BRATISLAVA 20. októbra (WebNoviny.sk) – Zoskupenie slovenských bezpečnostných profesionálov a firiem žiada od Ministerstva vnútra (MV) SR adekvátnu reakciu na bezpečnostný problém s elektronickými občianskymi preukazmi (eID).
Ako priblížili vo svojom stanovisku, 16. októbra bola zverejnená zraniteľnosť ohrozujúca bezpečnosť kľúčov používaných na zaručený elektronický podpis vytváraný pomocou elektronického občianskeho preukazu.
Mimoriadne závažná zraniteľnosť
„Podľa nám dostupných informácií je táto zraniteľnosť mimoriadne závažná a reálne vykonateľná. Tento problém nezavinili slovenské úrady či firmy a nesúvisí s doterajšími projektmi eGovernmentu. Avšak zodpovednosť za jeho rýchle a dostatočné riešenie teraz leží najmä na Ministerstve vnútra SR, ktoré vydávanie eID riadi,“ uviedli odborníci.
Podľa nich doteraz zverejnené stanoviská rezortu vnútra situáciu najmä zľahčujú, obzvlášť informovaním že ide „iba o teoretický útok“ a neboli prijaté žiadne okamžité opatrenia.
Elektronické podpisy nie sú podľa SaS bezpečné, žiadajú ministerstvo vnútra o ich deaktiváciu
IT odborníci upozorňujú, že takýmto spôsobom sú však všetci držitelia zaručeného elektronického podpisu v eID vystavení veľkému riziku a taktiež neistote, keďže tieto vyjadrenia sú v rozpore so správami z iných zdrojov.
„To však ostro kontrastuje s potrebou budovania dôvery v používanie elektronického podpisu, elektronických občianskych preukazov a elektronických služieb a bude viesť k prehĺbeniu nedôvery v riešenia prezentované verejnou správou SR,“ konštatovali.
Informačná bezpečnosť
Na problém je podľa bezpečnostných odborníkov preto potrebné nahliadať aj zo širšieho pohľadu, nakoľko ide o závažné ohrozenie želaného fungovania informačnej spoločnosti, respektíve jedného zo základných princípov Stratégie kybernetickej bezpečnosti EÚ.
„Rovnaké zákony a normy, ktoré platia v našom bežnom živote, by mali platiť aj v kybernetickom priestore. Preto my, odborníci na informačné technológie a informačnú bezpečnosť, vydávame toto prehlásenie, ktorého cieľom je informovať o situácii z odborného hľadiska a apelovať na vykonanie opatrení, ktoré považujeme za potrebné na základe štandardov dobrej praxe v našom odvetví,“ zhrnuli.
Aktualizované: Ministerstvo vnútra reaguje na informácie, že elektronické občianske preukazy majú bezpečnostnú chybu
Za adekvátnu reakciu považujú odborníci okamžite verejne informovať o dátume plošnej revokácie certifikátov, ktorá bude vykonaná najneskôr do konca októbra 2017 a v stanovenom dátume revokovať všetky vydané certifikáty postihnuté touto zraniteľnosťou.
Z krátkodobého hľadiska by sa nové RSA kľúče mali generovať s väčšou šírkou určenou na základe výsledkov diskusie jednak s výskumným tímom, ktorý odhalil zraniteľnosť, ako aj s výrobcom čipu – firmou Infineon. Strednodobo by sa mal podľa odborníkov prehodnotiť použitý algoritmus a jeho parametre a v prípade potreby zmeny túto zmenu implementovať, a to najneskôr do konca októbra 2018.
Elektronické občianske preukazy (OP) sú podľa ministerstva vnútra stále bezpečné. Vyhlásila to v stredu na tlačovej konferencii štátna tajomníčka rezortu vnútra Denisa Saková.
„Totiž certifikáty, ktorými sa generujú kľúče, či už verejný alebo privátny, na zaručený elektronický podpis, schvaľovalo nemecké kvázi NBÚ, čo je Bundesamt fur Sicherheit in der Informationstechnik, a tieto certifikáty automaticky prebral aj náš Národný bezpečnostný úrad. Zatiaľ nemáme žiadnu informáciu, ani od Národného bezpečnostného úradu, ani od nemeckého bezpečnostného úradu, že by tieto certifikáty boli zrušené,“ povedala.