Hlavní navigace

ČPS upozornila na možné problémy s datovými schránkami již před 4 měsíci

[Tisková zpráva] Tisková zpráva České pirátské strany ze dne 27.11.2009

O nebezpečnosti nezabezpečené distribuce certifikátu pro připojení k projektu Datové schránky se ví již delší dobu. Včerejší názorná demonstrace průniku do datových schránek, zveřejňená v médiích, ukázala, že je to velmi snadné. Principem útoku je obecně známá metoda ‚man-in-the-middle‘, která se vyučuje na všech informatických vysokých školách. Její velkou výhodou je velmi obtížná zjistitelnost.

Někdo u poskytovatele připojení může nastavit svou síťovou proxy tak, aby filtrovala spojení na web PostSignum a Datové schránky. Při pokusu o stažení kořenového certifikátu PostSignum proxy spojení zachytí a odešle uživateli podvržený certifikát. Ten si jej následně nainstaluje a místo jednoho zabezpečeného spojení se rázem používají dvě. Jedno k poskytovateli připojení, kde dochází k dešifrování a sběru dat, které se pak znovu zašifrují správným certifikátem PostSignum. Odvoláváme se proto na 2. a 3. bod naší tiskové zprávy ze 14.7.2009, kde jsme na toto nebezpečí důrazně upozorňovali. Petr Stiegler, šéf eGovernmentu České pošty, byl na tento fakt upozorněni i na serveru podnikatel.cz, kde se účastnil on-line diskuse k projektu Datové schránky. O nebezpečí tedy prokazatelně věděl.

Jaroslav Kučera, předseda jihomoravské ČPS, přidal tento komentář: „Je s podivem, že bezpečnostní díra, o které se ví již minimálně několik měsíců, nebyla odstraněna před ostrým spuštěním projektu. Datové schránky mají podléhat poštovnímu tajemství stejně jako dopisy a je tedy na místě zajistit důvěrnost sdělovaných informací.“