eID prelomene?

by default rozdavaju aj ZEPy :slight_smile: kedze sa to kvoli ePP kritizovalo … Ja som dostal …

1 Like

Ako ju podpises za oboch? Cim? Nerozumiem. Musia byt 2 podpisy, ci?

ked mas 2 kluce, tak vies dat 2 podpisy.

1 Like

Mna skor zaujima, ci doslo k realnemu prelomeniu 2048 bit kluca, alebo je to stale v rovine teorie a caka sa na to, kto obetuje tych 20000€ a viac € na prelomenie nejakeho sukromnejo kluca vygenerovaneho v slovenskom eID, aby tuto teoriu dokazal aj prakticky. Predpokladam, ze vyskumnici v ramci prezentacie avizovanej zranitelnosti takyto dokaz zverejnia a bude sa dat doveryhodne overit, ze prelomeny sukromny kluc skutocne zodpoveda realne vygenerovanemu klucu s karty vyuzivajucej Infineon chip a prislusne kniznice. Az po tom sa da jasne hovorit o kompromitacii slovenskej eID karty. Zatial sme zial len v rovine teorie, ktorej mozeme ale nemusime verit. Nechcel by som byt v kozi, toho, kto to ma rozhodnut - zrusit vsetko alebo nie, skoro Hamletovska otazka.

Nerozumiem prečo sa rieši prihlásenie na slovensko.sk a prihlásenie cez BOK. Akonáhle vie niekto získať súkromný kľúč, vie podpísať napr. zmluvu o prevode obchodného podielu, kúpnu zmluvu, plnomocenstvo … s KEP s časovou pečiatkou. Ako písal @AdamValcek , následne uskutoční zaručenú konverziu na Slovenskej pošte. Tak získa originál dokument s overeným podpisom v papierovej podobe. Druhá strana napr. ten Jano overí svoj podpis a následne podá na príslušnú inštitúciu originál dokumentu (napr. na kataster Návrh na vklad, pričom ho môže podať Jano ako účastník konania). Následne Jano môže prepisovať a predávať komu chce čo chce. Tu je to len vynaliezavosti.

Jediná možnosť ako fungovať a podpisovať dokumenty zatiaľ je zrušiť existujúci kvalifikovaný certifikát na eID, dať si vystaviť nový. Nový eID používať len na prihlásenie na slovensko.sk a dokumenty podpisovať teoreticky s kvalifikovaným certifikátom na SSCD zariadení.

1 Like

Nope na AWS naozaj bezala faktorizacia testovacich klucov. Urobili sme vykonnostny benchmark na adekvatnej velkosti problemu na instancii c4.large. Intel® Xeon® CPU E5-2666 v3 @ 2.90GHz, 2 thread cores. (Faktorizacia inak bezala aj na https://www.metacentrum.cz/en/ (ack v Usenix clanku).

Samozrejme vypoctovy vykon sa da zohnat aj lacnejsie ale AWS sa casto pouziva ako referencny benchmark. Druhotny dovod je aj nas ciel moznost faktorizovat kluc za mesiac, na co nemusi mat kazdy (aj ked lacnejsi) cloud provider dostatok vypocetneho vykonu - napr. forpsi.cz ma celkom vykonne servery za 30 CZK na mesiac. Tam je cena ovela nizsia, ale otazna je udrzatelnost takeho vypoctu.

Vsetky matematicke detaily budu dostupne az po 2.11.2017 ked prebehne nas talk na CCS 2017. Ale v skratke z uz publikovanych informacii:

Matematicky je problem trivialne paralelizovatelny v priestore jedneho parametra. Pre kazdu hodnotu tohoto parametra trva vypocet rovnako dlho co sme aj experimentalne overili na random 512b kluci (komplet faktorizovany). Preto nam na test staci zobrat statisticky vyznamnu cast intervalu a extrapolovat casovy odhad pre cely prehladavany interval.

2k RSA kluc faktorizovany bol, ale vyrobili sme synteticky taky, ktory ma prehladavany parameter “blizko”, teda v ramci kratkeho prehladavaneho intervalu (dlzka vypoctu cca den). To zaruci dobru extrapolaciu. Faktorizacia random 2k kluca je teda mrhanie vypocetnym vykonom. Principialny rozdiel v utoku na 512b a 2048b kluce nie je.

Matematicka spravnost bola potvrdena aj Infineonom a clanok presiel preciznym recenznym konanim na spickovej bezpecnostnej konferencii. Myslim, ze to su dostatocne indikatory na to, ze 2k faktorizacia funguje.

