neprihlásený Štvrtok, 23. novembra 2017, dnes má meniny Klement   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Už aj bezpečnostní experti vyzvali ohľadne eID ministerstvo na adekvátnu reakciu

Značky: kauza zraniteľných eIDeIDbezpečnosťSlovensko

DSL.sk, 20.10.2017


K tvrdej kritike postupu štátu a odporúčaniam servera DSL.sk ohľadne zraniteľných občianskych eID preukazov sa dnes pridala aj viac ako desiatka slovenských bezpečnostných expertov, ktorí v spoločnej výzve vyzvali ministerstvo vnútra na uskutočnenie dôležitého kroku ku ktorému sa ešte nezaviazalo.

Problém a kauzu sme detailne popisovali v tejto sérii článkov.

Slovensko sme na tento problém upozornili hneď v pondelok, kedy boli zverejnené základné informácie o chybe. Ako sme upozornili už v pondelok, kvôli zraniteľnosti bude nutná výmena všetkých certifikátov postavených na zraniteľných 2048-bitových RSA kľúčoch generovaných doteraz.

Z verejného RSA kľúča nachádzajúceho sa napríklad v každom dokumente podpísanom občanom sa totiž na základe zistení slovensko-českého výskumného tímu z Masarykovej univerzity dá efektívne vypočítať príslušný privátny kľúč.

Štát následne až v stredu konkrétne oznámil prípravu využívania 3072-bitových RSA kľúčov s možnosťou výmeny certifikátov za nové pomocou aplikácie aj na diaľku a neskorší prechod na certifikáty postavené na ECDSA algoritme. Ten je tiež podporovaný na čipoch súčasných eID kariet a aj tento prechod sa dá uskutočniť bez výmeny eID kariet.

Podporu 3072-bitových kľúčov avizovalo o 4 až 5 týždňov, už po pár hodinách ale odhad zmenilo na 5 až 6 týždňov. Podporu ECDSA avizuje o polroka, kuriózne NBÚ ju ale avizuje už na január 2018.

Ministerstvo ale neoznámilo žiadny plán plošnej povinnej výmeny certifikátov ani zneplatnenia doterajších certifikátov. A k takémuto kroku sa stále nezaviazalo ani po explicitnej otázke na plán na zneplatnenie existujúcich certifikátov. "Keď nastanú podmienky pre zrušenie bezpečnostného certifikátu, tak to bude automatické," uviedlo pre DSL.sk vo štvrtok bez akejkoľvek reálnej odpovede na existenciu konkrétneho plánu.


Overenie zraniteľnosti kľúča v certifikáte pre KEP na slovenskom eID, kliknite pre zväčšenie (obrázok: tím objaviteľov zraniteľnosti)



Okrem toho ministerstvo opakovane zavádza verejnosť v hodnotení vážnosti tejto hrozby.

Občanom sme ako vhodné možné individuálne odporúčanie v závislosti na ich posúdení dávali zneplatniť minimálne certifikát pre kvalifikovaný elektronický podpis, prelomenie kľúča v ktorom umožní útočníkom sfalšovať kvalifikovaný elektronický podpis občana právne sa rovnajúci vlastnoručnému podpisu.

Zraniteľné sú aj ďalšie dva certifikáty na eID, PCA a SCA. Pre využívanie ktorých služieb sú ale potrebné a ako sa dá dostať k ich verejným kľúčom nie je jasné a informáciu o tom o aké služby občan príde po ich zneplatnení sme sa snažili zistiť u kompetentných orgánov.

Ministerstvo vnútra majúce na starosti eID to nebolo schopné povedať ani o vlastných službách. "Ministerstvo vnútra nespravuje všetky elektronické služby štátu, zoznam našich nájdete na portáli E-služby MV SR a tiež na www.slovensko.sk," uvedlo na otázku o aké služby občania prídu ak si zneplatnia certifikáty SCA a PCA.

Na tlačovej konferencii ministerstvo avizovalo, že prihlasovanie pomocou eID bude aj bez certifikátov plne funkčné. Informácie o miere obmedzenia služieb po zrušení PCA a SCA nevedel konkrétne poskytnúť ani úrad pre informatizáciu, na odpoveď NASES čakáme.

So zneplatnením PCA a SCA tak môže byť vhodné počkať na tieto informácie, ak ich bude štát schopný poskytnúť.

V každom prípade experti teraz žiadajú ministerstvo, aby zverejnilo dátum plošnej revokácie doterajších certifikátov. A tú žiadajú uskutočniť do konca októbra.

Občanom odporúčajú revokovať certifikát pre kvalifikovaný elektronický podpis a tiež nevytvárať nové podpisy. Cieľom odporúčania nevytvárania nových podpisov respektíve správnejšie nešírenia dokumentov ktoré podpísal kedykoľvek je aby ďalej nešíril svoj verejný kľúč umožňujúci z neho vypočítať privátny.

