Závažnú chybu v zabezpečení občianskych preukazov môžu využiť útočníci na odcudzenie elektronického podpisu. Chyba sa týka všetkých občianskych preukazov s čipom, ktoré sú na Slovensku vydávané od decembra 2013. Takýto občiansky slúži nie len na overenie totožnosti ale aj na online komunikáciu s úradmi a inštitúciami. “Občanovi vystavením občianskeho preukazu s čipom a zadaním bezpečnostného osobného kódu nevzniká povinnosť využívať dostupné elektronické služby, iba mu dáva možnosť komunikovať elektronicky,” upresňuje Národná agentúra pre sieťové a elektronické služby. Iné je to pri podnikateľoch, respektíve konateľoch firiem, ktorí takýto občiansky musia povinne využívať na prístup do elektronickej schránky.
Kto môže a kto musí vlastniť občiansky s čipom?
Bežný občan si môže elektronickú schránku aktivovať dobrovoľne. Pre podnikateľa je jej používanie povinné, nakoľko sú mu do elektronickej schránky doručované rôzne oficiálne oznámenia, súdne rozhodnutia a výzvy. Elektronické úradné správy sa považujú automaticky za doručené hneď po ich prečítaní alebo po uplynutí 15 dní od ich odoslania.
Aby mohol podnikateľ k elektronickej schránke pristupovať, musí využívať spomínaný elektronický občiansky preukaz s čipom, takzvanú eID kartu, a špeciálnu čítačku čipových kariet. Bezpečnostná chyba sa týka všetkých dokladov, ku ktorým boli vytvorené certifikáty k elektronickému podpisu. Elektronický podpis má pritom rovnakú platnosť ako klasický podpis. Využívať ho je preto možné na podpisovanie úradných dokumentov a napríklad aj na podpis prevodu nehnuteľností.
Koho sa problém týka?
Avizovaný problém sa týka čipov vyrobených nemeckou firmou, ktoré sú použité aj v občianskych preukazoch na Slovensku. Čipy vytvárajú špeciálny neverejný šifrovaný kľúč, ktorý je podľa expertov z brnenskej Masarykovej univerzity slabý, a teda aj zraniteľný. Z verejnej časti kľúča je možné pomocou špeciálnej techniky vypočítať neverejnú časť a získať tak prístup k privátnym kľúčom, ktoré môžu hackeri využiť na falšovanie elektronických podpisov.
Kto dokáže šifru prelomiť a kto môže byť cieľom útoku?
Prelomiť šifru nedokáže každý. Bežný počítač by túto operáciu zvládol za viac než sto rokov. Potrebný je teda vysoký výpočtový výkon, ktorí môžu útočníci získať z viacerých počítačov naraz. Výpočty môžu rozdeliť medzi stovky či tisíce počítačov a získať tak privátny kľúč bude pre nich otázkou niekoľkých dní. Pri silnejšom 2048-bitovom šifrovaní, ktoré využívajú aj čipy na slovenských občianskych preukazoch, je možné šifru prelomiť za 17 dní. Útočník si ale musí prenajať výkonné servery, za ktoré by u spoločnosti Amazon zaplatil približne 40-tisíc dolárov. Hackeri si preto budú svoje obete vyberať veľmi cielene. To ale platí len do doby, kým neobjavia rýchlejší a lacnejší spôsob na prelomenie šifry.
Verejný kľúč nie je tajomstvom
Vypočítať neverejnú časť kľúča je možné z jeho verejnej časti. Ako ale útočník k verejnej časti kľúča získa prístup? Na Slovensku síce neexistuje verejne dostupný zoznam verejných kľúčov, no útočníkom na ich získanie stačí elektronický podpis akéhokoľvek dokumentu, ktorý musí obsahovať aj verejný kľúč. Následne už postačí, ak si útočník prenajme servery u niektorého z veľkých poskytovateľov a po niekoľkých dňoch získa neverejnú časť kľúča použiteľnú na vytvorenie platného elektronického podpisu, ktorým môže falšovať dokumenty.