Avaleht
uus teema   vasta Uudised »  Turvalisus ja privaatsus »  Eesti ID-kaart on väidetavalt 13 minutiga lahtimuugitav märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale.  :: Teata moderaatorile teata moderaatorile
otsing:  
Tanel
HV Guru
Tanel

liitunud: 01.10.2001



Autoriseeritud ID-kaardiga
sõnum 26.06.2012 12:49:06 Eesti ID-kaart on väidetavalt 13 minutiga lahtimuugitav vasta tsitaadiga

Teadlased leidsid viisi, kuidas RSA SecurID 800 süsteemi 13 minutiga sisse tungida. RSA SecurID 800-d kasutab muu hulgas ka Eesti ID-kaart.

Loe edasi E24-st.

EDIT: paanikaks pole põhjust, loe lähemalt
http://blogs.rsa.com/curry/dont-believe-everything-you-read-your-rsa-securid-token-is-not-cracked/
_________________
Hinnavaatlus.ee - leia parim hind!
HV valuutakalkulaator

viimati muutis Tanel 28.06.2012 19:40:18, muudetud 1 kord
Kommentaarid: 465 loe/lisa Kasutajad arvavad:  :: 12 :: 7 :: 358
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
ranel
HV Guru

liitunud: 28.02.2005
sõnum 26.06.2012 12:56:13 vasta tsitaadiga
Mainida võiks muidugi, et samas eesti id-kaart ei murdu teps mitte 13 minutiga.


edit: ja see uudis on sealt juba ära korjatud
_________________
Mobiilne rehvivahetus Lõuna-Eestis ja rehvide tellimine üle Eesti. www.rsrehvid.ee 53 843 843
Kommentaarid: 186 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 165
tagasi üles
vaata kasutaja infot saada privaatsõnum
nah
HV veteran
nah

liitunud: 17.02.2006
sõnum 26.06.2012 12:58:25 vasta tsitaadiga
On jah uudis ära korjatud - tsensuur? icon_eek.gif
Kommentaarid: 150 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 141
tagasi üles
vaata kasutaja infot saada privaatsõnum
Tanel
HV Guru
Tanel

liitunud: 01.10.2001



Autoriseeritud ID-kaardiga
sõnum 26.06.2012 13:12:10 vasta tsitaadiga
Ars technica viide oli siin -> http://arstechnica.com/security/2012/06/securid-crypto-attack-steals-keys/

tsitaat:
The exploit, described in a paper to be presented at the CRYPTO 2012 conference in August, requires just 13 minutes to extract a secret key from RSA's SecurID 800, which company marketers hold out as a secure way for employees to store credentials needed to access confidential virtual private networks, corporate domains, and other sensitive environments. The attack also works against other widely used devices, including the electronic identification cards the government of Estonia requires all citizens 15 years or older to carry, as well as tokens made by a variety of other companies.

RSA didn't return e-mails seeking comment for this article. According to the researchers, RSA officials are aware of the attacks first described by Bleichenbacher and are planning a fix. SafeNet and Siemens are also in the process of fixing the flaws, they said. The researchers also reported that Estonian officials have said the attack is too slow to be practical.

_________________
Hinnavaatlus.ee - leia parim hind!
HV valuutakalkulaator
Kommentaarid: 465 loe/lisa Kasutajad arvavad:  :: 12 :: 7 :: 358
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
träm
HV vaatleja
träm

liitunud: 13.04.2008
sõnum 26.06.2012 13:18:41 vasta tsitaadiga
Kui mina seda uuringut viimati lugesin, siis selgus seal, et muukimiseks on vaja lisaks 13 minutile ka hulganisti muid tingimusi. Ilmselt on see põhjus, miks artikkel maha võeti. Info oli eksitav.
_________________
Buudi oma JUKU üles! (või loe saatesõna veebiemulaatorile)
Kommentaarid: 6 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 6
tagasi üles
vaata kasutaja infot saada privaatsõnum
MultiUser
HV kasutaja

liitunud: 16.04.2007
sõnum 26.06.2012 13:27:08 vasta tsitaadiga
nah kirjutas:
On jah uudis ära korjatud - tsensuur? icon_eek.gif

Vaata sinna:
http://arstechnica.com/security/2012/06/securid-crypto-attack-steals-keys/

