BRATISLAVA – S problémami, ktorými sa dnes trápi Národný bezpečnostný úrad a Ministerstvo vnútra SR v otázke elektronických občianskych preukazov, potrápilo aj Estóncov či susedné Rakúsko.
Ministerstvo sa rozhodlo pre možné hrozby zneužitia e-podpisov zrušiť všetky služby, na ktoré boli nevyhnutné kvalifikované elektronické podpisy. Tvrdí však, že dotknuté a kritizované kľúče preukazov doposiaľ v praxi nepreukázali zraniteľnosť. „Ak by sme stáli pred skutočnou hrozbou prelomenia kľúča, certifikačná autorita, stanovisko ktorej je pre nás jediné záväzné, by mala reagovať okamžite,“ uviedlo Ministerstvo vnútra.
Nový typ občianskeho preukazu s elektronickým čipom, takzvané eID, sa u nás vydáva od decembra 2013. Elektronický čip umožňuje preukazovanie totožnosti občana v elektronickom prostredí pri využívaní elektronických služieb verejnej správy. Na možnú hrozbu upozornil český výskumný tím z Masarykovej univerzity v Brne. Problémy by mohli nastať pri čipoch nemeckej výroby, používané v nových slovenských OP.
Podobná situácia nastala aj v Estónsku, no tam úrady okamžite reagovali a možné hrozby sa v čo najkratšom čase snažili odstrániť. Naše úrady situáciu riešia a sľubujú skorú nápravu. Predbežne sa pozastavili služby eGovernmentu, pri ktorých sa využíva zaručený elektronický podpis. Dotknuté certifikáty, ktoré certifikačná autorita na eID doposiaľ vydala, by mali byť 2. novembra plošne zneplatnené.
„Doterajší 2048 bitový kľúčový pár na občianskom preukaze by mal byť nahradený bezpečnejším párom s dĺžkou 3072 bitov,“ dopĺňa Ministerstvo. Podľa prevádzkovateľa Jána Cesnaka zo spoločnosti Disig je ale problém čipu oveľa komplexnejší, ako sa môže javiť na prvý pohľad. Do úvahy sa musia brať viaceré súvisiace faktory, predovšetkým používaný algoritmus, spôsob generovania kľúčového páru, ako aj samotná dĺžka kľúča.
„Vzhľadom na potenciálnu zraniteľnosť čipu, využívanom na eID karte, ako aj vďaka dostupným informáciám od výrobcu čipu a ďalších dotknutých autorít, ktoré naznačujú jeho možné budúce zneužitie, sa certifikačná autorita, teda poskytovateľ služieb, po zhodnotení možných rizík a prípadných incidentov pre držiteľov certifikátov uložených na eID a eDoPP kartách (dokladu o pobyte pre cudzincov s kontaktným elektronickým čipom, pozn. red.) rozhodla, že najneskôr dňa 2.11.2017 pristúpi k zrušeniu všetkých certifikátov, ktoré boli doposiaľ vydané na eID karty,“ vysvetlil Ján Cesnak.
„K zrušeniu dotknutých certifikátov a nasadeniu bezpečnejších certifikátov dôjde v krátkom čase. Pripravujeme sa na to, aby lehota medzi zrušením a nasadením bola čo najkratšia a problémy z toho vyplývajúce vo vzťahu eGovernment – občan boli čo najmenšie,“ reagovalo Ministerstvo vnútra.
Akonáhle ministerstvo zruší kvalifikované certifikáty, bude každý podpis vyhotovený na eID označený ako neplatný.
„Je pre nás milým prekvapením, koľko „odborníkov“ na PKI (oblasť infraštruktúry verejných kľúčov a digitálnych certifikátov) zrazu na Slovensku je . Rovnako, aj fakt, ako sa bezproblémovo používajú pojmy ako šifrovanie a certifikáty, pričom vo výsledku je množstvo publikovaných informácií iba zmätočných a zavádzajúcich. Je to vidieť už na príklade samotných certifikátov, kde sú často zamieňané digitálne certifikáty s certifikátom samotnej čipovej karty, ktoré spolu nesúvisia“, doplnil Ján Cesnak.
Rovnaký chybný čip z Nemecka, ktorý sa používa na Slovensku používali aj Estónci a Rakúšania. Chybný čip sa dokonca objavil aj v iných kútoch sveta, no nie pri používaní občianskych preukazov a elektronických podpisov v komunikácii so štátom.
O problémoch Estónci informovali koncom augusta v reakcii na vypracovanú českú štúdiu. V ohrození sa tak ocitlo 750-tisíc užívateľov, ktorým boli OP vydané v rokoch 2014. Toto zistenie znepokojilo, keďže Estónci využívajú preukazy rozsiahlejšie ako my. Tí s čipom podpisujú dôležité dokumenty, platia daňové odvody či si prezerajú zdravotné záznamy.
Problém brali tak vážne, že dokonca uvažovali nad preplánovaní volieb, ktoré sa mali konať v októbri, pretože rozšírený systém im umožňuje voliť priamo z domova. Ministerstvo a Národný bezpečnostný úrad avizujú čo najrýchlejšie odstránenie rizika, no tento proces môže trvať mesiace. Estóncom sa tento problém podarilo odstrániť veľmi rýchlo, dokonca nebolo nutné ani preplánovať miestne voľby do samospráv.
Pre používanie spravodajstva Netky.sk je potrebné povoliť cookies