CCC: problemy z zabezpieczeniami w elektronicznych dowodach tożsamości

Grupa Chaos Computer Club (CCC) po raz kolejny krytykuje nowe elektroniczne dokumenty tożsamości wdrażane w Niemczech. W kombinacji z podstawowym czytnikiem, który ma zostać rozprowadzony bezpłatnie w liczbie miliona sztuk, system nie jest bezpieczny.

Obraz

Grupa Chaos Computer Club (CCC) po raz kolejny krytykuje nowe elektroniczne dokumenty tożsamości wdrażane w Niemczech. W kombinacji z podstawowym czytnikiem, który ma zostać rozprowadzony bezpłatnie w liczbie miliona sztuk, system nie jest bezpieczny.

Już 2. sierpnia członkowie CCC w magazynie telewizyjnym Plusminus demonstrowali, że napastnik, używając szkodliwego oprogramowania, może wyśledzić wpisywany na komputerze kod PIN dowodu. Dzieje się tak, ponieważ czytnik nie ma klawiatury, za pomocą której można byłoby wprowadzić kod PIN bez narażenia się na wykradzenie tej informacji.

Obraz

Podobna demonstracja odbyła się wczoraj w nadawanym przez niemiecką telewizję WDR programie Raport z Brukseli. Według specjalistów z CCC za pomocą oprogramowania, które każdy może pobrać z Sieci, da się zdalnie posługiwać dokumentem, używając wykradzionego kodu PIN. "Znając kod PIN, napastnik może dowolnie wykorzystywać dowód, o ile tylko znajduje się on w urządzeniu odczytującym. Działając potajemnie i bez wiedzy właściciela dowodu, może on występować online jako jego właściciel bez uzyskiwania dostępu do przesyłanych przy tym danych. Napastnik może nawet bez problemu zmienić kod PIN" –. stwierdza CCC w swoim komunikacie.

Niewiele pomagają także sztuczki takie jak wirtualna klawiatura obsługiwana za pomocą myszki. Nawet urządzenia do odczytu z wbudowaną klawiaturą do kodu PIN dają jedynie ograniczony poziom ochrony. Dzięki atakom typu Man in the Browser zawartość transakcji może być modyfikowana i to w taki sposób, że użytkownik nie będzie sobie z tego zdawał sprawy. Może on tylko sprawdzić, jaką operację właśnie przeprowadza, kiedy urządzenie do odczytu przed wpisaniem kodu PIN pokazuje najważniejsze informacje o dokonywanej transakcji –. w przypadku przelewu bankowego jest to np. konto odbiorcy i przekazywana suma. Oprócz tego CCC krytykuje opcjonalną funkcję podpisywania nowych dowodów tożsamości w celu wiążącego prawnie podpisywania cyfrowych dokumentów. W szwajcarskim odpowiedniku dokumentu tożsamości SuisseID napastnikom udało się już złożyć ważny podpis przy użyciu cudzej tożsamości. Podobnymi niedoskonałościami obarczony jest
także elektroniczny dowód osobisty.

CCC szczególnie piętnuje to, że nie ma regulacji określających tworzenie dokumentów, które mogą być w ten sposób podpisywane. Zasadniczo podpisywanie cyfrowe złożonych formatów nie jest dobrym pomysłem, ponieważ użytkownik nie ma pewności, że ten dokument będzie zawsze tak samo wyświetlany w różnych programach. Tak więc na przykład w szwajcarskim programie SwissSigner możliwe jest podpisanie pliku PDFzawierającego działający JavaScript, nawet jeśli aplikacja nie potrafi poprawnie wyświetlić dokumentu. Inaczej wygląda to w popularnym Readerze.

Ekspert niemieckiego BSI Jens Bender odniósł się do krytyki CCC. Potwierdził, że wielkim błędem jest pozostawianie elektronicznego dowodu tożsamości w czytniku dłużej niż to konieczne i rzeczywiście może wtedy dojść do wykradzenia kodu PIN. Zwrócił jednak uwagę na to, że cyberprzestępcy nie mogą użyć pozyskanych w ten sposób informacji do przeprowadzania transakcji przez Internet, ponieważ do tego typu operacji musi być użyty inny podpis. Ten ostatni jest z kolei chroniony innym kodem PIN, który może być wprowadzony wyłącznie na wbudowanej w czytnik klawiaturze.

Poza tym BSI podkreśla, że nawet przy słabościach tak stworzonego kryptosystemu i tak zapewnia on większe bezpieczeństwo niż posługiwanie się nazwą użytkownika i hasłem.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie
Techniczna porażka Rosjan. Modyfikacje nie pomagają
Techniczna porażka Rosjan. Modyfikacje nie pomagają
Problemy z koreańskimi czołgami K1. Załogi narażone na ekstremalne temperatury
Problemy z koreańskimi czołgami K1. Załogi narażone na ekstremalne temperatury
Polski dron, który spadł Inowrocławiu. Oto czym mógł być
Polski dron, który spadł Inowrocławiu. Oto czym mógł być
Najbardziej jadowita ryba świata. Tak działa jej jad
Najbardziej jadowita ryba świata. Tak działa jej jad
Nowa broń Rosjan. Jest napędzana elementem z Chin
Nowa broń Rosjan. Jest napędzana elementem z Chin
Gigantyczny most między dwiema galaktykami. Fenomenalne odkrycie
Gigantyczny most między dwiema galaktykami. Fenomenalne odkrycie
PT-91 Twardy na poligonie. Wojskowi pokazali zdjęcia
PT-91 Twardy na poligonie. Wojskowi pokazali zdjęcia
Polska zapora nie do przejścia. Imigranci wpadli na przedziwny pomysł
Polska zapora nie do przejścia. Imigranci wpadli na przedziwny pomysł
Niezwykłe tatuaże z Syberii sprzed dwóch tysięcy lat. Na rękach mumii
Niezwykłe tatuaże z Syberii sprzed dwóch tysięcy lat. Na rękach mumii
Lepsze niż F-16. Odważna opinia Ukraińca
Lepsze niż F-16. Odważna opinia Ukraińca
Burza po liście sygnalistów. Pytamy eksperta o doświadczenia z POLSA
Burza po liście sygnalistów. Pytamy eksperta o doświadczenia z POLSA
Fragment chińskiej rakiety spadł w Australii. Płonął, gdy go znaleźli
Fragment chińskiej rakiety spadł w Australii. Płonął, gdy go znaleźli