Slováci končí s rizikovými e-podpisy. Chybu odhalili čeští vědci

Bratislava

Asi 300 tisíc lidí na Slovensku bude využívat nové bezpečné elektronické podpisy na občanských průkazech. Bratislava tak reagovala na bezpečnostní riziko spojené s čipy německého výrobce Infineon Technologies. Chybu odhalili čeští vědci z Masarykovy univerzity. Rizikové e-podpisy jsou plošně deaktivovány, podle expertů ale slovenští politici reagují pozdě.

Video Zprávy
video

Slovensko ruší rizikové e-podpisy

„Rozhodnutím certifikační autority začínáme ode dneška s plošnou deaktivací doposud nahraných zaručených elektronických podpisů,“ sdělila státní tajemnice Denisa Saková (Smer-SD).

V první vlně mohou požádat o bezplatné nahrání nových podpisových certifikátů hlavně osoby, které zaručený elektronický podpis dosud použily v praxi. Podle státní tajemnice ministerstva vnitra Denisy Sakové jde o 100 tisíc lidí, z toho aktivně využívá e-podpis asi 30 tisíc osob, které elektronicky komunikují třeba se státními institucemi.

Žadatelé se musí osobně dostavit do klientských center nebo na příslušná policejní oddělení. Nahrání nového e-podpisu je bezplatné a trvá asi deset minut. Finanční správa upozornila občany na možnost vyměnit si e-podpis i v SMS zprávě.

Server Slovensko.sk
Zvětšit obrázek Zmenšit obrázek Zvětšit obrázek na celou obrazovku
Zdroj: Slovensko.sk

Držitelům zaručeného elektronického podpisu, kteří jej nepoužívají, plánují úřady nahrát jeho bezpečnější verzi na dálku v příštích týdnech.

Každý čip na občanském průkazu má dva klíče. Vědci z brněnské Masarykovy univerzity objevili, že z toho veřejného jde vypočítat ten soukromý. Za problémem je chybný algoritmus, který naprogramovala německá dodavatelská firma.

„Způsob, jakým generují klíče, není zcela náhodný, jak by měl být, ale má určitou strukturu a my jsme přišli na to, že tato struktura se dá využít k tomu, aby se klíč dal napadnout,“ vysvětlil Petr Švenda z Masarykovy univerzity.

Pachatelé mohli prodat nemovitost či převést firmu

Chyba způsobila, že šlo prolomit jakýkoli elektronicky podepsaný dokument a ukrást z něj něčí podpisový certifikát. Ten lze využít k fiktivnímu prodeji nemovitosti nebo převodu firmy.
Skutečný vlastník by pak neměl jak právně dokázat, že se pod transakci nepodepsal on.

Nové podpisové certifikáty jsou generovány bezpečnou technologií a jsou delší a složitější, takže jejich prolomení je v nadcházejících letech nereálné, píše slovenský server Sme.

Čipy na občanských průkazech
Zvětšit obrázek Zmenšit obrázek Zvětšit obrázek na celou obrazovku
Zdroj: ČT24

Podle mnohých IT odborníků ale politici jednají příliš pozdě. „Z mého pohledu je to jedna z nejvážnějších zranitelností za posledních mnoho let, které si v této oblasti elektronického podpisu pamatuji,“ upozornil jeden z expertů Ľubor Illek.

Zatímco Slovensko váhalo, Estonci jednali

Slovenské ministerstvo vnitra dříve tvrdilo, že riziko vzniku bezpečnostního problému na Slovensku v souvislosti s prolomením zaručeného podpisu je pouze teoretické. 

Ministr vnitra Robert Kaliňák dokonce veřejně vybídl k prolomení svého zaručeného e-podpisu. Experti tehdy tvrdili, že ministerstvo riziko zlehčuje. Minulý týden ale příslušná slovenská certifikační autorita rozhodla o zrušení vydaných rizikových elektronických certifikátů na vytváření zaručeného elektronického podpisu.

Problém dopadl i na evropského průkopníka v digitalizaci státní správy: Estonsko. Tamní úřady přijaly na rozdíl od těch slovenských preventivní opatření hned poté, co se ukázalo, že jsou čipy zranitelné.