Bejelentkezés

Aktuális híreink:
  • Pause
  • Previous
  • Next
1/9
 

MELASZ - Magyar Elektronikus Aláírás Szövetség

SHA-1: ütközőzóna

E-mail Nyomtatás PDF

Bruce Schneier blogjára 2015. október 8-án került fel a Marc Stevens vezette csapat tanulmánya az első teljes (80 körös) SHA-1 ütközésről. Az "első teljes" jelző csak annyiból igaz, hogy korábban a "Malicious SHA-1" csapat tagjai már tudtak módosított konstans értékekkel 80 körös ciklus végére ütközést produkálni, a mostani esetnél a konstansok ugyan már szabványosak, de az IV értékét még módosítani kellett (a szabványos Initialization Vector: H0..H4 az IETF RFC 3174 dokumentumban található). Ettől függetlenül ez nagy eredmény és bár Bruce bácsi azt mondja, hogy "don't panic", emlékszünk rá, hogy az MD5-nél is ugyanígy kezdődött a haláltusa, ezért ő is hozzáteszi, hogy "but prepare for a future panic".

Mennyire volt nehéz ilyen ütközést létrehozni? A kutatók azt állítják, hogy "only 10 days of computation on a 64 GPU cluster were necessary to perform the attack". Ha HW-közelibb eszközöket (FPGA vagy ASIC) használtak volna, akkor lehet, hogy még ennél is hamarabb sikerül nekik... A megadott test vector adatai mindenesetre jók: a két különböző üzenet esetén valóban létrehozható ugyanaz az SHA-1 lenyomat érték (80. kör végén, de módosított IV-vel).

Vajon mennyire fogja ez az eredmény befolyásolni az SHA-1 algoritmuson alapuló kulcsok elfogadását? Bár, a Microsoft is közzétett korábban figyelmeztetést, hogy a hitelesítés-szolgáltatók ne használják már az újonnan kiadott végfelhasználói tanúsítványoknál (code signing és SSL/TLS web server eseteket említ csak) az SHA-1 algoritmust, mert ezeket nem fogja tudni érvényesnek találni 2016. január 1. után, azonban a CA tanúsítványok esetleges visszavonására még nem utal a bejegyzés. Pedig annak idején, amikor a Flame megmutatta, hogy mekkora problémát lehet okozni azzal, hogy MD5 ütközés révén, egy MD5-RSA aláírással ellátott code signing tanúsítványt létrehozva és a "Microsoft Root Authority" (CA) alá betagozódva módosított Microsoft update állományokat írnak alá, akkor a Microsoft azonnali hatállyal kitörölte az összes MD5-alapú CA tanúsítványt az operációs rendszereinek kulcstáraiból. Vajon lesz-e most ilyen akció, látva, hogy inkább pont ennek az ellenkezőjéért (a határidő 2016. december 31-re való kiterjesztéséért) megy a lobby ("The purpose of the ballot is to allow the issuance of SHA-1 certificates through 2016, with maximum Expiry Date of 31 December 2016.")?

Módosítás: ( 2015. október 16. péntek, 07:55 )
 

Karinthy és Sony

E-mail Nyomtatás PDF

A Sony-ra rájár a rúd... Pár évvel ezelőtt a pingvines felhasználók nyertek csatát és ezáltal lehetőséget arra, hogy bármit tudjanak futtatni a Sony PlayStation 3 konzolokon. A 27. Chaos Communication Conference (27C3) rendezvényen (2010. december 29-én) a fail0verflow tagjai által tartott előadás megmutatta, hogy nemcsak jó kriptográfiai algoritmusok kellenek, hanem jól is kell tudni őket alkalmazni (és pl. nem illik a random értéket beégetni az ECDSA aláírások titkos paramétereinél, ahogy azt a Sony fejlesztői tették).

Azóta eltelt négy év és ismét céltáblává vált a vállalat, igaz, ezúttal a filmekért felelős Sony Pictures Entertainment részleg (amely többek közt a Columbia Pictures, TriStar Pictures és a Metro-Goldwyn-Mayer cégeket is magába olvasztotta korábban). Az észak-koreai diktátorról szóló film - The Interview - bemutatása (tervezett dátum: 2014. december 11.) elleni tiltakozásul 2014. november 24-e előtt valamikor, valakik betörtek a rendszerbe, és - mint utólag láttuk - gyakorlatilag minden mozdítható adatot letöltöttek. Ezekről sokfelé sokfélét lehetett már olvasni, a jelen cikk a Kaspersky Lab blogján megjelent érdekességet járja röviden körül.

