[Sults]

[KohviPaus]

Sults, Nagu ma enne juba mainisin, see kui sa suudad endale kuskilt keyloggeri muretseda siis ei ole see küll kuskilt otsast ID-Kaardi turvaviga. Puhtalt tihendi probleem ja süüdistada pole küll kedagi teist peale enda.

[Sults]

[KohviPaus]

Kust ma tean? Mine küsi pangast.

[Tanel]

Kas ei piiratud mitte korduvkasutatavate koodidega kaartide limiite?
Sampol või Nordeal oli veel aastaid tagasi ühekordsed koodid paberil, ma ei tea kuidas nüüd on.
Need on iseenesest küll väga turvalised, aga suht ebamugav kasutada, A4 pabereid enda lähedal hoida ja kaasas vedada.

Sellist keyloggerit või õigemini programmi, mis suudaks ID-kaarti kuritarvitada nähtamatult kasutaja teadmata, pole teadaolevalt (veel) olemas.
Loomulikult ei saa seda välistada, et selline programm võidakse kunagi tulevikus luua, kuna nüüd on kriitiline mass kasutajaid olemas, järelikult vähemalt teoreetiline huvi selleks kurikaeladel olemas.
Kui on väikenegi kahtlus sees, et kasutatav arvuti pole puhas, siis kasutada mobiil-ID. Arvuti puhtuse ja turvalisuse eest peab aga loomulikult konstantselt hoolitsema.

[LKits]

See on ju igivana probleem - täpselt sama pangakaartidega. Konkreetset keyloggerit küll ei kasutata (vahel ka kasutatakse - mingid paneelid), aga kaamera teeb oma töö. Siis varastatakse kaart ära ja halba kui palju.

Kas see PIN-padiga kaardilugeja ei söödagi siis arvutile numbreid otse ette, vaid mingil moel krüpteeritult? Seda häkkida ei saagi? Tegemist ju lihtlabase klaviatuuriga, mis töötab enamvähem samal põhimõttel, mis arvutiklaviatuurgi. Kogu info käib ikkagi ju läbi arvuti ja kui häkkerprogramm on arvutis, siis saab ju kõike infot ikkagi mõjutada/salvestada.

[Tanel]

[LKits]

Mingil moel peab see info ju arvutini jõudma, sest kogu info liikuvus toimub ju läbi arvuti. Või kas sellel PIN-padiga lugejal on SIM kaart sees (ehk mobiilne ühendus) või mingi WiFi?

[Tanel]

[LKits]

Mis tähendab, et seadme ja arvuti vaheline ühendus on karmilt krüpteeritud. Ega seda vist lihtsalt lahti ei murra... kergem on ikka spioonitööd jätkata ja kood lihtsate vahendite abil kätte saada - telefonikaamera näiteks.
Ega pangaautomaadi ees telefoniga rääkimist emuleerida pole ka raske - kaamera tööle, näed PIN-koodid ära ja ongi kõik. Nüüd vaja ainult kaart kätte saada.

Lahendus probleemile - pole vaja igas arvutis enda turvaliste kasutajatega sisse logida. Tegin selle enda naisele samuti selgeks, et olgu ikka väga ettevaatlik enne, kui lambikas arvutis ID-kaardiga möllama hakkab. Samuti Facebook, Gmail jne.

[sukelduja]

Mul isegi vedeleb riiulis üks cardman 8630 . Kahjuks seda uuema softiga käima saada ei õnnestu.

[priitr]

PIN-klaviatuuriga lugeja tööpõhimõte väga lihtsustatult on umbes selline.
1. ID-kaardil asuvat RSA privaatvõtit kasutada sooviv rakendus 'teab', et tal on kasutada PIN-klaviatuuriga lugeja.
2. Rakendus saadab kaardilugejale käsu, milles andmetena sisaldub kaardile saadetava PIN'i kontrollimise käsu mall - <käsk lugejale <kontrolli pin <pin_andmed>>>, kus pin_andmed asemel on tühjus.
3. Kaardilugeja algatab PIN'i lugemise ja selle lõpetamisel täidab mallis pin_andmed saadud märkidega.
4. Kaardilugeja saadab kaardile käsu <kontrolli pin <pin_andmed>>. Tulemuse - õige/vale - saadab ta rakendusele tagasi. Kogu PIN'i andmete töötlus toimub ainult kaardilugeja sees, arvuti/rakendus PIN'i ei näe.
5. Rakendus saadab kaardile andmed, mida on vaja RSA võtmega töödelda, kaart tagastab soovitud kujul tulemuse.

