CCC: problemy z zabezpieczeniami w elektronicznych dowodach tożsamości

Grupa Chaos Computer Club (CCC) po raz kolejny krytykuje nowe elektroniczne dokumenty tożsamości wdrażane w Niemczech. W kombinacji z podstawowym czytnikiem, który ma zostać rozprowadzony bezpłatnie w liczbie miliona sztuk, system nie jest bezpieczny.

Obraz

Grupa Chaos Computer Club (CCC) po raz kolejny krytykuje nowe elektroniczne dokumenty tożsamości wdrażane w Niemczech. W kombinacji z podstawowym czytnikiem, który ma zostać rozprowadzony bezpłatnie w liczbie miliona sztuk, system nie jest bezpieczny.

Już 2. sierpnia członkowie CCC w magazynie telewizyjnym Plusminus demonstrowali, że napastnik, używając szkodliwego oprogramowania, może wyśledzić wpisywany na komputerze kod PIN dowodu. Dzieje się tak, ponieważ czytnik nie ma klawiatury, za pomocą której można byłoby wprowadzić kod PIN bez narażenia się na wykradzenie tej informacji.

Obraz

Podobna demonstracja odbyła się wczoraj w nadawanym przez niemiecką telewizję WDR programie Raport z Brukseli. Według specjalistów z CCC za pomocą oprogramowania, które każdy może pobrać z Sieci, da się zdalnie posługiwać dokumentem, używając wykradzionego kodu PIN. "Znając kod PIN, napastnik może dowolnie wykorzystywać dowód, o ile tylko znajduje się on w urządzeniu odczytującym. Działając potajemnie i bez wiedzy właściciela dowodu, może on występować online jako jego właściciel bez uzyskiwania dostępu do przesyłanych przy tym danych. Napastnik może nawet bez problemu zmienić kod PIN" –. stwierdza CCC w swoim komunikacie.

Niewiele pomagają także sztuczki takie jak wirtualna klawiatura obsługiwana za pomocą myszki. Nawet urządzenia do odczytu z wbudowaną klawiaturą do kodu PIN dają jedynie ograniczony poziom ochrony. Dzięki atakom typu Man in the Browser zawartość transakcji może być modyfikowana i to w taki sposób, że użytkownik nie będzie sobie z tego zdawał sprawy. Może on tylko sprawdzić, jaką operację właśnie przeprowadza, kiedy urządzenie do odczytu przed wpisaniem kodu PIN pokazuje najważniejsze informacje o dokonywanej transakcji –. w przypadku przelewu bankowego jest to np. konto odbiorcy i przekazywana suma. Oprócz tego CCC krytykuje opcjonalną funkcję podpisywania nowych dowodów tożsamości w celu wiążącego prawnie podpisywania cyfrowych dokumentów. W szwajcarskim odpowiedniku dokumentu tożsamości SuisseID napastnikom udało się już złożyć ważny podpis przy użyciu cudzej tożsamości. Podobnymi niedoskonałościami obarczony jest
także elektroniczny dowód osobisty.

CCC szczególnie piętnuje to, że nie ma regulacji określających tworzenie dokumentów, które mogą być w ten sposób podpisywane. Zasadniczo podpisywanie cyfrowe złożonych formatów nie jest dobrym pomysłem, ponieważ użytkownik nie ma pewności, że ten dokument będzie zawsze tak samo wyświetlany w różnych programach. Tak więc na przykład w szwajcarskim programie SwissSigner możliwe jest podpisanie pliku PDFzawierającego działający JavaScript, nawet jeśli aplikacja nie potrafi poprawnie wyświetlić dokumentu. Inaczej wygląda to w popularnym Readerze.

Ekspert niemieckiego BSI Jens Bender odniósł się do krytyki CCC. Potwierdził, że wielkim błędem jest pozostawianie elektronicznego dowodu tożsamości w czytniku dłużej niż to konieczne i rzeczywiście może wtedy dojść do wykradzenia kodu PIN. Zwrócił jednak uwagę na to, że cyberprzestępcy nie mogą użyć pozyskanych w ten sposób informacji do przeprowadzania transakcji przez Internet, ponieważ do tego typu operacji musi być użyty inny podpis. Ten ostatni jest z kolei chroniony innym kodem PIN, który może być wprowadzony wyłącznie na wbudowanej w czytnik klawiaturze.

Poza tym BSI podkreśla, że nawet przy słabościach tak stworzonego kryptosystemu i tak zapewnia on większe bezpieczeństwo niż posługiwanie się nazwą użytkownika i hasłem.

wydanie internetowe www.heise-online.pl

niemcy wiadomości dowód osobisty rfid ccc

Wybrane dla Ciebie

Akeron MBT 120. Kierowana broń dalekiego zasięgu dla czołgów
Akeron MBT 120. Kierowana broń dalekiego zasięgu dla czołgów
Rewolucyjny system ISR Cell od ICEYE. Dostęp do danych w ciągu minut
Rewolucyjny system ISR Cell od ICEYE. Dostęp do danych w ciągu minut
To może być ślad życia na Marsie. NASA potwierdza odkrycie szczególnych minerałów
To może być ślad życia na Marsie. NASA potwierdza odkrycie szczególnych minerałów
Idealny bat na rosyjskie drony. Tej broni potrzebują polskie F-16
Idealny bat na rosyjskie drony. Tej broni potrzebują polskie F-16
Rosja ulepsza rakiety. Iskandery zyskały nowe czujniki
Rosja ulepsza rakiety. Iskandery zyskały nowe czujniki
Najpotężniejszy laser w USA z rekordową mocą. To niebywałe osiągnięcie
Najpotężniejszy laser w USA z rekordową mocą. To niebywałe osiągnięcie
Aerostaty Barbara dla Polski. Incydent z dronami pokazał, jak bardzo są potrzebne
Aerostaty Barbara dla Polski. Incydent z dronami pokazał, jak bardzo są potrzebne
Pojawiły się nad Polską. To gigantyczne maszyny z USA
Pojawiły się nad Polską. To gigantyczne maszyny z USA
Tym zwalczano rosyjskie drony. Jest oficjalne potwierdzenie
Tym zwalczano rosyjskie drony. Jest oficjalne potwierdzenie
Odkryli skarby z bitwy morskiej. Hełm Montefortino u wybrzeży Sycylii
Odkryli skarby z bitwy morskiej. Hełm Montefortino u wybrzeży Sycylii
Rosyjskie drony nad Polską. Tym były zwalczane
Rosyjskie drony nad Polską. Tym były zwalczane
Potrzebują modernizacji. Ukrainiec o tamtejszej obronie powietrznej
Potrzebują modernizacji. Ukrainiec o tamtejszej obronie powietrznej