A Kaspersky Lab egy olyan malware mintát kapott 2014. december 4-én, amely a Sony nevére kiállított, DigiCert CA (pl. a Windows operációs rendszerek által megbízható CA) alá tartozó code signer tanúsítvánnyal került aláírásra. Bár, állítólag a konkrét, elfogott minta csak egy kísérletező mérnök proof-of-concept terméke, a tény attól még tény: legalább egy code signer titkos kulcs kiszivárgott a támadás során, amelyet egészen a 2014. december 7-i visszavonásig mindenféle futtatható állomány, library aláírására akár illetéktelenek is tudtak használni. (Megjegyzés: Bár, a CSOnline cikke 2014. december 7-i dátumot tartalmazó CRL-ről rakott fel egy képet, a mai napon – 2014. december 21. – azt lehet látni, hogy mind a CRL-ben, mind az OCSP válaszban 2014. november 1-jét jelölik meg a visszavonás dátumaként. Mintha utólag bütyköltek volna a CA rendszeróráján...)

A kérdés az, hogy vajon tényleg felhasználták-e ezt a kulcsot a támadók? A Flame kapcsán 2012. június 4-én már láthattuk, hogy mire képes egy megbízható root CA alá tartozó code signer tanúsítvány: a célzott támadás során malware-ek kerültek fel Windows update formájában különböző gépekre, amelyek a kritikus infrastruktúra részét képezték. A Sony esetében nem annyira a Windows lehet érdekes, hanem a hatalmas mennyiségű erőforrással rendelkező konzolgépek: a Sony PlayStation 4. A sok GPU mag csábító lehet, amikor lenyomatok alapján jelszavakat kell törni, de ugyanígy hasznos lehet néhány Bitcoin legyártásánál is. A konzolokról még nem érkezett hír, de a PlayStation Network környékén már jelentkeztek problémák a CNET szerint...

Hogy mire derül még fény a kiszivárgott adatok révén a Sony vagy más magánéletéből, azt nem tudom, de az okot adó film a (kiber)terrorizmus elleni küzdelem és a véleménynyilvánítási szabadság jelképévé válhat. A Sony bástyája megrogyott ugyan, de helyét rengeteg újabb bástya veheti át ebben a küzdelemben, ha a BitTorrent hálózatra felkerül minden. Ezzel adva példát a gondolatnak: „Nem mondhatom el senkinek, Elmondom hát mindenkinek” /Karinthy Frigyes/

A teljes cikk letölthető innenhttp://melasz.hu/lang-hu/remository?func=startdown&id=179

Módosítás: ( 2014. december 23. kedd, 12:22 )
 

Trusted List

E-mail Nyomtatás PDF
Bizalmi lista - Európában és Magyarországon is

A határon átnyúló elektronikus aláírások elfogadásánál alapvető kérdés, hogy a tanúsítvány kibocsátója valóban jogosult-e a feltüntetett tulajdonságok jelzésére, vagy átverés áldozataivá akarnak éppen tenni benünket. Az utóbbi időben - ahogy az elektronikus tranzakciók értékei emelkedtek - megnövekedtek az elektronikus csalások is, ahogyan például többszázmillió dollárról szól ez a hír is a BitCoin Bank esetében.
A támadók előszerettel alkalmazzák a közbeékelődéses és az eltérítéses támadást is, aminek kockázata a biztonságos weboldalak tulajdonságainak alapos ellenőrzésével jelentősen csökkenthető. De honnan lehet tudni egy tanúsítvány kibocsátójáról - főleg ha nem is hazai kibocsátó - azt, hogy megbízhatunk-e benne?
Erre a problémára jött létre Európában a Bizalmi Lista. Ide csak olyan szolgáltatók kerülhetnek be, akik felügyelet alatt állnak, rendszeresen ellenőrzik a működésük megbízhatóságát és paramétereit. Ha ebben a listában szerepel egy szolgáltató, akkor benne az egész Európai Unió megbízik - mindaddig, amíg teljesíti a vele szemben támasztott szigorú követelményeket.
A bizalmi listáról és tulajdonságairól megjelent egy összefoglaló tanulmány a KGYHSZ honlapján a Polysys Kft. közreműködésével, akik maguk is szívügyüknek tekintik ezt a listát, nemcsak magyar hanem minden európai tagország vonatkozásában. 
A listában szereplő szolgáltatókat itt lehet megtekinteni, míg a tanulmány innen tölthető le.
Módosítás: ( 2014. március 23. vasárnap, 20:33 )
 

