Elektronický podpis:Je to bezpečné?

Význam zákona o elektronickém podpisu (EP) č. 227/2000 Sb. a jeho uvedení do života v celém spektru aplikací by neměl...


Význam zákona o elektronickém podpisu (EP) č. 227/2000 Sb. a jeho uvedení do
života v celém spektru aplikací by neměly být podceňovány. Tento zákon otevírá
cestu k nové informační společnosti a jeho správná implementace do naší
ekonomiky, v níž hrál dosud stvrzovací roli klasický podpis jedince, je
nezbytná také pro naše přibližování k Evropské unii (EU).

Systém EP je založen na jisté pojmové konstrukci, která tvoří páteř příslušného
zákona a která je zobecněním systému tzv. digitálního podpisu. Digitální podpis
využívá určitou matematickou vlastnost tzv. asymetrických šifrových systémů,
založenou na složitosti matematických úloh faktorizace, diskrétního logaritmu,
resp. eliptických křivek. Klíčem se v digitálním podpisu nazývá posloupnost
(řetězec) znaků, která umožňuje použít šifrování. Asymetrická šifra obsahuje
dva klíče, jeden klíč je určen pro zašifrování (nazývá se soukromý klíč) a jiný
klíč slouží pro odšifrování (veřejný klíč). Přitom platí pravidlo, že ze
znalosti veřejného klíče nelze odvodit klíč soukromý. Zde existuje první
bezpečnostní riziko na samotné úrovni složitosti matematické úlohy faktorizace,
která může být principiálně řešitelná. Navíc však existuje v kvantovém počítání
(tj. v počítání s kvantovými bity realizovanými kvantově-mechanickými
fyzikálními objekty, které nesou na rozdíl od klasických bitů nekonečně velkou
informaci) tzv. Shorův algoritmus řešící úlohu faktorizovatelnosti a Groverův
vyhledávací algoritmus, který kvadraticky urychluje vyhledávání v databázích. I
když technická realizace kvantového počítače operujícího s velkým počtem
kvantových bitů doposud neexistuje, je nutné toto bezpečnostní riziko brát v
úvahu již nyní. Je zřejmé, že např. akreditovaná certifikační autorita
archivující dle certifikační politiky kvalifikovaný certifikát EP po delší
dobu, např. dvacet let, může být v tomto časovém horizontu kompromitována,
jelikož tehdy již mohou kvantové počítače prakticky existovat. "Černý pátek"
pro EP a infrastrukturu založenou na šifrách s veřejným klíčem může znamenat
den praktické realizace kvantového počítače. Každá osoba, která chce používat
digitální podpis, si vytvoří pomocí dodaného softwaru svou vlastní dvojici
klíčů soukromý a veřejný přičemž soukromý klíč si uloží a veřejný klíč pomocí
certifikační autority zveřejní. Proces podepisování vypadá zhruba takto:
podepisující osoba vezme text, který chce podepsat, zašifruje jej pomocí
dodaného šifrovacího programu s využitím soukromého klíče a výsledek
zašifrování připojí k textu jako svůj podpis. Osoba ověřující digitální podpis
postupuje následovně napřed si z textu zjistí jméno podepsané osoby a pomocí
certifikační autority si zjistí, jaký je veřejný klíč podepsané osoby. Pomocí
dodaného odšifrovacího programu a prostřednictvím získaného veřejného klíče
dešifruje digitální podpis (tj. text zašifrovaný pomocí soukromého klíče
podepsaného), a získá tak původní tvar textu. Ten pak srovná s otevřeným
textem, a pokud se oba texty shodují, dojde tím jednak k potvrzení podepsané
osoby (jen ten, kdo zná soukromý klíč spojený s daným veřejným klíčem, mohl
vyrobit digitální podpis) a zároveň také k potvrzení původnosti textu.
Popsaný postup odpovídá reálné situaci EP, pouze s jednou změnou. Místo toho,
aby digitální podpis vznikl zašifrováním celého textu (tím by vznikl zbytečně
dlouhý digitální podpis a také jiné problémy) postupuje se jinak. K danému
textu se pomocí dodaného speciálního software vytvoří jeho (prakticky)
jednoznačná charakteristika tzv. kryptografický kontrolní součet, který budeme
nazývat otisk textu a ten bude zašifrován soukromým klíčem podepsané osoby.
Výsledek bude připojen k textu jako digitální podpis. Ověřující osoba vytvoří
(pomocí dodaného programu) otisk otevřeného testu, pomocí veřejného klíče pak
odšifruje digitální podpis a výsledek odšifrování srovná s otiskem textu. Pokud
se shodují, je potvrzena jak správnost veřejného klíče (a tím i podepsané
osoby), tak i ověření, že text nebyl změněn.

