Hlavní navigace

V zabezpečení estonských a slovenských ID je chyba, odhalili i experti z ČR a Slovenska

David Slížek

Nebezpečnou chybu objevil mezinárodní tým expertů v RSA knihovně německé firmy Infineon, která dodává mimo jiné čipy pro bezpečnostní karty – včetně estonských e-ID karet nebo slovenských elektronických občanek s čipem, informoval server Ars Technica.

Chyba ve firmwaru umožňovala z veřejného klíče vypočítat klíč soukromý. S použitím soukromého klíče by se pak případný útočník mohl vydávat za majitele klíče a například jeho klíčem podepisovat dokumenty.

Podrobnější popis zranitelnosti si můžete přečíst na webu Centre for Research on Cryptography and Security Fakulty informatiky Masarykovy univerzity v Brně. Čeští a slovenští experti byli součástí mezinárodního týmu, který chybu odhalil.

Chyba byla v dotyčné RSA knihovně pět let a kromě zmíněných ID karet se dotkla také bezpečnostních tokenů a karet dalších výrobců, kteří pro generování klíčů používají hardware Infineonu s dotyčnou knihovnou. Řada z nich – například Microsoft, Google, HP, Lenovo nebo Fujitsu – už podle expertů vydala bezpečnostní záplaty a návody, jak zneužití chyby zabránit.

Podle dostupných informací jde o teoretický problém a žádná z firem zatím nezveřejnila informace o tom, že by chybu někdo v praxi skutečně zneužil. Provedení útoku je také poměrně náročné na počítačový výkon – pokud by si případný útočník na prolomení klíče najal hardware z cloudu Amazonu, přišlo by ho v nejhorším případě odhalení 1024bitového klíče na 76 dolarů, u 2048bitového by se částka vyšplhala na asi 40 tisíc dolarů, konstatují experti.

V Estonsku problém potenciálně ohrozil asi 750 tisíc ID karet vydaných po 17. říjnu 2014. Estonci poté, co je výzkumníci o problému informovali, omezili přístup k databázi veřejných klíčů a informaci o možném problému zveřejnili. Uživatele pak informovali o vývoji situace a o tom, co mají dělat – v podstatě stačí obnovit certifikáty, k čemuž jim úřady momentálně vyvíjejí potřebnou aplikaci.

Našli jste v článku chybu?