Kui ma lühidalt lugedes asjast õigesti aru sain, siis saab private key kätte allkirjastatud dokumendist. Kui see tõesti nii on, siis on asi ikka väga nutune. Sel juhul peaks oma serdid kohe kinni keerama, enne kui ... (ei taha kohe mõeldagi). icon_confused.gif
Loodetavasti sain ikka väga valesti sellest aru.
tagasi üles
vaata kasutaja infot saada privaatsõnum
Ho Ho
HV Guru
Ho Ho

liitunud: 16.02.2002
sõnum 26.06.2012 13:29:11 vasta tsitaadiga
Jutt käis mõnesaja tuhandest kaardiga tehtavast liigutuseks. ID kaardi puhul jääb 13 minutist selleks selgelt väheks.
_________________
Teach a man to reason and he'll think for a lifetime
Common sense - so rare that it's a damn superpower
Vaadates paljude inimeste sõnavõtte siin ja mujal jääb üle ainult klassikuid tsiteerida - "I weep for humanity"
Kommentaarid: 106 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 86
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
MultiUser
HV kasutaja

liitunud: 16.04.2007
sõnum 26.06.2012 13:56:41 vasta tsitaadiga
Ho Ho kirjutas:
Jutt käis mõnesaja tuhandest kaardiga tehtavast liigutuseks. ID kaardi puhul jääb 13 minutist selleks selgelt väheks.

Just, selleni jõudsin lõpuks ka mina oma arusaamises. Ehk siis põhimõtteliselt peaks tegema ~9400 või siis ~230000 (sõltuvalt "versioonist") allkirjastamist või "tuvastamist", et algne võti kätte saada. Seega on lahtimuukimine reaalne ainult juhul, kui kaart koos PIN koodidega kätte saadakse. Ja sel juhul, mis mõtet seda siis häkkida on?
Erinev oleks situatsioon aga juhul, kui satud veebilehele, mis vaid korra PIN1 küsib ning edasi automaatselt salaja toimetab. Sel juhul läheb samuti üle selle maagilise 13 minuti piiri kuna netiühendus kindlasti aeglustab protsessi. Ja peab ka ise piisavalt pime olema, kui valele lehele satuks...
Lisaks, on PIN1 vaid isikutuvastus, mitte allkiri. Mõned pangad aksepteerivad seda ka ülekannete jaoks, niiet reaalne võimalus tõsisteks jamadeks siiski TEOREETILISELT on.
PIN2 tuleb iga kord uuest sisestada, seega ALLKIRJA serti niisama lihtsalt ikka kätte ei saa.
tagasi üles
vaata kasutaja infot saada privaatsõnum
juhan1000
HV vaatleja

liitunud: 20.05.2007
sõnum 26.06.2012 14:14:35 vasta tsitaadiga
MultiUser kirjutas:
Lisaks, on PIN1 vaid isikutuvastus, mitte allkiri. Mõned pangad aksepteerivad seda ka ülekannete jaoks, niiet reaalne võimalus tõsisteks jamadeks siiski TEOREETILISELT on.

Oskad sa öelda milline pank ülekandeid ainult PIN1'ga teha lubab?
tagasi üles
vaata kasutaja infot saada privaatsõnum
mullavant
HV vaatleja

liitunud: 11.12.2004
sõnum 26.06.2012 14:16:31 vasta tsitaadiga
Allkirjast.

Tsitaat:
-----------------
To forge a signature, we require, due to the extra blinding step, a mean
of 109 000 oracle calls and a median of 69 000 oracle calls to get a valid signature on an arbitrary
message, giving an expected time of 103 hours on a 2048 bit Estonian eID. On a card using 1024 bit
keys, we require a mean of 203 000 calls and a median of 126 000 calls; therefore expect to sign an
arbitrary message in around 48 hours.
-----------------

Eks igaüks otsustab, on see aeg lühike või pikk.
Kommentaarid: 3 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 2
tagasi üles
vaata kasutaja infot saada privaatsõnum
Tanel
HV Guru
Tanel

liitunud: 01.10.2001



Autoriseeritud ID-kaardiga
sõnum 26.06.2012 14:25:05 vasta tsitaadiga
juhan1000 kirjutas:
MultiUser kirjutas:
Lisaks, on PIN1 vaid isikutuvastus, mitte allkiri. Mõned pangad aksepteerivad seda ka ülekannete jaoks, niiet reaalne võimalus tõsisteks jamadeks siiski TEOREETILISELT on.

Oskad sa öelda milline pank ülekandeid ainult PIN1'ga teha lubab?

