Bejelentkezés

Aktuális híreink:
  • Pause
  • Previous
  • Next
1/9
 

MELASZ - Magyar Elektronikus Aláírás Szövetség

MELASZ Állásfoglalás a biometrikus aláírások alkalmazása tekintetében

E-mail Nyomtatás PDF
MELASZ Állásfoglalás a biometrikus aláírások alkalmazása tekintetében 
A biometrikus aláírás, azon belül az elektronikus kézi aláírás jogszabályi értelemben is elektronikus aláírásnak tekinthető. Nem teljesíti azonban sem a minősített elektronikus aláírásra, sem a fokozott biztonságú elektronikus aláírásra vonatkozó követelményeket. Kiegészítő megoldásokkal fokozható az elektronikus kézi aláírás által nyújtott biztonsági szint, így jelenleg is léteznek olyan megoldások, amik a biometrikus aláírást PKI megoldásokkal ötvözik. 
Egy biometrikus aláíráson alapuló, egyéb módszerekkel megerősített megoldással akkor hozható létre az Állásfoglalásnak megfelelően fokozott biztonságú aláírás, ha az erre vonatkozó követelményeknek való megfelelés bizonyításra kerül. A MELASZ Állásfoglalásnak való megfelelés akkor állapítható meg az elvárt bizonyossággal, ha azt egy akkreditált megfelelőségértékelő szervezet ellenőrizte és tanúsította. Az ilyen megoldások kialakítása és értékelése során különös alapossággal kell eljárni, tekintettel arra, hogy az ilyen jellegű megoldások fokozott biztonságú aláírásként való elfogadottságának nincs nemzetközi szabványkörnyezete, feltételrendszere és gyakorlata. 
A Magyar Elektronikus Aláírás Szövetség ezen nem szabályozott terület tisztázása érdekében adta ki jelen állásfoglalását és annak indoklását. Az indoklásban részletesen elemezzük a biometrikus aláírások bizalmi szintjét, és a lehetőségeket ennek erősítésére, s azt az ebből származó követelményrendszert, ami alapján az ilyen megoldások fokozott biztonságú aláírás létrehozására alkalmasnak tekinthetők. 
Megjegyezzük, hogy jelenleg a PKI az egyetlen olyan, széles körben vizsgált, nemzetközi műszaki standardokkal és megfelelőségértékelési rendszerrel rendelkező technológia, amely a fokozott biztonságú illetve minősített aláírás követelményeit önmagában is kielégíti. Ez alapján, amennyiben fokozott biztonságú elektronikus aláírás készítésére van szükség, feltétlenül ajánlott a PKI alapú megoldások alkalmazása. 

Letöltés és további információ: 
Az állásfoglalás és indoklásának értelmezésével kapcsolatosan, valamint amennyiben a megfelelőségértékelésre vonatkozóan vagy egyéb tekintetben további információkra van szüksége forduljon a MELASZ-hoz, az Ezt a címet a spamrobotok ellen védjük. Engedélyezze a Javascript használatát, hogy megtekinthesse. címen. 
Módosítás: ( 2016. április 09. szombat, 06:07 )
 

SHA-1: ütközőzóna

E-mail Nyomtatás PDF

Bruce Schneier blogjára 2015. október 8-án került fel a Marc Stevens vezette csapat tanulmánya az első teljes (80 körös) SHA-1 ütközésről. Az "első teljes" jelző csak annyiból igaz, hogy korábban a "Malicious SHA-1" csapat tagjai már tudtak módosított konstans értékekkel 80 körös ciklus végére ütközést produkálni, a mostani esetnél a konstansok ugyan már szabványosak, de az IV értékét még módosítani kellett (a szabványos Initialization Vector: H0..H4 az IETF RFC 3174 dokumentumban található). Ettől függetlenül ez nagy eredmény és bár Bruce bácsi azt mondja, hogy "don't panic", emlékszünk rá, hogy az MD5-nél is ugyanígy kezdődött a haláltusa, ezért ő is hozzáteszi, hogy "but prepare for a future panic".

Mennyire volt nehéz ilyen ütközést létrehozni? A kutatók azt állítják, hogy "only 10 days of computation on a 64 GPU cluster were necessary to perform the attack". Ha HW-közelibb eszközöket (FPGA vagy ASIC) használtak volna, akkor lehet, hogy még ennél is hamarabb sikerül nekik... A megadott test vector adatai mindenesetre jók: a két különböző üzenet esetén valóban létrehozható ugyanaz az SHA-1 lenyomat érték (80. kör végén, de módosított IV-vel).

Vajon mennyire fogja ez az eredmény befolyásolni az SHA-1 algoritmuson alapuló kulcsok elfogadását? Bár, a Microsoft is közzétett korábban figyelmeztetést, hogy a hitelesítés-szolgáltatók ne használják már az újonnan kiadott végfelhasználói tanúsítványoknál (code signing és SSL/TLS web server eseteket említ csak) az SHA-1 algoritmust, mert ezeket nem fogja tudni érvényesnek találni 2016. január 1. után, azonban a CA tanúsítványok esetleges visszavonására még nem utal a bejegyzés. Pedig annak idején, amikor a Flame megmutatta, hogy mekkora problémát lehet okozni azzal, hogy MD5 ütközés révén, egy MD5-RSA aláírással ellátott code signing tanúsítványt létrehozva és a "Microsoft Root Authority" (CA) alá betagozódva módosított Microsoft update állományokat írnak alá, akkor a Microsoft azonnali hatállyal kitörölte az összes MD5-alapú CA tanúsítványt az operációs rendszereinek kulcstáraiból. Vajon lesz-e most ilyen akció, látva, hogy inkább pont ennek az ellenkezőjéért (a határidő 2016. december 31-re való kiterjesztéséért) megy a lobby ("The purpose of the ballot is to allow the issuance of SHA-1 certificates through 2016, with maximum Expiry Date of 31 December 2016.")?

Módosítás: ( 2015. október 16. péntek, 07:55 )
 

Karinthy és Sony

E-mail Nyomtatás PDF

A Sony-ra rájár a rúd... Pár évvel ezelőtt a pingvines felhasználók nyertek csatát és ezáltal lehetőséget arra, hogy bármit tudjanak futtatni a Sony PlayStation 3 konzolokon. A 27. Chaos Communication Conference (27C3) rendezvényen (2010. december 29-én) a fail0verflow tagjai által tartott előadás megmutatta, hogy nemcsak jó kriptográfiai algoritmusok kellenek, hanem jól is kell tudni őket alkalmazni (és pl. nem illik a random értéket beégetni az ECDSA aláírások titkos paramétereinél, ahogy azt a Sony fejlesztői tették).

Azóta eltelt négy év és ismét céltáblává vált a vállalat, igaz, ezúttal a filmekért felelős Sony Pictures Entertainment részleg (amely többek közt a Columbia Pictures, TriStar Pictures és a Metro-Goldwyn-Mayer cégeket is magába olvasztotta korábban). Az észak-koreai diktátorról szóló film - The Interview - bemutatása (tervezett dátum: 2014. december 11.) elleni tiltakozásul 2014. november 24-e előtt valamikor, valakik betörtek a rendszerbe, és - mint utólag láttuk - gyakorlatilag minden mozdítható adatot letöltöttek. Ezekről sokfelé sokfélét lehetett már olvasni, a jelen cikk a Kaspersky Lab blogján megjelent érdekességet járja röviden körül.

A Kaspersky Lab egy olyan malware mintát kapott 2014. december 4-én, amely a Sony nevére kiállított, DigiCert CA (pl. a Windows operációs rendszerek által megbízható CA) alá tartozó code signer tanúsítvánnyal került aláírásra. Bár, állítólag a konkrét, elfogott minta csak egy kísérletező mérnök proof-of-concept terméke, a tény attól még tény: legalább egy code signer titkos kulcs kiszivárgott a támadás során, amelyet egészen a 2014. december 7-i visszavonásig mindenféle futtatható állomány, library aláírására akár illetéktelenek is tudtak használni. (Megjegyzés: Bár, a CSOnline cikke 2014. december 7-i dátumot tartalmazó CRL-ről rakott fel egy képet, a mai napon – 2014. december 21. – azt lehet látni, hogy mind a CRL-ben, mind az OCSP válaszban 2014. november 1-jét jelölik meg a visszavonás dátumaként. Mintha utólag bütyköltek volna a CA rendszeróráján...)

A kérdés az, hogy vajon tényleg felhasználták-e ezt a kulcsot a támadók? A Flame kapcsán 2012. június 4-én már láthattuk, hogy mire képes egy megbízható root CA alá tartozó code signer tanúsítvány: a célzott támadás során malware-ek kerültek fel Windows update formájában különböző gépekre, amelyek a kritikus infrastruktúra részét képezték. A Sony esetében nem annyira a Windows lehet érdekes, hanem a hatalmas mennyiségű erőforrással rendelkező konzolgépek: a Sony PlayStation 4. A sok GPU mag csábító lehet, amikor lenyomatok alapján jelszavakat kell törni, de ugyanígy hasznos lehet néhány Bitcoin legyártásánál is. A konzolokról még nem érkezett hír, de a PlayStation Network környékén már jelentkeztek problémák a CNET szerint...

Hogy mire derül még fény a kiszivárgott adatok révén a Sony vagy más magánéletéből, azt nem tudom, de az okot adó film a (kiber)terrorizmus elleni küzdelem és a véleménynyilvánítási szabadság jelképévé válhat. A Sony bástyája megrogyott ugyan, de helyét rengeteg újabb bástya veheti át ebben a küzdelemben, ha a BitTorrent hálózatra felkerül minden. Ezzel adva példát a gondolatnak: „Nem mondhatom el senkinek, Elmondom hát mindenkinek” /Karinthy Frigyes/

A teljes cikk letölthető innenhttp://melasz.hu/lang-hu/remository?func=startdown&id=179

Módosítás: ( 2014. december 23. kedd, 12:22 )
 

Kutatók Éjszakája - ahol a MELASZ is ott van

E-mail Nyomtatás PDF
Ismét megrendezik a Kutatók Éjszakáját, ahová az ISZE jóvoltából a MELASZ is meghívást kapott. Természetesen örömmel tettünk eleget a felkérésnek, hiszen bőségesen van olyan téma szerintünk, ami érdekes lehet ezen a késői órán is. 
Témakörnek azt választottuk, ami ma az elektronikus világ terjedésével és egyeduralmával alapkérdéssé vált: mi a hiteles az interneten és mi nem az? Vajon hogyan lehet megkülönböztetni ezeket egymástól és mi történik, ha erre nincs lehetőségünk?
Ebben a rövid prezentációban ezeket a kérdéseket járjuk körbe, gyakorlati példákkal és elméleti háttérrel egyaránt meghintve.
Nagyon köszönjük a lehetőséget és bízunk abban, hogy ismét sikerül olyan tudásmorzsákat elhinteni, amelyek közelebb visznek minket az elektronikusan hiteles világhoz.
Az eseményről bővebb információk itt olvashatók: http://www.kutatokejszakaja.hu/2014/esemenynaptar/esemeny.php?id=3808&menu_id=4
Módosítás: ( 2014. szeptember 11. csütörtök, 18:52 )
 
Oldal 1 / 3
Hungarian (formal)