Kauza PGP a elektronický podpis

Kauza Microsoft a používání jeho softwaru v německých státních a armádních institucích stejně jako aféra kolem ch...


Kauza Microsoft a používání jeho softwaru v německých státních a armádních
institucích stejně jako aféra kolem chyby v PGP dominovaly v minulém týdnu
českému Internetu. S trochou nadsázky lze říci, že jen díky těmto dvěma aférám
se vůbec něco dělo, jinak by pozornost byla již upřena pouze do zahraničí na
právě probíhající CeBIT.O šifrách se v poslední době mluvilo především v
souvislosti s otázkou kvantových počítačů. Jak se však ukázalo, i před
hypotetickým příchodem kvantové kryptografie může na tomto poli být ještě
docela živo. Chybu v programu OpenPGP objevili kryptologové Vlastimil Klíma a
Tomáš Rosa ze společnosti Decros. Upozornili přitom, že nejde jen o PGP, ale že
kauza má širší význam, jak teoretický, tak i praktický. Pak se kolem celé kauzy
náhle rozhořela skutečná mediální válka. Bombastický až estrádní způsob, jakým
Decros, respektive společnost ICZ (jejíž skupiny je Decros členem) informovala
o kauze média, je mírně řečeno kritizovatelný. Poté se už jen naplno projevila
role všeobecných titulů ve chvíli, kdy mají referovat o nějakém vysoce odborném
problému. Ukázalo se, že zdrojem informací téměř pro všechny deníky je
především ČTK. Jak se uvádí např. na serveru Lupa (konkrétně na
http://www.lupa.cz/clanek.phtml?show=1432), ICZ poskytla pro ČTK vyjádření,
jehož skromný titulek zní "Kryptologové české společnosti ICZ zjistili závažnou
bezpečnostní slabinu mezinárodního významu". ČTK pak na tomto základě vydala
sama zprávu s titulkem "ICZ objevila chybu ochrany elektronického podpisu" a
oheň byl na střeše. Kromě denního tisku se přitom podařilo zmást i některé
internetové servery a teprve postupně se začaly objevovat seriózní popisy
situace.
Ač se původně hovořilo o chybě mezinárodního významu, na zahraničních serverech
jsem příliš zpráv o chybě v PGP nenašel ICZ však na druhé straně uvádí, že
článek na toto téma vyšel v New York Times. Původní prohlášení, že se jedná o
zcela zásadní bezpečnostní problém, byla z několika stran korigována. Závěr, na
kterém se snad shodne alespoň většina zainteresovaných, je zhruba následující:
klíč nemusí být bezpečný ani když je zašifrován. I v takovém případě je třeba
zajistit, aby se k němu nedostaly nepovolané cizí osoby.
Ve vyjádření týmu PGP.cz (http://www.pgp.cz/openpgpbug.html) se praví:
"Situace, kdy neoprávněná osoba může kopírovat soubor obsahující privátní
klíče, svědčí o špatné konfiguraci nebo zásadním selhání opatření
implementujících bezpečnostní politiku, která mají takové činnosti zabránit.
Pokud je "neoprávněnou osobou" (útočníkem) administrátor systému, svědčí to o
selhání personální politiky organizace. Administrátor systému má k dispozici i
řadu jednodušších prostředků, jak útok vést (např. modifikací binárního souboru
pgp.exe)."
Díky zprávě ČTK byl do celé záležitosti navíc zavlečen i elektronický podpis. V
tu chvíli začali všichni, kdo byli nějak spojováni s přijetím příslušného
zákona, tento institut hájit. Význam objevené bezpečnostní díry byl pak buď
zcela bagatelizován, nebo se argumentace nesla tak nějak v duchu "PGP je špatný
program, ale elektronického podpisu se to nijak netýká a ten je bezpečný". Tedy
opět informace spíše zavádějící.
Korigující stanovisko k celé kauze vydal posléze SPIS: "Případná mediální
kampaň může budoucímu užívání elektronického podpisu ublížit více než nalezená
bezpečnostní díra." Ve vyjádření společnost AEC se navíc tvrdí, že šifrovací
technologie použité v rámci OpenPGP nebudou zřejmě v souvislosti s
elektronickým podpisem uplatňovány, ale že "profesionální řešení, která jsou
připravována pro řešení elektronického podpisu (ve světě, ale i u nás)
vycházejí v daném ohledu z jiných principů a doporučení."
Další přilití oleje do ohně pak znamenaly i úvahy, že za oznámením o chybě v
OpenPGP se skrývá rovnou útok na otevřený software. Paradoxně přesně opačně se
interpretovaly údajné potíže Microsoftu v Německu (o této kauze píšeme
podrobněji na str. 3), kdy se vše zase prezentovalo jako problém uzavřeného
softwaru. Ukazuje se prostě, že ryze technické otázky mohou bohužel snadno
přeskočit do polohy politických/ideových válek.
Posléze pod palbou kritiky začali ze svých názorů ustupovat i v ICZ, přičemž
nakonec tvrdí, že "Kryptografická podstata elektronického podpisu, na níž je
založena důvěra v něj, ohrožena není. Nejsou ohroženy ani algoritmy podpisu DSA
a RSA".
Zbývá jen položit otázku: Opravdu stála společnosti ICZ popularita na stránkách
všeobecných médií (jejichž zájem je navíc velmi vrtkavý) za vcelku negativní
ohlas, který si svým postupem vysloužila v odborných kruzích? Nebo je horký
brambor ještě někde jinde?
1 0554 / pah









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.