neprihlásený Piatok, 24. novembra 2017, dnes má meniny Emília   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Štát pri eID vážne zlyhal, 3072-bitové RSA nie sú OK. Našťastie teraz už naozaj teoreticky

Kým doterajšie informácie o probléme s elektronickými občianskymi eID vyvolávali vážne otázky ohľadne primeranosti a ďalších parametrov reakcie štátu na tento problém, informácie z posledných hodín už jasne ukazujú na vážne zlyhanie na strane štátu. Tento totiž 18. októbra podľa stanoviska zodpovednej inštitúcie evidentne nemal podstatné informácie o riešení, ktoré údajne podľa stanoviska vybral už mesiace predtým. Respektíve dokonca o ňom mal respektíve verejnosti prezentoval nepravdivé informácie.

Značky: kauza zraniteľných eID

DSL.sk, 31.10.2017


Kým doterajšie informácie o probléme s elektronickými občianskymi eID vyvolávali vážne otázky ohľadne primeranosti a ďalších parametrov reakcie štátu na tento problém, informácie z posledných hodín už jasne ukazujú na vážne zlyhanie na strane štátu.

Tento totiž 18. októbra podľa stanoviska zodpovednej inštitúcie evidentne nemal podstatné informácie o riešení, ktoré údajne podľa stanoviska vybral už mesiace predtým. Respektíve dokonca o ňom mal respektíve verejnosti prezentoval nepravdivé informácie.

Stav kauzy zraniteľnosti elektronických občianskych eID sme analyzovali s informáciami platnými k pondelku v tomto článku.

Nesprávne informácie NBÚ

Krátko na to organizátori konferencie ACM CCS zverejnili prácu slovensko-českého výskumného tímu z Masarykovej univerzity v Brne, ktorá odhaľuje detaily objavenej zraniteľnosti v generovaní RSA kľúčov na Infineon čipoch použitých v slovenských eID a detailne popisuje plne praktický útok ROCA pre 2048-bitové kľúče použité v eID.

Tieto informácie spolu s overením 3072-bitových kľúčov, ktoré dnes začal štát vydávať, ale ukázali vážnu novú informáciu. Národný bezpečnostný úrad, NBÚ, podľa svojho stanoviska ešte pred necelými dvomi týždňami 18. októbra nepoznal podstatné informácie o riešení, ktoré štát začal dnes nasadzovať.

NBÚ totiž v stanovisku pre DSL.sk a evidentne aj ďalšie médiá 18. októbra tvrdil, že RSA kľúče o dĺžke 3072 bitov generované eID nie sú generované zraniteľnou knižnicou.

"Na základe týchto informácií je zrejmé, že ide o celosvetový problém viacerých dodávateľov čipových kariet, ktoré sú založené na čipe Infineon, v ktorom boli použité chybné verzie "asymetrickej krypto knižnice 2K a 4K RSA". ... Na generovanie 3K RSA sa používa iná knižnica než spomínaná zrýchlená chybná "asymetrická krypto knižnica" použitá pre 2K a 4K RSA," uvádzal NBÚ v stanovisku.

Táto informácia je ale nepravdivá. V pondelok zverejnené informácie výskumníkmi aj test na dvoch nových 3072-bitových kľúčoch vydaných štátom dvom čitateľom DSL.sk v utorok ukázali, že aj nové 3072-bitové kľúče na eID sú generované zraniteľnou knižnicou.

Ako bližšie rozoberáme v ďalšej časti, hoci tieto kľúče sú zrejme výrazne slabšie ako 3072-bitové RSA kľúče bez problému, zatiaľ najlepší známy útok ROCA nie je vôbec na tieto kľúče praktický.

Ako je to možné

Ako je možné, že NBÚ 18. októbra nevedel ako presne sú na tom 3072-bitové RSA kľúče generované na eID, zisťujeme. Otázky sme NBÚ zaslali krátko po poludní, do publikovania článku za približne šesť hodín NBÚ na ne nezareagoval.

