Elektronický podpis jsem poznal někdy na přelomu let 1994/ 95 a měl jsem dost času pochopit nejenom technický základ konkrétního počítačového řešení, ale i všechny s tím spojené procesy. Poznal jsem, že elektronický podpis je prima řešení pro byznys, ale v současné podobě, i s čipovou kartou nebo doplňkem, který se jmenuje dynamický biometrický podpis, se jedná o nevhodné řešení pro eGovernment.
Již v roce 2006 jsem na stránkách týdeníku Ekonom (č. 28/2006 ) psal o tom, že je možné zneužívat elektronický podpis. Tehdy jsem to měl podložené pouze svými zkušenostmi a vysloužil jsem si opovržení ze strany skalních zastánců zákona o elektronickém podpisu.
Mé současné analýzy slabin v operačním systému a aplikacích jasně ukazují, jak mohly úspěšně fungovat viry Stuxnet, Flame, Red October a další. To také znamená, že běžný uživatel nebyl a není schopen si udržet svůj počítač a prostředky pro tvorbu podpisu pod svojí výhradní kontrolou. V prostředí, kde jsou v systému deset let skryté slabiny, není možné za současných podmínek důvěryhodně provozovat celý systém postavený na zaručeném elektronickém podpisu.
Krátký pohled do historie
Pro používání elektronického podpisu mezi občany a firmami není nutný jakýkoliv zákon. Pravidla pro tvorbu elektronického podpisu a s ním spojenou infrastrukturu s veřejným klíčem (PKI) byla dohodnuta před více jak patnácti lety. V prvé řadě se mělo jednat o zvýšení úrovně zabezpečení přenášených zpráv, protože již počátkem devadesátých let si mnoho odborníků a uživatelů uvědomovalo, že elektronická pošta je vlastně to samé jako zpráva napsaná na pohlednici nebo korespondenčním lístku. Zákony to sice zakazují, ale obsah běžné elektronické pošty nebo pohlednice si může přečíst každý zvědavý pošťák.
Elektronický podpis, přesněji principy pro tvorbu elektronického podpisu, se za posledních dvacet let nezměnil. Změnily se používané šifrovací algoritmy a změnil se v některých zemích pohled na podpis jako takový. Elektronický podpis a šifrování zprávy používají zaměstnanci pro zabezpečení rychlé komunikace se zákazníky nebo dodavateli, pro komunikaci obchodníků s centrálou a podobně.
Případ zneužití elektronického podpisu
Již více jak deset let se elektronický podpis používá i v internetovém bankovnictví pro podepisování transakcí, které zadávají klienti. Právě případy vykradených bankovních účtů ukázaly, že je možné zfalšovat elektronický podpis. To tedy znamená, že je možné zneužít i zaručený elektronický podpis vytvořený podle zákona 227/2000 Sb.
Z pohledu bank je to možné považovat za dávno uzavřené případy. Jenže tehdejší odmítavý přístup bank k reklamacím naznačuje, jaké problémy by mohl mít občan nebo firma, pokud by byl zneužit jejich zaručený elektronický podpis. V případě internetbankingu se jednalo o obchodní vztah mezi bankou a klienty. V případě zaručeného elektronického podpisu se jedná o vztah občan (firma) – stát a tam jsou pravidla určena zákonem. Pokud v zákoně není zmínka o reklamaci nebo jiném způsobu řešení sporu, tak se občan ocitá ve složité situaci.
V této souvislosti se objevuje ještě jedna důležitá a nebezpečná varianta. Tou je budoucí popření zaručeného elektronického podpisu s argumentem, že v počítači byl počítačový virus, který v době tvorby podpisu nebyly schopné bezpečnostní programy odhalit. Následně občan nebo statutární zástupce firmy zastoupený erudovaným právníkem zpochybní zaručený elektronický podpis, který vytvořil, ale z různých důvodů jej chce popřít. Současná pravidla a znalosti o slabinách v operačním systému a programech mu to umožní.
Jak může dojít ke zneužití zaručeného elektronického podpisu
Útok nesměřuje na certifikační autoritu, ale na klienta a jeho počítač nebo počítačovou síť. Viry Stuxnet, Flame a další ukázaly, že jsou schopné se poměrně dlouhou dobu skrývat v počítačích obětí před antivirovými programy. Pokud tyto viry delší dobu neodhalili specialisté v provozu na obohacování uranu (Stuxnet) nebo v sítích státních úřadů a ambasád, tak je těžko odhalí běžný občan se svými zkušenostmi a zkušenostmi svého informatika nebo IT firmy.
