Slováci POZOR: Elektronické občianske preukazy majú vážnu bezpečnostnú chybu!

Nové občianske eID (elektronické ID) majú vážny problém. Chyba, ktorou disponujú bola zverejnená včera. Téme sa venoval server DSL.sk.

eID preukazy majú hneď dve chyby, z ktorých hlavný sa týka kľúčov RSA generovaných čipmi Infineon. Ide o dôležitú informáciu vzhľadom na to, že rovnakým čipom disponujú aj občianske preukazy vydávané na Slovensku. Útočníci tak môžu sfalšovať váš elektronický podpis, o ktorom sa doteraz predpokladalo, že je v absolútnom bezpečí.

Príčina

Generované RSA kľúče sú podľa servera DSL.sk slabé, čo útočníkom umožňuje ľahko zistiť jeho privátnu zložku. Všetko to však podlieha hardvéru, akým útočníci disponujú. 2048-bitový RSA kľúč totiž musí rozlúsknuť procesor. Pre príklad, jednému 3 GHz vláknu procesora Intel Xeon by to trvalo približne 140 rokov. Tento proces sa však dá za použitia viacerých vlákien podstatne zrýchliť. Zistenie privátneho kľúča sa v dostupných službách (napríklad Amazon EC2) pohybuje v cenovej relácii 20 až 40 tisíc eur. Môže to znieť ako veľa, no ak by to útočníkovi za to stálo, veríme, že by sa do toho pustil.

Slováci môžu získať až 1 300 € za stratenú batožinu alebo meškanie letu: Väčšina o tom netuší

EÚ sľubovala lacnejšie hypotéky, realita je však drsná: Slováci namiesto úľav čelia finančnému ZLOMU

Slovenská revolúcia v smartfónoch: Repasované zariadenia, ktoré si zamilujete (a ušetríte stovky eur)

Slováci môžu získať až 1 300 € za stratenú batožinu alebo meškanie letu: Väčšina o tom netuší

EÚ sľubovala lacnejšie hypotéky, realita je však drsná: Slováci namiesto úľav čelia finančnému ZLOMU

Slovenská revolúcia v smartfónoch: Repasované zariadenia, ktoré si zamilujete (a ušetríte stovky eur)

Ako sa to dá zneužiť

Povedzme, že útočník investoval spomínaných 20 až 40 tisíc eur a teraz disponuje privátnym kľúčom, a teda aj vašim elektronickým podpisom, ktorý je mimochodom ekvivalentom vášho fyzického podpisu.

Útočník tak môže podpísať ľubovoľný dokument, a to bez toho, aby ste o tom vedeli. Pri ľuďoch, ktorí sa bežne podpisujú pod dokumenty týkajúce sa väčších súm to teda môže predstavovať veľký problém.

Získanie elektronického podpisu je zatiaľ podmienené získaním verejného kľúča, ktorý sa nedá získať bez zadania šesťciferného kódu BOK. Útočník by tak najskôr musel získať fyzický prístup k eID a BOK kódu, čo je momentálne veľmi nepravdepodobné.

Slovensko zatiaľ mlčí

Slovenská republika zatiaľ o probléme mlčí. Je to pravdepodobne z toho dôvodu, že pre drvivú väčšinu je 20 až 40 tisíc eurová investícia privysoká. Je teda zbytočné vyvolávať paniku, ktorá by systému vôbec neprospela.

Také Estónsko, na druhej strane, svojich obyvateľov upozornilo už pred mesiacom, aj keď, vtedy ešte bez bližších detailov. Viac o zraniteľnosti píše Ján Suchal zo Slovensko.Digital.

https://www.facebook.com/jan.suchal/posts/10155783377404184