DANSK

ID-kort, sikkerhed: Spanien står over for kaos over chip crypto fejl

390

Nul

Når sikkerhed forskere opdaget i sidste måned, at sikre hardware lavet af Tysklands Infineon Technologies var ikke så sikker efter alle, det var klart, at der vil være store konsekvenser.

Der er en masse af smartcards og andre enheder derude med Infineon ‘s chips i dem, og “ROCA’ fejl i Infineon ‘s key pair-algoritme til generering gjort det muligt for nogen at opdage en target’ s private nøgle, bare ved at vide, hvad deres offentlige nøgle var.

Nu, i en lignende situation som man for nylig har oplevet i Estland, Spanien synes at have en hård — og velsagtens mere kaotisk — tid beskæftiger sig med de konsekvenser for den nationale identitet smartcards.

Estlands kæmpe sikkerhedshul påvirkes kun omkring 760,000 kort, selv om Esterne virkelig at bruge deres kort til en stor vifte af offentlige og private tjenester.

Mod denne figur, der er omkring 60 millioner identitet smartcards i Spanien. Men ifølge El País artikel, Spanierne var kun ved hjælp af deres i 0.02 procent af public service-forpligtelser, når undersøgte for et par år tilbage.

Dan Cvrcek der er administrerende DIREKTØR på vagtselskab Enigma-Broen, der var medstifter af forskere, der er identificeret ROCA fejl.

Han fortalte ZDNet, at udnyttelse af den fejl kunne gøre det muligt for angribere at vende tilbage-eller afkræfte kontrakter, at folk har underskrevet, dels fordi den spanske ikke bruge timestamps for meget vigtigt underskrifter.

“Jeg kan stadig ikke tror du kan gøre en storstilet angreb, der vil kunne hjælpe en masse mennesker,” Cvrcek sagde.

Men han tilføjede, at udgifterne til en person angreb er “hurtigt faldt”. Den antagelse, der bruges til at være, at et angreb koste mellem $20.000 og 40.000 dollars, men nu er det “realistisk $2,000”.

Hvert kort, der er kendt som DNIe, har en chip, der indeholder to certifikater, en for identifikation og en til elektronisk signering ting.

I henhold til El Diario, reagerede myndighederne til at Infineon s oktober offentliggørelse af sårbarheder ved ophævelse, 6 November, alle certifikater, som er udstedt siden April 2015.

Hvad mere er, de myndigheder, der har holdt op med at lade folk melde ting med kortet på self-service terminaler findes på mange politistationer.

Beslutningen rammer hvert kort, ikke kun dem, der har fejlen. Men folk kan stadig signere dokumenter online, ved hjælp af en lille kortlæser, der forbinder til deres Pc ‘ er.

De læsere, som er nødvendige for at opdatere de berørte kort. Men der er endnu ingen angivelse af, hvornår de berørte kort vil blive opdateret. Faktisk, synes der ikke at være megen officiel information derude på alle, noget, som ikke er gået ubemærket hen i den spanske tech tryk på.

“Hverken politi eller andre offentlige organer, der har givet mere information via deres konti på de sociale medier om konsekvenserne af den svaghed, og hvordan de skal handle, hvis der er berørt,” sagde Xataka.

Mindst den Baskiske certifikat myndighed Izenpe, som har tilbagekaldt 30,000 certifikater, har givet oplysninger om, hvordan til at erstatte dem, blog tilføjet.

Midt i alt det kaos, det lader også til, at nogle mennesker med for nylig udstedt DNIe kort er stadig i stand til at bruge dem, på trods af den formodede tilbagekaldelse af deres certifikater. “Jeg ville ikke have noget imod, hvis det fortsatte som dette, indtil der er nye certifikater,” tweeted en bruger.

Toomas Ilves, den tidligere præsident i Estland, sagde tidligere på ugen, at han mente, at millioner af mennesker i lande, der var blevet ramt af den ROCA fejl, men deres myndigheder var resterende “silent”.

Tidligere og relaterede dækning

Estland ‘s ID-kort krise: Hvordan e-state’ s plakat barn kom ind og ud af problemer

Estland er bygget på sikker e-systemer, så verden var at se, når det ramte en kæmpe ID-kortet problem

Så ødelæggende, som KRACK: Ny sårbarhed underminerer RSA-kryptering nøgler

Et nyt sikkerhedshul har sat sikkerheden i RSA-kryptering i fare.

Relaterede Emner:

Sikkerhed-TV

Data Management

CXO

Datacentre