W piątek 30 września, opublikowaliśmy informacjedostarczone przez G DATA Software na temat luk w oprogramowaniuwykorzystywanym do składania podpisu kwalifikowanego firm Signet iUnizeto (tylko te były testowne). Unizeto ustosunkowałosię do zarzutów następnego dnia po ich upublicznieniu w informacjizamieszczonej na swej stronie. Dziś przedstawiciele G DATA Softwareprzesłali nam szerszą informację na temat problemu bezpieczeństwapodpisu elektronicznego. Informację w postaci niezmienionej poniżejpublikujemy. Programy, które przetestowaliśmy nie miały żadnych zabezpieczeńchroniących przed podstawieniem dokumentu do podpisu. Znane są namco najmniej cztery sposoby ataku na aplikacje do podpisu cyfrowegoi sposoby obrony przed tymi atakami. W celu wykorzystania luki, nietrzeba mieć fizycznego dostępu do komputera. Ataku można dokonaćnp.: poprzez sieć. Ze względów bezpieczeństwa obecnych użytkowników podpisu cyfrowego,nie będziemy publicznie szczegółowo ujawniać mechanizmu ataku.Ogólnie mówiąc mechanizm ten polega na ingerencji w procesaplikacji do podpisu cyfrowego. Podczas procesu odczytywany jest zdysku dokument, który ma być podpisany. W tym momencie istniejemożliwość "oszukania" procesu i "podłożenia" innego dokumentu,jednak nie polega to na fizycznej zamianie plików. Testowaneaplikacje nie wykrywają modyfikacji procesu, ani różnic pomiędzydokumentem "oryginalnym" a rzeczywiście podpisywanym. Oprócz wspomnianej metody, istnieje możliwość ataku nie ingerującaw aplikację. Jedną z takich technik jest napisanie własnego driverafiltrowego dla systemu plików. Należy tu nadmienić, że rozwiązanieto jest bardzo trudne do wykrycia, ponieważ w systemie operacyjnymWindows działa kilka takich sterowników (np. programy antywirusowe,programy do nagrywania płyt i inne posiadają na swoje potrzeby tegotypu sterowniki). Powstaje tu swoisty paradoks, bonajbezpieczniejszym systemem, z punktu widzenia użytkownikaaplikacji do podpisu cyfrowego byłby taki, który nie miałbyzainstalowanych wyżej wymienionych driverów, czyli np.: programuantywirusowego. Naszym zdaniem wykryte metody ataku stwarzają bardzo dużezagrożenie dla użytkowników podpisu cyfrowego. Nie jest naszym zwyczajem publikowanie materiałów mającychcharakter polemiki pomiędzy firmami, uważamy jednak, że sprawa jestna tyle istotna, że sprawa powinna zostać rzetelnie wyjaśniona.
