| | | | | Mottó:
Titkos írás az arc,
de annak, aki a kulcsát bírja,
nyitott könyv.
/Jókai Mór/ | | 2011. szeptember 11. | | | | | Kripto-gráf | | | | | | E-közigazgatási rendszer nem létezhet kriptográfiai védelem nélkül: a kommunikációs csatornákat, a tárolt állományokat rejtjelezni kell, a beküldött és visszaadott adatok hitelességét biztosítani kell. Ezt jól tudja mindenki, tudták ezt 2001. szeptember 11-én a terroristák is, akik állítólag a PGP (Pretty Good Privacy) rendszerét használták az egyeztetések során (bár, ez a hír később nem lett megerősítve), és emiatt Phil Zimmermann-ra, a PGP atyjára is ujjal mutogattak... Az alapvető kriptográfiai funkciók elérhetők a fejlesztői környezetekben, tehát könnyen meg lehet hívni egy rejtjelezést, vagy aláírás-létrehozást, de mindent csak ésszel szabad használni! Az IT történelemben már láttunk csúfos bukásokat, ezért kritikus infrastruktúráknál (márpedig az e-közigazgatási rendszer ilyen) a hozzáértő szakemberek, szervezetek pl. a hazai CERT (Computer Emergency Response Team), vagy a nemrég alapult KIBEV (Önkéntes Kibervédelmi Összefogás) sokmindenre kell, hogy figyeljen.
A kriptográfiai védelem megjelenik különböző szinteken az IT megoldások világában, azonban mindig megfelelően kell azt alkalmazni, ismerni kell a lehetőségeket és a korlátokat, hogy az ne nyújtson csak "hamis biztonságérzetet".
A kriptográfia kapcsán különböző szinteken lehet támadásokat végrehajtani. A teljesség igénye nélkül összeírtam egy listát:
- az algoritmusok matematikája szintjén
Az MD5 algoritmus 2005-ben felfedezett gyengesége révén azonos MD5-RSA aláírásokat lehet készíteni különböző állományokhoz.
lásd pl. Mai menü: "szósz" és "hekk" bejegyzésem - az algoritmusok megvalósítása szintjén
A Sony PlayStation3 védelmi rendszerében alkalmazott ECDSA vagy az OpenSSL véletlenszám-generálási hibája miatt sok hírt lehetett olvasni a médiában.
lásd pl. Mai menü: "szósz" és "hekk" bejegyzésem - a CA-k, hitelesítés-szolgáltatók szintjén
Ha az OCSP kibocsátó és a kérdéses tanúsítványt kibocsátó CA nem ér össze, akkor meg lehet téveszteni az aláírás-ellenőrző alkalmazásoknál a visszavonási adatok ellenőrzését.
lásd pl. OCSP-ről (nemcsak) OSCP-knek bejegyzésem - a megjelenítési réteg szintjén
A Windows operációs rendszernél úgy lehet lecserélni a betűkészleteket (elektronikusan aláírt .ttf állományok), hogy azt a környezet nem veszi észre, ezáltal meg lehet hamisítani a felhasználó számára kijelzett adatokat.
lásd pl. WYSIWYG is hacked... WTF??? TTF! bejegyzésem - az alkalmazások szintjén
Ha nagyon akarjuk, akkor el lehet csípni az SMS-ben érkező egyszeri jelszót (OTP) és végre lehet hajtani vele egy netbanki belépést a háttérben, a felhasználó tudta nélkül Android környezetben.
lásd pl. A jelszó: "mellon", azaz "jó barát" bejegyzésem - az eszközkezelők, CSP-k szintjén
A "minősített" chipkártyáknál a PIN-kód cache (CryptSetProvParam() függvénnyel) működése még bonyodalmakat okozhat a későbbiekben az e-közigazgatási alkalmazásoknál.
lásd pl. Az ifjú jegyesek bejegyzésem
A lista valószínűleg nem teljes, mindig jöhetnek új dolgok, új trükkök, mindig lehet tanulni valami újat. ...és erre kitűnő hely lehet a Hacktivity 2011 konferencia!
| | | vissza | | | | | |
|
