Stalo sa vtedy
Obrazové správy z archívu
Dôsledkom zraniteľnosti čipov je možnosť vypočítať súkromný kľúč na základe verejného kľúča a následne elektronicky podpisovať dokumenty v mene obete.
Autor TASR
,aktualizované Bratislava 24. októbra (TASR) - Ministerstvo vnútra (MV) SR na základe posledných informácií v médiách opakovane vyhlasuje, že situáciu s možnou, avšak dosiaľ v praxi nepotvrdenou zraniteľnosťou certifikátov pre kvalifikovaný elektronický podpis na občianskom preukaze s čipom (eID) rozhodne nebagatelizuje. Vyhlásil to v utorok tlačový odbor rezortu v reakcii na apely opozície aj koaličného Mosta-Híd.
"Ak by sme stáli pred skutočnou hrozbou prelomenia kľúča, certifikačné autority, stanoviská ktorých sú pre nás jediné záväzné, by reagovali okamžite, pretože dôsledky pri reálnom ohrození by mali oveľa horšie dosahy ako situácia, ktorá by nastala v štruktúrach e-Governmentu pri okamžitom zneplatnení certifikátov, ktoré od nás požaduje istá časť verejnosti," odkázalo MV.
Okamžité zneplatnenie súčasných certifikátov, a teda blokácia elektronického podpisu vydaného štátom, by podľa ministerstva znamenalo do veľkej miery problémy pri komunikácii obyvateľstva so štátnou správou. "V súčasnosti mnohé úkony možno zrealizovať už len elektronicky, pričom ďalším faktorom sú zákonné lehoty a sankcie, ktoré hrozia za ich nedodržanie," reagoval rezort.
Zároveň pripomína, že autentifikácia a identifikácia používateľa e-služieb v SR je založená na postupnosti viacerých krokov, ktorými sa nebezpečenstvo zneužitia eliminuje. "Za iných okolností je táto 'viackrokovosť' terčom kritiky napriek tomu, že má svoje opodstatnenie a používa sa aj v iných sférach. Ministerstvo vnútra už dlhší čas v spolupráci s ostatnými inštitúciami analyzovalo a stále pokračuje v analýze služieb s cieľom identifikácie rizík. Pracujeme na viacerých sekundárnych bezpečnostných opatreniach a prehodnocujeme všetky spätné väzby," deklarovalo ministerstvo.
MV avizuje, že ku zrušeniu dotknutých certifikátov a nasadeniu bezpečnejších dôjde v krátkom čase. "Pripravujeme sa na to, aby lehota medzi zrušením a nasadením bola čo najkratšia a problémy z toho vyplývajúce vo vzťahu e-Government - občan čo najmenšie," dodal rezort.
Spoločnosť Disig, a. s., ako poskytovateľ dôveryhodných služieb a prevádzkovateľ certifikačných autorít SVK eID ACA/PCA/SCA, ktoré občanom vydali certifikáty na verejný kľúč z kľúčových párov generovaných na elektronických občianskych preukazoch, respektíve elektronických dokladoch o pobyte (eDoPP) vydávaných MV SR, rozhodla, že najneskôr 2. novembra pristúpi ku zrušeniu všetkých certifikátov, ktoré boli vydané certifikačnými autoritami SVK eID ACA/PCA/SCA na tieto karty. TASR o tom informoval obchodný riaditeľ Disig, a. s., Ivan Kűhn s tým, že týmto krokom chce spoločnosť občanom umožniť splniť si v rámci aktuálneho mesiaca zákonom stanovené povinnosti súvisiace s agendou elektronickej komunikácie so štátnou správou.
"Do obdobia, keď prikročíme k plošnému zrušeniu uvedených certifikátov, odporúčame držiteľom, ktorí prostredníctvom eID a eDoPP kariet vyhotovovali v minulosti kvalifikovaný elektronický podpis bez časovej pečiatky, aby si ho v zmysle odporúčaní Národného bezpečnostného úradu doplnili o kvalifikovanú elektronickú časovú pečiatku alebo ho uložili u kvalifikovanej dôveryhodnej služby uchovávania kvalifikovaných elektronických podpisov," uvádza sa vo vyhlásení. O zrušení certifikátu bude každý držiteľ informovaný.
