CCC: problemy z zabezpieczeniami w elektronicznych dowodach tożsamości

Grupa Chaos Computer Club (CCC) po raz kolejny krytykuje nowe elektroniczne dokumenty tożsamości wdrażane w Niemczech. W kombinacji z podstawowym czytnikiem, który ma zostać rozprowadzony bezpłatnie w liczbie miliona sztuk, system nie jest bezpieczny.

CCC: problemy z zabezpieczeniami w elektronicznych dowodach tożsamości

Grupa Chaos Computer Club (CCC) po raz kolejny krytykuje nowe elektroniczne dokumenty tożsamości wdrażane w Niemczech. W kombinacji z podstawowym czytnikiem, który ma zostać rozprowadzony bezpłatnie w liczbie miliona sztuk, system nie jest bezpieczny.

Już 2. sierpnia członkowie CCC w magazynie telewizyjnym Plusminus demonstrowali, że napastnik, używając szkodliwego oprogramowania, może wyśledzić wpisywany na komputerze kod PIN dowodu. Dzieje się tak, ponieważ czytnik nie ma klawiatury, za pomocą której można byłoby wprowadzić kod PIN bez narażenia się na wykradzenie tej informacji.

Podobna demonstracja odbyła się wczoraj w nadawanym przez niemiecką telewizję WDR programie Raport z Brukseli. Według specjalistów z CCC za pomocą oprogramowania, które każdy może pobrać z Sieci, da się zdalnie posługiwać dokumentem, używając wykradzionego kodu PIN. "Znając kod PIN, napastnik może dowolnie wykorzystywać dowód, o ile tylko znajduje się on w urządzeniu odczytującym. Działając potajemnie i bez wiedzy właściciela dowodu, może on występować online jako jego właściciel bez uzyskiwania dostępu do przesyłanych przy tym danych. Napastnik może nawet bez problemu zmienić kod PIN" –. stwierdza CCC w swoim komunikacie.

Niewiele pomagają także sztuczki takie jak wirtualna klawiatura obsługiwana za pomocą myszki. Nawet urządzenia do odczytu z wbudowaną klawiaturą do kodu PIN dają jedynie ograniczony poziom ochrony. Dzięki atakom typu Man in the Browser zawartość transakcji może być modyfikowana i to w taki sposób, że użytkownik nie będzie sobie z tego zdawał sprawy. Może on tylko sprawdzić, jaką operację właśnie przeprowadza, kiedy urządzenie do odczytu przed wpisaniem kodu PIN pokazuje najważniejsze informacje o dokonywanej transakcji –. w przypadku przelewu bankowego jest to np. konto odbiorcy i przekazywana suma. Oprócz tego CCC krytykuje opcjonalną funkcję podpisywania nowych dowodów tożsamości w celu wiążącego prawnie podpisywania cyfrowych dokumentów. W szwajcarskim odpowiedniku dokumentu tożsamości SuisseID napastnikom udało się już złożyć ważny podpis przy użyciu cudzej tożsamości. Podobnymi niedoskonałościami obarczony jest
także elektroniczny dowód osobisty.

CCC szczególnie piętnuje to, że nie ma regulacji określających tworzenie dokumentów, które mogą być w ten sposób podpisywane. Zasadniczo podpisywanie cyfrowe złożonych formatów nie jest dobrym pomysłem, ponieważ użytkownik nie ma pewności, że ten dokument będzie zawsze tak samo wyświetlany w różnych programach. Tak więc na przykład w szwajcarskim programie SwissSigner możliwe jest podpisanie pliku PDFzawierającego działający JavaScript, nawet jeśli aplikacja nie potrafi poprawnie wyświetlić dokumentu. Inaczej wygląda to w popularnym Readerze.

Ekspert niemieckiego BSI Jens Bender odniósł się do krytyki CCC. Potwierdził, że wielkim błędem jest pozostawianie elektronicznego dowodu tożsamości w czytniku dłużej niż to konieczne i rzeczywiście może wtedy dojść do wykradzenia kodu PIN. Zwrócił jednak uwagę na to, że cyberprzestępcy nie mogą użyć pozyskanych w ten sposób informacji do przeprowadzania transakcji przez Internet, ponieważ do tego typu operacji musi być użyty inny podpis. Ten ostatni jest z kolei chroniony innym kodem PIN, który może być wprowadzony wyłącznie na wbudowanej w czytnik klawiaturze.

Poza tym BSI podkreśla, że nawet przy słabościach tak stworzonego kryptosystemu i tak zapewnia on większe bezpieczeństwo niż posługiwanie się nazwą użytkownika i hasłem.

wydanie internetowe www.heise-online.pl

niemcywiadomościdowód osobisty
Wybrane dla Ciebie
Komentarze (48)