Ministerstvo o možnej zraniteľnosti certifikátov eID: Situáciu nebagatelizujeme!
Už niekoľko dní sa vie o možnej zraniteľnosti, ktorá sa týka využívania elektronických občianskych preukazov.
Ministerstvo vnútra (MV) SR na základe posledných informácií v médiách opakovane vyhlasuje, že situáciu s možnou, avšak dosiaľ v praxi nepotvrdenou zraniteľnosťou certifikátov pre kvalifikovaný elektronický podpis na občianskom preukaze s čipom (eID) rozhodne nebagatelizuje. Vyhlásil to v utorok tlačový odbor rezortu v reakcii na apely opozície aj koaličného Mosta-Híd.
Reagovali by okamžite
„Ak by sme stáli pred skutočnou hrozbou prelomenia kľúča, certifikačné autority, stanoviská ktorých sú pre nás jediné záväzné, by reagovali okamžite, pretože dôsledky pri reálnom ohrození by mali oveľa horšie dosahy ako situácia, ktorá by nastala v štruktúrach e-Governmentu pri okamžitom zneplatnení certifikátov, ktoré od nás požaduje istá časť verejnosti,“ odkázalo MV.
Okamžité zneplatnenie súčasných certifikátov, a teda blokácia elektronického podpisu vydaného štátom, by podľa ministerstva znamenalo do veľkej miery problémy pri komunikácii obyvateľstva so štátnou správou. „V súčasnosti mnohé úkony možno zrealizovať už len elektronicky, pričom ďalším faktorom sú zákonné lehoty a sankcie, ktoré hrozia za ich nedodržanie,“ reagoval rezort.
Niekoľko krokov
Zároveň pripomína, že autentifikácia a identifikácia používateľa e-služieb v SR je založená na postupnosti viacerých krokov, ktorými sa nebezpečenstvo zneužitia eliminuje. „Za iných okolností je táto ‚viackrokovosť‘ terčom kritiky napriek tomu, že má svoje opodstatnenie a používa sa aj v iných sférach. Ministerstvo vnútra už dlhší čas v spolupráci s ostatnými inštitúciami analyzovalo a stále pokračuje v analýze služieb s cieľom identifikácie rizík. Pracujeme na viacerých sekundárnych bezpečnostných opatreniach a prehodnocujeme všetky spätné väzby,“ deklarovalo ministerstvo.
Elektronické občianske preukazy čelia hrozbe: Ministerstvo tvrdí, že sú bezpečné
Experti otvorene: Reakcia MV SR na bezpečnostný problém eID je neadekvátna
MV avizuje, že ku zrušeniu dotknutých certifikátov a nasadeniu bezpečnejších dôjde v krátkom čase. „Pripravujeme sa na to, aby lehota medzi zrušením a nasadením bola čo najkratšia a problémy z toho vyplývajúce vo vzťahu e-Government – občan čo najmenšie,“ dodal rezort.
Viacerí experti v uplynulých dňoch upozornili, že výskumný tím z Masarykovej univerzity odhalil zraniteľnosť v čipoch, ktoré obsahujú aj slovenské občianske preukazy. Dôsledkom zraniteľnosti je možnosť vypočítať súkromný kľúč na základe verejného kľúča a následne elektronicky podpisovať dokumenty v mene obete. Znamená to, že nie je možné rozoznať skutočný podpis od podpisu vykonaného útočníkom.
Žiadajú opatrenia
Koaličná strana Most-Híd označila za nevyhnutné, aby MV v systéme elektronických služieb vykonalo razantné nápravné opatrenia a odbornej, ako i širokej verejnosti boli poskytnuté podrobné informácie. „Most-Híd považuje situáciu okolo elektronickej služby za vážnu a znepokojujúcu, preto vývoj podrobne sleduje. Jej predstavitelia upozorňujú, že problém vznikol ešte za predchádzajúcej vlády. Ako zodpovedný koaličný partner však žiadame ministerstvo vnútra o razantné kroky a predovšetkým rýchle nápravné opatrenia,“ odkázala strana.
Opozičné strany SaS a Sme rodina MV vyzvali, aby do konca októbra zrušilo už existujúce certifikáty zaručeného elektronického podpisu a vysvetlilo ľuďom, čo majú robiť, ak bol ich podpis zneužitý. „Ohrozili ľudí. Systém eID je nebezpečný. Ľudia môžu byť okradnutí a vzniknúť môžu nekonečné súdne spory. Štát však nerobí na ich ochranu absolútne nič, aj keď o probléme vedel mesiace,“ povedal na utorkovej tlačovej konferencii líder Sme rodina Boris Kollár. Preto vyzval ministra vnútra Roberta Kaliňáka (Smer-SD) a štátnu tajomníčku tohto rezortu Denisu Sakovú (nominantka Smeru-SD), aby zrušili už existujúce certifikáty tak, aby nebolo možné vytvárať zaručený elektronický podpis až do vyriešenia problému.
Podobne to vidí aj vicepremiér pre investície a informatizáciu Peter Pellegrini (Smer-SD). Podľa neho ak sa potvrdí ohrozenie bezpečnosti, jediným možným riešením, ako zabezpečiť ochranu občanov, bude okamžité zneplatnenie elektronických podpisov.
Foto: ilustračné