Hlavní navigace

Časovaná bomba jménem (ne)zaručený elektronický podpis

14. 6. 2013
Doba čtení: 6 minut

Sdílet

Zaručený elektronický podpis se dotýká stále více a více agend a čím dál častěji se na něj spoléháme. Přitom jde mírně řečeno o velmi problémovou záležitost, ve které se skrývá spousta děr a potenciálních pastí. Opravdu můžeme věřit elektronickému podpisu v e-governmentu nebo bychom měli rychle zasáhnout?

Elektronický podpis a všechny s ním spojené technologie vycházejí z principů starých dvacet let. Koho by tato kapitola z IT dějepisu detailněji zajímala, může navštívit stránky na Wikipedii: PKI a Thawte. Pokud jsem zmínil, že elektronický podpis byl vytvořen na počátku 90. let, to neznamená, že je jako celek zastaralý. Naopak byl navržen tak, aby jej bylo možné zdokonalovat a modernizovat i použité kryptografické algoritmy. Původně byly elektronický podpis, šifrování e-mailu a celá PKI určeny pro firmy, které si byly vědomy toho, že běžný e-mail je vlastně to samé jako vzkaz napsaný na pohlednici. Elektronický podpis byl navržen pro B2B, B2C aplikace a tomu odpovídají technologie, provozní i kontrolní procesy.

Zaručený elektronický podpis (podle zákona 227/2000Sb. a jeho novel) je postaven na stejných technologických základech jako komerční verze elektronického podpisu. Zaručený elektronický podpis je navíc doplněn o potřebný zákon a vyhlášky. Je vytvořen vcelku propracovaný systém certifikačních autorit, postupy pro ověření identity uživatelů a jasné spojení uživatele s konkrétním privátním klíčem. Tato oblast je dobře propracována a mnoho odborníků se k této části elektronického podpisu vrací a ověřuje, zda v tomto místě není slabina.

Kde je tedy problém?

Tou dírou jako vrata je počítač běžného uživatele a především způsoby ověřování, kdo konkrétní elektronický podpis vytvořil. V tomto místě se pravidelně ozývají IT „odborníci“ se svými absurdními názory, že zabezpečení počítače a prostředků pro tvorbu zaručeného elektronického podpisu je problém pouze uživatele. Jenže zaručený elektronický podpis je aplikace státu a ten je zodpovědný za kvalitu a nezpochybnitelnost zvolené technologie a nastavených procesů. Přenášení odpovědnosti na běžné uživatele je v ostrém kontrastu s reálným světem, ve kterém se „odborníci“ na zaručený elektronický podpis pohybují a využívají jeho jistoty.

Před pár lety jednomu soudnímu znalci z oboru IT vykradli byt a Policie ČR tento případ šetřila místo toho, aby vyšetřovatelé řekli: „Vážený pane to je váš problém, máte si lépe zabezpečit svůj byt“. Nedávno byl jiný IT Security konzultant postižen hyperaktivitou zažívání a lékaři jej neodmítli s tím, že si má dávat lepší pozor na to co jí. Tito IT „odborníci“ se v reálném světě domáhají pomoci a v prostředí ICT neváhají tvrdit, že si má řadový policista, lékař nebo jiný uživatel pořádně zabezpečit svůj počítač. To jsou paradoxy.

Zhruba před deseti lety jsem měl své názory o zneužitelnosti elektronického podpisu podložené svými zkušenostmi programátora, „hackera ve výslužbě“ a znalostmi klasických úřednických postupů. Jenže doba pokročila. Takže v následujících odstavcích vám předložím důkazy, proč je v současné podobě elektronický podpis dobrý pro B2B aplikace, ale nevhodný či přímo nebezpečný pro e-government aplikace.

Za prvé: Každý rok se objeví nějaký sofistikovaný virus. Byl to Conficker, Stuxnet, Flame a další. V posledních dnech to byl například NetTraveler, který zneužíval chyby v MS Office, MS SQL a dalších programech společnosti Microsoft a existoval minimálně od roku 2005. V případě virů Flame, Mini Duke a Red October antivirové firmy přiznaly, že několik let nedokázaly tyto viry vůbec odhalit. Jak by se měli proti sofistikovanému viru ubránit běžní uživatelé, když takový virus nejsou po velmi dlouhou dobu schopny odhalit bezpečnostní programy?

Za druhé: Falešný optimista (čti: naivka) by mohl říci, že se v případě sofistikovaných virů jednalo o politováníhodnou událost, která se již nemůže opakovat. Jenže když se podíváte na přístup ke zdrojovým kódům a na chyby v operačním systému Windows, tak zjistíte, že za poslední tři roky bylo zveřejněno ve Windows 7 celkem 201 chyb a z toho 186 chyb bylo společných s verzí Windows XP. Takže potenciální útočník měl na přípravu viru čas od roku 2001. Za tu dobu si odbyl pubertu, naučil se programovat, našel slabinu a způsob, jak jí zneužít a připravil sofistikovaný virus. Trochu jsem to zlehčil, ale za 12 let se toho nechá stihnout hodně.

