Tehnika/IT-sektori kurilka
Kommentaari jätmiseks loo konto või logi sisse
-
Marvin
Mina tahtsin oma viidete ja tsitaatidega öelda seda, et see ei olnud mingi suvaline number, vaid arv, mille abil on vähese jõudlusega riistvaral pikki aegu võtmeid genereeritud. Algarv, piisavalt suur, ja bitte nihutada on arvutuslikult väga odav. No ja nüüd selgus, et sellest sündis häda ja ikaldus. Kas sellest ikaldusest teadsid kolmetähelised kontorid sealpool lompi, ei ole mõtet spekuleerida. Meie omad ei teadnud - ei PPA, ei RIA.
Sellisel juhul oleksid kaartide tootjad pidanud käed üles tõstma ja alla andma -- kaardi kiip pole piisavalt võimas, et võtmeid genereerida. Selle asemel mitte aga ebakvaliteetseid võtmeid genereerima.
Või siis minema seda teed, et võtmepaar genereeritakse väljaspool kiipi ning pannakse kiibi sisse turvatud ja auditeeritud keskkonnas, kus on võimalikult raskeks tehtud, et võtmepaar jalutama läheb. Ning kaardi kiip on samuti ehitatud selliselt, et kord sisse pandud salajane võti sealt välja loetav enam pole. -
Tore lugemine, kus Tšehhi teadlaste tööd üritati rekonstrueerida. Seal on ka tõstatatud mitmeid küsimusi, millelt ametivõimudelt vastust oodatakse.
Reconstructing ROCA A case study of how quickly an attack can be developed from a limited disclosure. #infineon #roca #rsa
http://blog.cr.yp.to/20171105-infineon.html -
Kuigi päris kindel ei ole, siis endale tundub, et see eelnev viide on otseselt seotud Eesti ID kaardi sertide sulgemisega.
16.okt Tweet igaljuhul annab selleks põhjust -
ttrust
Sellisel juhul oleksid kaartide tootjad pidanud käed üles tõstma ja alla andma -- kaardi kiip pole piisavalt võimas, et võtmeid genereerida. Selle asemel mitte aga ebakvaliteetseid võtmeid genereerima.
Või siis minema seda teed, et võtmepaar genereeritakse väljaspool kiipi ning pannakse kiibi sisse turvatud ja auditeeritud keskkonnas, kus on võimalikult raskeks tehtud, et võtmepaar jalutama läheb. Ning kaardi kiip on samuti ehitatud selliselt, et kord sisse pandud salajane võti sealt välja loetav enam pole.
Teeme nii, et seda teist varianti isegi ei aruta - isegi kui see oleks tehniliselt võimalik. Privaatvõti ei tohi hetkekski kiibist väljaspool olla, ilma ei saa me mitte mingist kaardi usaldusväärsusest rääkida. Mitte kellelgi peale kaardi omaniku ei tohi mitte kunagi olla ligipääsu sellele. See on aksioom, ilma milleta kukub kogu ID-kaardi süsteem kokku. Nii pea kui võti kusagil hetkekski ripakil on, tekivad kohe tegelased, kes selle taha omi sõrmi püüavad ajada, olgu siis riigi enese struktuurides või mujal. Seda ahvatlust ei tohi lasta tekkida. Auditeeritud ja turvatud - my ass, kogu ID-kaardi majandus on auditeeritud ja turvatud. Ikka juhtub. Kord juhtub sertide struktuuriga, kord võtmetega. Ja jääbki juhtuma, sest nagu Taavi eespool ütles - tarkust tuleb kogu aeg juurde, arvutusvõimsust ka. -
Kui n-ö "päris süsteemid" kasutavad võtmepaaride genereerimisel igasuguseid riistvaralisi seadmeid "päris õigete" juhulike arvude genereerimiseks, siis kaardi kiibi sisse seda kraami ikka ei pane. Või siis kaardi kiip paratamatult genereerib mittekvaliteetse võtmepaari.
Või on tõesti tehnoloogia ja programmide algoritmid nii palju arenenud et nad seda juba suudavad? -
Küsimus ei ole niipalju võimekuses ja algoritmides, kui usalduses. Täis-tarkvaraliselt saab kindlasti kvaliteetset juhuarvu genereerida - puusalt tulistades näiteks mingite räside baasil peaks täitsa kvaliteetse saama. Ja kiibi sees saab juhuarvu generaatori sisendis kasutada mingit looduslikku juhuslikkust, soojusmüra näiteks.
