Kauza prelomenia certifikátov elektronických občianskych preukazov vyústila až do toho, že ministerstvo vnútra dočasne pozastavilo služby eGovernmentu, pri ktorých sa využíva zaručený elektronický podpis. Tento krok včera oznámila štátna tajomníčka rezortu vnútra Denisa Saková.
Tá ešte minulý týždeň hovorila len o teoretickej hrozbe a minister vnútra Robert Kaliňák situáciu upokojoval výzvou na hacknutie jeho elektronického občianskeho preukazu.
Zrušenie možnosti používania elektronického podpisu pár mesiacov po spustení hovorí samo za seba.tajomník Republikovej únie zamestnávateľov Martin Hošták
Saková uviedla, že certifikačná autorita zrušila platnosť ich bezpečnostného certifikátu. Dočasne sa podľa nej tiež zastaví vydávanie nových certifikátov s podpisom na elektronických občianskych preukazoch s čipom. Ministerstvo vnútra všetky dosiaľ vydané zaručené elektronické podpisy necháva v platnosti a v najbližších týždňoch rezort plánuje tieto podpisy zdokonaliť na vyššiu bezpečnostnú úroveň. Nové bezpečnejšie podpisy by ministerstvo chcelo zabezpečiť pre používateľov „na diaľku“.
„V prípade nutnosti, vo veľmi krátkom časovom období, môžu občania prísť aj na naše oddelenia vydávania dokladov, kde im ho fyzicky vieme upgradovať,“ dodala Saková podľa agentúry SITA. Podľa nej asi 70 percent služieb eGovernmentu sa pozastavenie nedotkne, keďže sa pri nich elektronický podpis nevyužíva. Podnikatelia napríklad dokážu aj bez eGovernmentu zaplatiť daň z pridanej hodnoty. Živnostníci si zas stále môžu online zaplatiť odvody a bežní občania nemajú problém získať elektronický výpis z katastra nehnuteľností.
Jedna hlava úradníka už za slovensko.sk padla
Od júla tohto roku musia povinne elektronický podpis používať všetci konatelia firiem. Tí teraz musia oprášiť svoje dlhoročné skúsenosti s papierovou komunikáciou. „Zrušenie možnosti používania elektronického podpisu pár mesiacov po spustení hovorí samo za seba. Ak sa už štát rozhodol všetkých podnikateľov nútiť do online komunikácie, mal zabezpečiť riadne fungujúci a bezpečný systém. No v praxi najprv systém nestíhal a teraz zisťujeme, že sa dá aj napadnúť, čo podnikateľom môže narobiť veľké problémy,“ uviedol tajomník Republikovej únie zamestnávateľov Martin Hošták.
Foto: Robert Hüttner, Pravda
Pár týždňov po spustení totiž elektronický systém doručoval podnikateľom štátne rozhodnutia cez portál slovensko.sk aj s niekoľkohodinovým meškaním. Pôvodne to mal robiť okamžite hneď po potvrdení prevzatia. Pre nezvládnutie tohto problému musel kreslo generálneho riaditeľa Národnej agentúry pre sieťové a elektronické služby opustiť Norbert Molnár, ktorého vo funkcii začiatkom októbra nahradil Lukáš Sojka. Od včera zas skončil elektronický podpis. O vyvodzovaní ďalšej politickej zodpovednosti sa zatiaľ nehovorí.
Saková: Hackerom sme verejné kľúče nedali
Problémy s bezpečnosťou elektronických občianskych preukazov spôsobili chybné čipy dodané spoločnosťou Infineon Technologies. Slabé zabezpečenie dokáže štát opraviť na diaľku. Občania si musia do počítača stiahnuť špeciálny softvér, ktorý chybný certifikát opraví. Opravu na počkanie vykonajú aj na policajných oddeleniach zameraných na vydávanie osobných dokladov. Zvýšiť bezpečnosť bude treba až pri 300-tisíc elektronických občianskych preukazoch.
Spolu so Slovenskom chybné čipy nakúpili aj Rakúsko a Estónsko. „Chyby nemeckého dodávateľa spôsobili vážny problém aj v týchto krajinách. Slovensko si od nemeckého dodávateľa bude žiadať finančné a sankčné kompenzácie,“ povedala Saková.
Tá zároveň upozorňuje, že Slovensko na rozdiel od spomínaných krajín nezverejnilo databázu verejných kľúčov, ktoré hackeri potrebujú na ukradnutie elektronického podpisu súkromných osôb. Elektronická komunikácia s úradmi prebieha na základe neverejného a verejného kľúča. Neverejným kľúčom je elektronický podpis generovaný na základ čipu v občianskom preukaze. Verejný kľúč je bežne dostupný a štátnym úradníkom slúži na identifikovanie konkrétneho občana.
Na celý problém elektronických občianskych preukazov upozornili slovenskí a českí študenti Masarykovej univerzity v Brne. Ak sa hackerom podarí získať elektronicky podpísaný dokument, automaticky s ním získavajú aj verejne prístupný kľúč. Následne im na prelomenie bezpečnosti neverejného kľúča stačí podľa zistení študentov maximálne 17 dní pri využití výpočtovej sily jednej tisícky serverov. Potrebná výpočtová technika sa dá vraj prenajať za 20-tisíc až 40 tisíc eur.
„Na slovenských elektronických občianskych preukazoch sa používa 2 048-bitový kľúč. Napríklad jednoduchší, 1 024-bitový kľúč dokáže jeden počítač dešifrovať za asi tri mesiace. Pri 2 048-bitovom kľúči by mu to trvalo takmer sto rokov. Chyba v čipoch od spoločnosti Infineon Technologies umožňuje pustiť sa do takéhoto dešifrovania. Páchatelia by mohli využiť viacero počítačov naraz,“ priblížil technické detaily problému Ondrej Jombík, predseda Združenia poskytovateľov webhostingu.
Pôvodnú agentúrnu správu sme nahradili autorským článkom z denníka Pravda.