eID prelomene?

To mi najviac vadí na cyber - totalitnom štáte.
Núti laikov používať nepochopiteľné nástroje.

Jednej veci nerozumiem. Na dnesnej tlacovej konferenci na konci odznelo, ze ak sa revokuju vsetky 3 certifikaty na eID, prihlasenie stale pojde (staci si chranit BOK). Akym klucom sa teda overuje moja identita pri prihlaseni? WTF? Vie toto niekto vysvetlit?

Lebo karta je ta ista a kluce sa zrejme negeneruju inak, bez ohladu na ich ucel. Ja ked hodim do ROCA testu lubovolny z tych 3 certifikatov, vypise mi pre kazdy z nich, ze kluc je zranitelny.

Bud tomu nerozumiem, alebo niekto s tym prihlasovanim zavadza.

lenze problem nie je v dlzke ale v tom ze vygenerovany kluc je nenahodny a to bude platit aj pre dlhsie kluce.
Ako sa to deje prakticky ? Mozem poziadat o nove certifikaty elektronicky ale nie je nutne navstivit policiu potom aj osobne ?

Podla mna je to trochu zrejme z toho co pisal lubor vyssie eID prelomene? - #22 by Lubor. Je tam uplne iny sposob.

Estonci to uz raz robili takto: Stiahnes si utilitku co pustis lokalne, ta upgradne sw na karte a nasledne pregeneruje na karte pary. Samozrejme si treba dat bacha na kanal odkial to tahas a kde to pustas. Najblizsie tomu ma asi flash biosu. Ak tomu spravne rozumiem update by mal opravit prave ten zly generator klucov. (Silne pochybujem, ze inzinieri z Google by sa uspokojili s tym, ze proste pregeneruju kluce na dlhsie s rovnakou zranitelnostou.)

Otazka je nielen o akom case hovorime ale aj to ze aj 4096 kluce sa generuju z mnoziny ktora nie je uplna cize mame dlhsi kluc, ale ktory sice ma spravny algoritmus ale nema full parametre. Cize ak v case kedy este budu podpisane dnes dokumenty platne dojde aj k narastu vykonu, ze 4096 vypocitam ako dnes 2k tak sme len problem posunuli na neskor.

Ale toto by mala robit akreditovana CA postupmi schvalenymi NBU. Cize je to tiez vybocenie z ramca KEP.
Z pohladu mojej dovery by toto bolo omnoho vyssie hodnotene riesenie ako poskytovanie 4096 klucov
liznutym generatorom.

Tlacovka tu

Suhlasim s Tebou, ze generovane kluce pochadzaju z definitivnej mnoziny klucov a je lahsie dopocitat, sa za splnenia urcitych podmienok (mas verejny kluc, vies co potrebujes dopocitat a ako to mas vykonat, mas dostatocny vypoctovy vykon na uskutocnenie potrebnych vypoctov atď) k sukromnemu klucu. Neviem, co si vsak predstavujes pod okamzitym zasiahnutim. Prestat generovat kluce na eID a vydavat certifikaty. Zrusit vsetky existujuce certifikaty na eID a tym znemoznit pouzivanie “zranitelnych” klucov. Co sposobi takyto okamzity zasah? Predpokladam, ze dalsiu vlnu nespokojnosti zo strany tych, ktory zrazu nebudu mat moznost pouzivat svoj eID na vyhotovovanie podpisu a budu nuteni oslovit nejaku komercnu CA, aby im vydala novy, na zatial nekompromitovane zariadenie, za cca 70 az 100 €. Ako im asi kompetentni budu vysvetlovat, ze to je pre ich dobro, ked im nikto nedokaze realne preukazat, ze prave ten jeho sukromny kluc bol kompromitovany, ale len “moze byt” kompromitovany a mozno nikdy nebude, lebo sa to nikomu neoplati. Predpokladam, ze MV SR ako organ zodpovedny za vydavanie eID, ma pripravene nejake riesenie, ktore sucasne riziko eliminuje, podobne ako je tomu v Estonsku, zial to sa velmi nekomunikuje, co je dost nestastne. Estonci sa rozhodli vykonat vymenu pouzivanych klucov a zrusenie vsetkych “zranitelnych”, ktore nebudu prevydane nechali az na apríl 2018. Teda ziadne unáhlené rozhodnutia s okamzitymi dopadmi na cely system vyuzivajuci certifikaty na eID.

Osobne nechapem na co sa tu hrame, potencionalna hrozba

Vsak do dvoch tyzdnov je clanok vonku, vrhne sa na to cela komunita a vyrobia kod utoku z popisu do par hodin. Nechapem ci to ma len fungovat na ukludnenie nez bude konferencia.

Edit:
K prelomeniu neprislo - akoze ano, nefaktorizovali sme nikoho eID kluc pretoze je to nelegalne a aj preto, lebo kod utoku skoro nikto nemal, to ale nebude do dvoch tyzdnov pravda.

