r   e   k   l   a   m   a
r   e   k   l   a   m   a

Problem podpisu kwalifikowanego

Strona główna Aktualności

W piątek 30 września, opublikowaliśmy informacje dostarczone przez G DATA Software na temat luk w oprogramowaniu wykorzystywanym do składania podpisu kwalifikowanego firm Signet i Unizeto (tylko te były testowne). Unizeto ustosunkowało się do zarzutów następnego dnia po ich upublicznieniu w informacji zamieszczonej na swej stronie. Dziś przedstawiciele G DATA Software przesłali nam szerszą informację na temat problemu bezpieczeństwa podpisu elektronicznego. Informację w postaci niezmienionej poniżej publikujemy.

Programy, które przetestowaliśmy nie miały żadnych zabezpieczeń chroniących przed podstawieniem dokumentu do podpisu. Znane są nam co najmniej cztery sposoby ataku na aplikacje do podpisu cyfrowego i sposoby obrony przed tymi atakami. W celu wykorzystania luki, nie trzeba mieć fizycznego dostępu do komputera. Ataku można dokonać np.: poprzez sieć.

Ze względów bezpieczeństwa obecnych użytkowników podpisu cyfrowego, nie będziemy publicznie szczegółowo ujawniać mechanizmu ataku. Ogólnie mówiąc mechanizm ten polega na ingerencji w proces aplikacji do podpisu cyfrowego. Podczas procesu odczytywany jest z dysku dokument, który ma być podpisany. W tym momencie istnieje możliwość "oszukania" procesu i "podłożenia" innego dokumentu, jednak nie polega to na fizycznej zamianie plików. Testowane aplikacje nie wykrywają modyfikacji procesu, ani różnic pomiędzy dokumentem "oryginalnym" a rzeczywiście podpisywanym.

Oprócz wspomnianej metody, istnieje możliwość ataku nie ingerująca w aplikację. Jedną z takich technik jest napisanie własnego drivera filtrowego dla systemu plików. Należy tu nadmienić, że rozwiązanie to jest bardzo trudne do wykrycia, ponieważ w systemie operacyjnym Windows działa kilka takich sterowników (np. programy antywirusowe, programy do nagrywania płyt i inne posiadają na swoje potrzeby tego typu sterowniki). Powstaje tu swoisty paradoks, bo najbezpieczniejszym systemem, z punktu widzenia użytkownika aplikacji do podpisu cyfrowego byłby taki, który nie miałby zainstalowanych wyżej wymienionych driverów, czyli np.: programu antywirusowego.

Naszym zdaniem wykryte metody ataku stwarzają bardzo duże zagrożenie dla użytkowników podpisu cyfrowego.


Nie jest naszym zwyczajem publikowanie materiałów mających charakter polemiki pomiędzy firmami, uważamy jednak, że sprawa jest na tyle istotna, że sprawa powinna zostać rzetelnie wyjaśniona.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.