UPDATE:
Prebehol test, kde sa na Infineon karte vygenerovalo 137 000 2k RSA klucov. Kedze sme mali k nim aj privatne kluce mohli sme ich usporiadat podla zlozitosti a realne faktorizovat verejne casti 24 2k RSA klucov, ktore isli priamo z karty za rozumny cas (tyzden). Prehladavane parametre mali blizko. Prebehla teda aj faktorizacia 2k RSA z infineon cipu.

Ako niekto uz spravne poznamenal cena je len odhad. Povazoval by som $40k za hornu hranicu ceny. Ak budem mat stastie na kluc, moze to stat aj $0.1 (ak bude jeho parameter blizko).

Rovnako treba zobrat do uvahy, ze utocnik uz moze mat dostupny hardware a plati povedzme len energiu. Ak by niketo postavil rig z tychto https://ark.intel.com/products/95828/Intel-Xeon-Phi-Processor-7230F-16GB-1_30-GHz-64-core mohol by potom jeden kluc lamat priblizne za $1000 pri cene energii $0.2 za kWh.

Taktiez sa neda vylucit vylepsienie utoku a aj scenar, ked mam klucov viac.

EDIT 2:
Pravdepodobnost, ze nespravne identifikujeme konkretny bezpecny kluc ako nebezpecny (false-positive detection) je nizsia ako 2^{-128}, teda prakticky vylucena - to uz je pravdepodobnejsie, ze uhadneme AES-128 sifrovaci kluc.

16 Likes

Hlavný argument MV SR je, že BSI nezrušilo čipu certifikáciu. Vieš k tomuto nejaké detaily?

V tejto diskusii to zatial vyzera ako s Yettim alebo Nessie - vsetci uz veselo riesia pouzivanie vygenerovanych sukromnych klucov zodpovedajucich tym, ktore su v eID, hoci ich realne este nikto nevidel, len niekto tvrdi, ze on ich dokaze zviditelnit, tak to musi byt pravda. Uvidime, co sa ukaze za dva tyzdne a budeme mudrejsi. Darmo asi sktocne plati " Rano mudrejsie vecera".

Teraz mam strasne nutkanie poskytnut moj cert z OP aj nejake peniaze, aby ste ho zlomili (hned ako rozbehnu sluzbu na revokaciu). Ak to bolo extrapolovane z cien AWS tak v realite to bude daleko ale daleko lacnejsie. Taky hetzner.de ma ovela vykonnejsie realne zelezo za zlomok ceny.

4 Likes

Vedel by mi niekto poradit? Browsujem vsetky mozne navody ako je mozne urobit bezpecny kluc, ale stale narazim na to, ze sa zvolia dve velke prvocisla p a q, a vypocita sa n…

npr p=11 a q=17, n = 187

potom sa vybere e, co je velke prvocislo npr 7, a potom k nemu dopocitaju d 23…

problem je, ze oni predpokladaju, ze d*e|n = 1 … ale aj pri inom d, npr 103 kde toto neplati sme schopni dekodovat spravy…

priklad:

2^7|187 = zasifrovana sprava … = 128

128^23|187 = 2 = 128^103|187 =128^183|187

plati to pre vsetky vstupy… M = (M^7|187)^23|187 = (M^7|187)^103|187 = (M^7|187)^183|187

take ak je d (23) tajny kluc, tak nsa, alebo naka mozu dekodovat spravu pomocou klucov 103 alebo 183…

na druhej strane podpisovanie funguje tak, ze e je tajne… so spravou teda posielame npr tych 23

ale tu je tiez viac moznosti…

2^7|187 = 128 … 128 ^ 23|187= 2
2^87|187 = 128 … 128 ^ 23|187= 2
2^167|187 = 128 … 128 ^ 23|187= 2

Moj hlavny ciel v tomto bolo zistit ci sa nahodou pri pouziti alternativneho kluca nevygeneruje ina sprava ktora by bola detekovatelna… ale zatial to vyzera tak ze ani nie… ale nechapem preco vsetky zakladne priklady na rsa na tomto padaju, ci uz na wiki, na youtube, alebo vsade kde som zatial nasiel… ani jeden priklad nebol funkcny ktory by mal prave jeden privatny kluc a prave jeden verejny kluc…

S tymto sa vobec nestotoznujem. Ak uz bola znama potencialna zranitelnost, ktora ma dopad na obcanov, tak mala byt transparentne komunikovana. Ak sa netyka prihlasovania, ale iba KEP, tak o tom mali byt obcania presne tymto sposobom a vcas informovani, vratane konatelov. Nie, ze si niekto vybavi el. obciansky preukaz, lebo ho stat do toho tlaci a ked uz stoji v rade na policii, rovno si v dobrej viere aktivuje potencialne rizikovy kluc pre KEP. Pricom vsetci zodpovedni o probleme vedeli a vsetci boli ticho ako vsi pod chrastou, az kym sa problem neprevalil.

