В начале ноября правительство Эстонии приостановило действие сотен тысяч национальных ID-карт. Ими можно пользоваться в качестве удостоверения личности в обычной жизни, но владельцам этих карт закрыт доступ к электронным ресурсам, процедура аутентификации в которых осуществляется при помощи ID чипа карточки. Проблема в том, что при эксплуатации уязвимости криптографического ключа злоумышленник может деперсонализировать владельца этого ключа.
Несмотря на то, что уязвимость раскрыли три недели назад, в Эстонии решили повременить с приостановкой действия электронных систем, включая системы голосования. Местные СМИ утверждают, что сделано это было для того, чтобы без проблем завершить процедуру выборов, ведь за кандидатов голосовали при помощи карт. Если бы страна отменила их действие до выборов, то последние пришлось бы признать несостоявшимися, на что правительство страны не пошло.
Как полагают специалисты по информационной безопасности, раскрывшие уязвимость три недели назад, ее наличие позволяет злоумышленнику взломать 1024-битный ключ шифрования всего за 25 минут при помощи облачного инстанса. Цена взлома в этом случае обходится в $38. Для взлома 2048-битного ключа требуется уже $20 000 и девять дней.
Изначально власти Эстонии заявляли, что уязвимость не слишком опасна, поскольку ее эксплуатация — сложный и недешевый процесс. Представители правительственного аппарата заявили следующее: Масштабные атаки вряд ли возможны вследствие высокой стоимости атаки и большого объема вычислительных мощностей для генерации частного ключа".
Подвержены уязвимости смарткарты компании Gemalto, чей офис располагается в Швейцарии. Ее карты продаются более десяти лет, их используют для двухфакторной аутентификации сотрудники корпорации Microsoft и других компаний. На днях стало известно, что уязвимость, которая привела к приостановке действия эстонский карт существует с 2008 года.
Специалисты по информационной безопасности Дэниэл Бернштейн и Таня Лэнж заявили, что им удалось использовать менее дорогой способ эксплуатации уязвимости, чем заявлялось ранее. Кроме того, этот способ и гораздо более быстрый, чем тот, о котором говорилось выше. Насколько можно судить, этот же способ могут использовать и злоумышленники — часто в командах киберпреступников работают профессионалы высочайшего класса.
По словам эстонского правительства, для того, чтобы избежать проблем с кибербезопасностью, было решено приостановить действие всех цифровых ID, как граждан, так и «электронных резидентов» до момента получения нового цифрового сертификата, который не подвержен уязвимости. Это мера предосторожности, которая позволяет избежать использования потенциальными злоумышленниками данных граждан страны.
В прочем, уязвимость актуальна не только лишь Эстонии — как уже писалось выше, Microsoft и другие компании, где используются карты того же производителя, что и у карт «цифровых ID» тоже меняют сертификаты. Но Эстония больше любой корпорации, так что и проблемы здесь серьезнее. «Насколько мы знаем, пока нет случаев воровства электронных ID, но… эта угроза реальна. Путем блокирования сертификатов карт страна может убедиться в их безопасности», — говорится в заявлении премьер-министра страны Юри Ратаса. Он также добавил, что решение далось нелегко, но оно было практически единственным из всех возможных.
Проблема касается не всех цифровых ID, а лишь тех из них, которые были выпущены в период с 16 октября 2014 года по 25 октября 2017. В это число входят абсолютно все карты электронных резидентов, большинство которых приняли решение использовать возможность «цифрового гражданства» для того, чтобы открыть новое дело.
Хуже всего то, что цифровые сертификаты жители страны используют для получения медицинских услуг, взаимодействия с налоговой службой, начисления зарплат сотрудникам и других похожих задач. Карточки можно не выбрасывать, а просто обновить электронный сертификат, который содержится в чипе. Но если учесть, что центров не так много, то одновременно сотни тысяч сертификатов обновить просто невозможно.
Решение правительства приостановить действие цифровых карт затронуло, в частности, компании, которые предоставляют бухгалтерские услуги. И это случилось как раз перед выплатой заработных плат и пенсий. В этот же период времени работодатели перечисляют в казну налоги с прибыли. Компании, работа которых приостанавливается из-за проблем с картами, недовольны.
«Разумеется, виновато государство, если эстонец в своей родной стране не может понять, что ему надо делать. И государство просто принимает решение прекратить работу ID-карт», – заявил председатель правления бухгалтерской компании Leinonen Ларс Петтер Лейнонен.
Проблема неактуальна для mobiil-ID и выданных до октября 2014 года карт. Карты эстонцы меняют двумя способами — электронным путем или в полиции. По данным Департамента государственной инфосистемы (RIA) к вечеру пятницы сертификаты ID-карт с риском безопасности обновили лишь 62 000 человек. У полицейских департаментов выстроились огромные очереди. Правительству пришлось ввести режим работы центров 7/7. То есть центры работают без выходных.
По мнению специалистов по информационной безопасности, злоумышленники могут снизить затраты на расшифровку кода, а также уменьшить время на проведение этой операции. При желании киберпреступники могут купить специализированное аппаратное обеспечение, оснащенное GPU, программаторы, специализированные чипы и самостоятельно создать системы для деперсонализации владельцев карт. Также информацию карт можно использовать в ходе того же голосования. На данный момент количество подверженных уязвимости карт таково, что злоумышленники могут использовать данные 10-% избирателей, а то и больше.
Премьер-министр Эстонии Юри Ратас заявил, что над устранением уязвимости эстонских ID-карт работает большое количество людей, и решение проблемы с каждым днем все ближе.
Впрочем, Эстония далеко не единственная страна, чьи национальные карты подвержены названной уязвимости. Аналогичная проблема актуальна и для Словакии, где специалисты по кибербезопасности сейчас проводят проверку собственных электронных ID страны.
Собственно, уязвимость актуальна для большого количества smart-карт ряда производителей. В большинстве своем в чипах этих карт используется протокол шифрования RSA. Выходом из положения может быть работать с иным протоколом. Эстонское правительство заявило, что вскоре электронные карты будут защищены при помощи эллиптической криптографии.
Метод эллиптической криптографии заключается в использовании алгебраических свойств эллиптических кривых. Он был предложен в 1985 году Нилом Коблицем и Виктором Миллером. В методе роль основной криптографической операции выполняет операция скалярного умножения точки на эллиптической кривой на данное целое число, определяемая через операции сложения и удвоения точек эллиптической кривой. Преимущества этого метода для всей сферы информационных технологий бесспорны, поскольку шифрование такого типа быстрое, плюс используется небольшая длина ключа.
Что касается RSA, эта криптосистема тоже достаточно надежна, поскольку составное число достаточно сложно разложить на простые множители. Но ошибка производителя, как в случае с ID карт Эстонии может стать причиной упрощения задачи расшифровки защищенных ключей. Если же использовать алгоритмы на эллиптических кривых, то исключается возможность использования алгоритмов для решения задачи дискретного логарифмирования в группах их точек. К слову, АНБ использует как раз алгоритмы эллиптической криптографии, защищая свои документы относительно короткими 384-битными ключами. Возможно, метод эллиптической криптографии будет использоваться в дальнейшем вместо RSA.
Что касается Эстонии, правительство надеется вернуть все на круги своя уже через несколько дней. В частности, на этой неделе возобновляется дистанционное обновление сертификатов ID карт. Это самый быстрый способ, который позволяет избежать необходимости посещения центров по работе с картами.
Автор: Максим Агаджанов