Elindult a MELASZ USER Ready (MUR) 1.0 program

E-mail Nyomtatás PDF

Elindult a MELASZ USER Ready (MUR) 1.0 program

Bevezetés

A Magyar Elektronikus Aláírás Szövetség (MELASZ) alapszabályában foglaltak szerint támogatja az elektronikus aláírás és kapcsolódó technológiák elterjedését és számos lépést tett a múltban is ezért. Ilyenek voltak például a MELASZ Ready programok (MR1.0 és MR2.0), az ECDL modul szakmai támogatása, az elektronikus aláírás iskolai oktatásának anyagi és szakmai támogatása.

2013-ban számos határon átnyúló kezdeményezés és e-számla kibocsátás indokolja, hogy az elektronikus aláírás ismeretét az innovátorok az új technológiákat alkalmazók kinyilvánítsák, ezzel is megkönnyítve partnereik, ügyfeleik és a hatóságok kommunikációját feléjük és tőlük. Ma a szervezeteknek ajánlott egyszerű és látható módon tudatni partnereikkel, ügyfeleikkel, hogy az elektronikus aláírás felhasználásában milyen szinten állnak, hogy az e-dokumentumok fogadása és az e-számlák kezelése automatizmussá válhasson, elsősorban az MR2.0 termékeket használók között, de tágabb értelemben minden elektronikus aláírási termék-felhasználó között is működőképes a modell. Ennek érdekében a MELASZ útjára indítja a MELASZ USER Ready programot (MUR1.0). A program független az MR2.0 programtól.

A MUR-logó az, amit egy honlapon, e-számlán vagy e-levélpapíron látva biztosak lehetünk abban, hogy az ezt használó üzleti partner, hatóság vagy szervezet igazoltan képes elektronikusan aláírt dokumentumok befogadására és kibocsátására a Tanúsítványban rögzített módon.

A MELASZ User Ready Tanúsítvány non-profit szakmai szervezettől, mint független harmadik féltől származó igazolás arra nézve, hogy az igazolás birtokosa rendelkezik az elektronikus aláírási technológiák értő ismeretével és azokat a mindennapokban is használja, megkönnyítve ezzel a saját, a partnerei és az ügyfelei elektronikus kommunikációját.

A program működése

A program működése nagyon egyszerű. A Kérelmező beadja annak hitelesen és korszerűen rögzített evidenciáit, hogy képes az elektronikus aláírási technológiák értő használatára, és megjelöli azokat a helyeket (alkalmazható kategóriák: URL, [e-]levélpapír, [e-]számla, [e-]kiadvány, egyéb), amelyeken használni kívánja a logót. A MELASZ előírja a kérelem formai követelményeként azt, hogy a Kérelmező az állításait független harmadik féltől származó evidenciákkal alátámasztottan adja be.

Az Elnökség által elfogadott evidenciák az alábbiak:

1. ECDL Vizsgabizonyítvány: ECDL Elektronikus Hitelesség, Elektronikus Aláírás modulvizsgával rendelkező magánszemély vizsgabizonyítványa. Azok a magánszemélyek vagy egyéni vállalkozók automatikusan (auditori jelentés nélkül) igényelhetik és megkaphatják a MELASZ User Ready tanúsítványt, akik rendelkeznek ECDL elektronikus aláírás modulvizsgával.