Ok aj napriek tomu musia tito vsetci vediet ze i ked teoreticky moze existovat dokument ktory nikdy nepodpisovali a ktory v sebe nesie ich vlastnosrucny podpis.
Bezpecnosti bolo podla mna v tejto veci venovane malo. Napr. bolo vytvorenych obrovske mnozstvo studii, na rozne temy. Podla mojho nazoru mala byt jedna velka studia venovana uskaliam pouzivania elektronickeho podpisu. Medzi taketo uskalia patri aj skutocnost, ze v pripade prelomenia algoritmu, alebo takeho utoku aky sa stal. Budu na svete dve mnoziny dokumentov, ktore aj sudny znalec prehlasi za platne. A to dokumenty, ktore podpisali drzitelia zariadenia, ktori si ho poctivo chranili. A dokumenty ktore mohol podpisat niekto tak, ze si z ineho nimi podpisaneho dokumentu vypocital sukromny kluc. Studia sa podla mna mala v tomto venovat v zmysle co stym? A co ak teraz niekto co uz nieco podpisal a zistil ze podpisal nieco co mu nevyhovuje, zacne tvrdit ze dokument on nepodpisoval a bude sa odvolavat na to ze si zrejme niekto niekde pozhanal jeho sukromny kluc?
Je mi jasne ze moj sukromny kluc nebude nikoho zaujimat a nema dovod ho pocitat a platit koli tomu vypoctovy vykon, ale ak che niekto urobit podvod na niekom majetnom, tak sa mu investicia nejakych par vela tisic eur moze vyplatit…
Nie sme pripraveni na taketo “katastrofy”, skus sa zamysliet ako sa da zneuzivat elektronicka pecat kedze ju mame v zakone osetrenu ako mame a imoplementuje sa tak ako sa implementuje. Az to niekto zneuzije budeme zase kukat ako puci ze co sa to stalo ved sa to stat nemalo…

Po zhliadnutí

prosím @jsuchal a @Dusan_Klinec zriaďte transparentný účet na verejnú zbierku “Na výpočet Suchalovho privátneho kľúča z jeho verejného kľúča”. Predpokladám, že @Dusan_Klinec zverejní na konferencii aj kód na prelomenie, čiže ihneď ako to bude vonku @jsuchal sa postaví na políciu revokovať a kúpme nejaký cloud a poďme na to.

Tiež som ochotný takto kúpiť Suchalov byt za symbolické euro za účelom tohto dokazovania čiže hlásim sa ako biely kôň do tohto “podvodu”. Následne sa so Suchalom budem “súdiť” o platnosť a “dohodneme sa”. Som zvedavý, čo by potom na to MINV povedalo a nevidím problém, že prečo by na Slovensku sa nenašli donori za 20 000 dolárov, len aby dokázali, že to nie je teoretický útok.

To nespochybnujem, aj som pisal, ze kompetentni to mali riesit hned a robit opatrenia co sa daju bez zverejnenia alebo pripravit opatrenia ktore zverejnia spolu s informaciou o problemoch.
Ak by to zverejnili hned, ako sa to dozvedeli, tak by bola situacia rovnaka, ako je teraz. Resp. horsia, estonci by nestihli byt pripraveni.
Mne sa z vyjadreni zda, ze na rieseni zacali kompetentni pracovat (resp. ho hladat) az tento tyzden, inak by take blbosti a bagatelizovanie nevypustali z ust.

Pozrel som aj tu tlacovku. Je pravda ze placeme zrejme na nespravnom hrobe. Jasne ze BOK a eID nikto nespochybnuje, ale ked vyrobca priznal ze kluce nim generovane su CINKNUTE, tak to nahradime inymi CINKNUTYMI ale dlhsimi???
Zranitelnnost priznal sam vyrobca, a uz je jedno ci to vypocitam za rok, alebo za 5 - teda v dobe kedy este certifikat plati. Podstatne je ze su zranitelne cize postavit na nich vlastnorucny podpis (ktory by mal platit aj po smrti podpisujuceho) je hazard aj keby to v tomto desatroci nikto nedokazal vypocitat (resp. nebol tak hlupy a nezverejnil to ze sa mu to podarilo). Skrátka je tam skratka pre vypocet tajnej casti kluca.

V com je ten kod ? Ak c/c++ tak to pomozem prehodit na opencl/cuda a potom sa tu prestaneme dotahovat o to ci je 640 serverov dost alebo malo, ked to GPU zrychli este o par radov.

Este by som uviedol oficialne stanovisko Infineonu (vdaka Matus za link):

https://www.infineon.com/cms/en/product/promopages/rsa-update/rsa-background

Nevyzera to ako “potencialna” hrozba.

“Pruser ako Brno” prave dostalo uplne iny vyznam.

Pozeram tu tlacovku, krutim hlavou…a rozmyslam, ze dokedy to na tychto kecoch ustoja…
Co sa musi stat alebo co treba urobit ?

len upozornenie, ak urobis trestny cin, tak dohoda so Suchalom nebude stacit. Budes sa musiet dohodnut s prokuratorom a sudcom.
Pachat trestny cin aby si dokazal zranitelnost kryptografie nje je najrozumnejsi napad.

To sedí (a nič iné som ani netvrdil). Vychádzam z toho, čo je napísané priamo v paperi: “Note that 4096-bit RSA key is not practically factorizable now, but may become so, if the attack is improved.” Pri dostatočnom výpočtvom výkone alebo vylepšení útoku je nanič aj 4096 bitov (alebo trebárs aj 8k kľúč, ak je generovaný tou zle naimplementovanou knižnicou). Problém sa len odsunie na neskôr, ale IMHO stále je to lepšie ako terajší stav.

Ahojte, chcem sa opytat ci existuje nejaky verejny dokument podpisany Ficom alebo Kalinakom? Pravdepodobne nepouzivaju eID, no napriek tomu som zvedavy.