Sampo ettevõtte kontol vähemalt paar kuud tagasi.
_________________
Hinnavaatlus.ee - leia parim hind!
HV valuutakalkulaator
Kommentaarid: 465 loe/lisa Kasutajad arvavad:  :: 12 :: 7 :: 358
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
MultiUser
HV kasutaja

liitunud: 16.04.2007
sõnum 26.06.2012 14:44:36 vasta tsitaadiga
mullavant kirjutas:
Allkirjast.

Tsitaat:
-----------------
To forge a signature, we require, due to the extra blinding step, a mean
of 109 000 oracle calls and a median of 69 000 oracle calls to get a valid signature on an arbitrary
message, giving an expected time of 103 hours on a 2048 bit Estonian eID. On a card using 1024 bit
keys, we require a mean of 203 000 calls and a median of 126 000 calls; therefore expect to sign an
arbitrary message in around 48 hours.
-----------------

Eks igaüks otsustab, on see aeg lühike või pikk.


Kui seda vaadata niipidi, et mõnel inimesel lihtsalt ongi ID kaart pidevalt lugejas, siis mis see 48 tundi siis ära ei ole icon_wink.gif Seda enam, et ega see ei pea olema järjest. Ehk siis tund korraga päevas ja nii paar kuud. Aga siiski, see eeldab, et pidevalt tehakse sertifitseerimist (kas siis isikutuvastust või allkirjastamist). Ja ka seda, et PIN kood antakse mingile suvalisele "küsijale".
Kõik on siiski kinni selles tihendis klaviatuuri ning tooli vahel. Kui see on ikka piisavalt viletsake, siis pole miskit teha. Aga nende puhul aitaks ilmselt ka kiri Nigeeriast või Somaaliast.
Peab siiski paraku nõustuma, et tegu on vähetõenäolise juhtumiga. Risk on alati olemas, küsimus on vaid selles, et kui tõsine see on.
tagasi üles
vaata kasutaja infot saada privaatsõnum
Sold OUT
no credit
Sold OUT

liitunud: 30.07.2002



Autoriseeritud ID-kaardiga
sõnum 26.06.2012 15:01:59 vasta tsitaadiga
Tanel kirjutas:
juhan1000 kirjutas:
MultiUser kirjutas:
Lisaks, on PIN1 vaid isikutuvastus, mitte allkiri. Mõned pangad aksepteerivad seda ka ülekannete jaoks, niiet reaalne võimalus tõsisteks jamadeks siiski TEOREETILISELT on.

Oskad sa öelda milline pank ülekandeid ainult PIN1'ga teha lubab?

Sampo ettevõtte kontol vähemalt paar kuud tagasi.


Sampo eraisiku kontol ka. Väga hea ja mugav, ei pea pinnidega jebima... kuigi mul pin1 ja pin2 peaaegu identsed... pin2 lisatud veel 1 number
_________________
People have been calling for a month and we've been sold out for a week or so.
Kommentaarid: 92 loe/lisa Kasutajad arvavad:  :: 5 :: 1 :: 79
tagasi üles
vaata kasutaja infot saada privaatsõnum
mullavant
HV vaatleja

liitunud: 11.12.2004
sõnum 26.06.2012 15:10:11 vasta tsitaadiga
Pikem jutt ründevektorist ka siiajuurde:

tsitaat:


Attack Vector Unlike the cryptographic devices discussed above, the Estonian eID card does not
allow the import of keys, so our attack here does not rely on the unwrap operation. Instead we consider
attacks using the padding oracle provided by the decryption function of the DigiDoc software, part
of the ocial ID software package developed by the Estonian Certi cation Center, Estonia's only
CA [10]. We note that the attack succeeds with any application that returns whether decryption
with the eID card succeeds. Our experiments were conducted using the Java library of DigiDoc,
called JDigiDoc. DigiDoc encrypts data using a hybrid encryption scheme, where a 128-bit AES key
is encrypted under a public key. First we tested the Estonian ID card's decryption function using
raw PKCS#11 calls and con rmed that it checks padding correctly. We then observed that with the
default con guration, when attempting to decrypt, e.g., an encrypted email, JDigiDoc writes a log le
of debug information that includes the padding errors for the 128-bit AES key that is encrypted under
the public key. This behavior has been observed with JDigiDoc version 2.3.19, and the latest version
(3.6.0.157) does not seem to change it. Any application built on JDigiDoc, that reveals whether
decryption succeeds, e.g., by leaking the contents of the log le, provides an attacker with a suitable
padding oracle. The information in JDigiDoc's log le gives an attacker access to essentially an FFT
oracle but with additional length information. The length information allows us to adjust the 2B and
3B - 1 bounds used in the attack, though in our experiments this made little di erence.

