Články označené ako BrandCom sú pripravené a publikované v spolupráci s komerčnými partnermi. Hoci redakcia TRENDU nie je ich autorom, ich obsah považuje za prínosný pre čitateľa a preto umožnila ich publikovanie. Viac o BrandCom

Kto je a čo zažila partia ítečkárov, ktorá mohla hacknúť Kaliňákov občiansky

Koncom októbra žilo Slovensko prelomením bezpečnosti čipových občianskych preukazov a tým, ako ťarbavo sa s ním vyrovnávali vládne úrady. Za odhalením zraniteľnosti eID stála skupina výskumníkov z Masarykovej univerzity v Brne.

10.12.2017, 18:57 | Jozef Andacký | © 2017 News and Media Holding

  • Tlačiť
  • 1

Na hlášku nervózneho slovenského ministra vnútra, aby teda niekto hackol jeho občiansky, akademici, pochopiteľne, nereagovali. Hoci pre trojicu Slovákov v tíme to mohla byť zaujímavá výzva. Jeho šéf Petr Švenda v rozhovore pre TREND vysvetľuje, čo nasledovalo, keď na tento svoj objav prišli.

Prečo ste sa vôbec zaoberali eID kartami?

Nebolo to o tom, že by sme si povedali: Pozrime sa, či Slovenská republika má zraniteľné eID karty a či sa s tým dá niečo urobiť. V oblasti bezpečnosti čipových kariet pôsobíme dlhodobo. Zaujíma nás, akým spôsobom čipové karty generujú podpisovacie kľúče [elektronický podpis] a či ich nevytvárajú tak, že sa k nim môže dostať útočník.

Priemysel okolo bezpečnosti čipov je pritom veľmi uzavretý. Typicky nezverejňuje svoje zdrojové kódy a detaily implementácie použitých algoritmov, výsledky certifikácií sú dostupné len v agregovanej podobe. Je to taká čierna skrinka. Zaujímalo nás, ako funguje, obzvlášť v prípade algoritmu RSA, ktorý sa používa na vytváranie digitálnych podpisov.

Kto stojí za odhalením

Bezpečnostnú chybu odhalil tím výskumníkov zo špecializovaného pracoviska Fakulty informatiky Masarykovej univerzity v Brne, ktoré sa volá CRoCS (Centre for Research on Cryptography and Security).

Šéfom výskumného tímu je Petr Švenda (37), ktorý na fakulte pôsobí ako odborný asistent. Špecializuje sa na výskum sietí bezdrôtových senzorov a aplikovanej kryptografie v kontexte kryptografických smart kariet, spôsobov generovania a testovania náhodných čísiel.

Členom tímu je tiež profesor Václav Matyáš (47). Laboratórium CRoCS pred jedenástimi rokmi zakladal a dnes je jeho vedúcim.

Ďalší traja členovia tímu sú zo Slovenska, na Masarykovej univerzite vyučujú alebo sú tam na doktorandskom štúdiu, pričom pôsobia a študujú aj inde.

Dušan Klinec (28) je zároveň softvérovým inžinierom v spoločnosti Enigma Bridge sídliacej v britskom Cambridgei.

Matúš Nemec (25) si robí paralelne doktorandúru na Ca’ Foscari University of Venice v Taliansku.

Marek Sýs (37) je odborným asistentom na Slovenskej technickej univerzite v Bratislave.

Ako ste prišli na to, že práve čipy od Infineonu, ktoré využívajú aj slovenské eID, sú zraniteľné?

Vďaka aktivitám v minulosti sme mali veľké množstvo kariet od rôznych výrobcov. Nechali sme ich generovať veľké množstvo kľúčov, aby sme mohli posúdiť, či sa od seba systematicky líšia. Čo sa aj ukázalo. Následne sme tieto kľúče porovnávali s kľúčmi zo softvérových knižníc, ktoré sa bežne využívajú v počítačoch.

K nim máme aj zdrojové kódy, takže vieme povedať, ako sú vytvárané a či sú z bezpečnostného hľadiska v poriadku. Zistili sme, že karta od Infineonu z toho systematicky vytŕča, a to tak veľmi, až bolo jasné, že kľúče majú nejakú matematickú štruktúru.

Potom sme mali v zásade šťastie. Vyskúšali sme viacero tipov, ako by táto štruktúra mohla vyzerať, a podarilo sa nám ju zistiť. Na základe toho sme sa začiatkom tohto roka dopracovali k návrhu útoku, ktorý z verejného kľúča dopočítava privátny [toto je podstata zraniteľnosti, ktorá útočníkovi umožňuje prisvojiť si digitálnu identitu obete].

Petr Švenda (Masarykova univerzita v Brne, CRoCS)Zdroj: Milan David

Čo ste potom spravili? Existujú pre takéto objavy postupy, ktorých ste sa mohli pridŕžať?

Áno. V minulosti sa to riešilo živelne. Keď ste nejakej firme oznámili problém, zvyčajne sa ho snažila zamiesť pod koberec, lebo to pre ňu bola práca navyše a tiež jej škodil v publicite. Niekedy sa firma s výskumníkmi i súdila, aby dosiahla, že problém nezverejnia.

Neprehliadnite

Dnes však už máme pravidlá takzvaného zodpovedného zverejnenia [responsible disclosure]. V podstate to znamená, že ak prídete na nejaký problém, informujete o ňom najprv len firmu, ktorá má nejaký čas na jeho vyriešenie, kým ho zverejníte.

Typicky je to 90 dní, v našom prípade sa to pretiahlo na osem mesiacov, lebo išlo o veľmi závažný a komplikovane riešiteľný problém.

Ako prebiehala komunikácia s Infineonom?

Opäť sme mali šťastie. Kontakt, ktorý majú firmy pre prípad takéhoto bezpečnostného incidentu, sme najprv v Infineone nenašli, keď sme ho hľadali na webe. Ale ukázalo sa, že jeden môj známy má ďalšieho známeho, ktorý pracuje v Infineone a čiastočne ako akademik, pričom práve on bol napokon ten správny kontakt na tím, ktorý má takéto problémy riešiť.

Najprv sme aj my mali strach, že nás budú chcieť žalovať, aby pozdržali vydanie zraniteľnosti, ale to sa nestalo. Správali sa veľmi profesionálne. Dôležité bolo, že 

Dočítajte celý článok s predplatným TRENDU

už od 94 centov / týždeň

  • Plný prístup k prémiovým článkom a archívu
  • Sektorové rebríčky, hospodárske výsledky firiem
  • Obmedzenie reklamy na TREND.sk

Odomknite článok cez SMS s týždenným predplatným len za 1,90 €

Získajte prístup za pár sekúnd cez SMS objednaním týždenného predplatného TREND Digital s automatickou obnovou.

Viac informácií.

  • Tlačiť
  • 1

Rubrika Ekonomika

Tagy eID, elektronický podpis, informatizácia