Jak udržet tajemství
Tento postup má dvě slabá místa. Jednak musí existovat jednoznačná vazba mezi
osobou a jejím veřejným klíčem, a to tak, že daný veřejný klíč může náležet
nejvýše jedné osobě. To zaručuje certifikační autorita, která potom zaručí
společně s registrační autoritou také úplnou identifikaci vlastníka klíče. Zde
je třeba zdůraznit podstatný moment identifikace vlastníka v momentu jeho
registrace, což by mělo být bezpečnostně ošetřeno a postup důkladně popsán v
certifikační politice dané autority s důrazem na personální bezpečnost. Nejedná
se zde pouze o možnost porušení zákona o ochraně osobních údajů 101/1999 Sb.,
ale možnost personálního selhání pracovníka a identifikace někoho jiného.
Druhým slabým místem je skutečnost, že podepsaná osoba musí dokázat udržet svůj
soukromý klíč v tajnosti. Pomineme nedbalostní jednání vlastníka soukromého
klíče a soustředíme se na poměrně nové a neustále zdokonalované fyzikální útoky
na mikročipy. Ty jsou nedílnou součástí nejrůznějších typů tzv. chytrých karet
(smart cards) a útoky na ně mohou být aktivní (rozebrání karty, analýza čipu,
resp. jeho funkcionality různými speciálními metodami jako diferenční analýza
odběru proudu, skenováni elektronovým paprskem, snímáním elektrických polí
atd.), pasivní s cílem zisku tajných bitů klíče, popřípadě vytvoření kopie této
karty, která je pak používána bez vědomí vlastníka. Jejich aplikace na
podepisovací hardware, čipové karty, SIM karty, apod. může pro uživatele EP
znamenat vážné nebezpečí z hlediska zneužití EP. Jednoduchým opatřením je např.
nevynášet čipovou kartu mimo chráněnou oblast (např. režimové pracoviště). To
však vede ke značným omezením a ztrátě mnohých výhod plynoucích z rychlosti a
okamžité dosažitelnosti elektronických informací. A zcela nemožné je to u
mobilních portálů, např. u mobilních telefonů.

Certifikační autority se vzorově zpracovanou certifikační politikou budou muset
integrovat nové systémy pro zabezpečení infrastruktury EP s maximální
opatrností. Vnořování jakéhokoliv podsystému do celkového systému by mělo být
certifikováno na odpovídající bezpečnostní úroveň. Rozhraní jsou nejčastějšími
místy vhodné pro průlom. Rovněž odladění a kompatibilita podsystému se systémem
nebo dvou systémů bývá častou branou průniku ke chráněné informaci, vede ke
snížení celkového bezpečnostního stupně, přestože každý systém zvlášť je
bezpečný na stupni vyšším (o tom je právě ISO/IEC 15408).
Proto bývá někdy výhodnější z bezpečnostního a mnohdy i finančního hlediska
pořizovat IS jako nový celek, než integrovat systémy, obzvláště tehdy, není-li
přístup ke zdrojovým kódům, vlastní možnosti verifikace v hodnotitelské
laboratoři atd. To může ale končit i požadavkem na vlastní kontrolu při výrobě
a programování mikročipů na nejvyšší stupně utajení dle zákona č.148/1998 Sb.
Integrátoři konkrétních systémů s EP budou muset proto provést bezpečnostní
analýzu vnoření těchto systémů do IS organizace nikoliv pouze z hlediska
funkčnosti a kompatibility, popřípadě předložení certifikátů pro jednotlivé
systémy, ale měli by vytvořit bezpečnostní model.

