Umožňuje to chyba v čipoch, ktoré pre Slovensko dodala nemecká spoločnosť Infineon Technologies. Ministerstvo vnútra pritom o probléme, ktorý sa týka približne 1,5 milióna vydaných občianskych preukazov, vie už od konca januára. Vtedy totiž chybu v čipoch objavil tím expertov z Masarykovej univerzity v Brne, súčasťou ktorého sú aj traja Slováci.
Čipy na slovenských občianskych preukazoch obsahujú chybu, vďaka ktorej sa vie útočník dostať k vášmu elektronickému podpisu. „Ak má niekto nekalé úmysly a má k dispozícii elektronicky podpísaný dokument, môže ukradnúť a zneužiť elektronický podpis ktoréhokoľvek držiteľa elektronického občianskeho preukazu. Prelomiť šifru mu bude trvať najviac 17 dní a bude ho to stáť od 20-do 40-tisíc dolárov,“ hovorí Ondrej Jombík, predseda Združenia poskytovateľov webhostingu. Podľa Lukáša Kosna zo Živé.sk by to znamenalo, že nikto v digitálnom svete nedokáže, že dokument nepodpísal naozaj konkrétny občan.
Problém majú aj v Estónsku
Na slovenských čipových občianskych preukazoch sa používa 2 048-bitový kľúč. Napríklad, jednoduchší, 1 024-bitový kľúč dokáže počítač dešifrovať za asi tri mesiace. Pri 2 048 bitovom kľúči by mu to trvalo takmer sto rokov. Chyba v čipoch od spoločnosti Infineon Technologies umožňuje pustiť sa do takéhoto dešifrovania. Páchatelia by mohli využiť viacero počítačov naraz a podľa Jombíka by tak zistenie podpisu zvládli za vyše dvoch týždňov.
Problém sa netýka len Slovenska, podobnú situáciu riešia aj v Estónsku, kde väčšina komunikácie so štátom prebieha elektronicky, a cez elektronický podpis sa dá aj voliť. Estónska vláda už pred 2 týždňami vyhlásila, že 750-tisíc estónskych občianskych preukazov má bližšie nešpecifikovaný problém a všetky nové preukazy sú už bez spomenutej chyby. „Zahájenie obnovy certifikátov je naplánované začiatkom novembra. Najdôležitejším rozhodnutím Estónska však bolo otvorene oznámiť teoretické bezpečnostné riziko obyvateľstvu,“ uviedla Novému Času estónska ambasáda v Prahe. Podľa Lukáša Kosna si Estónčania budú môcť obnoviť certifikát z pohodlia domova. „Technické riešenie na Slovensku možno ale bude vyžadovať osobnú návštevu oddelenia dokladov, kde občanovi nahrajú na občiansky preukaz novo vydané certifikáty,“ myslí si Kosno.
Rizikoví sú najmä podnikatelia
Výskumníci z Masarykovej univerzity v Brne upozornili výrobcu čipov na slabú ochranu ešte koncom januára. Ten následne upovedomil aj slovenskú stranu. Nový Čas oslovil aj podpredsedu vlády pre informatizáciu Petra Pellegriniho, ten sa však ku škandálu odmietol vyjadriť s tým, že ide o záležitosť ministerstva vnútra.
To hovorí, že nie je dôvod na paniku, keďže držiteľ občianskeho preukazu je chránený ďalším heslom. „Možnosť vzniku bezpečnostného problému je podľa dosiaľ zverejnených informácií len teoretická a vyžadovala by si dlhodobé nasadenie 640 serverov počas obdobia 1 roka. Pracujeme však na riešení na elimináciu možností zneužitia. Držitelia elektronických preukazov si svoje doklady nebudú musieť meniť. V krátkodobom horizonte eliminujeme riziko zväčšením generovaného kľúča a v strednodobom horizonte zmeníme celý algoritmus jeho generovania,“ uviedlo ministerstvo.
No situácia je o to závažnejšia, že až 217-tisíc slovenských konateľov firiem má od 1. júla povinnosť komunikovať elektronicky. „Nepoužívam elektronický podpis, pretože raz funguje a raz nie. Nepoznám IT produkt, ktorý vytvoril štát a funguje. Je to tragédia,“ reaguje veterán politického marketingu Fedor Flašík.
Kto je v ohrození
Lukáš Kosno, redaktor Živé.sk
Občiansky preukaz s čipom má už približne polovica celej populácie Slovenska. Presné štatistiky využitia elektronických služieb štát nezverejňuje. Momentálne ale úrad vicepremiéra pracuje na rebríčku top 25 úkonov, ktoré budú inštitúcie riešiť plne elektronicky. Konatelia firiem majú povinnosť komunikovať elektronicky od 1. júla a ich celkový počet bol vtedy 217-tisíc. Stále ale nemusia dokumenty aj podpisovať a posielať cez portál Slovensko.sk.
Z pohľadu typu používateľov elektronický podpis využívajú najmä úradníci – napríklad súdy posielajú rozhodnutia každému s aktivovanou elektronickou schránkou. Problém sa ale netýka iba elektronických občianskych preukazov, ale aj iných kariet, u ktorých bola pri kľúčoch použitá inkriminovaná knižnica. Môže ísť aj o občanov, ktorí majú špecifické firemné karty.