Seda 65537 värki peeti ka täitsa usaldusväärseks - kuni tulid statistikud ja leidsid, et tühjagi. -
ttrust
"päris süsteemid"
Teoreetiliselt saab piimapaki ka titaanist välja freesida, et kunagi tilkuma ei hakkaks :) Praktiliselt on tegemist pigem titaanifreesija märja unenäo kui reaalses maailmas kasuliku riistapuuga. -
Ma arvan, et selle "65537" arvu taga on võib-olla USA riiklik asutus nimega NSA + Euroopa paari suurriigi vastavad luureorganisatsioonid. Arvati võib-olla, et suudetakse tekitada üsna kergelt häkitav võtmepaar, mis muidu krüptoloogidele paistaks "nagu päris".
-
Marvin
Küsimus ei ole niipalju võimekuses ja algoritmides, kui usalduses. Täis-tarkvaraliselt saab kindlasti kvaliteetset juhuarvu genereerida - puusalt tulistades näiteks mingite räside baasil peaks täitsa kvaliteetse saama.
Juhuarvude genereerimine on arvutile kahjuks võimatu, probleemi sügavus ei peitu mitte arvutustehnikas vaid on fundamentaalne matemaatiline probleem, ehk siis matemaatika ei võimalda arvutada juhuslikku arvu.
Samas osad süsteemid kasutavad juhuslikkuse genereerimiseks subatomaarseid lahendusi (geigeri loendur, kosmiline müra) jne.
https://www.youtube.com/watch?v=1cUUfMeOijg -
Videos laavalampidest juhuslike arvude generaator. :-)
-
$ openssl genrsa -out my.domain.key 4096
Generating RSA private key, 4096 bit long modulus
...................................................................................++
...................................................................++
e is 65537 (0x10001) -
Kuulge teadjad, kuidas need 2014.okt.-st vanemad kaardid selle juhusliku arvu leidsid? Kui see on senini turvaline, siis tuleb teha nii nagu vanasti :)
-
ttrust
Ma arvan, et selle "65537" arvu taga on võib-olla USA riiklik asutus nimega NSA + Euroopa paari suurriigi vastavad luureorganisatsioonid. Arvati võib-olla, et suudetakse tekitada üsna kergelt häkitav võtmepaar, mis muidu krüptoloogidele paistaks "nagu päris".
Ei paistnud "nagu päris".
Siim Ainsaar kirjutas: Esiteks on lihtne tunda ära, kas tegu on kahe sellisel kujul algarvu korrutisega: kuna p mod M on 65537 aste, siis kahe sellise korrutis, mod M, on samuti. Neid astmeid on aga väga kiire tuvastada (kuna M-l on palju pisikesi algtegureid, kuna ta on esimeste algarvude korrutis). Nii siis vaatasid krüptoloogid läbi Eesti ID-kaartide avalike võtmete andmebaasi, kulutades igale reale vaid sekundi murdosa, ja leidsid kohe, et sealt suur osa ongi sellisel kujul. -
Tin
Marvin
Küsimus ei ole niipalju võimekuses ja algoritmides, kui usalduses. Täis-tarkvaraliselt saab kindlasti kvaliteetset juhuarvu genereerida - puusalt tulistades näiteks mingite räside baasil peaks täitsa kvaliteetse saama.
Juhuarvude genereerimine on arvutile kahjuks võimatu, probleemi sügavus ei peitu mitte arvutustehnikas vaid on fundamentaalne matemaatiline probleem, ehk siis matemaatika ei võimalda arvutada juhuslikku arvu.
Samas osad süsteemid kasutavad juhuslikkuse genereerimiseks subatomaarseid lahendusi (geigeri loendur, kosmiline müra) jne.
https://www.youtube.com/watch?v=1cUUfMeOijg
Tänud lingi eest. Cloudflare teeb oma blogis tegelikult puust ja punaseks, mis on randomness ja kuidas seda saavutada.