Viacerí experti v uplynulých dňoch upozornili, že výskumný tím z Masarykovej univerzity odhalil zraniteľnosť v čipoch, ktoré obsahujú aj slovenské občianske preukazy. Dôsledkom zraniteľnosti je možnosť vypočítať súkromný kľúč na základe verejného kľúča a následne elektronicky podpisovať dokumenty v mene obete. Znamená to, že nie je možné rozoznať skutočný podpis od podpisu vykonaného útočníkom.
Koaličná strana Most-Híd označila za nevyhnutné, aby MV v systéme elektronických služieb vykonalo razantné nápravné opatrenia a odbornej, ako i širokej verejnosti boli poskytnuté podrobné informácie. "Most-Híd považuje situáciu okolo elektronickej služby za vážnu a znepokojujúcu, preto vývoj podrobne sleduje. Jej predstavitelia upozorňujú, že problém vznikol ešte za predchádzajúcej vlády. Ako zodpovedný koaličný partner však žiadame ministerstvo vnútra o razantné kroky a predovšetkým rýchle nápravné opatrenia," odkázala strana.
Opozičné strany SaS a Sme rodina MV vyzvali, aby do konca októbra zrušilo už existujúce certifikáty zaručeného elektronického podpisu a vysvetlilo ľuďom, čo majú robiť, ak bol ich podpis zneužitý. "Ohrozili ľudí. Systém eID je nebezpečný. Ľudia môžu byť okradnutí a vzniknúť môžu nekonečné súdne spory. Štát však nerobí na ich ochranu absolútne nič, aj keď o probléme vedel mesiace," povedal na utorkovej tlačovej konferencii líder Sme rodina Boris Kollár. Preto vyzval ministra vnútra Roberta Kaliňáka (Smer-SD) a štátnu tajomníčku tohto rezortu Denisu Sakovú (nominantka Smeru-SD), aby zrušili už existujúce certifikáty tak, aby nebolo možné vytvárať zaručený elektronický podpis až do vyriešenia problému.
Podobne to vidí aj vicepremiér pre investície a informatizáciu Peter Pellegrini (Smer-SD). Podľa neho ak sa potvrdí ohrozenie bezpečnosti, jediným možným riešením, ako zabezpečiť ochranu občanov, bude okamžité zneplatnenie elektronických podpisov.
"Ak by sme stáli pred skutočnou hrozbou prelomenia kľúča, certifikačné autority, stanoviská ktorých sú pre nás jediné záväzné, by reagovali okamžite, pretože dôsledky pri reálnom ohrození by mali oveľa horšie dosahy ako situácia, ktorá by nastala v štruktúrach e-Governmentu pri okamžitom zneplatnení certifikátov, ktoré od nás požaduje istá časť verejnosti," odkázalo MV.
Okamžité zneplatnenie súčasných certifikátov, a teda blokácia elektronického podpisu vydaného štátom, by podľa ministerstva znamenalo do veľkej miery problémy pri komunikácii obyvateľstva so štátnou správou. "V súčasnosti mnohé úkony možno zrealizovať už len elektronicky, pričom ďalším faktorom sú zákonné lehoty a sankcie, ktoré hrozia za ich nedodržanie," reagoval rezort.
Zároveň pripomína, že autentifikácia a identifikácia používateľa e-služieb v SR je založená na postupnosti viacerých krokov, ktorými sa nebezpečenstvo zneužitia eliminuje. "Za iných okolností je táto 'viackrokovosť' terčom kritiky napriek tomu, že má svoje opodstatnenie a používa sa aj v iných sférach. Ministerstvo vnútra už dlhší čas v spolupráci s ostatnými inštitúciami analyzovalo a stále pokračuje v analýze služieb s cieľom identifikácie rizík. Pracujeme na viacerých sekundárnych bezpečnostných opatreniach a prehodnocujeme všetky spätné väzby," deklarovalo ministerstvo.