Ako sme občanov upozornili, ak KEP certifikát nutne potrebujú napríklad pre svoju prácu, majú možnosť KEP na eID si zrušiť a zabezpečiť si komerčný KEP certifikát na inom bezpečnom zariadení.

Pripomeňme, že podľa posledných informácií slovensko-českého výskumného tímu, ktorý zraniteľnosť objavil, sú reálne náklady na zlomenie kľúča doterajším algoritmom cca 7600 dolárov.

Kompletné detaily zraniteľnosti, ktoré umožnia ľubovoľným expertom prípadne útok zlepšiť a zlacniť, budú zverejnené na konferencii ACM CCS 2. novembra.

Zároveň vyvstáva otázka, či metóda neumožňuje dopredu z verejného kľúča odhadnúť ako dlhý čas bude trvať výpočet privátneho kľúča. Ak by to bolo možné, už súčasný stav vecí bez ďalšieho očakávaného zlepšenia metódy by bol absolútne fatálny. Niekto s prístupom k veľkej sade verejných kľúčov občanov, ktoré sú zo svojej podstaty verejné, napríklad úradník na úrade komunikujúcom s veľkým počtom ľudí, by potom totiž dokázal aj bez očakávaného zlepšenia algoritmu časť kľúčov efektívne vypočítať s istotou so zlomkovými nákladmi.


      Zdieľaj na Twitteri



Najnovšie články:

Dokončili najväčšiu 129 MWh megabatériu, idú ju nabiť
Na Slovensku bude maximálne 46 dedín bez rýchleho Internetu, zaviazali sa operátori
Osvetlenie Zeme v noci rýchlo rastie
Intel po 24 rokoch stratil prvenstvo medzi výrobcami čipov
Ruský miliardár chce ísť čoskoro hľadať život na Enceladus
Elektronické schránky majú znovu problémy, už týždne
NASA má na Marse problém s kolesami, vyvinula nové lepšie
iPhone bude zrejme podporovať dve SIM
Všetky PC s modernými Intel CPU hacknuteľné, kvôli firmvéru zahrnutého ME procesoru
HBO mal hacknúť Iránec, ktorý pre armádu útočil na nukleárne systémy. Cez loginy zamestnancov


Diskusia:
                               
 

No dobre, posledný raz, ale posielam bezpečnostných expertov...
Odpovedať Známka: 8.9 Hodnotiť:
 

Ja by som radsej poslal Chucka Norrisa s jedinou instrukciou - kopacka z otocky.
Odpovedať Známka: 7.8 Hodnotiť:
 

https://youtu.be/6dGJTNmy0Pg
Odpovedať Hodnotiť:
 

Tým čo sa to nechce celé pozerať prezradím, že to má Happy end s kopačkou z otočky.
Odpovedať Hodnotiť:
 

DSL.SK gratulujem! Krasne ste ich nalozili, argumentacne ste ich rozlozili na haliere. Dobra paca, drzim vam palce.
Odpovedať Známka: 9.0 Hodnotiť:
 

mne sa najviac paci veta:
"... ak ich bude štát schopný poskytnúť" :-)
Odpovedať Známka: 10.0 Hodnotiť:
 

ludia z vnutra teraz nemaju cas riesit nejake eID-cka, narodna paranoja teraz nahana svojho virtualneho duchotiena
Odpovedať Známka: 7.1 Hodnotiť:
 

"Zároveň vyvstáva otázka, či metóda neumožňuje dopredu z verejného kľúča odhadnúť ako dlhý čas bude trvať výpočet privátneho kľúča. "

Neda. Ono to sa to dopredu povedat neda. Je to ako vyhrat v lote, moze sa to stat hned na prvu supu alebo o 140 rokov. Pre vypocet sa ale statisticky uricila stredna hodnota v polovici maximalneho casu. Co vsak negarantuje, ze to nebude v poslednej iteracii.
Odpovedať Známka: -2.5 Hodnotiť:
 

Kali ale predsa jasne povedal ze sa to heknut neda
Odpovedať Známka: 8.7 Hodnotiť:
 

Kali povedal aj to, že korupcia neexistuje :D
Odpovedať Známka: 9.3 Hodnotiť:
 

No vsak neexistuje. Poctivo ju dlho hladal a nic nenasiel. QED.
Odpovedať Známka: 8.7 Hodnotiť:
 

poznas to prislovie,ze pod Kalinakom je najvacsia tma? Jeho zena to potvrdila
Odpovedať Známka: 10.0 Hodnotiť:
 