NBÚ pritom serveru DSL.sk 20. októbra avizoval, že o riešení situácie v podobe najskôr prechodu na 3072-bitové RSA kľúče a následne na ECDSA kľúče sa rozhodlo v júli.

Kto rozhodoval o riešení, na ktoré sa zmigruje krajina, bez úplných informácií o stave problému, prečo a prípadne kedy zisťujeme.


Ilustračný obrázok, závislosť efektívnosti útoku ROCA na dĺžke kľúča, kliknite pre zväčšenie (graf: výskumný tím z Masarykovej univerzity)



Je potrebné zdôrazniť, že podľa informácií dostupných teraz je stále potrebné považovať 3072-bitové RSA kľúče generované na eID za prakticky bezpečné. Hoci ich bezpečnosť je zrejme výrazne slabšia ako by mala byť bezpečnosť kvalitných 3072-bitových RSA kľúčov. Zároveň priamo útok ROCA vyvinutý slovensko-českým tímom pravdepodobne jednoducho nepôjde pre 3K kľúče zlepšiť.

Na druhej strane práca tímu odhalila špecifický tvar prvočísiel vytváraných Infineon čipmi a poprední experti majú k dispozícii tieto informácie zatiaľ len hodiny prípadne dni. Či nenájdu výrazne efektívnejší útok na tieto 3K kľúče sa zrejme teraz nedá s istotou vylúčiť.

Za tohto stavu sa zdá byť minimálne neoptimálne krajinu zmigrovať na riešenie, v ktorom boli práve zverejnené nové zraniteľnosti. Určite nie po štyroch mesiacoch od zistenia informácií o probléme, počas ktorých bol čas na komplikovanejšie a optimálnejšie riešenia.

Napríklad Estónsko s rovnakým problémom migruje z 2048-bitových RSA podľa avizovaných informácií priamo na ECDSA kľúče. Podľa avizovaných termínov to stíha za dve mesiace od kedy sa o probléme dozvedelo, pričom hotové riešenie čo sa týka vytvárania nových ECDSA certifikátov oznámilo menej ako mesiac po tom ako sa o probléme dozvedelo.

Hoci samozrejme nikto nezagarantuje, že v ECDSA implementácii na eID sa nemôžu vyskytnúť problémy, momentálne sa javí pri dostatku času ako optimálne riešenie prechod priamo na ECDSA.

Takýto prechod si okrem upgradu kľúčov na eID zrejme vyžiada aj aktualizácie štátnych systémov prichádzajúcich do styku s elektronickými podpismi a nemajúcimi podporu algoritmu ECDSA. Spomenuté Estónsko to podľa avizovaných termínov bude schopné zvládnuť, len s minimálnymi problémami, za dva mesiace odkedy sa o probléme dozvedelo.

Momentálne tak v každom prípade nieže vznikajú otázky ale štát musí odpovedať na relevantné otázky ako a kedy naozaj posudzoval informácie o tomto probléme, prečo a kto vybral riešenie aké štát vybral, čo trvalo na prechode na 3072-bitové RSA zrejme nevyžadujúcom žiadne výrazné zásahy v IT systémoch štátu štyri mesiace alebo kedy reálne začal realizovať tento prechod.

Teraz naozaj len teoreticky

Hoci sú kryptograficky zraniteľné aj nové 3072-bitové RSA kľúče, aké oddnes dostávajú občania, tieto sú podľa zatiaľ dostupných informácií prakticky bezpečné.

V ich prípade je naozaj aspoň zatiaľ zraniteľnosť len vysoko teoretická a keď sa prvotná rétorika ministerstva vnútra o iba teoretickej zraniteľnosti hodí na niektoré z 2048 a 3072-bitových RSA, tak je to určite viac na nové oddnes vydávané 3072-bitové kľúče.

Reálna účinnosť útoku ROCA slovensko-českého výskumného tímu závisí od rozdielu veľkosti kľúčov a veľkosti konštanty M, ktorú Infineon čipy používajú pri výpočte prvočísiel a z nich kľúčov.

