760 ezer elektronikus személyit tiltottak le Észtországban váratlanul

„… mint kiderült, a kártyák jókora részének privát kulcsa gyorsan visszafejthető lehet a nyilvános kulcsuk ismeretében.

Amennyiben például egy támadó félnek sikerül valamilyen módon leolvasni egy személyi igazolvány nyilvános kulcsát, akkor abból vissza tudja fejteni a kártyához tartozó privát kulcsot, ezután pedig az összes kormányzati rendszerben meg tudja személyesítenie a kártya tulajdonosát.

A probléma csak azokat a személyi igazolványokat érinti, amelyeket 2014. október 16. és 2017. október 26. között állítottak ki.

Bő 760 ezer kártyáról van szó, ami a lakosoknál lévő elektronikus személyi igazolványok olyan 58 százaléka. A sérülékeny kártyák digitális funkcióit az észt hatóságok péntek éjszaka letiltották, de klasszikus személyi igazolványokként persze továbbra is használhatóak, így nem maradtak „papírok” nélkül az érintett lakosok.

Jüri Ratas miniszterelnök szerint nincs arra bizonyíték, hogy valaha bárki is kihasználta volna a kártyák sérülékenységét, a mostani letiltás pusztán a jövőbeli visszaélések megakadályozása érdekében történt…”

Forrás:
760 ezer elektronikus személyit tiltottak le Észtországba; Origo.hu; 2017. november 5.
Szerkesztői megjegyzés: A problémával korábban már foglalkoztunk (Komoly biztonsági hiba (sebezhetőség) 750 ezer észtországi digitális személyiben), de akkor még úgy tűnt, hogy a probléma ugyan létezik, de a sérülékenység nagyon nehezen aknázható ki gyakorlatilag. A legújabb fejlemények tükrében ez nincs így. Ezért az észt hatóságok eltávolították a kártyákról a digitális azonosításhoz és hitelesítéshez szükséges kriptográfiai információt. Mindenkinek be kell vinnie a kártyáját a hatóságokhoz, ahol elátják azokat új tanúsítványokkal (lehet onlone is frissíteni). Közben Szlovákiában is hasonló problémákkal küzdenek, ott is megkezdik az érintett kártyák behívását, náluk is új kriptográfiai információval látják el a kártyákat.

További tájékozódáshoz:
Kiindulás (sok hivatkozással): CVE – CVE-2017-15361; Mitre Corporation, Common Vulnerabilities and Exposures; 2017. október 15. „The Infineon RSA library 1.02.013 in Infineon Trusted Platform Module (TPM) firmware, such as versions before 0000000000000422 – 4.34, before 000000000000062b – 6.43, and before 0000000000008521 – 133.33, mishandles RSA key generation, which makes it easier for attackers to defeat various cryptographic protection mechanisms via targeted attacks, aka ROCA. Examples of affected technologies include BitLocker with TPM 1.2, YubiKey 4 (before 4.3.5) PGP key generation, and the Cached User Data encryption feature in Chrome OS.”

Cseh és szlovák kutatók tanulmánya és szoftvere – ezek nyilvánosságra kerülése után vált egyértelművé, hogy a probléma súlyos: The Return of Coppersmith’s A‚ttack: Practical Factorization of Widely Used RSA Moduli; Matus Nemec, Marek Sys, Petr Svenda, Dusan Klinec, Vashek Matyas; Masaryk Egyetem, Centre for Research on Cryptography and Security; 2017. október 30. (pdf)
„We estimate the number of a‚ffected devices to be in the order of at least tens of millions. ThŒe worst cases for the factorization of 1024 and 2048-bit keys are less than 3 CPU-months and 100 CPU-years on single core of common recent CPUs, respectively, while the expected time is half of that of the worst case. ŒThe attŠack can be parallelized on multiple CPUs. Worse still, all susceptible keys contain a strong fi€ngerprint that is veri€fiable in microseconds on an ordinary laptop – meaning that all vulnerable keys can be quickly identi€fied, even in very large datasets.”
ROCA: Infineon RSA vulnerability; Github – a kutatók által írt szoftver a sérülékeny kulcsok felfedezésére

Az észt televízió hírei: Government to suspend ID card certificates with security risk at midnightEstonians abroad can apply for new ID card via emailID card updates continue, 13,000 update certificates on Saturday
Hivatalos észt bejelentés: Estonia will block the certificates of 760 000 ID cards as of the evening of 3 November; Government of Republic of Estonia; 2017. november 2.

Szlovákia (Google Translate segítségével olvasható): So starým e-občianskym sa už digitálne nepodpíšete, potvrdil Disig és Už sa dajú vybaviť nové elektronické podpisy

Lásd még: Estonia orders online ID lock-down to fix security flaw; David Mardiste; Reuters; 2017. november 3.
Infineon’s RSA Vulnerability Reveals Seismic Fault Line in Cybersecurity; InfoSec Global; 2017. október 30.
Reconstructing ROCA; Daniel J. Bernstein, Tanja Lange; cr.yp.to blog; 2017. november 5.
A szerzők a cseh és szlovál kutatók munkája nyomán önállóan megismételték a támadást. Számításaik szerint egy sikeres támadás költségei (dollárban) nem csillagászatiak.

A bejegyzés kategóriája: informatika, közigazgatás:külföldön, közigazgatási informatika, szakirodalom
Kiemelt szavak: , , , , , , , , , , , , .
Közvetlen link.