Sul on õigus ses osas, et true randomness ei ole ilma välise päris-juhuslikkuse generaatorita saavutatav. Samas on krüptograafiliselt pädev juhuslikkus saavutatav küll, kui kasutada mingit juhuslikku füüsikalist suurust sisendis -
näiteks prose temperatuuri näidu viimaseid numbreid. Cloudflare teeb seda niimoodi, et teeb laavalampidest tehtavatest piltidest räsid ja saab sealt juhuslikkuse, mille liidab serverite juhuslikkuse generaatorite väljundist tulevale.
Väärt lugemine, tänud veelkord. -
Kuldar1
Kuulge teadjad, kuidas need 2014.okt.-st vanemad kaardid selle juhusliku arvu leidsid? Kui see on senini turvaline, siis tuleb teha nii nagu vanasti :)
Ma võin nüüd kõvasti mööda panna, aga kas 2014. oktoobrist varasemad kaardid pole praegu turvalised mitte sellepärast, et nende serdid on juba korra uuendatud? -
Vanadel kaartidel (nagu minu oma) uuendati serte minu mäletamist mööda mitte võtmete, vaid räsialgoritmi vananemise tõttu. Ja tegelikult uuendati neid uuematel kaartidel ka.
-
rv30
ttrust
Ma arvan, et selle "65537" arvu taga on võib-olla USA riiklik asutus nimega NSA + Euroopa paari suurriigi vastavad luureorganisatsioonid. Arvati võib-olla, et suudetakse tekitada üsna kergelt häkitav võtmepaar, mis muidu krüptoloogidele paistaks "nagu päris".
Ei paistnud "nagu päris".
Siim Ainsaar kirjutas: Esiteks on lihtne tunda ära, kas tegu on kahe sellisel kujul algarvu korrutisega: kuna p mod M on 65537 aste, siis kahe sellise korrutis, mod M, on samuti. Neid astmeid on aga väga kiire tuvastada (kuna M-l on palju pisikesi algtegureid, kuna ta on esimeste algarvude korrutis). Nii siis vaatasid krüptoloogid läbi Eesti ID-kaartide avalike võtmete andmebaasi, kulutades igale reale vaid sekundi murdosa, ja leidsid kohe, et sealt suur osa ongi sellisel kujul.
See avastati alles hiljuti, kuigi neid kaarte on ja kiipe ja seda võtmepaari genereerivaid süsteeme on toodetud õige mitmeid aastaid juba. Seega, häkitava võtmepaari saladus osutus päris mitmeid aastaid avastamatuks. Tõenäoliselt lõpuks asja avastajad osutusid tugevamateks, kui NSA eeldas või NSA poolt palgatud tagaukse väljamõtlejad ajasid NSA äripoolele kärbseid pähe, öeldes, et nad tegid avastamatu tagaukse, nagu tellitud, ja keegi aru ei saa. -
Marvin
Vanadel kaartidel (nagu minu oma) uuendati serte minu mäletamist mööda mitte võtmete, vaid räsialgoritmi vananemise tõttu. Ja tegelikult uuendati neid uuematel kaartidel ka.
Seega, mis muudab selle vanema kaardi turvaliseks?
Kusagilt kuulsin, et vanema kaardi chip teeb selles kohas mingi operatsiooni, kus uus kaart võtab selle neetud 65537 numbri - selle lihtsustuse tõttu pidi uus kaart kiiremini töötama.
Kas see jutt tõele vastab? Mina ei tea. -
Marvin
Vanadel kaartidel (nagu minu oma) uuendati serte minu mäletamist mööda mitte võtmete, vaid räsialgoritmi vananemise tõttu. Ja tegelikult uuendati neid uuematel kaartidel ka.
Sertifikaat vist ise kehtis varem 2 või 3 aastat, siis tuli seda uuendada, kiipkaart kehtis varem 10 aastat, nüüd 5 aastat. -
Marvin
Cloudflare teeb seda niimoodi, et teeb laavalampidest tehtavatest piltidest räsid ja saab sealt juhuslikkuse, mille liidab serverite juhuslikkuse generaatorite väljundist tulevale.
Omaette huvitav lahendus tõepoolest.
Mingid ajad tagasi (moodsate lahendustega ei ole kokku puutunud) kasutati juhuslike arvude genereerimiseke pooljuhtide P-N siirde soojusmüra. Aga laavalampidega lahendus on samuti sisuliselt soojusmüra ning realiseeritav tavainimesele kättesaadavate komponentidega, s.t. ei pea spetsrauda ehitama.