Kali je reper. Kaliňák je Balkánsky cigáň už sa to naučte.
Nedávajte tomu nosatemu fetakovi a kriminálnikovi friendly name.
Odpovedať Známka: 3.8 Hodnotiť:
 

Reper? Akoze ma repertuar?? Alebo spieva repete?
Odpovedať Známka: 7.1 Hodnotiť:
 

ten by sa neuzivil ani v repete :D
..tie jeho makke rapy...
Odpovedať Hodnotiť:
 

Povedal si rapper, potom že friendly name.
Tak ktoré? jedno alebo druhé?
Odpovedať Hodnotiť:
 

Ako vzniklo to Balkánsky cigáň ? :D
Odpovedať Známka: 10.0 Hodnotiť:
 

Tak isto ako aj Ty, porodila ho jeho matka.
Odpovedať Známka: 10.0 Hodnotiť:
 

Reaper
Odpovedať Hodnotiť:
 

> sa dnes pridala aj viac ako desiatka slovenských
> bezpečnostných expertov

Slovensko má viac ako desiatku bezpečnostných expertov?
Odpovedať Známka: 7.5 Hodnotiť:
 

Minimalne traja studuju na Masarykovej univerzite...
Odpovedať Známka: 8.9 Hodnotiť:
 

Podpisal to aj pravnik a lekar z Esetu (v jednej osobe).
Takze s tymi poctami na tom nie sme tak zle.
JA ich nazbieram aj milion, ak zacnem pocitat murarov, kamionistov, predavacky ...
Odpovedať Známka: 3.3 Hodnotiť:
 

Kym to nepodpise aj typek, co tam meni toner v tlaciarni a typka, co polieva kvety, bezpecnostne rizika su priekazne zanedbatelne.
Odpovedať Známka: 5.0 Hodnotiť:
 

Do prdele na zahradnika som zabudol, dnes doobeda u nas polieval kvety.
No co uz dam mu to podpisat o tyzden.
Odpovedať Hodnotiť:
 

Zahradnika nehodno podcenovat. Vrahom je *vzdy* zahradnik.
Odpovedať Hodnotiť:
 

Ale oni nepíšu o expertoch na finančné poradenstvo ;)
Odpovedať Hodnotiť:
 

Ja poznám iba jedného, Ondreja Macka.
Odpovedať Známka: 10.0 Hodnotiť:
 

ale po tom, co roky hadzete vsetkyym podnikatelom len polena pod nohy, ste si tuto hanbu a fiasko s celym slovensko.sk + eID zasluzili !!!!
Odpovedať Známka: 10.0 Hodnotiť:
 

Čo na túto kauzu vraví popredný IT odborník, pán O.Macko?
Odpovedať Známka: 8.6 Hodnotiť:
 

Pokiaľ to On(drej) nepodpíše, dovtedy je to paranoický blud a strašenie ľudí!
Odpovedať Známka: 10.0 Hodnotiť:
 

On este stoji na jednej nohe aby zachytil signal ze vobec nieco take existuje :D
Odpovedať Známka: 7.5 Hodnotiť:
 

Pan velavazeny expert Macko sa este nevyjadril kedze stale chyta Markizu ... ale dockajte
Odpovedať Známka: 10.0 Hodnotiť:
 

Tieto kluce v nasich obcianskych preukazoch si mozete predstavit ako take male stroje ktore sa za vas podpisu. Keby niekto spravil presnu kopiju tohoto stroja, moze jeho stroj vyrabat rovnake podpisy.
Odpovedať Známka: 10.0 Hodnotiť:
 

Vláda Slovenskej republiky sa na základe varovania bezpečnostných expertov rozhodla neumožniť v budúcnosti štúdium slovenských študentov na Masarykovej univerzite v Brne a odporúča im štúdium na TU v Bratislave, o ktorej predpokladá, že táto na podobný bezpečnostný problém nepríde. Tieňová vláda hnutia ĽSNS navrhla rovno nepodmienečné tresty pre všetkých parazitov, ktorí študujú na iných ako slovenských národných školách.
Odpovedať Známka: 7.4 Hodnotiť:
 

prelomili uz ten 2048 bitovy alebo nie? Citam o tom kde-kade ale toto som sa nedozvedel, vsade len sumy kolko by to kostovalo a cas kolko by to trvalo a aj tie sa roznia.
Odpovedať Hodnotiť:
 

Prelomili. Ale dopredu si vybrali taky ktory priekazne najviac inklinuje k lamaniu. Crypto-50-shades-of-gray.
Odpovedať Známka: 10.0 Hodnotiť:
 

:-D
Odpovedať Hodnotiť:
 

Posielam Ondreja Macka, Kotlár Security S.R.O. a svoje veličenstvo.
Odpovedať Hodnotiť:

Pridať komentár