eID prelomene?

Inac to je take vtipne, ze Infineon o tom 10 mesiacov vie a riesi to, reaguju popredni svetovi hraci, Estonci maju uz vymyslene riesenie na nahravanie novych certifikatov na eID karty…ale na Slovensku je to pre urady aj dodavatela certifikatov stale len “nepotvrdena hrozba”… :wink:

7 Likes

Nechcem sa zastávať ministerstva, práve naopak. Ale podľa mňa vymyslenie jedného konkrétneho scenáru ako ten BOK (v e-governmente) obísť bude mať väčšiu váhu ako výrok, že takých scenárov je tisíc.

Zatiaľ najlepší pokus čo som v diskusii videl je tu:

Môžte niekto potvrdiť že to na katastri ide takto spraviť? Pri agende evidencie vozidiel, som používal splnomocnenie, ale nato aby som ho do systému zadal som potreboval byť autentifikovaný. Čiže platilo to čím sa bráni MV, že bolo treba nielen KEP ale aj BOK.

Ano,

su generovane inak ako certifikaty na eID, pravdepodobne iny vyrobca.

strana 7, preto Infineon. Vyberte si dalsieho oblubeneho favorita :).

r.

1 Like

Zase treba priznat, ze cela kampan bola hlavne o tych “BOKoch” kvoli schranke, neviem o tom, ze by nejako hufne aj ZEPy propagovali. Vlastne ani neviem ci to by-default rozdavali, neviete niekto?

  • Súdy majú stále aj e-mailovú elektronickú podateľňu, ktorú bežne využívam, čiže na podanie podania nie je nevyhnutné ísť cez portál MS SR, resp. ÚPVS, čiže takto viem obísť autentifikáciu. Detto platí aj pri niektorých ďalších úradoch.
  • V minulosti som bežne fungoval aj tak, že podanie som si podpísal, napálil na CD podpísané a zaniesol fyzicky disk do podateľne. Ak to je možné aj dnes, tak obchádzam autentifikáciu.
  • Nič nebráni tomu, aby som podanie podpísal a zaniesol na Slovenskú poštu na zaručenú konverziu, vytlačené podanie podal v papierovej verzii, čím obchádzam autentifikáciu.
  • Ak niekomu ukradnem podpis, či už reálne kartu s PIN-om alebo cez túto zraniteľnosť privátny kľúč, a chcem previesť napr. majetok, urobím to cez bieleho koňa alebo teda blbec cez seba, ale ja alebo ten biely kôň v takomto scenári máme svoj vlastný eID, teda viem sa autentifikovať a podať to na kataster/obchodný register aj cez ÚPVS.
3 Likes

Dobry nalez, tu je k tomu este viac. https://crocs.fi.muni.cz/public/papers/usenix2016 a cely tech report.

Nepotrebujes ani splnomocnenie. Proste napises kupnu zmluvu, podpises ju za oboch. Napises navrh na vklad, podpises ho a cez svoju schranku to posles na prislusny Okresny urad.
Presne tak som to realizoval.

Na Okresnom urade to zjavne funguje tak, ze kazdy den sa nejaky pracovnik (v mojom pripade to bol veduci katastralneho odboru) prihlasi do schranky a pozrie ci daco doslo. Ak doslo, tak to da na spracovanie.
Ja som tam hned po podani zavolal, ze ako mi vyrubia spravny poplatok. Pan povedal, ze mi to posle do elektronickej schranky, alebo ked mu dam mailovu adresu, tak radsej na mail. Dal som mail.
Poslal cislo uctu, sumu a VS. Zaplatil som a v zakonnej lehote zapisali prevod vlastnictva nehnutelnosti.
V zmysle zakona staci, ked poda navrh na vklad jeden ucastnik konania. Ak kataster vklad povoli, tak sa o tom vyda rozhodnutie, ktore je pravoplatne momentom vydania a nie je mozne sa voci nemu odovolat. Cize ten pradavajuci sa to dozvie tak, ze mu pride do 15 dni rozhodnutie, ze jeho barak uz nie je jeho barak :wink:

3 Likes

V Estónsku sa nedajú nehnuteľnosti prevádzať na základe elektronickeho podpisu. Ministerky spravodlivosti sa treba spýtať, prečo sa dajú v SR prevádzať nehnuteľnosti elektronicky.

1 Like

Uz v druhej polovici 90 rokov bol distributed.net - Wikipedia ktory vedel prelomit kluce v tej dobe povazovane za bezpecne pomocou brute force. Ked niekto obetuje svoj vykon na tazenie bitcoins, moze obetovat vykon aj na toto, ako loteriu za par tisic EUR, kto najde kluc.

