Чешские ученые-криптографы в понедельник опубликовали резюме научной работы с детальным техническим описанием уязвимости 750 000 выданных в Эстонии ID-карт, о предварительных выводах которой стало известно в сентябре. Согласно расчетам, уязвимую ID-карту можно взломать максимум за 17 дней, потратив на это 40 000 долларов. Об этом в понедельник, 16 октября, сообщил новостной портал ERR со ссылкой на Geenius.ee.
Группа ученых под руководством чешского специалиста Петра Свенда обнаружила, что в миллионах шифровальных ключей есть уязвимость, которой позволяет относительно просто взломать ключ. Напомним, что уязвимые ключи создаются при помощи кода немецкой фирмы Infineon и используются в картах с чипами Gemalto, которых в Эстонии было выпущено около 750 000 штук.
Проведенный учеными анализ показывает, что созданные средствами Infineon шифровальные ключи позволяют слишком просто определить секретную часть ключа по его публичной части. Последние шесть лет в Эстонии выдавались ID-карты с 2048-битным защитным ключом, для взлома которого обычному компьютеру, по расчету проектировщиков, потребовалось бы несколько квадрильонов лет. При этом созданные с кодом Infineon ключи можно взломать таким образом за 100 лет, а в среднем для этого требуется вдвое меньше времени.
Хотя 50-100 лет кажется длительным сроком, взлом ключа можно ускорить, используя одновременно несколько компьютеров. Для хакера оптимальным вариантом было бы использование предлагаемой Amazon услуги, имитирующей работу 1000 компьютеров. В таком случае взлом 2048-битного ключа обошелся бы примерно в 40 000 долларов. По расчетам Ars Technica, для этого потребовалось бы максимум 17 дней.
Презентация учеными своей работы состоится 30 октября на конференции ACM CSS в Далласе.
RIA: новой информации мы не получили
В Департаменте государственной инфосистемы сообщили, что в опубликованном резюме научной работы нет новой для департамента информации. В нем лишь уточняется содержание и воздействие технической уязвимости ID-карт, о которой компетентные органы Эстонии сообщили общественности в начале сентября.
В сообщении подчеркивается, что научная работа сосредоточена не на эстонских ID-картах, а на уязвимости чипа конкретного производителя. Охват этой проблемы выходит далеко за пределы Эстонии, поскольку она касается всех карт и оборудования, в которых используются соответствующие чипы.
Ученые указывают в своей работе, что дефектные изделия прошли официальную сертификацию по международным стандартам, но ошибка все равно не была обнаружена.
«Опубликованное сегодня резюме научной работы не дает Департаменту полиции и погранохраны оснований для закрытия сертификатов ID-карт, и сейчас мы работаем, зная, что мы сможем в ноябре начать обновление уязвимых ID-карт», — сказала глава бюро идентичности и статусов департамента Маргит Ратник.
Под руководством департамента было разработано программное обеспечение, которое позволит с ноября осуществить обновление электронного компонента уязвимых ID-карт, видов на жительство и digi-ID. «Сейчас мы тестируем приложение и передали тестовые карты провайдерам электронных услуг, чтобы они могли проверить совместимость с их системами», — сказал руководитель направления электронных удостоверений личности департамента и руководитель рабочей группы Маргус Арм (Margus Arm).
Сертификаты ID-карт можно будет обновить с ноября до конца марта. Для обновления потребуется загрузить в компьютер новую версию программного обеспечения для ID-карт и выполнить появляющиеся на экране инструкции. Сертификаты можно будет обновить как на персональном компьютере, так и в залах обслуживания ДПП.
«Эстонская ID-карта и ее цифровые решения по-прежнему безопасны. На сегодняшний день нет ни одного сообщения о краже цифровых идентификационных данных», — добавил Арм.