Chapem, ze komunikovat takuto informaciu v case kapamane za zvysenie poctu eID by bolo politicky a marketingovo nevhodne. Lenze to, ze sa mi to politicky nehodi, nie je dovod, aby MV SR, UPVII a NBU vedome vystavili obcanov riziku zneuzitia ich klucov.

Ak su pravdive informacie o nakladoch na prelomenie, ktore odhadli vyskumnici (su?), potom takymi prostriedkami moze disponovat aj jednotlivec, nehovorim o organizovanom zlocine.

Napr. prva verejna SHA-1 kolizia bola publikovana 23 februara 2017, ale z algoritmu sa pre potreby podpisovania upustilo roky pred tym. Ked sa drzim vyjadreni (= vyhovoriek) k eID - tiez chybala realna demonstracia a slo iba o " teoreticku" zranitelnost, atd. Podla tohoto pristupu mali o tom vsetci mlcat a dodatocne pozerat ako puci, co sa to stalo. Dlhodoba skusenost nam hovori, ze rozne “teoreticke zranitelnosti” su implementovane uplne bezne, takze nerozumiem tomuto lahkovaznemu pristupu.

4 Likes

Take jednoduche to nie je. Podla mna bol postup do vcera viacmenej v poriadku, vedel o tom vyrobca cipu a vyskumnici a dufam, ze aj MINV. Ak to nevedel (resp. detaily) nikto dalsi, tak nebol dovod do zverejnit skor.
Co treba vytknut je pristup MINV k analyze dosledkov, nezda sa mi, ze by mali do zverejnenia predstavu, aky problem to je a ako sa da zneuzit. A nepracovali na rieseni, ktore by dali von najneskor v case zverejnenia informacie.
Uz teraz malo byt jasne, ci zneplatnia vsetky vydane kluce alebo ako vydaju nove, resp. ako zabezpecia obcanov pred zneuzitim (minimalne mat docasne zmeny v procesoch, osobne potvrdzovanie ukonov, a ine, co uz mali vediet).
Mam dojem, ze sa zobudili, ked zistili, ze je to vonku a ze nieco treba vyhlasit a nieco teda za par hodin zbuchali. Ale plan zatial ziadny. Ani NBU ani MINV ani Disig.
V Estonsku ten plan uz maju.

2 Likes

Prístup zodpovedných orgánov a ich vyjadrenia sú najväčší problém. Je potrebné prijať potrebné opatrenia už aj pri najmenšom podozrení. Tu máme situáciu kedy je jasné, že nejde o teoretickú možnosť, ale o prakticky veľmi dostupnú možnosť. Nečinnosť ministerstva a NBU a zľahčovanie situácie bude mať za následok stratu dôvery v celý systém.

V zásade nám týmto zodpovedné orgány dali týmto veľmi jasne najavo, že nie sú kompetentné a náš eGov tým pádom stojí na vode. Predpokladám, že IT komunita týmto stratila dôveru a bude túto skepsu oprávnene šíriť ešte viac a tým pádom široká verejnosť stratí túto dôveru tiež.

3 Likes

Zranitelnost spociva v tom, ze ak si uz raz podpisal nejaky dokument, tak v nom sa nachadza tvoj verejny kluc. No a z tohoto kluca si pripadny podvodnik vie vypocitat aj tvoj privatny kluc, a pomocou neho od tejto chvile moze podpisovat tak ako by si to bol ty. Co je najhorsie tak sa podla eIDAS jedna o tvoj vlastnorucny podpis. Tam sa tiez hovori o tom, ze si povinny si svoj privatny kluc chranit a ze zodpovedas za vsetky skody ak by si si svoj privatny kluc nechranil. Tu nastava ale situacia ze ty si si svoj privatny kluc chranil ako oko v hlave ale iny niekto mohol po cely cas od kedy si mal vydany eID a podpisal si 1. dokument, ktory si niekam poslal podpisovat tvojim vlastnorucnym podpisom. Ale zodpovednost za skodu je stale na tebe, lebo sa neda ziadnym sposobom preukazat ze falosny podpis si nevtvoril ty sam. A tento stav trva od chvile ked biol vydany prvy eID aj z ACA cerzifikatom a miesto toho aby trval maximalne 24 hodin od zistenia tak trva dlhe mesiace a budeme cakat dalej. Medzitym mozno niekde na darknete moze niekto predavat privatne kluce ako zemiaky na trhu.

