Złamano zabezpieczenia identyfikacji w bankach i instytucjach publicznych

Naukowcom udało się złamać powszechnie stosowaną metodę szyfrowania danych. Na całym świecie zagrożone są setki milionów kluczy służących do potwierdzania tożsamości. Elektroniczne dowody osobiste służą w Estonii do wypełniania deklaracji podatkowych, elektronicznego głosowania oraz kontaktów z administracją publiczną.

Estonia zawiesiła wszystkie karty wydane w okresie ostatnich 3 lat. Estońskie urzędy już zamówiły nowe dowody osobiste, które wykorzystują kryptografię opartą na matematycznym problemie krzywych eliptycznych. Powszechnie stosowane klucze prywatne w podpisach cyfrowych opierają swoje działanie na problemie rozkładu liczb na czynniki pierwsze. Okazuje się, że część kart czipowych wydanych w ostatnich kilku latach może być w łatwy sposób zhakowane. Chodzi szczególnie o karty wydane przez firmę Infineon. Zagrożone są karty płatnicze, paszporty, a także tzw. TPM-y, w tym BitLocker Microsoftu. 1024 bitowy klucz można odgadnąć w 25 minut, natomiast obliczenie dwa razy dłuższego zajęło naukowcom 9 dni. Oznacza to, że firmy i instytucje takie jak banki czy administracja publiczna są poważnie narażone na ataki. Przestępcy mogą w łatwy sposób podszyć się pod posiadacza klucza prywatnego.

Powszechnie stosowany algorytm szyfrowania danych został złamany (fot. Pixabay)

Naukowcy z czeskiego Uniwersytetów Masaryka oraz włoskiego Foscari przy współpracy z brytyjską firmą Enigma Bridge miesiąc temu opracowali nową metodę ataku. Dali czas firmom oraz instytucjom publicznym do 2 listopada aby zaktualizowały swoje systemy zabezpieczeń. Po publikacji inni naukowcy, Daniel J. Bernstein oraz Tanja Lange ulepszyli atak, który jest jeszcze bardziej skuteczny. Sprawa jest poważna, bo metoda będzie zapewne ulepszana, a aktualizacja zabezpieczeń w wielu instytucjach trwa dość długo. Z tego powodu cieszy tak radykalne posunięcie estońskiego rządu. Świadczy to o świadomości zagrożenia.

Algorytm oparty na problemie rozkładu liczb pierwszych ma być zastąpiony swoim odpowiednikiem dla krzywych eliptycznych (fot. Ars Technica)

Na razie bezpieczni są posiadacze bitcoinów, których działanie oparte jest również na kryptografii klucza publicznego. Twórcy bitcoina przewidzieli, że postęp technologiczny w końcu doprowadzi do opracowania nowych metod rozpracowywania algorytmów opartych na faktoryzacji (rozkładzie) liczb i już od dawna stosują metodę, na którą dopiero teraz chce przejść estońska administracja publiczna.

W Polsce funkcjonuje tzw. Profil Zaufany znany też jako eGO. Można go potwierdzić za pomocą banku lub w punkcie autoryzacji. Po autoryzacji system wysyła nam kody jednorazowe kiedy chcemy załatwić sprawę. Na tej zasadzie mają działać mDokumenty testowane przez Ministerstwo Cyfryzacji. Profilem Zaufanym można również podpisywać dokumenty. Radzimy jednak sprawdzić, czy elektroniczny, którego używamy jest podatny na atak. Można to zrobić na stronie udostępnionej przez naukowców, którzy znaleźli lukę w zabezpieczeniach algorytmu. | CHIP

0
Źródło: Ars Technica
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.