Šifrovat, šifrovat...
Dalším faktorem je algoritmus šifrování. Pomocí asymetrické šifry se v
současnosti řeší problematika aplikací EP v mobilních telekomunikačních
prostředcích, na nichž stojí mobilní e-obchod, e-bankovnictví a brzy mobilní
e-everything. RSA je v současné době asi nejrozšířenějším algoritmem s veřejným
klíčem. Lze ho použít pro šifrování i pro podpisy. Vhodná délka klíče je
odhadnuta v závislosti na možnosti prosté faktorizace útokem hrubou silou.
Odhad na nutnou délku klíče v závislosti na vývoji klasické výpočetní techniky,
vzhledem k exponenciálnímu nárůstu mohutnosti výzkumu v kvantovém počítání se
silnou finanční podporou soukromých i státních organizací není již validní. Je
třeba vědět, že RSA je také zranitelná vůči útokům s volitelným otevřeným
textem. Algoritmus RSA je považován za bezpečný algoritmus, musí se však
aplikovat velmi opatrně, aby bylo možné se těmto útokům vyhnout. Je velice
důležité mít kvalitní generátor velkých prvočísel. Zde se jeví výhodné používat
kvalitní fyzikální generátory náhodných čísel založené např. na šumu
polovodičů, ale skutečnou nepředvídatelnost a dokonalý chaos může vytvořit
pouze generátor kvantový, vyžívající fyzikálního jevu kvantově mechanického
indeterminismu. Kvalitní generátory, bezpečnou generaci klíčů a další
zabezpečení soukromého klíče, tak aby byl pod výhradní kontrolou vlastníka, by
měl poskytovatel certifikačních služeb stanovit v certifikační prováděcí
směrnici tak, aby byla prokazatelně zaručena bezpečnost. Ze strany
poskytovatele pak musí být prokazatelně dodržena stanovená míra bezpečnosti.
Prokáže-li např. při soudním sporu v kauze s EP vlastník poskytovateli, že tomu
tak nebylo, je zodpovědnost např. za zneužití EP na straně poskytovatele, v
opačném případě pak na straně vlastníka.
Jako nejnebezpečnější se v současnosti jeví útok pomocí hrubé síly, který se
stal počátkem roku 1999 reálný pro klíče 512bitového RSA, a ty se bohužel stále
pro některé komerční aplikace používají. Faktorizaci tak velkých čísel lze
provést pomocí paralelního prosévacího přístroje Twinkle, který představil
prof. Adi Shamir na konferenci Eurocrypt 1999 v Praze. Na poslední konferenci
Eurocrypt 2000 byla ukázána faktorizace 512bitového RSA pomocí klasických
počítačů a byl vysloven jednoznačný závěr, že RSA s touto délkou klíče již není
bezpečná.

Nestačí jen pero a inkoust
Budou-li všechna výše uvedená rizika minimalizována, potvrzení správnosti
identity podepsané osoby a původnost textu na konci procesu bude s
pravděpodobností v limitě blížící se jedné. Neustále však zůstane riziko
zneužití soukromého klíče nepovolanou osobou, jehož minimalizace je především
na vlastníkovi klíče, ale také na technologické úrovni autentizace vlastníka
vůči svému podepisovacímu prostředku, kde je klíč uložen. V současnosti se jako
nejbezpečnější jeví spojení tzv. Trinity řešení (čipová karta, PIN, biometrika
snímání různých fyziologických markantů konkrétní osoby) s režimovými
opatřeními (tj. např. bezpečnostními opatřeními při generaci klíče a jeho
uložení do čipu, zabránění klonování tajných klasických bitů a ochrana proti
novým fyzikálním útokům na čipovou kartu a kvalitní biometrické zařízení s
vysokým stupněm ochrany). Toto není diskuse o tzv. prezidentských atomových
kufřících, ale o podepisovacím prostředku manažera nebo bankéře stvrzujícího
svým podpisem mnohamilionový obchod, smlouvu apod. Na konferenci Fast Software
Encryption Workshop 2000 publikovali Adi Shamir, Alex Biryukov a David Wagner
nový útok na silnější verzi šifrového algoritmu, který se používá také ve 130
milionech GSM mobilních telefonů včetně ČR. Tato informace dává jednoznačný
signál, že telekomunikační bezpečnost GSM je ohrožena. Uživatelé této služby by
měli být o těchto rizicích informováni a minimálně upozorněni na to, že
ponechání mobilního telefonu bez dozoru je nebezpečné. Takovýmto mobilním
informačním portálem je rovněž nebezpečné sdělování klasifikovaných nebo jiných
důležitých informací. Dalším nebezpečím je možnost tzv. elektronického
tunelování, pokud není nastaven bezpečnostní mechanismus, který mu zabraňuje.
Elektronické peníze jsou virtuální, a tak lze EP stvrzovat příkazy nákupů a
prodejů v mikrosekundové rychlosti. Také je možné například zneplatnění
certifikátů v daném okamžiku s cílem někomu k nějaké transakci zabránit (což
může zmařit nějaký obchod v momentě, když to právě potřebujeme). S EP se může
takto rozvíjet také zcela nový typ kriminality, chytřejší a rychlejší než ten s
klasickým podpisem.
Význam komplexní bezpečnosti V oblasti finančního sektoru a služeb má cenu
mluvit o bezpečném elektronickém podpisu, jeho dopadu na ekonomiku, jeho
zavádění do státem řízených či jiných finančních organizací, jako např. MF ČR,
finanční úřady, celnice, ČNB, soukromé banky, pojišťovny. Avšak předpokladem je
dobře zpracovaná a prakticky funkční bezpečnostní předpisová základna, včetně
té nové pro poskytovatele certifikačních služeb, týkající se certifikační
politiky, certifikačních a registračních autorit a všeho, co s infrastrukturou
uvedení zákona o EP do praxe souvisí. Pro úspěšnou aplikaci EP je také nutné,
aby správa informační bezpečnosti v každé organizaci byla v souladu s její
komplexní bezpečností. Pro splnění výše uvedeného je nezbytný koncepční přístup
k bezpečnosti nejlépe řízený bezpečnostním orgánem uvnitř organizace.
Bez splnění uvedených bezpečnostních podmínek je diskutabilní i ochrana
osobních údajů ve smyslu zákona č.101/1999 Sb. a jeho důsledky pro informační
systémy (IS) ve finančních institucích. Je zřejmé, že pravděpodobnost úniku
informace při nedostatcích v oblasti personální bezpečnosti je mnohonásobně
vyšší, než
její únik např. při kryptoanalytickém útoku.

