ICZ o humbuku k útoku na elektronický podpis

21.03.2001, 18:40

PRAHA 21. března (PROTEXT) - V následujícím textu autořiobjevu stručně reagují na některé informace, které se objevily vdenním tisku, a odpovídají na dotazy, které dostávají.

Je zpráva o rozluštění tajného kódu elektronického podpisuhumbuk?

Každopádně si myslíme, že formulace tohoto titulku neodpovídátomu, co jsme objevili, a na hodinové tiskové konferenci 20.března 2001 vysvětlili. Zda je to, co jsme přednesli humbuk,ukáže čas. Stačí vyčkat na reakce odborné světové veřejnosti nakryptografickou zprávu, která vyjde v nejbližších hodinách natomto místě.

Proč jste uveřejnili váš útok?

Protože je to závažné zjištění, které se v teoretické rovinětýká mnoha systémů elektronického podpisu na celém světě, nejenprogramů na bázi formátu OpenPGP. Je potřeba rozlišovatteoretický přínos a honbu za senzací typu "oni prolomilielektronický podpis". Je to stejné jako bychom objevili, ženějaký automobilový brzdový systém má závažné konstrukční chyby.Je to naše povinnost o tom informovat veřejnost, i kdybychom sifyzicky tento fakt vyzkoušeli jen v jediném typu vozu, který hopoužívá.

V čem spočívá přínos vašeho objevu?

První přínos je teoretický a jeho zhodnocení ponechmenezávislým teoretikům, kteří budou mít k dispozici odbornouzprávu. Druhý přínos je velice praktický. Ukazuje těm, kdo budounavrhovat systémy elektronického podpisu v České republice ikdekoliv jinde na světě, čeho se musí vyvarovat. Naše dlouhodobépraktické zkušenosti ukazují, že návrháři podobné chyby častodělají, a ty zůstávají nepovšimnuty. Nakonec v samotném programuPGPTM zůstala tato chyba bez povšimnutí mnoho let.

Je opravdu ohrožen elektronický podpis, mohou mu naši občanévěřit?

Kryptografická podstata elektronického podpisu, na níž jezaložena důvěra v něj, ohrožena není. Nejsou ohroženy anialgoritmy podpisu DSA a RSA. Občané mohou klidně spát, pokudpoužívají korektní implementace těchto podpisových algoritmů. Myjen říkáme, že rozhodně ne všechny takové implementace jsoubezpečné a poukazujeme na jednu celosvětově rozšířenou.

Čeho se útok konkrétně týká?

Je trochu nepřesné chápat naše zjištění jako snahu o útok nakonkrétní program. To, co jsme zjistili, je důležitější. Jednímze tří výsledků je konkrétní demonstrace námi zjištěných slabinna jednom konkrétním programu. Je to ale jen demonstrace, že sinevymýšlíme, že to existuje, že se takové chyby stávají, a žezůstávají skryty.

Co má udělat ten, kdo používá vámi napadené programy?

Instalovat si záplatu, která se brzy objeví.

Bude to mít vliv na používání a další vývoj zákona oelektronickém podpisu?

Doufáme, že ano. Doufáme, že se zvýší pozornost kvalitěprostředků i vyhlášek k zákonu.

Domníváte se, že si to zasluhuje takovou pozornost nebo je tocelé bublina?

Kdybychom do světa vypustili nějakou bublinu tohoto stylu,byli bychom opravdoví hlupáci.

Kdo může ověřit platnost vašich hypotéz a tvrzení?

Na světě existuje minimálně tisíc odborníků, kteří to mohouověřit a posoudit.

Týká se tento problém pouze jednoho konkrétního programu?

Ne, týká se skupiny programů, které realizují formát OpenPGPa nejen nich. Z hlediska poučení z tohoto našeho zjištění sepotenciálně týká všech programů pro realizaci elektronickéhopodpisu, neboť rozšiřuje teoretická rozhled konstruktérů těchtosystémů.

Je program PGP "elektronickým podpisem pro chudé"?

Zkuste se zeptat jeho výrobců, distributorů a uživatelů.

Je rozruch kolem tohoto útoku nepříznivý pro rozvojelektronického podpisu v ČR?