3072-bitové a 2048-bitové kľúče používajú rovnakú konštantu, 3072-bitové kľúče sú tak od nej výrazne ďalej a útok je na ne výrazne menej efektívny. Na jednojadrovom 3 GHz procesore by útok ROCA trval až rádovo 10 ^ 25 rokov, čo je aj pri použití veľkej výpočtovej sily stále o mnoho rádov dlhšie ako je vek vesmíru.

Hoci po kryptografickej stránke ide zrejme o výrazne efektívnejší útok ako na plne bezpečné 3072-bitové RSA. Výskumníci presne nepočítali entropiu, v podstate exponent zložitosti útoku, pre 3072-bitové kľúče generované na Infineon čipoch. Nemecký bezpečnostný úrad BSI ale avizuje, že je vyššia ako sto bitov, presnú hodnotu a jej presný výpočet neuvádza.

Podľa informácií spoločnosti RSA založenej tvorcami algoritmu plne bezpečné 3072-bitové RSA kľúče zodpovedajú bezpečnosťou 128-bitovým symetrickým kľúčom a ich entropia dosahuje približne túto hodnotu, u 2048-bitových to má byť 112 bitov a u 1024-bitových 80 bitov.

Ako bolo spomínané, na druhej strane práca tímu odhalila špecifický tvar prvočísiel vytváraných Infineon čipmi a poprední experti majú k dispozícii tieto informácie zatiaľ len hodiny prípadne dni, lepší útok sa tak nedá vylúčiť.


      Zdieľaj na Twitteri



Najnovšie články:

Rekordná 129 MWh batéria má články od Samsungu, iné ako v Note 7
Automaty na kolky nejdú, bola zbabraná aktualizácia
Navigačný systém Galileo dostáva štyri ďalšie satelity
Zoznam 46 dedín, kde zatiaľ nebude rýchly Internet
Snowden sa vysmial používateľom inteligentných asistentov v reproduktoroch, kritizoval iPhone X


inzercia



Diskusia:
                               
 

a furt sa budu srat s nejakou zjednodusenou verziou ...
Odpovedať Známka: 7.5 Hodnotiť:
 

Uz aj Estonsko ma schopnejsiu vladu ako my.
Odpovedať Známka: 0.0 Hodnotiť:
 

Obcan bude asi chodit kazdy tyzden na policiu menit si obciansky. Toto je uz riadna curvaren.
Odpovedať Známka: 9.4 Hodnotiť:
 

Mozno nejakeho prikureneho hajzlika z vlady napadne spoplatnit takuto akciu :)
Odpovedať Známka: 9.2 Hodnotiť:
 

ved ona spoplatnena je !
cez tvoje dane. co myslis ze teraz uradnici budu robit zadarmo? alebo ten plast je zadarmo ?
uz len tvoj cas a cesta nieco stoji.
Odpovedať Známka: 8.9 Hodnotiť:
 

kolko dame bolsevikovi .. rok , nez sa kolecko zacne znovu ?
Odpovedať Známka: 5.2 Hodnotiť:
 

Ciernoknaznik KALInak ti to vysvetli
Odpovedať Hodnotiť:
 

Príspevok bol zmazaný pre nevhodný a/alebo vulgárny obsah.
Odpovedať Známka: 2.7 Hodnotiť:
 

3072-bitové RSA kľúče - slnieckari budu furt nespokojni, ani keby ste dali milion bitove RSA kluce :/
Odpovedať Známka: -5.3 Hodnotiť:
 

Netrep slniečkári klúče nepoužívajú oni majú dvere otvorené.
Odpovedať Známka: 8.1 Hodnotiť:
 

maju take iste dvere eID
Odpovedať Známka: 6.0 Hodnotiť:
 

> Za tohto stavu sa zdá byť minimálne neoptimálne
> krajinu zmigrovať

Za tohto stavu sa zdá byť optimálne zmigrovať z krajiny.
Odpovedať Známka: 6.9 Hodnotiť:
 

"...bol čas na komplikovanejšie a optimálnejšie riešenia."

