Nul
Elk van Spanje ‘ s DNIe identiteitskaart heeft een chip met twee certificaten, één voor de identificatie en één voor elektronische ondertekening.
Afbeelding: “Cuerpo Nacional de Policía
Als de beveiliging onderzoekers ontdekten vorige maand dat het veilig hardware gemaakt door de duitse Infineon Technologies was niet zo veilig immers, was het duidelijk dat er zou grote gevolgen.
Er zijn een heleboel van smartcards en andere apparaten die er met Infineon ‘ s chips in hen, en de ‘ROCA’ fout in Infineon sleutelpaar generatie algoritme maakte het mogelijk voor iemand om te ontdekken een doel van de privé-sleutel alleen door te weten wat hun publieke sleutel was.
Nu, in een vergelijkbare situatie als de onlangs ervaren in Estland, Spanje lijkt het hebben van een moeilijk, en misschien wel meer chaotische — tijd omgaan met de gevolgen voor het nationale identiteit smartcards.
Estland is groot lek alleen getroffen rond 760,000 kaarten, hoewel Esten echt gebruik maken van hun kaarten voor een grote verscheidenheid aan publieke en private diensten.
Tegen dat figuur, er zijn ongeveer 60 miljoen identiteit smartcards in Spanje. Echter, volgens een El País artikel, Spanjaarden waren alleen met hun 0,02 procent van de openbare dienst opdrachten wanneer de ondervraagde een paar jaar terug.
Dan Cvrcek is CEO van het beveiligingsbedrijf Enigma Brug, dat mede werd opgericht door onderzoekers die de ROCA fout.
Hij vertelde ZDNet dat de exploitatie van het lek kunnen aanvallers te herstellen of te doen vervallen contracten die mensen hebben ondertekend, voor een deel omdat de spanjaarden geen gebruik maken van tijdstempels voor zeer belangrijke handtekeningen.
“Ik weet nog steeds niet denkt dat je kunt doen een grootschalige aanval, dat zou het doel van veel mensen,” Cvrcek zei.
Maar, voegde hij eraan toe, de kosten van een individuele aanval is “sterk gedaald”. De veronderstelling te zijn dat er een aanval kost tussen de $20.000 en $40,000, maar nu is het “realistisch $2,000”.
Elke kaart, die bekend staat als de DNIe, heeft een chip met twee certificaten, één voor de identificatie en één voor het elektronisch ondertekenen van dingen.
Volgens El Diario de autoriteiten gereageerd op de Infineon oktober kwetsbaarheid openbaarmaking door het intrekken, op 6 November, alle certificaten uitgegeven sinds April 2015.
Wat meer is, de overheden zijn gestopt met mensen te laten ondertekenen dingen met de kaart bij de self-service terminals vinden op veel politiebureaus.
Die beslissing heeft invloed op elke kaart, niet alleen die van de fout. Echter, mensen kunnen nog steeds het digitaal ondertekenen van documenten online, met behulp van een kleine kaartlezer die aansluit op hun Pc ‘ s.
De lezers zijn nodig voor het bijwerken van de getroffen kaarten. Maar er is nog geen indicatie wanneer de getroffen kaarten worden bijgewerkt. Inderdaad, er lijkt niet veel officiële informatie, iets wat niet onopgemerkt gebleven in de spaanse tech druk op.
“Noch de politie, noch de andere openbare lichamen hebben gegeven meer informatie via hun social media accounts over de impact van de kwetsbaarheid en hoe te handelen als zij onder invloed zijn,” zei Xataka.
Ten minste de Baskische certificaat autoriteit Izenpe, die heeft ingetrokken certificaten van 30.000, heeft gegeven met informatie over hoe om ze te vervangen, de blog toegevoegd.
Te midden van al die chaos, het lijkt er ook op dat sommige mensen met de onlangs uitgegeven DNIe kaarten zijn nog steeds in staat om ze te gebruiken, ondanks de veronderstelde intrekking van hun certificaten. “Ik zou het niet erg als het bleef zoals dit tot er nieuwe certificaten’, twitterde één van de gebruiker.
Toomas Ilves, de voormalige president van Estland, zei eerder deze week dat hij geloofde dat miljoenen mensen in landen die te lijden had onder de ROCA fout, maar de autoriteiten waren overgebleven “stil”.
Vorige en aanverwante dekking
Estland ID-kaart crisis: Hoe e-lidstaat poster kind stapte in en uit de problemen
Estland is gebouwd op veilige staat e-systemen, zodat de wereld aan het kijken was toen drong het tot een enorme ID-kaart probleem
Zo verwoestend als KRACK: Nieuwe kwetsbaarheid ondermijnt RSA-encryptie sleutels
Een nieuw lek geplaatst heeft, is de veiligheid van RSA-encryptie in gevaar.
Verwante Onderwerpen:
EU
Beveiliging TV
Data Management
CXO
Datacenters
0