Firma vypsala odměnu za odhalení digitálního podpisu slovenského ministra
Problém se týká čipů německého výrobce Infineon Technologies, které Slovensko používá v občanských průkazech.
Odměnu 1337 eur (34.300 Kč) včera vypsala slovenská IT firma Hacktrophy za odhalení podrobností o elektronickém podpisu ministra vnitra Roberta Kaliňáka. Učinila tak poté, co sám ministr veřejně vybídl k "hacknutí" svého občanského průkazu s čipem, který podle dřívějšího sdělení brněnských vědců obsahuje vážné bezpečnostní riziko.
Z dosud zveřejněných údajů vědců z Masarykovy univerzity vyplývá, že z veřejného klíče, který slouží k ověření pravosti digitálního podpisu elektronického dokumentu, lze získat takzvaný soukromý klíč. Ten se používá na samotné vyhotovení elektronického podpisu digitálních dokumentů a nahrazuje klasický vlastnoruční podpis. Problém se týká čipů německého výrobce Infineon Technologies, které Slovensko používá v občanských průkazech.
Slovenské ministerstvo vnitra v reakci uvedlo, že možnost rizika vzniku bezpečnostního problému je pouze teoretická. Kaliňák pak tento týden novinářům řekl, že mohou začít jeho digitálním podpisem v elektronickém občanském průkazu a vybídl k "hacknutí" svého průkazu.
Společnost Hacktrophy, za kterou stojí i jeden ze zakladatelů antivirové firmy Eset, vypsala finanční odměnu za odhalení podrobností o Kaliňákovu digitálním podpisu. Zájemce nejprve musí získat ministrův veřejný klíč z jakéhokoliv certifikátu zaručeného elektronického podpisu dokumentu, který ministr podepsal s využitím občanského průkazu. Pak je třeba z veřejného klíče získat soukromý klíč ministra.
Bezpečnostní experti na Slovensku na rozdíl od tamního ministerstva vnitra v prohlášení kromě jiného doporučili občanům, aby nevytvářeli elektronické podpisy prostřednictvím občanských průkazů s čipem. Tvrdili, že ministerstvo vnitra situaci kolem bezpečnostního rizika čipů zlehčuje a že všichni držitelé zaručeného elektronického podpisu v občanském průkazu s čipem jsou vystaveni značnému riziku.
Elektronický podpis si na pětimilionovém Slovensku aktivovalo asi 300.000 lidí, mezi nimi například zástupci podniků, s nimiž slovenské úřady začaly letos v létě komunikovat elektronicky. Ministerstvo vnitra odmítlo plošnou výměnu občanských průkazů s čipem, oznámilo ale plán na zvětšení vytvářeného kryptografického klíče a ve střednědobém výhledu zamýšlí změnit celý algoritmus jeho vytváření.