Ruumi võtab küll palju, samas näeb hiigla edev välja :) -
Tuletan meelde ühte vana filmi nimega Johnny Mnemonic kus samamoodi krüptoks kasutati suvalisi analoogteleviisori random screenshotide hashe.
https://www.youtube.com/watch?v=jS2GFqT5ycU -
Kuldar1
Marvin
Vanadel kaartidel (nagu minu oma) uuendati serte minu mäletamist mööda mitte võtmete, vaid räsialgoritmi vananemise tõttu. Ja tegelikult uuendati neid uuematel kaartidel ka.
Seega, mis muudab selle vanema kaardi turvaliseks?
Kusagilt kuulsin, et vanema kaardi chip teeb selles kohas mingi operatsiooni, kus uus kaart võtab selle neetud 65537 numbri - selle lihtsustuse tõttu pidi uus kaart kiiremini töötama.
Kas see jutt tõele vastab? Mina ei tea.
Seda 65537 saab umbes 3 taktiga tekitada protsessori sees (x86 arhitektuuri puhul), kui kasutada suvalist numbrit, siis peab selle kuskilt lugema (või kuskil lähedal hoidma), mis tähendab (x86 puhul) vähemalt 3 korda suuremat ajakulu (L1 cache puhul).
Samas spetsialiseeritud krüpto-CPU puhul ei tohiks olla probleemiks vastava spetsialiseeritud registri lisamine, kust saaks selle numbri 1-2 taktiga kätte.
See kiiruse vabandus on üsna jura, kuna uut võtit pole ju vaja pidevalt genereerida ning näiteks 20s vs 30s võtme genereerimiseks pole eriline vahe. See CPU peab ju ka muid arvutusi tegema, mis kiiremaks ei lähe.
EL võiks need firmad nüüd usalduse kaotuse tõttu paariks aastaks igasugustelt riigihangetelt diskvalifitseerida. -
ID-kaardi kiipbi ülemäärane aeglus pole kindlasti reaalne põhjendus. See on lihtsalt suusoojaks öeldud vabandus, sest seda on raske tõestada ja mõõta.
Inimfaktorist võtmete genereerimisel:
Praeguse ID-kaardiga, kus sai hiljuti 25. oktoobril võtmed välja vahetatud, mingit ülemäärast aeglust küll ei täheldanud. Uus võtmepaar genereeriti piisavalt kiiresti. Hoopis rohkem aega võttis PIN ja PUK koodide ülesmärkimine.
Ka varasematel ID kaartidel sertifikaatide uuendamine toimis kiiresti. Kui väidetavalt serdiuuendused ühtlasi genereerisid uue võtmepaari, siis kiibi kiirus oli piisav. -
Marvin
Mina tahtsin oma viidete ja tsitaatidega öelda seda, et see ei olnud mingi suvaline number, vaid arv, mille abil on vähese jõudlusega riistvaral pikki aegu võtmeid genereeritud. Algarv, piisavalt suur, ja bitte nihutada on arvutuslikult väga odav. No ja nüüd selgus, et sellest sündis häda ja ikaldus. Kas sellest ikaldusest teadsid kolmetähelised kontorid sealpool lompi, ei ole mõtet spekuleerida. Meie omad ei teadnud - ei PPA, ei RIA.
Loomulikult ei saadetud meie omadele PPA'st ja RIA'st selle kohta ametlikku kirja, et me paigaldasime Infineoni kiibile tagaukse. Sellest ei saa aga järeldada, et keegi sellest ei teadnud ja ei kasutanud.
https://tehnika.postimees.ee/4242113/kas-ilvese-vaitel-10-tunnisest-id-kaardi-hakkimisest-on-toepohi-all-ria-teab-ja-vastab
Kõige tõenäolisemalt oli see 65537 lombitaguse kolmetähelise organisatsiooni tagauks, mille nad saavad vajadusel lahti 10-12 tunniga. -
ttrust
Praeguse ID-kaardiga, kus sai hiljuti 25. oktoobril võtmed välja vahetatud, mingit ülemäärast aeglust küll ei täheldanud. Uus võtmepaar genereeriti piisavalt kiiresti. Hoopis rohkem aega võttis PIN ja PUK koodide ülesmärkimine.
