedať Hodnotiť:

Desiatka? Od: sensei-san | Pridané: 20.10.2017 12:37 > sa dnes pridala aj viac ako desiatka slovenských > bezpečnostných expertov Slovensko má viac ako desiatku bezpečnostných expertov? Odpovedať Známka: 7.5 Hodnotiť:

Re: Desiatka? Od: Foter Loter | Pridané: 20.10.2017 12:50 Minimalne traja studuju na Masarykovej univerzite... Odpovedať Známka: 8.9 Hodnotiť:

Re: Desiatka? Od: Shasho | Pridané: 20.10.2017 13:35 Podpisal to aj pravnik a lekar z Esetu (v jednej osobe). Takze s tymi poctami na tom nie sme tak zle. JA ich nazbieram aj milion, ak zacnem pocitat murarov, kamionistov, predavacky ... Odpovedať Známka: 3.3 Hodnotiť:

Re: Desiatka? Od: syntaxterrorX XX | Pridané: 20.10.2017 13:47 Kym to nepodpise aj typek, co tam meni toner v tlaciarni a typka, co polieva kvety, bezpecnostne rizika su priekazne zanedbatelne. Odpovedať Známka: 5.0 Hodnotiť:

Re: Desiatka? Od: Shasho | Pridané: 20.10.2017 13:50 Do prdele na zahradnika som zabudol, dnes doobeda u nas polieval kvety. No co uz dam mu to podpisat o tyzden. Odpovedať Hodnotiť:

Re: Desiatka? Od reg.: John D. Bill | Pridané: 20.10.2017 19:49 Zahradnika nehodno podcenovat. Vrahom je *vzdy* zahradnik. Odpovedať Hodnotiť:

Re: Desiatka? Od reg.: WinstonSmith | Pridané: 20.10.2017 20:02 Ale oni nepíšu o expertoch na finančné poradenstvo ;) Odpovedať Hodnotiť:

Re: Desiatka? Od: čitateľ | Pridané: 20.10.2017 16:02 Ja poznám iba jedného, Ondreja Macka. Odpovedať Známka: 10.0 Hodnotiť:

nie som skodoradostny Od: tajnosagentos | Pridané: 20.10.2017 13:26 ale po tom, co roky hadzete vsetkyym podnikatelom len polena pod nohy, ste si tuto hanbu a fiasko s celym slovensko.sk + eID zasluzili !!!! Odpovedať Známka: 10.0 Hodnotiť:

Omáčko Od: KlepanýRezeň | Pridané: 20.10.2017 13:37 Čo na túto kauzu vraví popredný IT odborník, pán O.Macko? Odpovedať Známka: 8.7 Hodnotiť:

Re: Omáčko Od: mirror | Pridané: 20.10.2017 13:52 Pokiaľ to On(drej) nepodpíše, dovtedy je to paranoický blud a strašenie ľudí! Odpovedať Známka: 10.0 Hodnotiť:

Re: Omáčko Od: Macicek | Pridané: 20.10.2017 14:45 On este stoji na jednej nohe aby zachytil signal ze vobec nieco take existuje :D Odpovedať Známka: 7.5 Hodnotiť:

Re: Omáčko Od: pycyfuz | Pridané: 20.10.2017 15:09 Pan velavazeny expert Macko sa este nevyjadril kedze stale chyta Markizu ... ale dockajte Odpovedať Známka: 10.0 Hodnotiť:

Re: Omáčko Od: Tukos | Pridané: 20.10.2017 18:14 Tieto kluce v nasich obcianskych preukazoch si mozete predstavit ako take male stroje ktore sa za vas podpisu. Keby niekto spravil presnu kopiju tohoto stroja, moze jeho stroj vyrabat rovnake podpisy. Odpovedať Známka: 10.0 Hodnotiť:

..... Od: 778996587547 | Pridané: 20.10.2017 14:15 Vláda Slovenskej republiky sa na základe varovania bezpečnostných expertov rozhodla neumožniť v budúcnosti štúdium slovenských študentov na Masarykovej univerzite v Brne a odporúča im štúdium na TU v Bratislave, o ktorej predpokladá, že táto na podobný bezpečnostný problém nepríde. Tieňová vláda hnutia ĽSNS navrhla rovno nepodmienečné tresty pre všetkých parazitov, ktorí študujú na iných ako slovenských národných školách. Odpovedať Známka: 7.5 Hodnotiť:

a teda Od: gugulo | Pridané: 20.10.2017 18:39 prelomili uz ten 2048 bitovy alebo nie? Citam o tom kde-kade ale toto som sa nedozvedel, vsade len sumy kolko by to kostovalo a cas kolko by to trvalo a aj tie sa roznia. Odpovedať Hodnotiť:

Re: a teda Od reg.: John D. Bill | Pridané: 20.10.2017 19:53 Prelomili. Ale dopredu si vybrali taky ktory priekazne najviac inklinuje k lamaniu. Crypto-50-shades-of-gray. Odpovedať Známka: 10.0 Hodnotiť:

Re: a teda Od: syntaxterrorX XX | Pridané: 20.10.2017 20:06 :-D Odpovedať Hodnotiť:

svätá trojica Od: JankaDslka | Pridané: 22.10.2017 21:35 Posielam Ondreja Macka, Kotlár Security S.R.O. a svoje veličenstvo. Odpovedať Hodnotiť:

Pridať komentár