Před časem jsem zveřejnil analýzu slabin v operačním systému a aplikačních programech a z té jasně vyplynulo, že například ve Windows nebo v aplikaci Java jsou slabiny společné pro několik po sobě jdoucích verzí příslušného programu. Některé z těchto společných slabin zneužily viry Stuxnet, Flame, Red October a další. Existuje tedy velká pravděpodobnost, že se objeví i další generace sofistikovaných virů. Možná právě ty budou zaměřené na elektronický podpis nebo na konkrétní skupinu uživatelů.
Uložení na USB token nepomůže
Už před více jak pěti lety jsem v laboratoři vyzkoušel i útok na čipovou kartu, případně USB token, na kterém je digitální certifikát uložen. Tento způsob zneužití elektronického podpisu staví na dvou nezvratných faktech.
- Do počítačů běžných uživatelů se může dostat virus, aniž by běžný uživatel něco zanedbal.
- Rozhraní pro komunikaci s periferiemi (čipová karta, USB token atd.) jsou veřejně známá a driver (ovládací program) může upravit autor, ale také podvodník
Útok v tomto případě není zaměřen na odcizení (vytvoření kopie) certifikátu a jeho následné zneužití podvodníkem. Útok je zaměřen na rozhraní počítač–periferie. Při tomto útoku dojde k situaci, kdy útočník (jeho virus) zašle periferii heslo (PIN) a následně jí dá příkaz k podpisu předem připraveného dokumentu. Další varianty dokážou obelstít přihlašování s otiskem prstu, oční duhovkou nebo dnes „moderní“ biometrický dynamický podpis.
Jak je to možné??
Vysvětlení je v propasti mezi skutečným světem a světem informatiků, lépe řečeno těch, kteří vymýšlejí nová IT řešení pro eGovernment.
Již kdysi dávno, když jsem po škole začínal jako elektromechanik (dnes moderně mechatronik), mi starší kolegové kladli na srdce, že pokud mám dobře a rychle nějaký systém opravit, musím znát, jak funguje řídicí počítač, elektro, mechanika i pracovní postupy seřizovačů a obsluhy. Měli pravdu.
Podobně to funguje i z druhé strany od manažerů k podřízeným. Když jsem vedl pro švédského majitele dva výrobní závody nebo reorganizoval slévárnu na Ukrajině, tak jsem si na zkušenosti z mládí vzpomněl a mělo to pozitivní výsledek v ekonomických výsledcích, kvalitě i pracovní morálce kolegů.
V prostředí IT je to komplikovanější. Pokud někdo vymýšlí nesmysly v prostředí obchodu, strojařiny, elektrotechniky, tak se celkem rychle prozradí. Jednoduše proto, že je mnoho předchozích zkušeností a je z čeho vycházet a s čím porovnávat. Pokud „programátor v PowerPointu“ přednese nějaký návrh a někdo by měl odvahu se ozvat, tak jej tvůrce úžasného řešení zesměšní s argumenty, že naprosto nerozumí světu IT.
Takový přístup přispěl k situaci, kdy určitá komunita informatiků a poradců přesvědčila své okolí, včetně novinářů a politiků, že s použitím počítače a internetu je možné dělat vše jinak než v reálném světě a mnoho desítek let získávané zkušenosti se zahodí a nepřenesou do prostředí počítačů. Jenže elektronický podpis je šikovné řešení pro byznys, ale v současné podobě (i s doplněním o biometrický dynamický podpis) je nebezpečný pro eGovernment.
Řešení? První a nejdůležitější je změna v uvažování a přístupu k prostředí IT. Od IT manažerů a architektů to chce víc pokory a poznání, že počítače nejsou dokonalejší než lidé. Od manažerů, novinářů i politiků to chce trochu více sebevědomí ve vztahu k novým technologiím. A snad nejdůležitější věcí je fakt, že zastánce kritického pohledu není nepřítel, kterého je třeba zesměšnit, zničit a zapomenout na jeho názory. Uhýbáním před problémem se konkrétní problém nevyřeší, pouze se odsune, aby se po čase vrátil o poznání větší a vážnější.
