Noll
Var och en av Spaniens DNIe ID-kort som har ett chip som innehåller två certifikat, ett för identifiering och en för elektronisk signering.
Bild: Cuerpo Nacional de Policía
När säkerhet forskare upptäcktes förra månaden att säkra hårdvara som gjorts av Tysklands Infineon Technologies var inte så säker när allt det var klart att det skulle vara stora konsekvenser.
Det finns en hel del smarta kort och andra enheter ute med Infineon: s marker i dem, och de ‘ROCK’ fel i infineons nyckelpar-algoritm för generering gjort det möjligt för någon att upptäcka ett mål är privat nyckel bara genom att veta vad deras publika nyckeln var.
Nu, i en liknande situation som nyligen upplevt i Estland, Spanien verkar ha en tuff — och förmodligen mer kaotisk — tid att hantera konsekvenserna för sin nationella identitet smartcards.
Estland är stor säkerhetsbrist endast påverkat runt 760,000 kort, även om Ester verkligen använda sina kort för ett stort utbud av offentliga och privata tjänster.
Mot denna bild, det finns runt 60 miljoner identitet smartcards i Spanien. Men enligt El País artikel, Spanjorerna var bara att använda deras i 0,02 procent av public service-uppdrag när undersökta ett par år tillbaka.
Dan Cvrcek är VD på säkerhetsföretaget Enigma-Bron, som var co-grundades av forskare som identifierat ROCA fel.
Han berättade ZDNet att exploatering av felet skulle göra det möjligt för angripare att återgå eller ogiltigförklara avtal som människor har undertecknat, delvis på grund av det spanska använd inte tidsstämplar för mycket viktiga signaturer.
“Jag tror fortfarande inte du kan göra en storskalig attack som skulle rikta sig till en massa människor,” Cvrcek sagt.
Men, tillade han, kostnaden för en enskild attack “har snabbt minskat”. Det antagande som används för att vara som en attack kosta mellan $20 000 och $40,000, men nu är det “realistiskt $2,000”.
Varje kort, känd som DNIe, har ett chip som innehåller två certifikat, ett för identifiering och en för elektroniskt undertecknande saker.
Enligt tidningen El Diario de myndigheter som svarat att infineons oktober sårbarhet utlämnande genom att dra, den 6 November, alla certifikat som utfärdats från och med April 2015.
Vad mer, de myndigheter som har slutat att låta folk registrera saker med kortet i self-service terminaler som finns på många polisstationer.
Detta beslut påverkar varje kort, inte bara de som har fel. Människor kan dock fortfarande signera dokument på nätet, med hjälp av en liten kortläsare som ansluts till sina Datorer.
Läsarna behövs för att uppdatera påverkas kort. Men det finns ännu ingen uppgift om när den drabbade kort kommer att vara uppdaterad. Ja, det verkar inte vara mycket officiell information ute på alla, något som inte gått obemärkt förbi i den spanska tech tryck.
“Varken polisen eller andra offentliga organ har, får mer information via sina konton i sociala media om hur sårbarhet och hur man ska agera om påverkas”, sade Xataka.
Åtminstone den Baskiska certificate authority Izenpe, som har återkallats 30,000 certifikat, har gett information om hur du byter ut dem, bloggen läggs.
Mitt i allt det kaos, det verkar också som om en del människor med nyligen utfärdat DNIe-kort är fortfarande kunna använda dem, trots att de tänkt återkallelse av certifikat. “Jag skulle inte ha något emot om det fortsatte så tills det finns nya certifikat,” twittrade en användare.
Toomas Ilves, tidigare president i Estland, sa tidigare i veckan att han trodde att miljontals människor i länder som hade drabbats av ROCA fel, men myndigheterna var kvar “tyst”.
Tidigare och relaterade täckning
Estlands ID-kort kris: Hur e-statens affischen barnet fick till och besvär
Estland är byggt på säker stat e-system, så att världen var att titta på när den drabbade en stor ID-kortet problem
Så förödande som KRACK: Ny sårbarhet undergräver RSA-kryptering med nycklar
En ny säkerhetsbrist har ställt säkerhet för RSA-kryptering i fara.
Relaterade Ämnen:
EU
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0