Szervezetek abban az esetben is megkaphatják a MUR-tanúsítványt, ha van ECDL vizsgával rendelkező munkatársuk, aki igazoltan aláírási jogosultsággal vagy ügyfélkapcsolati felhatalmazással is rendelkezik a szervezetben (alkalmazza a tudását a szervezet javára). Az igazolást - a Mellékletben rögzített tartalomjegyzékkel rendelkező - nemzetközileg akkreditált IT auditor által záradékolt audit-jelentésnek kell rögzítenie.

2. Egyszerűsített IT Audit Jelentés: Nemzetközileg akkreditált, professzionális etikai kódexszel rendelkező IT auditor és elektronikus aláírással kapcsolatos szolgáltatási szakértő által készített, megfelelőségi audit-jelentés arról, hogy a kérelmező bizonyíthatóan képes e-aláírásokat fogadni és készíteni.

A MELASZ Elnöksége a beérkezett kérelmeket automatikusan elfogadja, ha a kérelmező csatolja az ECDL vizsgabizonyítványát az elektronikus aláírás modulvizsgáról vagy a „MEGFELELŐ” záradékkal ellátott auditori jelentést. Az Elnökség hiánypótlásra nem szólít fel, a hiányos kérelmeket automatikusan elutasítja.

A kérelem elfogadása esetén a MELASZ Elnöksége digitálisan aláírt és időbélyegzett Tanúsítványt bocsát ki a Kérelmező részére, melyben feljogosítja Kérelmezőt a MELASZ User Ready (MUR) tanúsítás és a MUR-logó használatára a kiállítástól számított 5 (öt) évig.

Felhasználási lehetőségek

Ma már számos helyen lehetséges elektronikusan aláírt dokumentumokkal találkozni, a NAV-kommunikációtól a cégeljáráson keresztül a közüzemi számlákig egyaránt. Ebből adódóan az elektronikus számlázás egy gyorsan fejlődő terület, ahol a MUR-logó használata erőteljesen lehetséges manapság. A jogszabály erre lehetőséget ad, de egy egyszerű előzetes tevékenységet kell hozzá megtenni. A Magyar Elektronikus Aláírás Szövetség Egyesület javasolja az e-számlát befogadni vagy kiállítani szándékozók számára a jogviszonyok létesítésére vonatkozó okirataikban az alábbi szöveg használatát:

'Felek a MELASZ USER READY 1.0 (MUR) Célkitűzések dokumentumban megfogalmazottakkal össszhangban az ÁFA tv. 175.§(3) b) pontjában foglalt beleegyezésnek tekintik a MUR logó elfogadó általi használatát az egymás közötti kommunikációban.'

Emlékeztetőül, az ÁFA törvény Elektronikus számlára vonatkozó szabályai 2013.03.31. hatállyal bezárólag:

„175. § (1)

(2) Az elektronikus számla 168/A. § (1) bekezdésében említett eredetének hitelességére és adattartalmának sértetlenségére vonatkozó követelményeknek történő megfelelése úgy is biztosítható, ha az elektronikus számlát

a) az elektronikus aláírásról szóló törvény rendelkezései szerinti minősített elektronikus aláírással látják el; vagy

b) az elektronikus adatcsererendszerben (a továbbiakban: EDI) elektronikus adatként hozzák létre és továbbítják.

(3) Az elektronikus számla alkalmazásának feltétele

a) a (2) bekezdés b) pontjában említett esetben, hogy a számlakibocsátásra kötelezett és a termék beszerzője, szolgáltatás igénybevevője előzetesen és írásban megállapodjon az EDI alkalmazásáról és használatáról;

b) egyéb esetben a számlabefogadó beleegyezése, kivéve, ha jogszabály ettől eltérően rendelkezik.

(4)

(5) Külön jogszabály a 168/A. § (1) bekezdésében említett követelménynek való megfelelés érdekében az elektronikus számlára egyéb rendelkezéseket is megállapíthat.

(6) Ha ugyanannak a számlabefogadónak több elektronikus számlát tartalmazó számlaköteget küldenek vagy ilyet bocsátanak a rendelkezésére, akkor a különböző számlák azonos adatait elegendő csak egyszer feltüntetni, feltéve, hogy minden számla esetében a teljes információ hozzáférhető.”

Módosítás: ( 2013. február 25. hétfő, 17:00 )
 
Oldal 2 / 3
Hungarian (formal)