2 Likes

Vyskumnici maju k dispozicii zdroje Bezpecnostneho vyskumneho centra Univerzity v brne. Na tom robili experimenty. Ostatne len vypocitali podla cennikov AWS. Ak som spravne pochopil. Ale prenajat na deep webe bot-net je asi lacnejsie …

1 Like

by default rozdavaju aj ZEPy :slight_smile: kedze sa to kvoli ePP kritizovalo … Ja som dostal …

1 Like

Ako ju podpises za oboch? Cim? Nerozumiem. Musia byt 2 podpisy, ci?

ked mas 2 kluce, tak vies dat 2 podpisy.

1 Like

Mna skor zaujima, ci doslo k realnemu prelomeniu 2048 bit kluca, alebo je to stale v rovine teorie a caka sa na to, kto obetuje tych 20000€ a viac € na prelomenie nejakeho sukromnejo kluca vygenerovaneho v slovenskom eID, aby tuto teoriu dokazal aj prakticky. Predpokladam, ze vyskumnici v ramci prezentacie avizovanej zranitelnosti takyto dokaz zverejnia a bude sa dat doveryhodne overit, ze prelomeny sukromny kluc skutocne zodpoveda realne vygenerovanemu klucu s karty vyuzivajucej Infineon chip a prislusne kniznice. Az po tom sa da jasne hovorit o kompromitacii slovenskej eID karty. Zatial sme zial len v rovine teorie, ktorej mozeme ale nemusime verit. Nechcel by som byt v kozi, toho, kto to ma rozhodnut - zrusit vsetko alebo nie, skoro Hamletovska otazka.

Nerozumiem prečo sa rieši prihlásenie na slovensko.sk a prihlásenie cez BOK. Akonáhle vie niekto získať súkromný kľúč, vie podpísať napr. zmluvu o prevode obchodného podielu, kúpnu zmluvu, plnomocenstvo … s KEP s časovou pečiatkou. Ako písal @AdamValcek , následne uskutoční zaručenú konverziu na Slovenskej pošte. Tak získa originál dokument s overeným podpisom v papierovej podobe. Druhá strana napr. ten Jano overí svoj podpis a následne podá na príslušnú inštitúciu originál dokumentu (napr. na kataster Návrh na vklad, pričom ho môže podať Jano ako účastník konania). Následne Jano môže prepisovať a predávať komu chce čo chce. Tu je to len vynaliezavosti.

Jediná možnosť ako fungovať a podpisovať dokumenty zatiaľ je zrušiť existujúci kvalifikovaný certifikát na eID, dať si vystaviť nový. Nový eID používať len na prihlásenie na slovensko.sk a dokumenty podpisovať teoreticky s kvalifikovaným certifikátom na SSCD zariadení.

1 Like

Nope na AWS naozaj bezala faktorizacia testovacich klucov. Urobili sme vykonnostny benchmark na adekvatnej velkosti problemu na instancii c4.large. Intel® Xeon® CPU E5-2666 v3 @ 2.90GHz, 2 thread cores. (Faktorizacia inak bezala aj na https://www.metacentrum.cz/en/ (ack v Usenix clanku).

Samozrejme vypoctovy vykon sa da zohnat aj lacnejsie ale AWS sa casto pouziva ako referencny benchmark. Druhotny dovod je aj nas ciel moznost faktorizovat kluc za mesiac, na co nemusi mat kazdy (aj ked lacnejsi) cloud provider dostatok vypocetneho vykonu - napr. forpsi.cz ma celkom vykonne servery za 30 CZK na mesiac. Tam je cena ovela nizsia, ale otazna je udrzatelnost takeho vypoctu.

Vsetky matematicke detaily budu dostupne az po 2.11.2017 ked prebehne nas talk na CCS 2017. Ale v skratke z uz publikovanych informacii:

Matematicky je problem trivialne paralelizovatelny v priestore jedneho parametra. Pre kazdu hodnotu tohoto parametra trva vypocet rovnako dlho co sme aj experimentalne overili na random 512b kluci (komplet faktorizovany). Preto nam na test staci zobrat statisticky vyznamnu cast intervalu a extrapolovat casovy odhad pre cely prehladavany interval.

2k RSA kluc faktorizovany bol, ale vyrobili sme synteticky taky, ktory ma prehladavany parameter “blizko”, teda v ramci kratkeho prehladavaneho intervalu (dlzka vypoctu cca den). To zaruci dobru extrapolaciu. Faktorizacia random 2k kluca je teda mrhanie vypocetnym vykonom. Principialny rozdiel v utoku na 512b a 2048b kluce nie je.

