Hackeri prijali verejnú výzvu Roberta Kaliňáka, aby hackli jeho podpis.
Zoskupenie slovenských bezpečnostných profesionálov a firiem sa domnieva, že reakcia štátu na bezpečnostný problém týkajúci sa občianskych preukazov s elektronickým kontaktným čipom - tzv. elektronických identifikačných kariet (eID) je neadekvátna.
"Dňa 16.10.2017 bola zverejnená zraniteľnosť, ohrozujúca bezpečnosť kľúčov používaných na zaručený elektronický podpis, vytváraný pomocou eID. Podľa nám dostupných informácií je táto zraniteľnosť mimoriadne závažná a reálne vykonateľná," píšu sa v stanovisku.
Podľa vyjadrenia, tento problém nezavinili slovenské úrady či firmy a nesúvisí s doterajšími projektmi eGovernmentu. "Avšak zodpovednosť za jeho rýchle a dostatočné riešenie teraz leží najmä na ministerstve vnútra, ktoré vydávanie eID riadi," hovoria bezpečnostní experti.
Okamžité opatrenia neboli
Podľa ich názoru doteraz zverejnené stanoviská ministerstva vnútra situáciu najmä zľahčujú, obzvlášť informovaním, že ide "iba o teoretický útok", pričom neboli prijaté žiadne okamžité opatrenia.
"Takýmto spôsobom sú však všetci držitelia zaručeného elektronického podpisu v eID vystavení veľkému riziku. A taktiež neistote, keďže tieto vyjadrenia sú v rozpore so správami z iných zdrojov," uvádza sa v stanovisku.
Experti za adekvátnu reakciu považujú okamžité verejné informovanie o dátume plošnej revokácie certifikátov, ktorá bude vykonaná najneskôr do konca októbra 2017, a v stanovenom dátume revokovať všetky vydané certifikáty postihnuté touto zraniteľnosťou.
Z krátkodobého hľadiska je podľa nich potrebné nové RSA kľúče generovať s väčšou šírkou určenou na základe výsledkov diskusie jednak s výskumným tímom, ktorý odhalil zraniteľnosť, ako aj s výrobcom čipu - firmou Infineon.
Žiadajú prehodnotiť algoritmus
Zo strednodobého hľadiska žiadajú prehodnotiť použitý algoritmus i jeho parametre a v prípade potreby zmeny túto zmenu implementovať, a to najneskôr do konca októbra 2018.
Používateľom elektronického podpisu odporúčajú nevytvárať nové elektronické podpisy pomocou eID, revokovať svoj certifikát a vyžiadať si nový certifikát až keď ministerstvo prijme adekvátne protiopatrenia, teda zvýši bezpečnosť generovaných kľúčov.
Experti v stanovisku tvrdia, že výskumný tím z Masarykovej univerzity odhalil zraniteľnosť v čipoch, ktoré obsahujú aj slovenské občianske preukazy. Dôsledkom zraniteľnosti je možnosť vypočítať súkromný kľúč na základe verejného kľúča a následne elektronicky podpisovať dokumenty v mene obete. Znamená to, že nie je možné rozoznať skutočný podpis od podpisu vykonaného útočníkom.
O riziku hovoria aj zamestnanci ESET-u či IBM
Stanovisko podpísalo 16 ľudí, medzi nimi aj zamestnanci spoločností ESET či IBM.
"V krátkodobom horizonte eliminujeme riziko zväčšením generovaného kľúča a v strednodobom horizonte zmeníme celý algoritmus jeho generovania," zareagovala hovorkyňa ministerstva vnútra Andrea Dobiášová. "Spolupracujeme s NBÚ na riešení. V súčasnej dobe kroky, ktoré chceme podniknúť, spolu s NBÚ verifikujeme, aby sme si boli istí, že nebudú mať negatívny dopad na iné súvisiace akcie. Pred tým, ako zrealizujeme naše kroky, nebudeme medializovať ich priebeh," doplnila Dobiášová.
Štátna tajomníčka rezortu vnútra Denisa Saková na tlačovej konferencii v stredu 18. októbra uviedla, že slovenské elektronické občianske preukazy sú stále bezpečné. Hrozba je podľa nej len v teoretickej rovine. Rezort vnútra tvrdí, že garantuje bezpečnosť doposiaľ vydávaných slovenských elektronických občianskych preukazov s čipom, ktorý je chránený bezpečnostným osobným kódom (BOK).
Hackeri prijali výzvu Roberta Kaliňáka
Ministerstvo vnútra ešte v utorok informovalo, že pri dodržaní zásad bezpečnosti nie je používanie elektronického podpisu ohrozené. To, že by vznikol bezpečnostný problém, je podľa dosiaľ zverejnených informácií, len teoretické. Potvrdil to aj minister vnútra Robert Kaliňák, ktorý vyzval hackerov, aby si to overili na jeho podpise.
„Začnite mojím digitálnym podpisom na mojom elektronickom občianskom. Skúste hacknúť môj občiansky," povedal Kaliňák.
Hackeri jeho verejnú výzvu prijali a vytvorili verejnú výzvu s odmenou 1337 eur za hacknutie kaliňákovho verejného kľúča.
Tohto programu sa môže zúčastniť každý, kto sa zaregistruje na Hacktrophy.
Sledujte Televízne noviny vo full HD a bez reklám na Voyo
