Pred nekaj dnevi je bila javno objavljena napaka v knjižnici za generiranje kriptografskih ključev (Infineon RSA Library version v1.02.013), poimenovana tudi “Return of Coppersmith’s Attack” (ROCA).
Omenjeno knjižnico uporabljajo tudi pametne kartice in USB ključi Gemalto IDPrime.NET, na katerih je certifikatska agencija POŠTA®CA izdajala digitalna potrdila v letih 2009-2015. Zaradi tega so lahko potencialno ranljiva potrdila, ki so bila prevzeta neposredno na omenjeno pametno kartico, v naših prostorih ali pri uporabniku. Digitalna potrdila, ki so bila prevzeta na računalnik in s pomočjo varnostne kopije uvožena na pametno kartico/ključ, niso ranljiva.
Leta 2015 smo pametne kartice in ključke Gemalto IDPrime.NET zamenjali z novejšim modelom Gemalto IDPrime MD, ki je pred tovrstnim napadom varen, saj za generiranje kriptografskih ključev uporablja druge knjižnice.
Za ranljiva potrdila velja, da je možno iz njihovega javnega ključa izračunati zasebni ključ in tako ‘ponarediti’ digitalno potrdilo. Izračun zasebnega ključa je procesorsko zahteven, saj je za razbitje 2048-bitnega ključa, kakršnega uporabljajo digitalna potrdila POŠTA®CA, potrebnih 140 CPU let (merjeno na Intelovem 3 GHz procesorju) oz. investicija v strojno opremo ali najem ustreznih kapacitet v oblaku v višini 20.000-40.000 ameriških dolarjev na digitalno potrdilo. (vir: https://crocs.fi.muni.cz/public/papers/rsa_ccs17)
Ocenjuje se, da je po Evropi prizadetih več sto milijonov digitalnih potrdil. Med najbolj prizadetimi je Estonija, kjer ima digitalno potrdilo na kartici Gemalto .NET 750.000 imetnikov digitalnih osebnih izkaznic. Stališče estonske vlade je, da je grožnja zaradi visokih stroškov napada zgolj teoretična in da obsežnejši ukrepi niso potrebni.
Da ne gre za realno grožnjo, ki bi prizadela povprečnega imetnika digitalnega potrdila, ocenjujemo tudi v certifikatski agenciji POŠTA®CA, zato ne bomo sprejemali ukrepov, ki bi se lahko izkazali za pretirane. Nadaljnji razvoj dogodkov bomo podrobno spremljali in takoj ukrepali, če bo potrebno.
Kako preverite tip vaše pametne kartice/ključa in ranljivost digitalnega potrdila?
Tip vaše pametne kartice/ključa lahko preverite z uporabo programov Pripomoček MD ali Kvalificirana potrdila POŠTA®CA.
- Pripomoček MD – Pritisnite gumb Podatki o kartici. Tip kartice se bo izpisal v polju Kartica. Pri .NET kartici bo v tem polju pisalo Axalto Cryptoflex .NET, pri MD kartici pa IDPrime MD.
- Kvalificirana potrdila POŠTA®CA – Tip kartice se bo izpisal v spodnjem desnem kotu aplikacije.
Ranljivost vašega digitalnega potrdila lahko preverite na naslovu https://keychest.net/roca. Za izvedbo testa potrebujete javni ključ vašega potrdila (datoteka .cer ali .p7b), ki ga lahko izvozite sami.
V primeru, da imate glede varnosti vašega digitalnega potrdila nadaljnja vprašanja, nas pokličite na brezplačno številko 080 44 40 ali nam pišite na info.postarca@posta.si.
Certifikatska agencija POŠTA®CA
Obvestilo podjetja Crea plus, dobavitelja pametnih kartic in USB ključev Gemalto
Komentarji so zaprti