Pri skúmaní však zistili, že elektronický podpis niektorých čipových občianskych preukazov, vrátane tých zo Slovenska sa dá ľahko zneužiť. Ako sa dá elektronický podpis ukradnúť a koľko to stojí peňazí, Novému Času prezradil člen tímu Petr Švenda z Katedry počítačových systémov a komunikácií na Masarykovej univerzite v Brne.
Čo sa vám podarilo zistiť?
Zistili sme, že čipy od jedného výrobcu generujú kľúče so štruktúrou, ktorá sa dá útočníkom ľahko zneužiť. Takéto čipy sú aj v slovenských občianskych preukazoch. Zariadenie totiž vždy vygeneruje dve polovice kľúčov - jedna je určená na verejné overenie elektronického podpisu a druhá musí byť uchovaná v tajnosti. Je to totiž tá časť kľúča, ktorou človek podpisuje dokument. My sme ukázali, že prostredníctvom tej verejnej časti sa dá dopočítať aj tá súkromná - chránená časť.
Dá sa tak ukradnúť niekoho elektronický podpis? Ako to funguje?
Útočník sa musí dostať k verejnému kľúču čipu. Najjednoduchším spôsobom je, ak človek použil slovenský občiansky preukaz s čipom na podpis nejakého dokumentu. Tam sa totiž verejný kľúč klasicky prikladá, aby sa dalo overiť, že podpis je skutočne váš. Na dopočítanie tajného kľúča občianskeho potom páchateľ potrebuje tak 17-tisíc eur. Ak sa však digitálny podpis dá využiť na prevod nehnuteľnosti, tak sa to útočníkovi oplatí. Tiež platí, že tieto útoky sa stávajú stále rýchlejšie a lacnejšie.
Ide len o občianske preukazy?
Netýka sa to len občianskych preukazov, problém je v čipoch, ktoré tento výrobca vyrába, a tie sa využívajú aj pri vstupoch do systémov či v osobných počítačoch. Týkalo sa to aj iných štátov, ako je Estónsko a iné. Napríklad pasy by mali byť v poriadku, pretože tam sa používajú iné algoritmy, ale vždy je to nutné overiť. Závisí to od toho, pre aký algoritmus sa štát rozhodol.
Koho ste na chybu upozornili?
Chybu sme objavili koncom januára a ihneď sme upozornili priamo výrobcu, ten zase upovedomil aj slovenskú stranu. Informácia sa zverejňovala na úrovni štátov v rámci Európy. Keď výrobca chybu preveril, zachoval sa seriózne. Ihneď sa snažili zamedziť ďalším chybám a riešili, ako notifikovať už stálych zákazníkov.
Ako možno zabrániť zneužitiu rizikových čipov?
Jedna možnosť je stiahnuť všetky čipy a vymeniť ich za nové, to je ale komplikované. Čipy sú extrémne drahé a je nutné, aby si ľudia prišli vymeniť občianske preukazy osobne. Existujú však aj iné alternatívy, ktoré závisia od toho, ako vyzerá program na čipovej karte. Myslím, že napríklad v Estónsku si vybrali prechod na iný algoritmus, aby nemuseli vymieňať všetky preukazy.
Môžu si Slováci bezpečnosť svojich zariadení nejako overiť?
Uvoľnili sme nástroj, ktorý umožňuje detekciu zraniteľných kľúčov. Slováci si môžu na stránke www.keychest.net/roca otestovať, či sú ich kľúče v ohrození.