Přehnaný rozruch neprospívá ničemu. Na druhou stranu simyslíme, že jsou to právě připravované vyhlášky, týkající seelektronického podpisu, které by trochu rozruchu rozhodně snesly.Ale to je jiná otázka, která přímo nesouvisí s tímto zjištěním.

Budete zveřejňovat opravu programu PGP?

Návod k opravě byl zveřejněn už na tiskové konferenci 20.března 2001. Vlastní opravu si zajistí firmy ve svých produktechsami. K tomu obdrží veškeré informace v odborné zprávě, která sevelmi záhy objeví na tomto místě. Podstatné skutečnosti k opravěuž mají k dispozici.

Rozluštili jste pouze nekomerční kód používaný na internetu?

Jak jsme už uvedli, "rozluštění" není ten správný a přesnývýraz pro to, co jsme zjistili. Jsme nyní dotazování různýmivýrobci komerčního softwaru, zda jejich produkt je v pořádku.Těší nás, že obecnost útoku pochopili, avšak není v našich siláchposuzovat desítky variant nejrůznějšího komerčního nebonekomerčního softwaru a zjišťovat, zda se jich naše zjištěnítýkají nebo netýkají. Navíc jsme kryptologové, nikoliv hackeři.Jako takoví prezentujeme útok v teoretické rovině. Praktickézávěry nechť si udělá každý výrobce software sám. Pro naše účelyjsme zvolili otestování našeho objevu na konkrétním programučistě pro demonstraci platnosti odvozených vzorců a příslušný"luštící" program jsme nikomu neposkytli a ani o tom neuvažujeme.Rozhodně to nepokládáme za cíl ani podstatu objevu.

Spočívá tento útok v tom, že PGP je zastaralý program?

PGP není zastaralý, má pouze tradici. V tom je rozdíl.

"Na tento program se zákon o elektronickém podpisu vůbecnevztahuje. Je to bublina - nic víc, než marketingový tah.",zdůraznil Vladimír Mlynář v Právu, 21. března, str. 2. Co je natom pravdy? Vztahuje se na tento program zákon o elektronickémpodpisu?

Zákon o elektronickém podpisu č. 227/2000 Sb. nehovoří ožádném konkrétním produktu, ani to není jeho cílem. Konkrétnějšíbudou snad připravované prováděcí vyhlášky, které jsou zatím vestádiu návrhu. Nikdo tak dnes nemůže seriózně a jednoduše říci,zda má nějaký konkrétní program cokoliv společného se zákonem.

Jak je situace v případě napadeného formátu vážná?

Získání privátního klíče je triviální a trvá na běžnémkancelářském PC cca půl vteřiny. Předpokladem tohoto útoku je, žeútočník je schopen změnit záznamy v souboru s privátním klíčem azískat jednu podepsanou zprávu s tímto "upraveným" klíčem. Zasplnění těchto předpokladů je situace velmi vážná.

Kryptologové společnosti ICZ a.s.

RNDr. Vlastimil Klíma

Ing. Tomáš Rosa

Kontakt:

Miroslav Votruba

ICZ a.s.

V Olšinách 75, 100 97 Praha 10

tel.: (02)81002222, 0606-642606

e-mail: m.votruba@i.cz

Upozorňujeme odběratele, že materiály označené značkouPROTEXT nejsou součástí zpravodajského servisu ČTK a nelze jepublikovat pod její značkou. Jde o komerční sdělení zadavatele,který je ve zprávě označen a který za něj nese plnou odpovědnost.

PROTEXT

Klíčová slova
PROTEXT-počítače-ICZ

Kategorie
IT, komunikace a elektronika

Chci zadat tiskovou zprávu

Chci dostávat tiskové zprávy

Vaše tiskové zprávy rozšíříme spolu se zpravodajstvím ČTK uživatelům agenturního servisu jako jsou média, ekonomická sféra, státní správa a veřejnost. Texty zůstávají uloženy v Infobance ČTK, jsou součástí mobilní aplikace ČTK a obdrží je také tisíce odběratelů našeho e-mail servisu. Veřejnosti je zpřístupníme na více než 15 zpravodajských portálech.