On ju siin juttu olnud, et uued võtmed on ECC-ga ning selles on võtmepaari genereerimine vähemalt suurusjärgu RSA-st kiirem. -
marker
ttrust
Praeguse ID-kaardiga, kus sai hiljuti 25. oktoobril võtmed välja vahetatud, mingit ülemäärast aeglust küll ei täheldanud. Uus võtmepaar genereeriti piisavalt kiiresti. Hoopis rohkem aega võttis PIN ja PUK koodide ülesmärkimine.
On ju siin juttu olnud, et uued võtmed on ECC-ga ning selles on võtmepaari genereerimine vähemalt suurusjärgu RSA-st kiirem.
Et siis ka samas järelikult ebaturvalisem, kui õigesti genereeritud RSA kvaliteetne võtmepaar.
Huvitav, mis võtmepaarid olid kasutusel eelmistel ID-kaartidel (enne 2014a). -
Marvin
Küsimus ei ole niipalju võimekuses ja algoritmides, kui usalduses. Täis-tarkvaraliselt saab kindlasti kvaliteetset juhuarvu genereerida - puusalt tulistades näiteks mingite räside baasil peaks täitsa kvaliteetse saama. Ja kiibi sees saab juhuarvu generaatori sisendis kasutada mingit looduslikku juhuslikkust, soojusmüra näiteks.
Seda 65537 värki peeti ka täitsa usaldusväärseks - kuni tulid statistikud ja leidsid, et tühjagi.
Probleem polnudki ju juhuarvude genereerimises kui sellises, vaid juhusliku jaotusega algarvude leidmise algoritmis, mis oli lihtsalt vigaselt realiseeritud.
Inineoni kiibi probleem tundub olevat (paljumainitud uurimusele tuginedes) selles, et suhteliselt levinud ja aktsepteeritud Joye-Paillier algarvude genereerimise algoritm realiseeriti puudulikult - ühe algoritmi komponendina kasutati juhuarvu asemel fikseeritud konstanti.
Siin pole enam mingit pistmist kiipide arvutusvõimsusega, vaid viitab kas lihtsalt hooletusele (a-la arendaja tegi algoritmi osaliselt valmis ja hiljem unustaski ühe komponendi lõpuni realiseerimast) või siis kuritahtlikkusele (pealiskaudsel vaatlemisel jäi mulje, et kõik on korras ning võtmed kah suht juhuslikult jaotunud). Mingi väike tõenäosus on veel ka, et üritatigi ebaõnnestunult ise mingit oma algoritmi välja mõtelda (millele vihjati taavi talviku viidatud RSA blogis), aga seda ma eriti ei usu - selle valdkonna inimesed teavad väga hästi, et iga uut algoritmi tuleks kõigepealt aastaid avalikult uurida, enne kui seda kasutada julgeks. -
Mis viib üheselt probleemidele kvaliteedikontrollis :)
-
SK Aastakonverents 2017 materjalid:
RSA (realisatsioonide) ründamise ajaloost ja õppetundidest, Arne Ansper, Cybernetica https://sk.ee/upload/files/Arne%20Ansper_RSA_AK2017.pdf
Räägib sellest 65537 "värgist" ja ID-kaardist. -
Internetis levib väide ID-kaarti tekkinud uuest tagauksest, riik lükkab selle ümber
https://geenius.ee/uudis/internetis-levib-vaide-id-kaarti-tekkinud-uuest-tagauksest-riik-lukkab-selle-umber/
Artiklis on järgmine väide:
“Sai arutatud, üks alternatiiv oli tõesti see, et [teises arvutis] võtmed teha, aga otsustasime, et me Eestis ei võta seda kasutusele”
Seega teoreetiliselt on siiski võimalik võtmed väljastpoolt kaarti toppida. -
rv30
Internetis levib väide ID-kaarti tekkinud uuest tagauksest, riik lükkab selle ümber
https://geenius.ee/uudis/internetis-levib-vaide-id-kaarti-tekkinud-uuest-tagauksest-riik-lukkab-selle-umber/
Artiklis on järgmine väide:
“Sai arutatud, üks alternatiiv oli tõesti see, et [teises arvutis] võtmed teha, aga otsustasime, et me Eestis ei võta seda kasutusele”
Seega teoreetiliselt on siiski võimalik võtmed väljastpoolt kaarti toppida.