In tests, the Estonian ID card, using 2048 bit keys, was able to perform 100 decryptions in 340
seconds. This means that for our optimised attack, where 28 300 decryptions are required, we would
need about 96 200 seconds, or about 27 hours to decrypt an arbitrary valid ciphertext. For ID cards
using 1024 bit keys, each decryption should be four times faster, while 49 000 decryptions are required;
therefore we estimate a time of about 41 700 seconds, or about 11 hours and 30 minutes to decrypt an
arbitrary valid ciphertext.

Kommentaarid: 3 loe/lisa Kasutajad arvavad:  :: 0 :: 1 :: 2
tagasi üles
vaata kasutaja infot saada privaatsõnum
warwas
HV Guru
warwas

liitunud: 06.07.2003



Autoriseeritud ID-kaardiga
sõnum 26.06.2012 15:10:46 vasta tsitaadiga
juhan1000 kirjutas:
MultiUser kirjutas:
Lisaks, on PIN1 vaid isikutuvastus, mitte allkiri. Mõned pangad aksepteerivad seda ka ülekannete jaoks, niiet reaalne võimalus tõsisteks jamadeks siiski TEOREETILISELT on.

Oskad sa öelda milline pank ülekandeid ainult PIN1'ga teha lubab?

SEB pangalingi maksed näiteks.
Kommentaarid: 247 loe/lisa Kasutajad arvavad:  :: 0 :: 3 :: 224
tagasi üles
vaata kasutaja infot saada privaatsõnum
Strom
HV vaatleja
Strom

liitunud: 11.11.2002
sõnum 26.06.2012 16:55:57 vasta tsitaadiga
MultiUser kirjutas:
Seega on lahtimuukimine reaalne ainult juhul, kui kaart koos PIN koodidega kätte saadakse. Ja sel juhul, mis mõtet seda siis häkkida on?

Kaardi kloonimiseks, ja see murdmine saab toimuda ka läbi viiruse. Suureks paanikaks pole põhjust aga reaalne rünnaku võimalus ikkagi.

PS. Täpselt sama uudis käis siit juba paar nädalat tagasi läbi https://foorum.hinnavaatlus.ee/viewtopic.php?t=539055
Kommentaarid: 4 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 4
tagasi üles
vaata kasutaja infot saada privaatsõnum
Manivald
HV kasutaja
Manivald

liitunud: 28.10.2005
sõnum 27.06.2012 11:33:22 Re: Eesti ID-kaart on väidetavalt 13 minutiga lahtimuugitav vasta tsitaadiga
Tanel kirjutas:

Teadlased leidsid viisi, kuidas RSA SecurID 800 süsteemi 13 minutiga sisse tungida. RSA SecurID 800-d kasutab muu hulgas ka Eesti ID-kaart.

Loe edasi E24-st.


Midagi sellist ennustas ka ju üks TTÜ teadlane, kes praegu kinnimajas istub teatud põhjustel. Sellest oli juttu paar aastat tagasi ühes AM'is.
Kommentaarid: 10 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 10
tagasi üles
vaata kasutaja infot saada privaatsõnum
pisi
HV vaatleja
pisi

liitunud: 14.08.2003
sõnum 28.06.2012 19:20:18 vasta tsitaadiga
Lähemalt: http://blogs.rsa.com/curry/dont-believe-everything-you-read-your-rsa-securid-token-is-not-cracked/
_________________
pisi - maailmaparandaja ja muidumees
tagasi üles
vaata kasutaja infot saada privaatsõnum
hallhunt
Piiratud kasutaja
hallhunt

liitunud: 24.11.2007
sõnum 17.07.2012 15:21:13 vasta tsitaadiga
siinkohal tekib küsimus:kui paljud reaalselt on teinud paarsada tuhat liigutust kaardiga?
_________________
Ära taha olla see,kes sa ei ole.Ole see,kes sa oled ja peagi märkad et olid see,kes tahtsid olla
Kommentaarid: 25 loe/lisa Kasutajad arvavad:  :: 5 :: 0 :: 15
tagasi üles
vaata kasutaja infot saada privaatsõnum
näita postitusi alates eelmisest:   
uus teema   vasta Uudised »  Turvalisus ja privaatsus »  Eesti ID-kaart on väidetavalt 13 minutiga lahtimuugitav
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.