BRATISLAVA - Desiatky tisíc slovenských elektronických občianskych preukazov sú v ohrození. Dobre vybavený útočník dokáže ukradnúť elektronický podpis. S týmto podpisom by vedel napáchať škody. Chybu odhalil česko-slovenský tím. Ministerstvo už o probléme vie.
Elektronické občianske preukazy s čipom majú vážnu chybu. Najmä tie, kde sa nachádza aj elektronický podpis majiteľa. Vyšlo totiž na povrch, že osoba, ktorá by to chcela zneužiť, s potrebnou technickou a výbavou a znalosťami, dokáže ukradnúť elektronický podpis.
Ohrozené sú desaťtisíce občianskych
Ten sa následne dá zneužiť na celý rad operácií ako prevod nehnuteľností, exekúcie, ale aj podania na súd či obchodný register. Píše o tom portál dsl.sk. S dokonalou výpočtovou technikou a asi s 20 až 40 tisíc dolármi by to útočník dokázal rozlúštiť za niekoľko hodín alebo niekoľko dní.
Na Slovensku je 1,5 milióna očipovaných elektronických preukazov. Najohrozenejšie sú občianske s nahratými certifikátmi na podpisovanie. Na Slovensku je ich vydaných niekoľko desať tisíc. Hrozba sa najlepšie eliminuje tak, že dotyčný by nemal do vyriešenia problému nič podpisovať. Ide však o celosvetový problém a milióny občianskych preukazov.
Ako proti tomu bojovať
Odborník na informačné technológie Ľubor Illek zo skupiny Slovensko.digital pre Topky tvrdí, že ide o veľký problém. "Áno, problém na základe publikovaných informácií pokladáme za vážny." Ako sa proti napadnutiu chrániť? "Pre používateľa je najlepšia obrana revokovať podpisové certifikáty na eID," radí odborník.
Podľa Ondreja Macka z portálu touchit.sk sa treba chrániť tak, že svoj kód si zapamätáte, nebudete ho mať ani nikdy napísaný. "BOK (bezpečnostný ochranný kód - pozn. red.) si treba zapamätať, ani v rámci rodiny by som ho neprezrádzal, vedeli by vám totiž predať dom," tvrdí pre Topky odborník. Teoreticky by vedelo ministerstvo problém odstrániť vymenením jeden a pol milióna občianskych preukazov. Macka tiež zaráža, prečo ministerstvo vnútra problém neriešilo, keďže sa o tom vie podľa neho od júna.
Chybu odhalil slovensko-český tím
Chybu odhalili slovensko-českí výskumníci z Masarykovej univerzity v Brne. Problémy zaregistrovala aj IT-komunita na Slovensku. Problémom je slabý šifrovací algoritmus v občianskych preukazoch: Šifrovací algoritmus RSA v spojení s konkrétnym bezpečnostným čipom od nemeckej spoločnosti Infineon, kde sa generujú podpisové kľúče, je zraniteľný. Na túto chybu už upozornili aj firmu Infeon.
Týka sa to aj iných krajín, napríklad Estónsko už pripravuje výmenu certifikátov na elektronických občianskych. Estónci majú verejný register verejných podpisových kľúčov občanov. Na Slovensku nie je dostupný, čo sťažuje prípadný útok. Útočník by sa musel dostať k verejnému kľúču cez už podpísaný dokument. Tie sa objavujú aj na internete.
Ministerstvo vie o probléme, opravuje ho
Problémy už rieši aj ministerstvo vnútra. To priznalo, že sa situáciu snaží napraviť. "Robíme opatrenia na elimináciu," povedalo vnútro pre server dsl.sk. Tento algoritmus sa používa aj v slovenských občianskych preukazoch.