Podla vzoru optimalny-optimalnejsi-najoptimalnejsi?
A zvysku tiez nechapem ale to je jedno...
Odpovedať Známka: 6.0 Hodnotiť:
 

"A tak, hoci mnohých Slovákov, najmä tých s klasickým vzdelaním, tvary optimálnejší a najoptimálnejší vyrušujú, nemožno ich úplne odmietať."


Odpovedať Známka: 3.3 Hodnotiť:
 

S cryptografiou a s cryptoanalyzou sa zaoberam 16 rokov a ja tvrdim, ze je to blbost a cela vymena el. podpisov je uplne zbytocna. Nikomu sa dodnes nepodarilo sfaktorizovat ani o dost nizsie rsa ako 2048 bit a kde je od toho 3072 bit..
Hrubou silou a ani s GGNFS nie je ziadna sanca to realne spravit so ziadnym dostupnym HW. Vsak ale vyssie spominaní slovenskí teoretickí "hackeri" su zrejme sikovnejsi ako rsalab.. :)

PS: a uz mi nemazte tento prispevok, namiesto toho by som poprosil o realny dokaz, ze niekto z toho teoretickeho sk cz teamu aj realne sfaktorizoval povedzme len 1024 bit rsa modulus, lebo dost silno o tom pochybujem..
Odpovedať Známka: -6.1 Hodnotiť:
 

Na to, že sa crypto zaoberáš 16 rokov, ti unikla dosť podstatná vec: nejde o všeobecné prelomenie RSA, ale o prelomenie kľúčov v špecofickom tvare. Všeobecné RSA je dobré ak sú,kľúče vybrané náhodne. V eID ale náhodné nie sú.
Odpovedať Známka: 7.1 Hodnotiť:
 

Keďže tu taká otázka zatiaľ nepadla, čitateľov by určite zaujímalo, kde pôsobí takýto odborník na kryptografiu / kryptoanalýzu?
Odpovedať Známka: 6.3 Hodnotiť:
 

V jeho mokrych snoch. Navyse to ani nevie spravne napisat a tie vyrazy nie su spravne ani v Anglictine, ani v Slovencine. Len chcel ohurit a pritom sa zosmiesnil.
Odpovedať Známka: 4.3 Hodnotiť:
 

Tipujem to na nbu.sr
Odpovedať Známka: 7.5 Hodnotiť:
 

nbusr123
Odpovedať Hodnotiť:
 

Mam navrh.. spravme to takto. Hodim sem 1024 bit rsa modulus a ked ho do mesiaca sfaktorizuju, tak uverim tym blbinam co tvrdia. Lebo na ich vlastnych rsa moduloch, ktore zrejme prezentuju ako vzorove sa realne nic dokazat neda
Odpovedať Známka: -6.9 Hodnotiť:
 

No, pokial budes pre ten modulus generovat prvocisla v tvare p=k∗M+(65537^a mod M), tak kludne to sem daj :D
Odpovedať Známka: 8.3 Hodnotiť:
 

hm najdlhsie slovo, ktore mozem odoslat v prispevku moze mat 50 znakov. poprosim o email kde mozem poslat moj nahodne vygenerovany 1024 bit rsa modulus.
Lebo dnes ked nieco tvrdim, tak to musim vediet aj realne dokazat, nie len tarat dve na tri ako tento teoreticky sk cz team. Dakujem
Odpovedať Známka: -8.1 Hodnotiť:
 

Prosim citat s porozumenim. Zranitelny nie je RSA algoritmus, teda zranitelny nie je ani nahodne vygenerovany tvoj kluc.

Zranitelne su len kluce, ktore su vygenerovane konkretnou verziou konkretneho cipu konkretneho vyrobcu a konkretnych dlzok, kde prvocisla nie su uplne nahodne a teda pri skladani privatneho kluca viem matematicky vylucit urcite kombinacie, ktore zasadne skracuju cas potrebny na prelomenie.

