Хайп вокруг уязвимости ID-карт

Если последнюю неделю вы не очень интересовались новостями, то я расскажу вам, что за шумиха вокруг ID-карт. В начале сентября выявили уязвимость в ключах карт, а ключ — это основа безопасности.

Что такое ключ в моей ID-карте?

Упрощённо, по сути, ключ — это большой случайный пароль на чипе вашей ID-карты. И самое важное — это то, насколько он случаен. Если дать обезьянке бить по клавиатуре 5 минут, то пароль получится достаточно случайным, но если использовать алгоритм, то создаётся опасность взлома. Взломщик находит закономерность и упрощает себе задачу. Если у взломщика есть ваш ключ, то он откроет им любую вашу «дверь».

Всё так страшно?

Нет. Всё совсем не страшно.

Информация о проблеме тщательно скрывается, что усложняет дальнейшую работу взломщиков. Из того, что где-то проскальзывало, известно лишь то, что при генерации ключа использовалась дата (наверное, дата создания чипа или карты). Вполне возможно, что это не позволяет взломать весь ключ быстро, а лишь упрощает огромный перебор вариантов на меньший. Возможно, всё ещё огромный перебор, но такого рода оценки не афишируют, поэтому серьёзность уязвимости сложно оценить.

Над решением проблемы уже работают и объявили о том, что хватит двух месяцев, чтобы его придумать.

Почему идёт разговор об отмене э-выборов?

Вот это одна из самых интересных поднятых тем. Дело в том, что если даже вашу карту взломали, то незаметно можно сделать лишь две вещи:

  • просто узнать вашу личную информацию из многих систем,
  • проголосовать вместо вас на выборах.

Любой другой урон отслеживается, если вы подготовлены. Например, перевод денег из банка — вы узнаете о нем по оповещению на мэйл или СМС, если данная услуга настроена, или вы регулярно проверяете свой счёт. После чего вы быстро связываетесь с банком, отменяете операцию и блокируете счёт, а потом и ID-карту.

Всё можно отследить кроме э-выборов. Если вместо вас проголосуют в последний разрешенный час, а на участок вы не собирались идти, то ложь так и останется незамеченной.

Здесь можно вспомнить приложение, которым можно проверить свой электронный голос, но это ещё один разговор, который я бы начал с того, что обновления этого приложения всё ещё приходили уже во время электронных выборов.

Почему э-выборы не отменили?

Сложилась очень интересная и немного комичная ситуация. С одной стороны учёные заявили, что разглашать суть проблемы — это риск, что как-то намекает на серьёзность взлома: если сообщить подробнее о дыре, то грабителям проще взломать карты.

На это избирательная комиссия ответила: «У нас нет фактов, на основании которых можно утверждать, что электронное голосование не является безопасным.» То есть, мнение профессионалов для них не в счёт, или, как вариант, они знают что-то, о чём общественности не сообщали. Впрочем, кто-то сильно не согласен с их решением и даже идёт в суд.

От себя добавлю, что э-выборы надо было отменить уже давно, но не из-за подобной истории, а из-за того, что подобные истории могут оказаться необнаруженнными ни до выборов, ни после. В нескольких своих статьях я подробнее описывал своё отношение к такому роду выборов — оно не поменялось.

Какие-то выводы из этой истории?

Наша страна единственная отреагировала так серьезно на брешь в защите, что показывает серьезное отношение Эстонии к э-услугам. И это здорово, потому что речь не о выборах, а о том, как сильно мы готовы защищать все те удобства, которые получаем при помоще электронного идентификатора жителя страны. Например, государство взяло на себя ответственность за любую кражу личности при помощи этой уязвимости.

Некоторые говорят, что эта история ударит по авторитету Эстонии. Но и это неправда. Рано или поздно подобное случилось бы, и лишь бездействие и попытки умолчать проблему могли ударить по значимости э-государства. Пока что все действия выглядят разумно и оправданно (кроме решения по э-выборам). Окончательно судить можно будет лишь, когда проблему исправят, а также по тому, насколько быстро это сделают.

Не случайно самой важной подтемой уязвимости ID-карт стали э-выборы, а не что-то более бытовое (например, любые операции с деньгами по ID-карте), потому что самое слабое наше электронное решение — это э-выборы.

Leave Comment

Ваш e-mail не будет опубликован. Обязательные поля помечены *