NEVIDITELNÝ PES    //    EUROPE'S    //    ZVÍŘETNÍK    //    BYDLENÍ    //    EKONOMIKA    //    VĚDA    //    SCI-FI    //    SWNET    //    BAZAR    //    PARAGRAF    //    CoJeCo
  
Středa 21.3.2001
Svátek má Radek

 Hledání:
 Výběr z vydání:

ŠIFRA: Nezahazujte PGP

ŠIFRA: Co se vlastně stalo

HUČÍNOVA AFÉRA: Nedovolte, aby se opakoval Wonkův případ

USA: půl procenta jen o trošičku více než půl párku

PETR MATĚJŮ: O Čtyřkoalici a respektu k realitě

ŠKOLSTVÍ: Gymnázia pod drobnohledem (2)

RODINA A PŘÁTELÉ: Lidi dneska ukradnou všechno

PSÍ PŘÍHODY: Zhubnul, nebo ztloustnul?

MROŽOVINY: Bůh v kybernetické době

PENÍZE: Medvěd nebo bejk? Americké hospodářské dilema

SPOLEČNOST: Banánová republika

POLEMIKA: Kolik divizí má papež?

LITERY: Nedobojovaný boj

POLEMIKA: Zápach naftalínových kuliček

PRÁVO: Jak se dostat k advokátovi
 Rubriky:
Svět
Politický cirkus
Rodina a přátelé
Bartovy příhody
Zábava
Kultura
Společnost
Doprava
Historie
Mejlem
Ekologie
Internet
Drogy
Telekomunikace
Média
Právo
Školství
Politika
Ekonomika
Zdraví
Šamanovo doupě
Mrožoviny
Náš rybník
Litery
Slovenská kronika
Stručně
Kronika dne

TOP 50, TOP 100
Archiv vydání
Stálice

 HLAVNÍ STRÁNKA  >>  Společnost >> Telekomunikace

21.3. ŠIFRA: Co se vlastně stalo
Miroslav Šedivý

Elektronický podpis není bezpečný. Kdokoliv nyní může za Vás podepsat (elektronicky) šek třeba na milion dolarů.

Takové a podobné věty se na nás od včerejška hrnou téměř ze všech sdělovacích prostředků a pomalu abych zrušil svůj HomeBanking. Příčinou je prohlášení firmy ICZ o úspěchu jejích kryptologů, kterým se podařilo najít bezpečnostní "díru" v programu PGP. Na tiskové konferenci v sídle firmy pak tito odborníci předvedli, v čem onen nedostatek spočívá a potvrdili, že skutečně jsou schopni za určitých okolností získat privátní klíč, přestože je chráněn dostatečně silnou šifrou, a následně se vydávat za nešťastnou oběť a elektronicky se podepisovat jejím jménem. V následných odpovědích přítomným novinářům pak potvrdili i katastrofickou předpověď ohledem šeku na milion dolarů z úvodu.

Především je třeba tento výsledek ocenit z odborného hlediska. Jde o výsledek, který bezpochyby bude studován dalšími odborníky a určitě přispěje ke zvýšení bezpečnosti uvedených programů a nejen jich. Budou analyzovány možnosti použití podobných útoků na jiné systémy, možná se i tam najdou trhliny a budou moci tak být odstraněny. Z tohoto pohledu nelze přínos zmíněných kryptologů nijak zmenšovat.

O to více je nepochopitelný způsob prezentace tohoto výsledku. Použití obdobných bombastických vyjádření, jako jsou ta z úvodu, by měl každý odpovědný odborník velice vážit. Média mají velkou moc a byť nelze předpokládat, že již dnes či zítra budou klienti stát fronty u přepážek, aby zrušili svůj Home- či InternetBanking, zrnko pochyb zůstane a od něj se může odvinout nedůvěra v elektronický podpis jako takový. Nabízí se domněnka, zda nejde spíše o popularitu za každou cenu (přestože nepopírám kvalitu objevu, ale věda je věda a byznys je byznys…).

Pokusme se tedy vše uvést na pravou míru.

Útok byl proveden na jednu rodinu programů, které šifrují či elektronicky podepisují data, a to programy typu PGP. PGP je zkratka z anglického "Pretty Good Privacy" - jde o jeden z prvních programů pro podepisování a šifrování dat, jehož původním autorem je Phil Zimmermann. Posléze byl vytvořen určitý standard RFC 2440 - OpenPGP Message Format. Sám útok na systém vychází z chyby, která je obsažena právě v tomto standardu a je proveditelný za určitých předpokladů, které nemusí být při dostatečné opatrnosti uživatele snadné naplnit. Uživatelé těchto programů (a není jich málo) určitě mají důvod k obavám.

Jenže elektronický podpis, tak jak jej definuje tuzemský zákon o elektronickém podpisu a rovněž evropské normy či doporučení, je postaven na poněkud odlišné technologii a zmíněný standard s ním není příliš kompatibilní. Totéž platí o technologiích, které používají naše banky ve svém elektronickém bankovnictví. To ovšem už v prohlášeních uvedeno není.

Určitě tedy nemusíme rušit účty, neznamená to však, že by odborníci měli klidně spát. Naopak, bezesporu ve všech seriozních firmách začne ověřování používaných technologií a výsledkem by měly být opět o něco odolnější produkty, případně jistota, že (zatím) je vše v pořádku.

Miroslav Šedivý

specialista-kryptolog

Podnik výpočetní techniky, a.s.




Další články tohoto autora:
Miroslav Šedivý

Komentáře ke článku

Počet přístupů na stránku: