Uszczelnienie podpisu elektronicznego

Kalifornijska firma Network Associates z Santa Clara, nadzorująca prace nad oprogramowaniem związanym z podpisem cyfrowym potwierdziła istnienie luki w oprogramowaniu i nawiązała już kontakt z czeskimi informatykami, którym udało się złamać zabezpieczenia.

Czescy programiści, Vlastimir Klima i Tomas Rosa z firmy komputerowej Decros (z grupy „ICZ”), którzy znaleźli lukę w oprogramowaniu związanym z podpisem cyfrowym, w piątek ogłosili w Internecie szczegóły techniczne swojego odkrycia.

„Błąd, którzy wykryli Czesi, zawarty jest w implementacji, czyli metodzie ukrywania klucza i przechowywania danych algorytmu podpisu cyfrowego w pliku na dysku komputera, nie zaś w samych algorytmach kryptograficznych” – wyjaśnia dr Aleksander Wittlin z Instytutu Matematycznego PAN.

Oprogramowanie podpisu elektronicznego oparte jest na znanym internautom programie szyfrującym „Pretty Good Privacy” (PGP), który około 10 lat temu został udostępniony publicznie wraz z kodem źródłowym przez Amerykanina Phila Zimmermana. Była to próba zapewnienia prywatności użytkownikom poczty elektronicznej.

„Dzięki temu, że program ten został udostępniony wraz z kodem źródłowym do powszechnego użytku, na przestrzeni ostatnich lat znaleziono w nim i poprawiono kilka błędów. Jest to zgodne z ogólną zasadą kryptologii, która polega na tym, że algorytm szyfrujący powinien być jawny, bowiem wówczas wiele osób ma możliwość weryfikowania go” – wyjaśnia dr Wittlin.

Mechanizm podpisu cyfrowego oparty jest na zasadzie asymetrycznego klucza, to znaczy potrzebny jest klucz prywatny do podpisania dokumentu i klucz publiczny do weryfikacji podpisu. Klucz prywatny jest znany wyłącznie użytkownikowi i jego poufność to jeden z najważniejszych elementów bezpieczeństwa podpisu. Klucz publiczny natomiast powinien być znany wszystkim korespondentom jego posiadacza. Dzięki kluczowi publicznemu są oni w stanie zweryfikować tożsamość autora podpisanego elektronicznie dokumentu.

Przyszły właściciel elektronicznego podpisu sam stwarza klucz prywatny przy instalacji programu. Tworząc taki klucz komputer wykorzystuje losowo wybraną liczbę. Sam klucz przechowywany jest w pliku na dysku w komputerze użytkownika w postaci zaszyfrowanej. Złamanie szyfru chroniącego ten klucz prywatny nie jest przy obecnym stanie wiedzy możliwe. Czescy programiści znaleźli jednak w powszechnie używanych wersjach programu PGP sposób na dotarcie do klucza prywatnego bez łamania szyfru chroniącego ten klucz.