Kui võtmete genereerimise koodi on võimalik üle laadida, siis üsna tõenäoliselt on võimalik sinna sisse ka panna, et kasutatakse eelnevalt laaditud võtit. -
Kui ID kaardil võtmete genereerimise algoritmi on võimalik kaardis muuta ...
Tegelikult mina oleks tahtnud ID kaardi sees kohata küll rohkem sellist kiipi kus kogu asi toimib rauas ja kiip ei oleks ümberprogrammeeritav.
Kuidas on tagatud et isik kes kasutab ID kaardi võtmepaari vahetamise ajal mitte ametlikku ID kaardi rakendust vaid mingit oma tarkvara, ei saaks oma võtmeid sertifikaatide kaudu autoriseerida CA-s? -
rv30
Seega teoreetiliselt on siiski võimalik võtmed väljastpoolt kaarti toppida.
Korrektsem oleks ütelda, et teoreetiliselt on võimalik kaardile toppida rakendus, mis võtab võtmeid ka väljastpoolt. Ma ei usu, et praegusele rakendusele selline funktsionaalsus oleks sisse arendatud.
Aga võib-olla on selline kuulujutt saanud alguse sellest, et uued PIN-koodid laetakse kaardile üle võrgu, mitte ei genereerita kaardi poolt (nii on kogu aeg olnud). Ja see info on siis telefonimängu laadselt mõnede inimeste teadvusesse veidi muteerunud kujul jõudnud... -
Näiteks, päris edev oleks teha endale uute võtmetega ametlik ID kaart, millel on ametlikud Sertifitseerimiskeskuse poolt välja lastud sertifikaadid, aga võtmepaar on selline kus salajane võti on näiteks teada? Või on võtmepaar mingi "huvitavate" omadustega, näiteks kergelt dekrüpteeritav. Seega saaks sellega teiste ees uhkeldada. Kuidas sellise tegevus on võimatuks tehtud?
-
imh
rv30
Seega teoreetiliselt on siiski võimalik võtmed väljastpoolt kaarti toppida.
Korrektsem oleks ütelda, et teoreetiliselt on võimalik kaardile toppida rakendus, mis võtab võtmeid ka väljastpoolt. Ma ei usu, et praegusele rakendusele selline funktsionaalsus oleks sisse arendatud.
Aga võib-olla on selline kuulujutt saanud alguse sellest, et uued PIN-koodid laetakse kaardile üle võrgu, mitte ei genereerita kaardi poolt (nii on kogu aeg olnud). Ja see info on siis telefonimängu laadselt mõnede inimeste teadvusesse veidi muteerunud kujul jõudnud...
Minu teada PIN kood laetaksegi "üle võrgu", sest sa saad oma PIN koodi ju muuta. Sisuliselt pole vahet kas seda teeb "võrk" või teeb seda sinu ID kaardi rakenduse aknas olev uue PIN-i sisestusväli. -
https://geenius.ee/uudis/internetis-levib-vaide-id-kaarti-tekkinud-uuest-tagauksest-riik-lukkab-selle-umber/
Artiklis jäi üks asi lahtiseks -- miks ei saa kiibis genereerida RSA 2048-bitiseid võtmeid õigesti, ehk siis nii nagu neid genereeritakse arvutis (viidatud on "välist arvutit")? Kui ID-kiibis saab mikrokoodi muuta, siis peaks saama sinna panna ka koodi mis genereeriks RSA võtmeid õigesti (ilma "nõrkuseta" või "tagaukseta") nagu sai sinna panna koodi, mis genereerib võtmed "elliptiliste kurvide" meetodil. -
See "elliptilised kurvid" on seal ikka päris hea. Kõlab nagu vallatud kurvid :) Loomulikult on "elliptic-curve" korrektne tõlge elliptilised kõverad.
-
"Vallatud kurvid" oleks õige, kui kujutleda ette kuidas bitid mööda neid elliptilisi kõveraid tormavad ... Ja üldse kogu see ID-kaardi probleem mis on esile kerkinud, samanimeline film sobiks sinna taustaks...
-
ttrust
Näiteks, päris edev oleks teha endale uute võtmetega ametlik ID kaart, millel on ametlikud Sertifitseerimiskeskuse poolt välja lastud sertifikaadid, aga võtmepaar on selline kus salajane võti on näiteks teada? Või on võtmepaar mingi "huvitavate" omadustega, näiteks kergelt dekrüpteeritav. Seega saaks sellega teiste ees uhkeldada. Kuidas sellise tegevus on võimatuks tehtud?