MV avizuje, že ku zrušeniu dotknutých certifikátov a nasadeniu bezpečnejších dôjde v krátkom čase. "Pripravujeme sa na to, aby lehota medzi zrušením a nasadením bola čo najkratšia a problémy z toho vyplývajúce vo vzťahu e-Government - občan čo najmenšie," dodal rezort.
Spoločnosť Disig, a. s., ako poskytovateľ dôveryhodných služieb a prevádzkovateľ certifikačných autorít SVK eID ACA/PCA/SCA, ktoré občanom vydali certifikáty na verejný kľúč z kľúčových párov generovaných na elektronických občianskych preukazoch, respektíve elektronických dokladoch o pobyte (eDoPP) vydávaných MV SR, rozhodla, že najneskôr 2. novembra pristúpi ku zrušeniu všetkých certifikátov, ktoré boli vydané certifikačnými autoritami SVK eID ACA/PCA/SCA na tieto karty. TASR o tom informoval obchodný riaditeľ Disig, a. s., Ivan Kűhn s tým, že týmto krokom chce spoločnosť občanom umožniť splniť si v rámci aktuálneho mesiaca zákonom stanovené povinnosti súvisiace s agendou elektronickej komunikácie so štátnou správou.
"Do obdobia, keď prikročíme k plošnému zrušeniu uvedených certifikátov, odporúčame držiteľom, ktorí prostredníctvom eID a eDoPP kariet vyhotovovali v minulosti kvalifikovaný elektronický podpis bez časovej pečiatky, aby si ho v zmysle odporúčaní Národného bezpečnostného úradu doplnili o kvalifikovanú elektronickú časovú pečiatku alebo ho uložili u kvalifikovanej dôveryhodnej služby uchovávania kvalifikovaných elektronických podpisov," uvádza sa vo vyhlásení. O zrušení certifikátu bude každý držiteľ informovaný.
Viacerí experti v uplynulých dňoch upozornili, že výskumný tím z Masarykovej univerzity odhalil zraniteľnosť v čipoch, ktoré obsahujú aj slovenské občianske preukazy. Dôsledkom zraniteľnosti je možnosť vypočítať súkromný kľúč na základe verejného kľúča a následne elektronicky podpisovať dokumenty v mene obete. Znamená to, že nie je možné rozoznať skutočný podpis od podpisu vykonaného útočníkom.
Koaličná strana Most-Híd označila za nevyhnutné, aby MV v systéme elektronických služieb vykonalo razantné nápravné opatrenia a odbornej, ako i širokej verejnosti boli poskytnuté podrobné informácie. "Most-Híd považuje situáciu okolo elektronickej služby za vážnu a znepokojujúcu, preto vývoj podrobne sleduje. Jej predstavitelia upozorňujú, že problém vznikol ešte za predchádzajúcej vlády. Ako zodpovedný koaličný partner však žiadame ministerstvo vnútra o razantné kroky a predovšetkým rýchle nápravné opatrenia," odkázala strana.
Opozičné strany SaS a Sme rodina MV vyzvali, aby do konca októbra zrušilo už existujúce certifikáty zaručeného elektronického podpisu a vysvetlilo ľuďom, čo majú robiť, ak bol ich podpis zneužitý. "Ohrozili ľudí. Systém eID je nebezpečný. Ľudia môžu byť okradnutí a vzniknúť môžu nekonečné súdne spory. Štát však nerobí na ich ochranu absolútne nič, aj keď o probléme vedel mesiace," povedal na utorkovej tlačovej konferencii líder Sme rodina Boris Kollár. Preto vyzval ministra vnútra Roberta Kaliňáka (Smer-SD) a štátnu tajomníčku tohto rezortu Denisu Sakovú (nominantka Smeru-SD), aby zrušili už existujúce certifikáty tak, aby nebolo možné vytvárať zaručený elektronický podpis až do vyriešenia problému.
Podobne to vidí aj vicepremiér pre investície a informatizáciu Peter Pellegrini (Smer-SD). Podľa neho ak sa potvrdí ohrozenie bezpečnosti, jediným možným riešením, ako zabezpečiť ochranu občanov, bude okamžité zneplatnenie elektronických podpisov.
