Denník N

Elektronické občianske majú vážnu chybu, podľa ministerstva vnútra nie je dôvod na paniku

Tomu, kto sa bojí, radí ministerstvo vnútra ísť na oddelenie dokladov.

Občianske preukazy s čipom majú vážnu chybu a je veľké riziko, že šikovný hacker by vám v priebehu pár týždňov vedel ukradnúť kvalifikovaný elektronický podpis, ak ste sa už aspoň raz takto niekde podpísali.

Stačili by mu na to možno len dva týždne a prenájom niekoľkých výkonných počítačov, ktoré by prelomili matematický algoritmus. Celá operácia by pritom mohla stáť 20-tisíc až 40-tisíc eur.

Predpoklad, samozrejme, je, že by útočník z toho očakával väčší finančný výnos, napríklad že by sa ukradnutím elektronického podpisu dostal k lepšej nehnuteľnosti alebo iným väčším majetkom.

Elektronický podpis je rovnocenný podpisu u notára.

Ministerstvo vnútra, ktoré elektronické občianske obstaralo a aj ich vydáva, tvrdí, že ak si občan dôsledne stráži bezpečnostný osobný kód (BOK), nemá dôvod panikáriť. Ministerstvo argumentuje tým, že ak chce niekto pri elektronickej komunikácii s úradmi použiť elektronický podpis, musí opakovane zadať aj spomínaný bezpečnostný osobný kód. Naznačuje tým, že ten nie je prípadným útokom dotknutý. Zamlčuje, že elektronický podpis sa používa aj mimo systému Slovensko.sk, kde je naozaj potrebný aj BOK kľúč.

Ak sa niekto predsa len bojí, ministerstvo mu dáva návod, čo má teraz urobiť: „Držitelia elektronických občianskych preukazov si svoje doklady nebudú musieť meniť. Ak však považujú riziko za vysoké, môžu certifikáty pre tvorbu kvalifikovaného elektronického podpisu zneplatniť buď využitím elektronickej služby, alebo na oddelení dokladov.“

Za takéto zľahčovanie situácie si ministerstvo vyslúžilo kritiku špecializovaného webu DSL.sk. O probléme je debata aj na platforme Slovensko.Digital.

Čo sa stalo

Ministerstvo vnútra za softvérovú chybu v čipe nemôže, spravil ju nemecký výrobca, firma Infineon a neprišla na ňu ani nemecká certifikačná autorita.

V januári ju odhalil tím slovenských a českých bezpečnostných odborníkov z Masarykovej univerzity v Brne. Odborníci zistili, že šifrovací algoritmus v preukazoch je slabý a pomerne rýchlo a lacno sa dá vypočítať privátny kľúč k verejnému RSA kľúču. Vo februári oznámili chybu výrobcovi.

„Z môjho pohľadu je to závažný problém z niekoľkých dôvodov. Po prvé, ľudia si zaobstarali zariadenie, pretože chceli dodatočnú bezpečnosť. To sa však, žiaľ, v tomto prípade nestalo. Problém nastáva aj z pohľadu riešenia. Na niektoré veci sa dá použiť aktualizácia, no keďže väčšina sú fyzické zariadenia, musia sa vymeniť alebo prestať používať zraniteľnú časť implementácie na čipe,“ povedal v rozhovore pre Sme Petr Švenda z tímu výskumníkov.

O čo teda ide? Pri elektronickom podpisovaní sa používajú dva typy šifrovacích kľúčov – verejný a súkromný. Výrobná chyba, ktorú majú čipy na občianskych preukazoch, umožňuje z verejného kľúča vypočítať neverejný kľúč, ktorý je nahratý v čipe.

Za bežných okolností by to nebolo možné, v našich občianskych preukazoch sa používa 2048-bitový kľúč. Ide o taký zložitý kľúč, že ak by aj hacker niekomu ukradol verejný kľúč, trvalo by mu viac ako sto rokov, kým by ho dokázal rozšifrovať. Chyba v čipoch celý proces skracuje.

Slovensko na rozdiel od Estónska, ktoré použilo do svojich kariet rovnaké čipy, nemá databázu verejných kľúčov (Estónsko ju po zverejnení problému vyplo). Útočník by musel získať verejný kľúč inak, napríklad z už podpísaného dokumentu.

Slovenské ministerstvo vnútra ešte v lete uviedlo, že doteraz bolo vydaných zhruba dva milióny občianskych preukazov s čipom a necelých 300-tisíc kvalifikovaných certifikátov na vytvorenie elektronického podpisu.

„Keď sa niekto dostane k ľubovoľnému dokumentu, ktorý ste podpísali elektronickým podpisom, vie si vyrobiť spätne privátny kľúč a vo vašom mene podpisovať elektronické dokumenty,“ hovorí Ľubor Illek zo Slovensko.Digital.

Elektronický podpis sa dá využiť aj mimo prostredia slovensko.sk, čiže nie je nutné spolu s ním v každom prípade použiť aj BOK.

Estónci a my

„Elektronické občianske preukazy sa nám ešte ani poriadne nerozbehli a už tu máme prvú katastrofickú zraniteľnosť. My aj Estónci,“ napísal na Facebooku itečkár Ján Suchal zo Slovensko.Digital.

Estónci o probléme informovali občanov už minulý mesiac, certifikáty na svojich občianskych preukazoch chcú vymeniť (nie celé karty), postup Slovenska nie je celkom jasný.

„V krátkodobom horizonte eliminujeme riziko zväčšením generovaného kľúča a v strednodobom horizonte zmeníme celý algoritmus jeho generovania. Pri obnove a generovaní nových komponentov na tvorbu kvalifikovaného elektronického podpisu v maximálnej miere využijeme elektronické služby,“ uviedlo slovenské ministerstvo vnútra.

Odborník odporúča buď prejsť na iný algoritmus, alebo generovať kľúče mimo kariet, pretože „kľúče vygenerované priamo na kartách sú zraniteľné. Takto sa vytvoria inde a nahrajú sa na kartu“.

Úrad podpredsedu vlády pre informatizáciu sa k problému nevyjadril, vicepremiér Pellegrini je ešte na služobnej ceste v Ománe.

Opozičná SaS tvrdí, že ministerstvo by malo elektronické podpisy až do vyriešenia plošne deaktivovať a informovať verejnosť o ďalších krokoch. „V Estónsku minulý mesiac kompletne informovali verejnosť, zablokovali tie použitia elektronických podpisov, v ktorých môže dôjsť ku škodám. Na Slovensku sa deje to, že ešte aj dnes boli vydávané elektronické podpisy, ktoré sú ľahko zneužiteľné,“ povedal Jozef Rajtár z SaS.

Máte pripomienku alebo ste našli chybu? Prosíme, napíšte na pripomienky@dennikn.sk.

Dnes na dennike.sk

Verejné IT zákazky

Ekonomika, Slovensko

Teraz najčítanejšie