neprihlásený Utorok, 21. novembra 2017, dnes má meniny Elvíra   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Ďalší významný dopad zistení slovenských výskumníkov za ROCA, zraniteľné sú populárne autentifikačné karty

Značky: kauza zraniteľných eIDbezpečnosťInternet

DSL.sk, 24.10.2017


Zistenia slovensko-českého tímu z Masarykovej univerzity, ktorý odhalil slabinu RSA kľúčov generovaných na kryptografických čipoch od Infineon a našiel efektívny útok ROCA, majú ďalší významný a vážny praktický dopad.

Trpia ňou evidentne aj populárne autentifikačné karty Gemalto IDPrime .NET, upozornila spoločnosť Enigma Bridge, kde pracujú aj dvaja z členov tímu.

Karty sa používajú na autentifikáciu zamestnancov pri prístupe k počítačovým sieťam a iným zdrojom vo veľkých korporáciách.

Predaj kariet skončil podľa dostupných informácií v tomto septembri, mnohé veľké firmy a ďalšie organizácie ale používajú stále zrejme mnohé milióny týchto kariet.

Pripomíname, že slovensko-český tím výskumníkov identifikoval slabinu v RSA kľúčoch generovaných niektorými kryptografickými čipmi Infineonu. V dôsledku tejto zraniteľnosti nachádzajúcej sa v knižnici na rýchlejšie generovanie kľúčov je možné pomerne efektívne faktorizovať verejný RSA kľúč vygenerovaný takýmto čipom, teda rozložiť jeho modulus na súčin prvočísel a teda zistiť privátny kľúč.


Gemalto IDPrime .NET, kliknite pre zväčšenie (foto: Gemalto)



Ten umožňuje následne uskutočňovať také isté operácie aké môže uskutočňovať legitímny držiteľ kľúča, napríklad zaňho podpisovať alebo dešifrovať šifrovanú komunikáciu určenú držiteľovi. V prípade autentifikačných kariet to znamená napríklad potenciálnu možnosť naklonovať kartu respektíve jej funkčnosť a vydávať sa za daného držiteľa.

Enigma Bridge dostala hlásenia o zraniteľných kľúčoch detekovaných zverejneným nástrojom výskumníkov na kartách Gemalto IDPrime.NET vydaných už od roku 2008. Ako zodpovedná organizácia, ktorá prípadne chce reálne overiť zraniteľnosť kľúčov, vygenerovala na danej karte kľúč a požiadala tím výskumníkov z Masarykovej univerzity aby pre ňu kľúč zlomili.

Použitý bol len 512-bitový kľúč, ktorý sa dnes dá lámať aj hrubou silou, test ale preukázal reálnu efektívnosť na kľúče generované na týchto kartách. Namiesto potrebných dní bol totiž jeden kľúč zlomený na málo výkonnom počítači za 20 minút, ďalší za 3 minúty na notebooku.

Problém ROCA sme popisovali v tomto článku a následne v celej sérii článkov venujúcich sa najmä dopadu na slovenské eID.

Praktický problém kvôli tomu majú napríklad TPM moduly v počítačoch, keď nimi generované kľúče neboli bezpečné a napríklad disk zašifrovaný riešeniami využívajúcimi pritom TPM na generovanie RSA kľúčov nie je zašifrovaný dostatočne bezpečne.

Ďalším vážnym dopadom sú zraniteľné elektronické občianske eID vrátane slovenských, vďaka čomu je možné po zlomení kľúčov z certifikátov falšovať kvalifikovaný podpis občanov s rovnakou účinnosťou ako vlastnoručný podpis.


      Zdieľaj na Twitteri



Najnovšie články:

O2 chcelo využiť 17.11. Kritizovalo socializmus, pre chybu nasadilo reálnu cenzúru
Telekom dá vianočne 2 GB + 2 GB bezplatne, najskôr ich ale musíte rozdať
Štát zakázal detské smart hodinky ako špionážne zariadenie, rodičia ich musia zničiť
Bitcoin prekonal 8000 dolárov, začína sa s Cash blížiť 10000
Škoda plánuje päť modelov čistých elektromobilov, prvý v 2020
Obracia sa trend? Na Black Friday má viac ľudí kupovať notebooky ako smartfóny
Strach naháňajúci robot je už aj lepším gymnastom ako človek, skáče saltá
Tesla predstavila 200-tisícový superšportiak a elektrokamión, aj keď nezvláda výrobu Modelu 3
Poslali sme kontaktný signál k blízkej exoplanéte, odpoveď môžeme čakať o 25 rokov
Nezvládanie problému eID pokračuje, certifikáty na diaľku budú asi až v januári


Diskusia:
                               
 

"...ďalší za 3 minúty na notebooku..."

