Na jednej strane sú nespokojní občania a podnikatelia, ktorí odsudzujú nedostatočnú informatizáciu na Slovensku. Na druhej strane sa štát bráni, že termín zavedenia elektronických občianskych preukazov musel posúvať niekoľkokrát, nakoľko si ich právnické osoby neboli schopné vybaviť. Dnes máme na Slovensku viac ako dva milióny elektronických občianskych preukazov a tie čelia vážnemu problému.
Česko-slovenský tím cyber-security z Masarykovej univerzity v Brne totiž na základe svojho výskumu potvrdil, že elektronický podpis sa dá ukradnúť, a to dokonca z verejne dostupných údajov. Spoločnosť Infineon je dodávateľom čipov, ktoré sú použité v slovenských elektronických občianskych preukazoch a o probléme vie už od februára.
„Okamžite sme informovali svojich zákazníkov a ponúkli riešenia. Softvérová funkcia bola aktualizovaná a používame ju v rámci výroby nových zariadení,“ tvrdí hovorkyňa spoločnosti Karin Breackle.
Prístup do dôležitých inštitúcii
Elektronický podpis je podľa zákona rovnocenný s vlastnoručným podpisom. Jeho použitím môže útočník pod falošnou identitou vystupovať pod menom niekoho iného na súdoch, úradoch, v prípade prevodov nehnuteľností, či exekúcii. Práve preto je vzniknutý problém mimoriadne vážny.
Na vine je bezpečnostný čip nemeckej spoločnsoti Infineon, ako aj šifrovací algoritmus s názvom RSA, ktorý má údaje chrániť a je používaný aj v prípade slovenských elektronických občianskych preukazov. Problém registruje aj rezort vnútra. „Robíme opatrenia na elimináciu,“ potvrdilo ministerstvo pre server dsl.sk.
Desiatky rokov, či desiatky tisíc
„Občiansky preukaz obsahuje dve položky. Jedna je prístup do informačných portálov a druhá je elektronický podpis,“ vysvetľuje šéfredaktor technologického portálu TouchIT.sk Ondrej Macko.
Navyše i samotný elektronický podpis sa skladá z verejného a súkromného šifrovacieho kľúča. Dôvod je jednoduchý. Zatiaľ čo súkromná časť podpisu sa využíva na podpísanie, jeho verejná časť je súčasťou akéhokoľvek dokumentu, ktorý už bol užívateľom podpísaný, aby si tretie strany mohli overiť pravosť podpisu.
Čipový systém je zabezpečený 2048-bitovým kľúčom a podľa počítačových expertov by jeho rozlúsknutie na bežnom počítači trvalo viac ako sto rokov. Sú však aj iné možnosti ako uspieť. A to konkrétne prostredníctvom zdieľanej výpočtovej kapacity, ktorú poskytuje podľa portálu dsl.sk napríklad aj služba Amazon EC2.
Urýchľovač procesu by mohol útočníka stáť podľa odhadov 20 až 40 tisíc eur, pričom by si čakanie skrátil z rokov na dni. To je relatívne nízka cena vzhľadom na to, že by následne napríklad mohol previesť nehnuteľnosť na niekoho iného.
Dodatočné zabezpečenie
Okrem dlhej dešifrácie bežnými prostriedkami, či nákladných urýchľovačov výpočtov, ktoré sme vyššie spomenuli budú na prípadných špekulantov čakať ďalšie prekážky. Je totiž potrebné vedieť aj prihlasovací kód do systému, ku ktorému sa útočník z verejného kľúča nedostane.
„Elektronická komunikácia v prostredí slovenského e-Governmentu si vyžaduje opakované prihlasovanie cez BOK pri používaní elektronického podpisu, čo je inokedy terčom kritiky. Pri dodržaní zásad bezpečnosti nie je používanie elektronického podpisu ohrozené,“ uviedol tlačový odbor Kancelárie ministra vnútra a dodáva, že držitelia elektronických občianskych preukazov si svoje doklady nebudú musieť meniť.
Ak by ho však aj získal, nemal by vyhrané. „Pri väčšine úkonov ako je napríklad prepisovanie nehnuteľnosti ide o súhlasenú službu, ktorá je spoplatnená a správny poplatok je potrebné uhradiť,“ konštatuje Macko a dodáva, že notifikačný email, ktorý obsahuje výzvu na zaplatenie príde na emailovú adresu, ktorá je uvedená v elektronickom občianskom preukaze.
To znamená, že útočník by musel mať prístup aj k schránke zneužitej osoby a poplatok aj reálne zaplatiť. Bez tohto úkonu by prípadný prepis nebol uskutočnený.