Doporučujeme

V demokracii je to složité. Je třeba, aby se v ní angažovali všichni. Václav Havel

Ke třicátému výročí sametové revoluce připravila Česká tisková kancelář (ČTK) projekt, do kterého chce zapojit obyvatele České republiky. Jeho cílem je nasbírat od veřejnosti co největší množství fotografií jak z podzimního dramatického dění roku 1989, tak i z událostí, které byly předzvěstí listopadové revoluce (např. Palachův týden, srpnové události, trabanty v pražských ulicích, svatořečení Anežky Přemyslovny).

Díky fotografiím z archivů a fotoalb široké veřejnosti chce národní agentura doplnit obraz významné historické události, jejíž podobu známe především z fotografií z Václavského náměstí nebo z Letné. Ambicí je nasbírat fotografie z mnoha českých a moravských měst i vesnic.

Nejlepší snímky se stanou součástí unikátní venkovní výstavy, která se představí přinejmenším na dvou místech: na přelomu července a srpna 2019 bude mít předpremiéru na Letní filmové škole v Uherském Hradišti, kde bude možné ji zhlédnout až do poloviny září. V listopadu bude ve finální podobě instalována v Praze.

Projekt volně navazuje na úspěšnou výstavu Okamžiky století (www.okamzikystoleti.cz), kterou ČTK loni připravila ze svého bohatého fotografického archivu ke stému výročí založení Československa. Ta zavítala do devíti měst, v Praze byla k vidění dokonce třikrát.

„Tentokrát se, možná trochu troufale, snažíme vtáhnout veřejnost už do příprav výstavy. Budeme moc rádi, pokud se nám podaří nasbírat dobové fotografie z různých koutů republiky, a to nejen z náměstí, ale i ze škol, divadel či továren. Věříme, že v rodinných albech a archivech amatérských fotografů se skrývá spousta zajímavých snímků, které by se mohly stát součástí společného sametového fotoalba,“ řekl generální ředitel ČTK Jiří Majstr.

Některé fotografie mohou být se souhlasem autorů zařazeny do Fotobanky ČTK, která spravuje nejrozsáhlejší zpravodajský fotoarchiv v České republice. Díky projektu se vytvoří komplexní fotografický obraz událostí revolučního roku 1989, který tak zůstane přístupný i pro další generace.

„Fotobanka ČTK není a nikdy nebude pouze jednou pro vždy dokončená sbírka nebo dokonce pouhý archiv. Neustále se snažíme ji doplňovat a obohacovat nejen z denního fotozpravodajství agentury, ale i z dalších zdrojů. Věříme, že tento projekt doplní mozaiku obrazového zpravodajství a zachytí příběhy, které byly tehdy ve stínu velkých událostí,“ uvedl šéfredaktor Fotobanky ČTK Petr Mlch.

Lidé mají možnost přispět fotografiemi několika způsoby – nahráním na webové stránky www.okamzikysametu.cz, během setkání s organizátory projektu ve vybraných krajských městech nebo je mohou zaslat do ČTK poštou či e-mailem na adresu: okamzikysametu@ctk.cz Rozpis setkání je na stránce okamzikysametu.cz. První setkání bude ve spolupráci s krajskými redakcemi ČTK již během dubna ve Zlíně a v Olomouci. Zájemci mohou přinést své fotografie, které budou přímo na místě naskenovány, případně sdělit své vzpomínky či příběhy fotografií, které se rovněž mohou stát součástí výstavy.

Sbírka fotografií, které by se mohly objevit na výstavě, skončí 30. září 2019, pro první verzi výstavy je uzávěrka 30. června.

Záznam z představení projektu můžete sledovat na webu Studia 6 České televize.

Kontakty:
Milena Schmidová, mluvčí ČTK, mluvci@ctk.cz
Kristýna Jirátová, kurátorka výstavy Okamžiky sametové revoluce, okamzikysametu@ctk.cz

ČTK zahájila projekt Okamžiky sametové revoluce

Protext služby

Protext ČR

Zveřejnění tiskové zprávy v České republice
Protext zahraničí

Zveřejnění tiskové zprávy v zahraničí
Video služby

Komerční videoslužby na míru
Press​Centrum

Pronájem eventových prostor v centru Prahy
Řešení na míru

Komunikační služby na míru