Подделка паспортов вакцинации Евросоюза. Утечка секретного ключа?

в 20:37, , рубрики: EU Digital COVID Certificate, PKI, vaccine passport, Verifica C19, Блог компании GlobalSign, информационная безопасность, ковид, криптография, паспорт вакцинации, публичная криптография, сертификат, электронное правительство
Подделка паспортов вакцинации Евросоюза. Утечка секретного ключа? - 1

Поддельные паспорта вакцинации — очень востребованный товар на рынке. По какой-то причине люди платят от $300 до 400 евро за фальшивый сертификат, лишь бы не делать бесплатную прививку. Доходит до того, что открываются анонимные центры вакцинации, куда человек с поддельным паспортом вакцинации может прийти и сделать настоящую прививку, не раскрывая своё настоящее имя. Ситуация очень странная. По мировой статистике, наиболее настроены против вакцинации жители России (20% населения) и США (19%). Но проблема есть и в Евросоюзе, особенно в Германии (10%).

В октябре 2021 года итальянские источники сообщили об утечке приватного ключа, который использовался для подписи EU Digital COVID Certificate (паспортов вакцинации ЕС).

Якобы украденный ключ распространялся на подпольных форумах, а в качестве доказательства предъявляли поддельные сертификаты на имена Адольфа Гитлера, Микки Мауса и Спанч Боба. В течение некоторого времени такие сертификаты действительно успешно проходили проверку в официальных приложениях Verifica C19 (Италия), TousAntiCovid (Франция) и др. Власти Франции и Польши начали расследование инцидента.

Подделка паспортов вакцинации Евросоюза. Утечка секретного ключа? - 2

Другие поддельные QR-коды опубликованы в репозитории Github.

Через несколько дней представитель Еврокомиссии пояснил, что на самом деле закрытые ключи не были скомпрометированы, а указанные поддельные сертификаты якобы генерировали «лица, имеющие действительные полномочия для доступа к национальным ИТ-системам, или лицо, злоупотребляющим такими действительными полномочиями».

Можно верить представителям Еврокомиссии или нет. Но в любом случае, этот инцидент подчёркивает тенденцию 2021 года и последующих лет — рост использования цифровых ID правительствами и государственными органами. Они внедряют инфраструктуру открытых ключей (PKI) и публичную криптографию, но при этом не обладают высокими компетенциями в технических вопросах. К сожалению, время, ресурсы и квалифицированные специалисты — это ограниченные ресурсы. Оттого и происходят подобные инциденты.

Инфраструктура открытых ключей в 2022 году

Инфраструктура открытых ключей (PKI) базируется на нескольких фундаментальных принципах, один из которых:

Закрытый ключ известен только владельцу

Когда происходит компрометация секретного ключа, которая может повлиять на тысячи или даже миллионы пользователей, очень важно ещё раз подчеркнуть необходимость надлежащей ротации, которая составляет основу любой здоровой практики управления ключами.

GlobalSign напоминает, что в наше время уже недостаточно просто управлять ключами. Необходимо предусмотреть любые варианты развития ситуации и быть готовым к любой потенциальной катастрофе.

Настоятельно рекомендуется следовать лучшим практикам управления ключами, среди которых — ротация ключей и наличие механизма реагирования на инциденты, когда обнаруживается уязвимость криптографического примитива.

Инфраструктура открытых ключей (PKI) — это надёжная и проверенная конструкция, которая представляет собой набор ролей, процедур, политик и технологий, необходимых для создания, управления, распространения, использования, хранения и отзыва цифровых сертификатов, которые используются для обеспечения безопасности связи, проверки личности, шифрования или подписи данных.

Однако эта конструкция прочна лишь настолько, насколько прочно самое слабое звено, поэтому даже самые тщательные меры предосторожности не гарантируют абсолютную безопасность. Один неверный шаг — и карточный домик рассыпется.

А с ростом числа используемых сертификатов PKI и постоянно меняющимся регулированием всё больше компаний пытаются сделать это правильно и рано или поздно могут попасть в скандал с компрометацией ключей из-за оплошности или недостатка знаний.

Быстрое реагирование

В такой ситуации главное — быстро подняться и восстановить экосистему. Если вы сможете быстро восстановить инфраструктуру, то это может буквально превратить вас и вашу компанию из жертвы взлома в настоящего героя, особенно в глазах СМИ.

«Им удалось вернуть свои системы в кратчайшие сроки» читается гораздо лучше, чем «Их системы все еще не восстановлены спустя три недели». Это не отменяет того факта, что была допущена ошибка, но показывает способность компании решить критическую проблему и ограничить влияние на бизнес. И это решающий элемент — то, как реагирует компания на подобные инциденты.

В конце концов это также позволит сэкономить приличную сумму денег, не допустив простоя бизнеса и ущерба бренду.

Уходящий 2021 год стал одним из худших в человеческой истории. В этой ситуации самый верный вариант — надеяться на лучшее, но готовиться к худшему. Важно иметь чёткий план действий на случай неприятности или передать инфраструктуру PKI на аутсорсинг тем, кто профессионально этим занимается.


Подделка паспортов вакцинации Евросоюза. Утечка секретного ключа? - 3

Автор: GlobalSign_admin

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js