Matematicka spravnost bola potvrdena aj Infineonom a clanok presiel preciznym recenznym konanim na spickovej bezpecnostnej konferencii. Myslim, ze to su dostatocne indikatory na to, ze 2k faktorizacia funguje.

UPDATE:
Prebehol test, kde sa na Infineon karte vygenerovalo 137 000 2k RSA klucov. Kedze sme mali k nim aj privatne kluce mohli sme ich usporiadat podla zlozitosti a realne faktorizovat verejne casti 24 2k RSA klucov, ktore isli priamo z karty za rozumny cas (tyzden). Prehladavane parametre mali blizko. Prebehla teda aj faktorizacia 2k RSA z infineon cipu.

Ako niekto uz spravne poznamenal cena je len odhad. Povazoval by som $40k za hornu hranicu ceny. Ak budem mat stastie na kluc, moze to stat aj $0.1 (ak bude jeho parameter blizko).

Rovnako treba zobrat do uvahy, ze utocnik uz moze mat dostupny hardware a plati povedzme len energiu. Ak by niketo postavil rig z tychto https://ark.intel.com/products/95828/Intel-Xeon-Phi-Processor-7230F-16GB-1_30-GHz-64-core mohol by potom jeden kluc lamat priblizne za $1000 pri cene energii $0.2 za kWh.

Taktiez sa neda vylucit vylepsienie utoku a aj scenar, ked mam klucov viac.

EDIT 2:
Pravdepodobnost, ze nespravne identifikujeme konkretny bezpecny kluc ako nebezpecny (false-positive detection) je nizsia ako 2^{-128}, teda prakticky vylucena - to uz je pravdepodobnejsie, ze uhadneme AES-128 sifrovaci kluc.

16 Likes

Hlavný argument MV SR je, že BSI nezrušilo čipu certifikáciu. Vieš k tomuto nejaké detaily?

V tejto diskusii to zatial vyzera ako s Yettim alebo Nessie - vsetci uz veselo riesia pouzivanie vygenerovanych sukromnych klucov zodpovedajucich tym, ktore su v eID, hoci ich realne este nikto nevidel, len niekto tvrdi, ze on ich dokaze zviditelnit, tak to musi byt pravda. Uvidime, co sa ukaze za dva tyzdne a budeme mudrejsi. Darmo asi sktocne plati " Rano mudrejsie vecera".

Teraz mam strasne nutkanie poskytnut moj cert z OP aj nejake peniaze, aby ste ho zlomili (hned ako rozbehnu sluzbu na revokaciu). Ak to bolo extrapolovane z cien AWS tak v realite to bude daleko ale daleko lacnejsie. Taky hetzner.de ma ovela vykonnejsie realne zelezo za zlomok ceny.

4 Likes

Vedel by mi niekto poradit? Browsujem vsetky mozne navody ako je mozne urobit bezpecny kluc, ale stale narazim na to, ze sa zvolia dve velke prvocisla p a q, a vypocita sa n…

npr p=11 a q=17, n = 187

potom sa vybere e, co je velke prvocislo npr 7, a potom k nemu dopocitaju d 23…

problem je, ze oni predpokladaju, ze d*e|n = 1 … ale aj pri inom d, npr 103 kde toto neplati sme schopni dekodovat spravy…

priklad:

2^7|187 = zasifrovana sprava … = 128

128^23|187 = 2 = 128^103|187 =128^183|187

plati to pre vsetky vstupy… M = (M^7|187)^23|187 = (M^7|187)^103|187 = (M^7|187)^183|187

take ak je d (23) tajny kluc, tak nsa, alebo naka mozu dekodovat spravu pomocou klucov 103 alebo 183…

na druhej strane podpisovanie funguje tak, ze e je tajne… so spravou teda posielame npr tych 23

ale tu je tiez viac moznosti…

2^7|187 = 128 … 128 ^ 23|187= 2
2^87|187 = 128 … 128 ^ 23|187= 2
2^167|187 = 128 … 128 ^ 23|187= 2

Moj hlavny ciel v tomto bolo zistit ci sa nahodou pri pouziti alternativneho kluca nevygeneruje ina sprava ktora by bola detekovatelna… ale zatial to vyzera tak ze ani nie… ale nechapem preco vsetky zakladne priklady na rsa na tomto padaju, ci uz na wiki, na youtube, alebo vsade kde som zatial nasiel… ani jeden priklad nebol funkcny ktory by mal prave jeden privatny kluc a prave jeden verejny kluc…