Raport Specjalny | Cyberbezpieczeństwo | Kryptografia to nie cudowne panaceum

Czy dziś w pełni możemy zaufać kryptografii? Jeśli z niej korzystamy, czy możemy czuć się bezpiecznie i mieć pewność, że nikt obcy nie przejmie ważnych dla nas informacji?

– Problemem jest to, że czasem nawet za bardzo wierzymy kryptografii. Kryptografia bywa używana jako cudowne zaklęcie – użycie jakiegoś silnego schematu kryptograficznego w większym systemie traktowane bywa jako argument nie do obalenia, świadczący o bezpieczeństwie całości. Jednak tak nie jest: niekoniecznie kryptografia jest tym krytycznym elementem łańcucha bezpieczeństwa, choć prawie zawsze jest tym najmocniejszym. Zwykle stosowane schematy kryptograficzne są stosunkowo dobrze rozpoznane, przebadane i szczelne. Diabeł tkwi jednak w szczegółach implementacji i organizacji całego systemu. Jest wiele przykładów udanych ataków na systemy kryptograficzne, które w istocie nie były atakami kryptoanalitycznymi, ale niejako obchodziły kryptografię bokiem.

Jak można obejść silną kryptografię?

– Pierwszy newralgiczny punkt wielu protokołów kryptograficznych to generowanie liczb losowych. Większość stosowanych schematów szyfrowania i podpisów cyfrowych używa liczb losowych w trakcie wykonania protokołu jako efemerycznych wartości, usuwanych po zakończeniu pracy. Nawet gdy stosowane algorytmy są deterministyczne (nie generują w czasie obliczeń wartości losowych), to pozostaje kwestia generowania tajnych kluczy użytkownika. Tu losowości nie  unikniemy. Jeżeli zastosowane liczby losowe nie są nie do zgadnięcia, to pojawia się kłopot. Co z tego, że sam schemat jest dobry, a klucza publicznego nie można złamać (i dzięki temu otrzymać klucz prywatny), jeśli w tym szczególnym przypadku ktoś po prostu źle zaimplementował procedurę generowania klucza czy wspomnianych już wcześniej wartości efemerycznych. Wtedy wszystko może się zawalić.

Bolesny przykład takiej sytuacji to sprawa estońskich dowodów osobistych sprzed kilku lat. Czescy naukowcy z Uniwersytetu Masaryka pokazali, że estońskie klucze RSA służące do podpisu elektronicznego są możliwe do złamania, mimo że sam schemat RSA pozostał odporny na ataki. Wszystko wzięło się stąd, że proces generowania kluczy został za bardzo zoptymalizowany i pewne znane ataki na zmodyfikowane wersje RSA efektywnie łamały takie klucze. Sytuacja ta to lekcja dla nas wszystkich i ostrzeżenie, by przy zakupie nie ufać do końca produktom kryptograficznym, nawet gdy pochodzą z dobrego źródła. Co ciekawe, użyte karty mikroprocesorowe miały certyfikaty Common Criteria wystawione przez renomowane instytucje. Problem w tym, że certyfikaty te odnosiły się do innych aspektów bezpieczeństwa. Błąd twórców implementacji polegał na poprawieniu procedury losowego generowania kluczy RSA zaprojektowanej przez znakomitego francuskiego kryptografa. Niestety, poprawiając jedną rzecz, można stworzyć problemy gdzie indziej…

Reasumując, kryptografii jako idei matematycznej wierzyłbym bardziej niż czemukolwiek na tym świecie, ale w bezbłędną implementację już niekoniecznie, szczególnie w przypadku urządzeń typu czarna skrzynka. Estończycy odrobili bolesną lekcję i wprowadzili system podpisów elektronicznych na dokumencie tożsamości daleko bezpieczniejszy od tego, co mają do dyspozycji obywatele polscy. Pozyskanie klucza prywatnego z estońskiego dokumentu tożsamości lub sklonowanie dokumentu nie umożliwia już bezkarnego podpisywania w imieniu ofiary ataku. Zrobili to tak, że dostawca mikrokontrolerów i software’u do dowodów osobistych nie jest w stanie wykorzystać ewentualnych luk w systemie. Brawa dla Estonii! Tylko pozazdrościć!

Stosowanie silnych zabezpieczeń jest często dla użytkowników różnych aplikacji kłopotliwe. Czy można tu znaleźć jakiś złoty środek?

– To odwieczny dylemat – wygoda czy bezpieczeństwo. Niestety, zazwyczaj mamy do czynienia z sytuacją: „albo bezpieczeństwo, albo wygoda”. Jeżeli stajemy przed wyborem wygody klienta albo jego bezpieczeństwa, to często – pod wpływem presji konkurencji – wybiera się wygodę. Tu niestety dochodzi do działania prawa Kopernika-Greshama o wypieraniu z rynku dobrego pieniądza przez zły pieniądz… Podmiot oferujący rozwiązanie niebezpieczne, ale za to bardzo wygodne dla użytkowników, będzie miał z reguły największy udział w rynku. Dlatego potrzebny jest pewien minimalny standard bezpieczeństwa wymuszony na drodze regulacyjnej. Kolejne dyrektywy czy rozporządzenia unijne wprowadzają krok po kroku takie wymagania w wielu obszarach systemów teleinformatycznych. To może powodować irytację operatorów i użytkowników, ale jest niezbędne.

Wdrożenie regulacji wystarcza do zapewnienia bezpieczeństwa systemów kryptograficznych?

– Nie. System prawny zawsze jest kilka kroków z tyłu i reaguje na sytuacje, które w dużej skali stały się palące. Warto jednak przytoczyć pozytywny przykład, jakim było ustalenie jednolitych, solidnych wymagań dla dokumentów tożsamości. Pozwoliło to na wyeliminowanie wielu ryzyk wynikających z bałaganu (inni powiedzieliby: różnorodności) na rynku dowodów osobistych. Wprowadzenie jednolitego standardu, dobrze przebadanego i obecnie stosunkowo wiarygodnego, stwarza sytuację, w której klient przychodzi do banku z godnym zaufania dokumentem tożsamości. Po pierwsze, można dokument ten dokładnie sprawdzić – nie tylko poprzez ogląd wizualny. Można nawiązać łączność drogą elektroniczną i potwierdzić, czy dane na dokumencie to te same dane, które zostały do niego na trwale wpisane przez jego wystawcę. Dane w postaci elektronicznej są podpisane cyfrowo przez wystawcę dokumentu i póki kryptografia nie zostanie złamana, zabezpiecza to dokument przed manipulacjami, takimi jak modyfikacja nazwiska w warstwie graficznej na oryginalnym dowodzie osobistym.

W Polsce do banków przychodzą również osoby, które chcą otworzyć konto, a nie zawsze dysponują polskim dokumentem tożsamości. Pracownik banku może po raz pierwszy widzieć np. dokument maltański. Jednak nie ma problemu, dowody osobiste wydawane teraz na Malcie muszą implementować pewien europejski zestaw funkcjonalności, taki sam jak w ...