ID-kaardile ei saa omatahitsi rakendusi installida/hallata. Selleks, et seal toimetada, peab teadma kaardi manageerimise võtmeid, mis asuvad turvaliselt kaarte haldava keskuse HSMis ja ei lahku sealt kunagi (nojah, teoorias muidugi on olemas protseduurid, kuidas saab HSMist võtme mitmes tükis välja võtta ja uues HSMis uuesti kokku panna). Seal on master võtmed, mille baasilt arvutatakse key diversification algoritmidega igale kaardile unikaalsed haldusvõtmed (ka need ei lahku HSMist kunagi) - ehk ka ühe kaardi haldusvõtmete väljaraalimine ei aita kuidagi kaasa teiste kaartide häkkimisele. Haldamiseks luuakse turvakanal keskusest kiibini välja - kiibile saadetavad APDUd pannakse kokku keskuses ning neid oskab dekodeerida ainult kiip ise.
Üldiselt kasutatakse tänapäeval üha enam GlobalPlatform standarditele vastavaid kaarte (ei ole kursis, et kuipalju meie ID-kaardid sellega kompatiiblid on). Seal on reguleeritud nii üle võrgu haldus kui ka turvaalade haldamise loogika.
PS. Minu jutt muidugi teoreetiline (st - umbes selliselt üldjuhul asju lahendatakse), ei ole praktilise poole pealt ID-kaardi turvaküsimustega kursis. -
ttrust
Artiklis jäi üks asi lahtiseks -- miks ei saa kiibis genereerida RSA 2048-bitiseid võtmeid õigesti, ehk siis nii nagu neid genereeritakse arvutis (viidatud on "välist arvutit")? Kui ID-kiibis saab mikrokoodi muuta, siis peaks saama sinna panna ka koodi mis genereeriks RSA võtmeid õigesti (ilma "nõrkuseta" või "tagaukseta") nagu sai sinna panna koodi, mis genereerib võtmed "elliptiliste kurvide" meetodil.
ID-kaardil saab asendada rakendusi (see on kõigi kiipkaartide standardfunktsionaalsus), kuid ei saa asendada kaardi firmware. Krüptoalgoritmid realiseeritakse kiipides võimalikult riistvaralisel tasemel, sest java-s algoritmide käiamine võtaks terve igaviku. Ma arvan, et neil probleemsetel kaartidel on EC algoritmide tugi algusest peale olemas olnud, neid lihtsalt ei kasutatud varem. -
RIA on päris kenasti lahti kirjutanud ID kaardinduse. Selles osas tänud artiklite kirjutajatele!
Alustada võiks näiteks siit ja seejärel liikuda uuendamise juurde.
Ehk siis on mingi osa, mida saab üle kirjutada ja mingi osa, mida ei saa muuta. Krüpto teek, va sunnik, mis tegeleb võtmete genereerimisega paistab, et asub kohas, mida kauguuendades "üle kirjutada" ei saa.
imh poolt postitatud artiklist paistab, et valikutena jäi, kas
a) kasutusele võtta RSA 3072-bitised võtmed ja genereerida need kaardil, aga kiip nii suurt võtit ei toeta
b) genereerida võtmed väljaspool ja kanda kaardile (omab jällegi omasid ohtusid, kui valesti realiseerida - ning nõnda lühikese aja jooksul parasjagu keeruline ülesanne)
c) elliptilised võtmed
kuna kurvidega võtmed on kasutusel juba M-ID puhul, siis mindigi seda teed.
Vandenõuteooriana: Jääb vaid loota, et kurvide krüpto implementatsioon kaardil pole tootja poolt samamoodi kuidagi kännu otsas ja vigaselt valmis nikerdatud (tahtlikult või heas usus, et teevadki head asja veidi teisiti). Kui juba väga lihtsa RSA-ga suudeti sedasi puusse panna, siis mine tea.. :P -
Vähemalt ühe kiibipere puhul on Infineon ka ECC elliptiliste kõverate algoritmi ratsinud :)
Seega tuleb edaspidi kindlasti uuringuid, kui kindel on nüüd ID kaardis kasutusel olev võtmete genereerimine.
Loodaks, et Eesti suudab seekord kaasa rääkida. -
PPAd ja RIAt teavitati väidetavalt juba 15. juuni ID kaardi kiibi probleemist Gemalto poolt, aga no kes ikka hakkab oma puhkuseid ära rikkuma. Viide kommentaarile mille andis Gemalto sales manager:
https://www.linkedin.com/feed/update/urn:li:article:8986751127149423220?commentUrn=urn%3Ali%3Acomment%3A%28article%3A8986751127149423220%2C6338898713276219392%29 -
MrMarket, sinu link ei tööta.
-
Poh, seda, et algarvude valikul kurvid sirgeks lastakse, teadsid nad 1. veebruaril.
-
Jõudis juba delfisse: http://www.delfi.ee/news/paevauudised/eesti/id-kaardi-tootja-gemalto-eesti-esindaja-teavitasin-turvariskist-juba-15-juunil?id=80250642
Äkki see töötab: https://www.linkedin.com/pulse/timeline-estonian-id-card-vulnerability-andres-k%C3%BCtt/?trackingId=30f7wDrRtepd288a6wB7Eg%3D%3D -
Firma mis peaks kehastama korda ja korrektsust muidugi ei peaks kuskil sotsiaalmeedias hüplema, et äärmiselt olulisest teaduslik-tehnilisest probleemist räägiti kliendiga telefonitsi või mitteprotokollitud koosolekul. Koosolekul või kohtumisel osalenud isikud tõenäoliselt ei olnud pädevad teemat ei selgitama ega aru saama Vaja oleks olnud esitada mitte üldist möla, vaid tehnilist dokumentatsiooni nõrkuse kohta. Selle häma peale peaks kahjunõude kahekordistama.
Näib, et peakontorist saadeti info nõrkuse kohta siia, kuid läheneva jaanipäeva ja puhkuste tõttu ei viitsinud herr Lehmann seda korrektselt kliendile kommunikeerida? -
113366
Firma mis peaks kehastama korda ja korrektsust muidugi ei peaks kuskil sotsiaalmeedias hüplema, et äärmiselt olulisest teaduslik-tehnilisest probleemist räägiti kliendiga telefonitsi või mitteprotokollitud koosolekul. Koosolekul või kohtumisel osalenud isikud tõenäoliselt ei olnud pädevad teemat ei selgitama ega aru saama Vaja oleks olnud esitada mitte üldist möla, vaid tehnilist dokumentatsiooni nõrkuse kohta. Selle häma peale peaks kahjunõude kahekordistama.
Näib, et peakontorist saadeti info nõrkuse kohta siia, kuid läheneva jaanipäeva ja puhkuste tõttu ei viitsinud herr Lehmann seda korrektselt kliendile kommunikeerida?
Just minu mõte. Ma olen üsna veendunud, et nii suuremahulises lepingus nagu ID kaartide tootmise leping seda on, on väga kindlalt paigas ka lepinguliste teadete edastamise kord koos lepinguliste kontaktidega. Jutt, et "rääkisin telefonis kellegagi RIA-st" on selles kontekstis naeruväärne. -
Huvitav, millal kodanik Lehmann ise näiteks sellest aru sai, et tegemist on tõsise praagiga, mis vajab kohe reageerimist, mitte mingi teoreetilise arutlusega võimalikust turvaaugust, mis "ehk võib-olla lähiaastatel või lähiaastakümnetel murtakse lahti?"
Esialgne sõnum, mis jõudis Eesti ajakirjandusse selle turvaauguga seoses, oli selline, et teoreetiline võimalus on, aga lähiaastatel (lähiaastakümnetel) pole näha et see lahti murtakse.
Ja siis äkki selgus, et turvaauk on tõsine ja LDAP pandi kinni ja siis äkki selgus et turvaauk on äärmiselt tõsine ning kaardid pandi plaks-plaks kinni. -
Miks Andreas peaks valetama - ilmselt nii oligi kuidas ta ennast väljendas. Riigiametnike vastused baseeruvad ilmselt sellel et nn "ametlikult" või siis juriidilises keeles "taasesitamist võimaldavas vormis" infot ei edastatud. Aga - kui tegu sellise riskiga siis on igati asjakohane info suuliselt esitada - vältimaks selle enneaegset levikut.
