Dokážu hackeri ukradnúť identitu Slovákov?

Chyba v čipoch teoreticky umožňuje prelomiť zabezpečenie elektronických občianskych preukazov.

17.10.2017 20:00
obciansky preukaz, citacka, vymena, policia Foto: ,
Občianske preukazy s čipom sa začali vydávať v decembri 2013 a bol o ne od začiatku veľký záujem.
debata (38)

Existuje tak riziko, že hackeri môžu ukradnúť elektronickú identitu konateľov na Slovensku pôsobiacich firiem. Za problémom majú stáť zlé čipy od nemeckej spoločnosti, ktoré nakúpilo nielen Slovensko, ale aj Estónsko. Ministerstvo vnútra problém priznáva, ale vraj nie je dôvod na paniku.

„Možnosť vzniku bezpečnostného problému je podľa dosiaľ zverejnených informácií len teoretická a vyžadovala by si dlhodobé nasadenie 640 serverov počas obdobia jedného roka,“ povedal Ivan Netík, hovorca ministerstva vnútra. Navyše pri čipoch sú stále platné nemecké aj slovenské bezpečnostné certifikáty.

Štát však pracuje na eliminácii celého problému. „V krátkodobom horizonte eliminujeme riziko zväčšením generovaného kľúča a v strednodobom horizonte zmeníme celý algoritmus jeho generovania,“ dodal Netík. Zároveň majitelia elektronických občianskych preukazov nemusia podľa ministerstva vnútra meniť svoje doklady. „Ak však považujú riziko za vysoké, môžu certifikáty pre tvorbu kvalifikovaného elektronického podpisu zneplatniť buď využitím elektronickej služby, alebo na oddelení dokladov,“ uviedol Netík.

Ako oveľa väčší problém vidí riziko možného zneužitia elektronických občianskych preukazov predseda Združenia poskytovateľov webhostingu Ondrej Jombík. „Ak má niekto nekalé úmysly a má k dispozícii elektronicky podpísaný dokument, môže ukradnúť a zneužiť elektronický podpis ktoréhokoľvek držiteľa elektronického občianskeho preukazu. Prelomiť šifru mu bude trvať najviac 17 dní a bude ho to stáť od 20-tisíc do 40-tisíc dolárov,“ povedal.

Hrozí podnikateľom strata majetkov?

Podvodníci by získaním elektronického podpisu podnikateľov mohli získať prístup k ich majetku aj účtom. Napríklad bez vedomia majiteľa môžu na biele kone previesť majetok firmy a následne ho rozpredať.

Podnikatelia pritom podľa zákona nemôžu so štátom komunikovať papierovou formou a naďalej musia využívať rizikovú online komunikáciu, čo platí od 1. júla 2017 pre približne 228-tisíc konateľov súkromných firiem. Zároveň štát zvažuje zaviesť od polovice roka 2018 povinnú elektronickú komunikáciu aj pre 347-tisíc živnostníkov. „Prípadné zneužitie elektronického občianskeho preukazu môže podnikateľom narobiť obrovské škody. Na základe ukradnutého elektronického podpisu sa zlodej môže podpisovať v mene konateľa spoločnosti a nakladať s majetkom firmy,“ uviedol tajomník Republikovej únie zamestnávateľov Martin Hošták.

Podľa neho nezabezpečenie elektronických občianskych preukazov s čipom je zlou vizitkou štátu a verejných obstarávaní v IT sektore. „Tiež nie je jasné, u koho si má podnikateľ uplatňovať prípadnú škodu vzniknutú ukradnutím elektronického podpisu. Nahradí mu ju štát, ktorý prevádzkuje nebezpečný elektronický systém, alebo zlodej, ak ho chytia. Najskôr by to skončilo dlhoročnými súdnymi spormi a štát musí čo najskôr zabezpečiť bezpečnú elektronickú komunikáciu,“ dodal Peter Kremský, výkonný riaditeľ Podnikateľskej aliancie Slovenska.

Za nefunkčné Slovensko.sk padol šéf štátnej agentúry

Zavedenie bezpečnej elektronickej komunikácie so štátom podnikatelia podporujú v prípade, ak povedie k rýchlejšiemu a jednoduchšiemu vybavovaniu úradných dokumentov. Ešte pred pár týždňami doručovanie elektronických úradných dokumentov do schránok umiestnených na portáli Slovensko.sk meškalo niekoľko hodín. Pre tento problém nakoniec padol šéf Národnej agentúry pre sieťové a elektronické služby (NASES). Od 1. októbra 2017 riadi štátnu organizáciu zodpovednú za elektronickú komunikáciu s podnikateľmi Lukáš Sojka, ktorý v kresle generálneho riaditeľa vystriedal Norberta Molnára. Meškania systému vznikali po tom, čo sa naraz prihlásilo viacero podnikateľov a problém sa odstránil po zvýšení kapacity celého systému. Na problém s čipmi ešte začiatkom roka upozornil slovenskú aj estónsku vládu československý tím vysokoškolských študentov Masarykovej univerzity v Brne. Na verejnosť sa záležitosť dostala až teraz.

Čipy majú chybu

V súčasnosti elektronická komunikácia so slovenskými úradmi prebieha na princípe asymetrického šifrovania. Identifikácia konkrétneho občana prebieha na základe neverejného a verejného kľúča. Neverejným kľúčom je elektronický podpis generovaný na základ čipu v občianskom preukaze. Verejný kľúč je bežne dostupný a štátnym úradníkom slúži na identifikovanie konkrétneho občana. „Asymetrické šifrovanie ako také prelomené nebolo a je stále bezpečné. Čipy na preukazoch vydávaných na Slovensku však obsahujú výrobnú chybu, ktorá umožňuje z verejného kľúča takzvanou faktorizáciou získať ten neverejný. Takto môže hocikto doslova ukradnúť elektronickú identitu používateľa a zneužiť ju napríklad tak, že za neho podpíše akékoľvek úradné dokumenty používané pri komunikácii so štátom,“ priblížil Jombík.

Podľa združenia používateľov webhostingu sa na slovenských elektronických občianskych preukazoch používa 2¤048-bitový kľúč. Jednoduchší, 1¤024-bitový kľúč dokáže jeden počítač dešifrovať asi za tri mesiace a zložitejší 2¤048-bitový v normálnom bezchybnom režime asi za 100 rokov. Problém je však v tom, že pre chybu v čipoch sa na dešifrovanie dá využiť viacero počítačov. „Takže si stačí objednať napríklad 1¤000 výkonných serverov v cloude a k elektronickému podpisu akéhokoľvek držiteľa sa páchateľ dopracuje maximálne do 17 dní,“ vysvetľuje Jombík. Navyše, čím viac elektronických občianskych hackeri dešifrujú, tým rýchlejšie prelomia bezpečnosť ďalších občianskych preukazov pre zlepšovanie dešifrovacieho algoritmu.

© Autorské práva vyhradené

38 debata chyba
Viac na túto tému: #hackeri #občiansky preukaz #čip