Cesta k úspěšné aplikaci EP
Přestože v současnosti je již zákon o EP v ČR v platnosti, vyhláška a nařízení
vlády pro jeho realizaci nikoliv, a navíc zůstává celá řada problémů
nedořešených. Jednak chybí vhodné standardy, normy a doporučení, které by byly
platné na území ČR, dále postrádáme testovací a vyhodnocovací laboratoře (tj.
odborně fundovaná hodnotitelská a certifikační pracoviště), jednak zatím není
zabezpečena ani návaznost na vyhodnocovací laboratoře v zahraničí a jejich
uznávání. Rovněž není vyřešena otázka křížových certifikací a uznávání
zahraničních certifikátů. Další odbornou otázkou je neřešení časových značek
(součástí klasického podpisu dokumentu je většinou i datum a u EP by to mělo
být stejné), profilů kvalifikovaných certifikátů, a dále nastavení požadované
bezpečnostní úrovně pro různé typy certifikátů. Zatím nejsou řešeny otázky
jednotné kořenové struktury v ČR, elektronických formátů a jiné, které se v EU
chystají, a ČR by měla být připravena je převzít.
Aby byla možná rizika snížena na minimum, musí uvedení zákona o elektronickém
podpisu do praxe nutně vést ke zvýšení celkového zabezpečení informačních
systémů v ČR, a to ve všech organizacích (státních i soukromých), zejména z
hlediska průniku komplexní bezpečnosti a informační bezpečnosti se zákonem o
ochraně osobních údajů č.101/1999 Sb., zákonem o utajovaných skutečnostech č.
148//1998 Sb. (tento zákon se týká organizací, které pracují s utajenými
informacemi již od nejnižšího stupně klasifikace "Vyhrazeno") a souvisejícími
normami ČSN, předpisy včetně platných mezinárodních norem, jako jsou ISO 9796,
ISO/IEC TR 13335, ISO 17799 apod.
To vše by mělo být sladěno s v protiváze stojícím zákonem o dostupnosti
informací č.106 Sb., popřípadě celním, telekomunikačním, obchodním zákonem a
jinými relevantními zákony a normami, platnými pro práci ve finančním sektoru.
Telekomunikační zákon zmiňujeme z důvodu mobilních finančních portálů, v
současnosti populárního tzv. "GSM banking", a vzhledem k trendům mobilního
trhu. Rovněž je nutné řešit problematiku hodnotitelských pracovišť,
vydávajících certifikáty splňující mezinárodní kritéria. Zde stojí za úvahu
napojení na hodnotitelská pracoviště EU a maximální možné využití a podpora
vědecko-výzkumné základny ČR v tomto směru. Relevantním dokumentem EU k zákonu
č.227/2000 Sb. je schválená verze Směrnice Evropského parlamentu a Rady o
elektronických podpisech. Tato směrnice byla schválena Evropskou radou dne 30.
11. 1999.
Jaroslav Hrubý je externí spolupracovník HP Consulting Igor Mokoš je ředitelem
strategického poradenství HP Consulting, Hewlett-Packard
1 1178 / jaf









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.