Dufajme iba ze kompetentni maju viac informacii k problemu ako my. Ale tu ide o bezpecnostny incident. A kedze dani vyskumnici tvrdia, ze generovane kluce maju nejaku spolocnu vlastnost podla ktorej identifikovali moznu zranitelnost, znaci to ze karta generuje kluce ktore nie su z celeho rozsahu klucov ktory by sa mal vyuzivat a toto je ten pes zakopany. Uz nejde o to ci to niekto realne dopocita - i ked sami tvrdia ze predali vyrobcovi vypocitane kluce. Ak karta generuje takto zdegenerovane privatne kluce tak je podstatnym sposobom znizena bezpecnost a vtedy treba okamzite zasiahnut, lebo je sice pouzity spravny algoritmus ale takym sposobom, ktory znizuje jeho bezpecnost. A to ci je takyto zdegenerovany algoritmus pouzity to vie povedat vyrobca a netreba cakat na to az niekto zaplati vypoctovu kapacitu a skutocne to vypocita. Aj keby to zajtra nikto nevypocital. Ta zranitelnost tu je a denne vznika kopec novych podpisov ktore obsahuju verejny klu z ktoreho sa bude dat vypocitat privatny, aj ked mozno si na vypoctovu kapacitu utocnik bude musiet este 5 rokov pockat.

Zrusenie certifikatov je iba jedna cast problemu. Druhou je legislativne osetrit pripady ak by sa v buducnosti niekde objavil dokument o ktorom bude ten co je na nom podpisany tvrdit ze on ho nikdy nevidel a nepodpisal.

1 Like

“Legislatívne” to samozrejme ošetrené je. Ide o podvod. Súdy o neplatnosť podpisu, lebo bol vytvorený nezákonne, sú pokiaľ viem pri papierovom podpise bežné. Pre elektronický podpis som čítal správy o niektorých zahraničných sporoch, či už bol takýto súd v SR neviem.

Ináč nezákonný podpis môže vzniknúť mnohými spôsobmi, nielen prelomením kryptografie. Napr. ak obeť podpíše pod nátlakom, ak útočník zistí PIN obete a “požičia si” jej SSCD, ak má obeť v počítači kde podpisuje malware…

Podvodom / bugom v SW sa nedá úplne vyhnúť a ani to nie je efektívne. Postačí ak počet reálne vykonaných podvodov je akceptovateľne malý.

dik, vdaka za odpoved, rozumiem tomu, mal som pocit ze @Jozef_Chajdiak frazou “podpises za oboch”, myslel ze podpises ako kupujuci svojim klucom aj za predavajuceho, hlboka noc, uz mi to moc nemyslelo :frowning:

Ale ved MV SR samo potvrdilo, ze o tom vedelo mesiace. To je mimo diskusie.

“Nevie o tom nikto dalsi” je mizerny pristup k bezpecnosti. Ako ty, MV SR, UPVII, NBU alebo Disig viete, ze rovnaku zranitelnost neodhali niekto dalsi, nezavisle na povodnych vyskumnikoch? Zvlast, ked ma indicie a vie, ze ma nieco hladat (vid incident v Estonsku)? A ako viete, ze to nezneuzije niekto z ludi, ktori o tom vie, alebo sa proste neprekecne niekde na pive?

2 Likes

Omyl. Ak o tej zranitelnosti sme sa my dozvedeli dnes a zodpovedne organy uz pred par mesiacmi od vyrobcu, okamzite mali nastupit postupy podla eIDAS - do 24 hodin.
To ze o tom vieme az teraz neznamena, ze o tom nejaky spekulanti co sa tomu venuju profesionalne nevedeli uz davno pred mnohymi rokmi a dnes uz kseftuju s privatnymi klucmi, nehovoriac ze su organizacie, ktore vypoctovu kapacitu maju k dispozicii a aj odbornikov, a ani o tom ze sme boli aj svedkami takych veci ze vyrobca isiel niekomu takemu na ruku a pod. Cize opatrenia mali nastupi okamzite ale co je horisie mali byt opatrenia na takuto situaciu pripravene. Tu nejde iba o zneplatnenie certifikatov. Tu ide o to ze vlastnorucny podpis 300 000 obcanov nemozno povazdovat za ich vlastnorucny podpis tak ako to hovori eIDAS. Tam sa totiz hovori ze kvalifikovany podpis je tvoj vlastnorucny. Ze za skody sposobene zneuzitim privatneho kluca zodpovedas iba ty. Vobec tam nie je napisane ze za tieto skody nedpovedas v pripade ak sa preukaze ze si si svoj kluc riadne chranil a niekto ho zneuzil aj napriek tomu. To su problemy co tato vec na svet priniesla.
Naviac je na slovensku aspon jedna akreditovana sluzba uschovy elektronickych podpisov? Tato by totizto aspon ciastocne osetrila tento problem.

4 Likes