Tak to uz skoro, ako vo filmoch. :D
Odpovedať Známka: 8.8 Hodnotiť:
 

aby to bolo ako vo filmoch, tak by musel hacker pocas lamania kluca hrat space invaders, alebo inu podobnu primitivnu hru, zbytocne prevedenu to neprehladneho 3D.
Odpovedať Známka: 7.6 Hodnotiť:
 

prehadzovat si pero medzi prstami a za nim musi stat niekto, kto sa ho aspon 5x opyta, kedy to uz bude
Odpovedať Známka: 10.0 Hodnotiť:
 

A zatiaľ sa hacker snaží spomenúť si ktorým tlačidlom sa hackuje
Odpovedať Známka: 8.7 Hodnotiť:
 

Presne tak. Ceelkom, ako Boris.
https://i.imgur.com/QgAMxOC.gif
Odpovedať Hodnotiť:
 

Pripadne, teda este iny level hackovania, vid film Swordfish. :D
https://youtu.be/zfy5dFhw3ik
Odpovedať Známka: 10.0 Hodnotiť:
 

Tento problém je len teoretický.
Tento problém je len teoretický.
Tento problém je len teoretický.
Tento problém je len teoretický.

Vy tomu nerozumiete tu rozhodujú iný.
Odpovedať Hodnotiť:
 

Chúďa Denisa, ani tú gramatiku nevie?
Odpovedať Hodnotiť:
 

viz: http://dopice.sk/kqU <3
Odpovedať Hodnotiť:
 

cela tato doba ide do kytek
dufam ze aj anal bude na ekluc, aby som mohol pretahovat kohokolvek kedykolvek jednoduchym hackom
Odpovedať Známka: 0.0 Hodnotiť:
 

Takze vpodstate obratom poslali spolocnosti desifrovany kluc, cim v danej spolocnosti management spravil hromadne harakiri, lebo si nedokazali prijat zlyhanie a pri predstave mozneho odskodnenia im zamrzla sanka? ;)
Odpovedať Známka: 3.3 Hodnotiť:
 

Hromadne harakiri managementu moze byt little bit tricky, nakolko harakiri je priekazne vrcholnym prejavom ultrapravicoveho extremizmu.
Odpovedať Známka: -1.7 Hodnotiť:
 

Čím viac harakiri tým menej harakiri. To dá rozum...
Odpovedať Známka: 10.0 Hodnotiť:
 

hmmm harakiri, to je niečo ako čevapčiči?
Odpovedať Známka: 3.3 Hodnotiť:
 

Tento október je v znamení samých pozitívnych správ jak tak kukám :D securiťáci sa asi nenudia :D
Odpovedať Známka: 6.0 Hodnotiť:
 

black october for isecurity
Odpovedať Známka: 5.6 Hodnotiť:
 

toz mensi kviz.

Objavene zranitelnosti su :
a)nevedoma chyba zo strany vyrobcu.
b)zadne dvierka vlozene vyrobcom z donutenia.
Odpovedať Známka: 5.3 Hodnotiť:
 

c) 0 shits given by developer
Odpovedať Známka: 8.6 Hodnotiť:
 

d) koniec pracovnej doby kryptografa, nefunkcny vytah a MHD ide o 5 minut... odovzdanie projektu pri rannej porade.
Odpovedať Známka: 6.7 Hodnotiť:
 

Patty James ;)
Odpovedať Známka: 4.3 Hodnotiť:
 

Najvýznamnejší dopad zistení slovenských výskumníkov!

"odborný portál DSL.sk"
https://tinyurl.com/priekazneodborny


Odpovedať Známka: 10.0 Hodnotiť:
 

OMG! Chalani sme v novinách!
Gratulka adminovi
Odpovedať Známka: 10.0 Hodnotiť:
 

A to keby ešte vedeli akí odborníci sú diskutujúci. ;-)
Odpovedať Známka: 10.0 Hodnotiť:
 

Este keby nasli nieco na skidata karty, hned by winter is coming znelo veselsie...
Odpovedať Hodnotiť:
 

Keďže všetci pochádzame z jednej africkej matky, tak by to zrejme mal byť slovensko-česko-africký tím
Odpovedať Hodnotiť:

Pridať komentár