Generoval si tvoj slavny kluc na tychto kartach?
Odpovedať Známka: 8.1 Hodnotiť:
 

Ja zas pisem o tom, ze realne nikto z nas na vlastne oci nevidel ani len jeden realny faktorizovany 2048 bit rsa modulus ani z toho chipu ani z ineho. Samozrejme tvrdit, ze to stoji 20000€ a preto sa to neda dokazat moze ktokolvek.. :)
Odpovedať Známka: -8.8 Hodnotiť:
 

resp. ako mozu vobec tvrdit, ze prvocisla p, q v tom konkretnom chipe nie su generovane nahodne, ked ani jeden modulus nesfaktorizovali?
A to, ze nic nesfaktorizovali je z toho ich ohanania sa o relativne vysokych nakladoch nakladoch viac nez jasne..
Odpovedať Známka: -8.7 Hodnotiť:
 

http://www.dsl.sk/article.php?article=20346
odporucam viac krat a pomaly
Odpovedať Známka: 6.3 Hodnotiť:
 

Tam nie je ziadny dokaz a ako pisem vyssie, tvrdit to, ze niekto nieco sfaktorizoval bez realnych dokazov ma vypovednu hodnotu = 0 :)
Odpovedať Známka: -6.7 Hodnotiť:
 

Dokonca v tom clanku pisu o tom, ze si sfaktorizovali svoj vlastny vygenerovany 2048 bit rsa modulus, co ale vobec nie je ziadny problem.
Ked pred faktorizaciou poznam vysledok, je pochopitelne, ze sa k vysledku velmi rychlo dopracujem.. :)

Podla mna sa len par ludi chcelo zviditelnit a tom to cele je
Odpovedať Známka: -6.0 Hodnotiť:
 

Chlapce, kde si skoncil edukaciu? Si myslis, ze by si ti chalani nicili karieru takou trapnou fintou, ze sfaktorizuju modulus tak, ze poznaju tie faktory vopred a este o tom napisu vedecku pracu? :D To by ti mozno preslo niekde v Sladkovicove... Ale aspon je na tvojom priklade vidno, ako hlboko je slovenske skolstvo v prdeli...
Odpovedať Známka: 7.0 Hodnotiť:
 

Videl si realny dokaz? Alebo tiez len slepo veris tomu co niekto zverejnil na nete. Zajtra napisem studiu o tom ako hacknut 3072 bit rsa, doplnim info o tom, ze sa mi podarilo faktorizovat az 24 vlastnych modulov a este, ze k tomu bude stacit hw len za 1000000€. Zrejme aj tomu budes verit.. :)
Odpovedať Známka: -5.0 Hodnotiť:
 

No, ak sa snazis o nejaky sofistikovany trolling, tak ti to nefunguje :D Ak nie, tak mi ostava ta len polutovat. All your cipher are belong to us.
Odpovedať Známka: 5.6 Hodnotiť:
 

Hej ty kokot, tak si slepo ver, ze tvoj eID je uplne v bezpeci. Az do momentu, ked budes podpisany na nejakom dokumente pre nasich ludi.
Odpovedať Známka: 4.5 Hodnotiť:
 

Hej ty kokot, prečítaj si radšej tento článok mimochodom zverejnený deň pred tvojím príspevkom
http://www.dsl.sk/article.php?article=20393
Odpovedať Známka: -3.3 Hodnotiť:
 

Vsetky tvoje konspiracie padaju na tom, ze samotny vyrobca cipov potvrdil ten problem. Takze sa tvoje uvahy daju zredukovat na dve mozne vychodiska: 1) je tam problem, 2) z nejakeho neznameho dovodu si Infineon serie na hlavu a trpi obrovske reputacne riziko s potencialne mnohymi sudnymi dohrami.
Odpovedať Známka: 6.8 Hodnotiť:
 

S tym vyrobcom sa poznas osobne? Bol si priamo pri tom, ked vyrobca potvrdil, ze je s ich chipom nejaky problem? Alebo len zas veris tomu, co niekto napisal na net? :)
Odpovedať Známka: -6.5 Hodnotiť:
 

Na ten net to napísal výrobca. Keďže je to jeho web http://tinyurl.com/y743dall . Iba že by mu ho niekto hackol ...