Tundub kena ja korrektne, eh? Tõepoolest, rakendused enam põhimõtteliselt PIN'i näha ei saa. Kõik korras?
Reaalselt paraku asjad nii ilusad ei ole. Sihitud pahavara seisukohast pole PIN üldse oluliline, oluline on, et kasutaja selle korraks sisestaks ja kaardi autendituna sisse jätaks. Kasutaja mugavuse huvides tohib autentimisvõtit peale PIN'i kontrollimist kasutada, kuni kaardi olek ei muutu (lihtsustatult). Seega saab pahavara endiselt saata autentimispäringuid kaardi omaniku identiteeti kasutades.
PIN2, digiallkirjaga seotud RSA võtme autentimiskood, kehtib ainult 1 kasutuskorra, misjärel tuleb võtme kasutamiseks end uuesti autentida. See välistab PIN-klaviatuuriga lugeja kasutamisel massilise digiallkirjade andmise. Õnnetuseks ei aita aga ka PIN-klaviatuuri olemasolu kuidagi selle probleemi vastu, et kasutaja reaalselt ei tea, milliseid andmeid ta oma digiallkirjaga kinnitab. Suunatud pahavara võib vabalt allkirjastamisele mineva dokumendiräsi sobivama vastu vahetada ja kasutajale näiteks öelda 'ID-kaart tagastas vea'. Või misiganes parasjagu pähe tuleb, vead ID-kaardiga tegelemisel on ju tavalised ja ei tule kasutajale erilise üllatusena.
Turvalisusele ei aita sugugi kaasa ka see, et erinevad rakendused reaalselt jagavad sama kaarti oma tegutsemise käigus. Juba selle kompoti töökorras hoidmine ühtsete lukustusmehanismide puudumisel (CSP vs opensc Windowsi all) tundub üle jõu käiva ülesandena...
Omaette teema on rakenduste käitumine PIN-klaviatuuriga lugejate kasutamisel. 10 aasta jooksul on baastarkvara ja brauserid enam-vähem selgeks saanud, et kõigi kiipkaartide kasutajate autentimise jaoks polegi vaja parooli küsida, aga ilmselt läheb veel palju aastaid enne, kui ka näiteks PIN-vahetused erinevates keskkondades erinevate lugejatega korrektselt toimivad.

Täiesti süsteemivälise isikuna ei oska ma väga kommenteerida RIA otsust just GemPC PinPad valida, aga veider tundub see mulle küll. Nimelt, olles proovinud mitmeid erinevaid class2/3 ccid ja muid kaardilugejaid, on Gemalto GemPC Pinpad üks vähestest, mida _põhimõtteliselt_ ei ole saanud Eesti ID-kaardiga kasutada. Ei Windowsi, ei Linuxi all. Põhjuseks riistvaraline (firmware?) piirang PIN'i pikkusele, mis antud lugeja puhul võib olla kuni 8 sümbolit. ID-kaart teatavasti toetab 4-12 märgilisi PIN'e. Võib ju mõelda, et kui paljudel siis ikka selliseid on, enamasti ju ikka vaid 4-5-8, aga konks on selles, et kaardilugejale saadetavas käsus on PIN-i pikkuste vahemik sees ja see lugeja tagastab vea ID-kaardile sobiva malli saatmisel. Veebistki võib selle probleemi kohta infot leida.
Muidugi ei tea ma hanke detaile; täiesti võimalik, et Gemalto meile sobiva parandatud versiooniga välja tuleb.

Mis on selle jutukese moraal? Võib-olla selles, et kasutage ID-kaarti ainult kohas, kus olete enam-vähem kindel pahavara puudumises. Eriti siis, kui teilt tõepoolest midagi võtta on ja teised sellest teavad.
Mida arvata PIN-klaviatuuriga lugejatest? Võiks öelda, et kui arvutis, kus te ID-kaarti kasutate, pahavara ei ole, siis PIN-klaviatuuriga lugeja midagi juurde ei anna . Kui aga on, siis turvalisuse kasv suunatud rünnete korral PIN-klaviatuuriga lugeja kasutamisel on reaalselt paraku minimaalne.

[Mnator]

Võib-olla hoopis olematu turvalisus? Seda lühivärki lugedes tekib kohe küsimus, et miks sellele hüpoteetilisele pahavarale üldse sel juhul pin-kood, emuleerigu vaid muudele rakendustele nagu oleks kaardilugeja vastanud OK..............

[priitr]

[Mnator]

See võib olla selle lühivärgi lugemisel tekkinud väärmõte aga pööra minu tekstis tähelepanu sõnale "emuleerigu". S.t. kaart võib selle pahavara tegutsemise momendil siis hoopiski puududa, et tal vaja vaid korraks ära fikseerida milline on õige "OK"-sõnum jne. Aga võib-olla mul tekkis vale mulje.

[priitr]

[mikk36]

Mnator, ID-kaardil asub sinu privaatvõti, millega krüpteeritakse sõnumeid. Kui ID-kaart ei tunne ära, et sellele on õige PIN antud, siis ei ole see nõus ka sinu saadetud sõnumeid krüpteerima.

[LKits]

Üks järgmisi samme olekski siis rakenduste häkkimine. Ehk, kui klient tahab allkirjastada "asdf.doc" faili, siis hoopis allkirjastatakse "qwerty.doc", aga kliendile antakse teada, et "asdf.doc" allkirjastamine ebaõnnestus vms. Selline programmi muutmine pole just väga raske ja kliendil pole õrna aimu ka, et "qwerty.doc" allkirjastatud sai.

[Ho Ho]

Kogu ID kaardi värgendus on üles ehitud ajatempli peale ning seda ei ole võimalik mingil moel emuleerida. Vajalik on nii ühendus SK serverite kui ka samal ajahetkel füüsilise ID kaardiga.

[sukelduja]

[Mnator]

Te ei saa, nagu näha, korralikult aru minu uitmõttest. Aga loodetavasti see on üldse vale...liiga lihtne, et olla õige....

[LKits]

[sukelduja]

[Ho Ho]

Pole veel kuulnud signeeritud mängudest PC peal või online protokolle mis kasutaks ajatempli teenuseid

[priitr]