CCC: problemy z zabezpieczeniami w elektronicznych dowodach tożsamości

Grupa Chaos Computer Club (CCC) po raz kolejny krytykuje nowe elektroniczne dokumenty tożsamości wdrażane w Niemczech. W kombinacji z podstawowym czytnikiem, który ma zostać rozprowadzony bezpłatnie w liczbie miliona sztuk, system nie jest bezpieczny.

Obraz

Grupa Chaos Computer Club (CCC) po raz kolejny krytykuje nowe elektroniczne dokumenty tożsamości wdrażane w Niemczech. W kombinacji z podstawowym czytnikiem, który ma zostać rozprowadzony bezpłatnie w liczbie miliona sztuk, system nie jest bezpieczny.

Już 2. sierpnia członkowie CCC w magazynie telewizyjnym Plusminus demonstrowali, że napastnik, używając szkodliwego oprogramowania, może wyśledzić wpisywany na komputerze kod PIN dowodu. Dzieje się tak, ponieważ czytnik nie ma klawiatury, za pomocą której można byłoby wprowadzić kod PIN bez narażenia się na wykradzenie tej informacji.

Obraz

Podobna demonstracja odbyła się wczoraj w nadawanym przez niemiecką telewizję WDR programie Raport z Brukseli. Według specjalistów z CCC za pomocą oprogramowania, które każdy może pobrać z Sieci, da się zdalnie posługiwać dokumentem, używając wykradzionego kodu PIN. "Znając kod PIN, napastnik może dowolnie wykorzystywać dowód, o ile tylko znajduje się on w urządzeniu odczytującym. Działając potajemnie i bez wiedzy właściciela dowodu, może on występować online jako jego właściciel bez uzyskiwania dostępu do przesyłanych przy tym danych. Napastnik może nawet bez problemu zmienić kod PIN" –. stwierdza CCC w swoim komunikacie.

Niewiele pomagają także sztuczki takie jak wirtualna klawiatura obsługiwana za pomocą myszki. Nawet urządzenia do odczytu z wbudowaną klawiaturą do kodu PIN dają jedynie ograniczony poziom ochrony. Dzięki atakom typu Man in the Browser zawartość transakcji może być modyfikowana i to w taki sposób, że użytkownik nie będzie sobie z tego zdawał sprawy. Może on tylko sprawdzić, jaką operację właśnie przeprowadza, kiedy urządzenie do odczytu przed wpisaniem kodu PIN pokazuje najważniejsze informacje o dokonywanej transakcji –. w przypadku przelewu bankowego jest to np. konto odbiorcy i przekazywana suma. Oprócz tego CCC krytykuje opcjonalną funkcję podpisywania nowych dowodów tożsamości w celu wiążącego prawnie podpisywania cyfrowych dokumentów. W szwajcarskim odpowiedniku dokumentu tożsamości SuisseID napastnikom udało się już złożyć ważny podpis przy użyciu cudzej tożsamości. Podobnymi niedoskonałościami obarczony jest
także elektroniczny dowód osobisty.

CCC szczególnie piętnuje to, że nie ma regulacji określających tworzenie dokumentów, które mogą być w ten sposób podpisywane. Zasadniczo podpisywanie cyfrowe złożonych formatów nie jest dobrym pomysłem, ponieważ użytkownik nie ma pewności, że ten dokument będzie zawsze tak samo wyświetlany w różnych programach. Tak więc na przykład w szwajcarskim programie SwissSigner możliwe jest podpisanie pliku PDFzawierającego działający JavaScript, nawet jeśli aplikacja nie potrafi poprawnie wyświetlić dokumentu. Inaczej wygląda to w popularnym Readerze.

Ekspert niemieckiego BSI Jens Bender odniósł się do krytyki CCC. Potwierdził, że wielkim błędem jest pozostawianie elektronicznego dowodu tożsamości w czytniku dłużej niż to konieczne i rzeczywiście może wtedy dojść do wykradzenia kodu PIN. Zwrócił jednak uwagę na to, że cyberprzestępcy nie mogą użyć pozyskanych w ten sposób informacji do przeprowadzania transakcji przez Internet, ponieważ do tego typu operacji musi być użyty inny podpis. Ten ostatni jest z kolei chroniony innym kodem PIN, który może być wprowadzony wyłącznie na wbudowanej w czytnik klawiaturze.

Poza tym BSI podkreśla, że nawet przy słabościach tak stworzonego kryptosystemu i tak zapewnia on większe bezpieczeństwo niż posługiwanie się nazwą użytkownika i hasłem.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie
Rozbił się w Dubaju. Katastrofa indyjskiego myśliwca
Rozbił się w Dubaju. Katastrofa indyjskiego myśliwca
Odmówili Ukrainie. Podali ważny powód
Odmówili Ukrainie. Podali ważny powód
Nietypowa misja Poseidona. Latał nad Morzem Czarnym
Nietypowa misja Poseidona. Latał nad Morzem Czarnym
TikTok chce, abyś… mniej korzystał z TikToka. Mamy problem z cyberhigieną
TikTok chce, abyś… mniej korzystał z TikToka. Mamy problem z cyberhigieną
Znaleźli nieznaną linię genetyczną. Ma ok. 8500 lat
Znaleźli nieznaną linię genetyczną. Ma ok. 8500 lat
Ukraińcy planują kupić nowe myśliwce. Potrzebują dla nich schronów
Ukraińcy planują kupić nowe myśliwce. Potrzebują dla nich schronów
Trzech chińskich astronautów utknęło w kosmosie. Nie mają kapsuły
Trzech chińskich astronautów utknęło w kosmosie. Nie mają kapsuły
Historyczna próba. Bezzałogowy myśliwiec trafił F-16
Historyczna próba. Bezzałogowy myśliwiec trafił F-16
"Niezwykły sukces". Ukraińcy trafili w Kalibra
"Niezwykły sukces". Ukraińcy trafili w Kalibra
Ultraprzetworzona żywność zalewa rynek. To wpływa na zdrowie
Ultraprzetworzona żywność zalewa rynek. To wpływa na zdrowie
Austarlia wprowadza zakaz. Dzieci nie skorzystają z Facebooka czy TikToka
Austarlia wprowadza zakaz. Dzieci nie skorzystają z Facebooka czy TikToka
Promy Balearii zasilane bioLNG. Emisje spadną o ponad 80 tys. ton
Promy Balearii zasilane bioLNG. Emisje spadną o ponad 80 tys. ton
ZANIM WYJDZIESZ... NIE PRZEGAP TEGO, CO CZYTAJĄ INNI! 👇