Odpovedať Známka: 6.5 Hodnotiť:
 

Vsak teba som tiez realne nevidel. Podla mna vobec neexistujes.
Odpovedať Známka: 7.3 Hodnotiť:
 

Presne tak, je to len obycajny trol, ktory ani nerozumie tomu, co prave troluje.
Odpovedať Známka: 7.1 Hodnotiť:
 

https://goo.gl/9PJypj
Odpovedať Hodnotiť:
 

Doteraz som nikde nečítal, aká bola motivácia alebo dôvod Infineonu, že tá knižnica generovala špecifické prvočísla. Lenivosť, neznalosť, zámer? Prečo sa to novinári investigatívne nepýtajú? To je zásadná otázka!
Odpovedať Hodnotiť:
 

Pravdepodobne rýchlosť generovania kľúčov ...
Jednoducho klasické optimalizácie.
Niekde o tom písali.
Odpovedať Hodnotiť:
 

Dnes som bol na oddeleni dokladov si nechat vymenit certifikat. Prisiel som 45 min. pred zaverecnou a ich automat na listky pre danu agendu mi zahlasil, ze uz nie je dostatok casu. Informoval som sa teda u ludskeho faktora kedy by som teda mal prist aby som to stihol, tak ze najlepsie je prist hned rano :D :D To aby si clovek bral dovolenku kvoli tomu. Ak ide o bezpecnostny problem, tak mali pre danu agendu predlzit pracovny cas ak nestihaju. Je to ich problem, mali to spravit na dialku cez tu trapnu eID aplikaciu nie chodenim na urady osobne!
Odpovedať Hodnotiť:
 

nezvyknem pisat, ale ty si ma donutil, zober klucik a natiahni si svoju oblubenu hracku - plechovu skakajucu zabku, potom sup do kupelne, umyt zubky a pred spanim ti precitame:

Šijem, šijem pomaličky
košieľku i nohavičky
a ty, Macko, ticho seď,
oblečiem ťa hneď!

Sladké sníčky
Odpovedať Hodnotiť:
 

Poznámka pre redakciu: Pred zverejňovaním článkov ich dajte posúdiť nezávislému človeku, z hľadiska čitateľnosti. Články sú odborne správne, je v nich však čoraz viac neskutočne krkolomných vetných a slovných konštrukcií, v ktorých sa človek už vážne stráca. To, čo chcete povedať, treba zjednodušiť. Nie zjednodušiť zmysel (to sa pri odborných informáciách nedá, čo chápem), ale treba myšlienky deliť do viacerých viet, neopakovať rovnaké slová v jednej vete, používať čiarky a kratšie slová tam, kde je to možné. Nehnevajte sa, prosím, ale pri čítaní tohto článku mi preblesklo hlavou, že už pomaly lepšie rozumiem používateľovi s prezývkou "syntaxterror". :-)

Za všetky uvediem iba jeden príklad - vetu:
Respektíve dokonca o ňom mal respektíve verejnosti prezentoval nepravdivé informácie.

Predpokladám, že ste chceli povedať toto:
Respektíve dokonca o ňom mal (alebo verejnosti prezentoval) nepravdivé informácie.
Odpovedať Známka: 10.0 Hodnotiť:
 

"DOBRY DEN, NA KTOROMKOLVEK ODDELENI DOKLADOV MOZNO POZIADAT O VYMENU CERTIFIKATOV K E-PODPISU. MV SR"

Preco by som to chcel vymenit? Preco tam nedaju nejaky odkaz na nejaku stranku?
Odpovedať Hodnotiť:

Pridať komentár