Reality světa počítačů

Za prvé: Krádež v prostředí počítačů a Internetu představuje v naprosté většině případů vytvoření rovnocenné kopie (Ctrl-C, Ctrl-V). Takže po útoku sofistikovaného viru má k dispozici prostředky pro tvorbu zaručeného elektronického podpisu jak oprávněný uživatel, tak také podvodníci.

Za druhé: Sofistikované viry mohou provádět jakékoliv operace v počítači nebo komunikovat s perifériemi bez vědomí uživatele a bez jakéhokoliv okem viditelného projevu. To dokázal například Stuxnet, když dokázal přes SCADA aplikaci ovládat frekvenční měniče. Pokud je možné ovládat SCADA aplikaci je možné komunikovat i s čipovou kartou nebo snímačem oka či snímačem dynamického podpisu.

Ověření pravosti elektronického podpisu?

Část ověřování mají komerční i zaručený elektronický podpis stejnou. S použitím matematických (kryptografických) algoritmů se ověří hash uvedená v podpisu a hash dokumentu, ke kterému se podpis vztahuje. Dále se ověří platnost digitálního certifikátu tvůrce podpisu. Pokud vše souhlasí, tak je podle současných pravidel prohlášeno, že je zaručený elektronický podpis platný. Nic víc, resp. dokument může být ještě opatřen časovým razítkem, které hovoří o tom, kdy byl podpis vytvořen (kdy byl podvod spáchán).

Nic dalšího současný systém zaručeného elektronického podpisu neumožňuje a řešení případných sporů bude tedy velmi komplikované, protože zaručený elektronický podpis je zneužitelný, aniž by uživatel cokoliv zanedbal. To je na základě uvedených důkazů o slabinách a sofistikovaných virech jasné. Tento fakt může komplikovat život občanům a firmám, ale i úřadům.

Zneužití podpisu občana nebo firmy

Po několika týdnech nebo dokonce měsících zjistí občan nebo statutární zástupce, že byl jeho jménem podepsán dokument, o kterém on neví a takový dokument by nikdy nepodepsal.

S ohledem na delší časový odstup již nebude možné spolehlivě zjistit, zda příslušný dokument skutečně podepsal majitel prostředků pro tvorbu zaručeného elektronického podpisu nebo jeho prostředky někdo zneužil.

Rozporování vlastního podpisu

Druhou variantou je situace, kdy občan nebo statutární zástupce firmy dojde k závěru, že před časem elektronicky podepsaný dokument je pro něho nevýhodný a bude rozporovat jeho pravost. Takový občan si nechá vypracovat posudek na svůj počítač, ve které bude zjištěn cizí škodlivý program, který mohl sledovat práci na počítači a obsah disků. Plnou moc a výsledek zkoumání počítače pak dostane erudovaný právník. Soudce, pak bude mít velmi malou šanci odhalit, kde je pravda.

Zaručený elektronický podpis se dotýká stále více a více agend. Mnoho lidí a firem zapojených do podpory zaručeného elektronického podpisu může cítit ohroženo informacemi o slabinách zvoleného řešení. Vždyť věnovali mnoho času a bezmezně věřili zvolenému způsobu řešení. Jenže zaručený elektronický podpis není pouze část technologická, která je společná s komerčním elektronickým podpisem, ale i část procesní. Ta nebyla proti komerčnímu řešení nijak přepracována a posílena.

Jsou v zásadě dvě možnosti. Budeme se tvářit, že se nic neděje, uživatel si má i nadále uhlídat svůj počítač a zaručený elektronický podpis je stále důvěryhodný. Druhou možností je přiznat si, že doba pokročila, rozsáhlejší jsou i obecně známé znalosti o počítačových podvodech a současné řešení zaručeného elektronického podpisu není dokonalé a je třeba jej vylepšit.

Dopředu ale říkám, že čipová karta, USB token nebo biometrický dynamický podpis nejsou vylepšením a pouze přinášejí další falešný pocit bezpečí, protože sofistikované viry se dokáží dostat i do relativně dobře zabezpečených počítačů a mohou úspěšně komunikovat s perifériemi.

Linux tip

Jasně, že existují řešení, ale jejich popis přesahuje rozsah tohoto článku.

Dodatek: Někdo by mohl namítnout: „Proč zdokonalovat elektronický podpis, když je problém i s ověřováním klasických (papírových) dokumentů a podpisů?“ (viz podvody na Katastrech nemovitostí). Vím o tom a s kolegy jsme již připravili a předložili řešení, jehož bezpečnost je stejná a snad i lepší než u pečeti na Zlaté bule sicilské.

Autor článku