Mobilny podpis elektroniczny – jak to działa?

Submitted by Paweł Krawczyk on pon., 2008-05-12 14:38

Kwalifikowany podpis elektroniczny

Opublikowany przez firmę Mobitrust informacja o wprowadzeniu do powszechnego użytku w Polsce mobilnego podpisu elektronicznego wzbudziła znaczne zainteresowanie, zarówno wśród użytkowników jak i specjalistów zajmujących się podpisem elektronicznym.

Na tle obecnego rynku podpisu elektronicznego w Polsce mobilny podpis elektroniczny stanowi istotnie rewolucję w podejściu do sposobu podpisywania – w rzeczywistości jednak ta koncepcja jest znana już od dawna. Innowacyjność wdrożenia Mobitrust to przede wszystkim sama implementacja techniczna oraz kwestie organizacyjne, związane z dystrybucją certyfikatów.

Sama architektura mobilnego podpisu jest opisana obszernie w literaturze fachowej i uznanych standardach.

Bezpieczeństwem urządzeń do składania podpisu elektronicznego zajmuje się znany wszystkim specjalistom w tej dziedzinie dokument CWA 14355 „Guidelines for the implementation of Secure Signature-Creation Devices” opracowany przez Europejską Komitet Normalizacyjny (CEN). W dokumencie tym – mającym charakter rekomendacji – urządzenia oparte o telefon komórkowy są traktowane jak każde inne urządzenie do składania podpisu elektronicznego i ich bezpieczeństwo jest szczegółowo analizowane.

Samo urządzenie do składania podpisu to jeszcze nie wszystko – w przypadku podpisu mobilnego kluczową rolę odgrywa jeszcze operator usługi, który przejmuje na siebie część operacji podpisywania wykonywanych dotychczas w lokalnym komputerze. I to też nie jest żadna rewolucja – Certum wprowadza obecnie na rynek usługę zdalnej weryfikacji podpisu elektronicznego (DVCS).

W przypadku mobilnego podpisu usługi te są zdefiniowane przez standardy opracowane z kolei przez Europejski Instytut Standardów Telekomunikacji (ETSI), a konkretnie przez standardy z grupy „Mobile Signature Service” (ETSI TS 102 204 oraz TR 102 206).

W mobilnym podpisie nie zmienia się rola klucza prywatnego – nadal jest on generowany i przechowywany w karcie kryptograficznej, zaś poświadczeniem certyfikatu zajmuje się kwalifikowane centrum certyfikacji. W tym zakresie dostawcą usług certyfikacyjnych dla Mobitrust jest Krajowa Izba Rozliczeniowa.

Jedyna różnica jest taka, że do kart Mobitrust dogrywany jest moduł SIM, pozwalający na równoczesne korzystanie z tej karty w telefonie komórkowym. Obie strefy są jednak od siebie odseparowane i chronione oddzielnymi kodami PIN, tak samo jak obecne wydawane karty posiadające dodatkowy certyfikat niekwalifikowany.

Jak to działa?

Z punktu widzenia użytkownika proces korzystanie z mobilnego podpisu jest bardzo proste:

Jan Kowalski wchodzi na stronę urzędu, gdzie wystawiony jest elektroniczny formularz udostępniony przez urząd lub inną instytucję.
Kowalski wypełnia pola formularza, tak jak w każdym innym formularzu WWW. Na końcu formularza, zamiast podpisu, Kowalski podaje numer swojej komórki i wciska „Podpisz i wyślij”.
Na stronie wyświetlany jest ciąg cyfr, stanowiący skrót podpisywanego dokumentu oraz – w zależności od potrzeb – dodatkowe dane, na przykład kod XML podpisywanego formularza.
Po kilku sekundach w komórce Kowalskiego uruchamia się automatycznie aplikacja do składania podpisu (aktywowana specjalnym, przesyłanym w tle SMSem).
Aplikacja wyświetla skrót dokumentu - ten sam, który użytkownik widzi na stronie.
Kowalski wpisuje kod PIN do klucza związanego z certyfikatem kwalifikowanym i… dokument jest podpisany.

Podpisany dokument jest wysyłany do instytucji publikującej formularz automatycznie. Następnie może ona udostępnić na tej samej stronie np. poświadczenie odbioru, formularz płatności lub inne dane przewidziane w procesie biznesowym.

Mobitrust

Rysunek 1 Schemat działania mobilnego
podpisu

Szczegóły systemu są nieco bardziej skomplikowane i służą przede wszystkim zapewnieniu pełnego bezpieczeństwa oraz rozliczalności operacji.

Ze względu na to, że system jest rozproszony, cała komunikacja jest prowadzona w bezpiecznych kanałach, realizowanych za pomocą - w zależności od środowiska, w którym są przesyłane dane - mechanizmów GlobalPlatform (komunikacja z kartą), SSL (komunikacja przez Internet) i innych.

Z punktu widzenia bezpieczeństwa bardzo istotne jest to, że skrót z dokumentu podpisywanego przez użytkownika jest obliczany w zaufanym środowisku urządzenia HSM (Hardware Security Module) ulokowanym w systemie Mobitrust.

Znacznie utrudniona jest kradzież kodu PIN – w obecnie stosowanych systemach jest on najczęściej wpisywany po prostu na klawiaturze komputera, co naraża go na podsłuchanie przez narzędzia do przechwytywania klawiszy (keyloggerów).

W całej procedurze system Mobitrust występuje w roli zaufanej trzeciej strony, podobnie jak operatorzy usług znakowania czasem (TSP) lub walidacji certyfikatów (DVCS). Rola operatora GSM jest ograniczona do przesyłania komunikatów i nie ma on dostępu do podpisywanych informacji.
Kwestie prawne

Rozwiązanie proponowane przez Mobitrust jest zgodne z ustawą o podpisie elektronicznym (Dz.U.01.130.1450) oraz z rozporządzeniem o warunkach technicznych dla bezpiecznych urządzeń do składania podpisu elektronicznego (Dz. U. Nr 128, poz. 1094).

Było to stosunkowo łatwe do osiągnięcia dzięki temu, że rozporządzenie było od początku – pomimo że powstało w 2002 roku – utrzywane w duchu zgodności z dokumentem CWA 14355 i przewidziano w nim przyszłe wykorzystanie telefonu komórkowego jako bezpiecznego urządzenia. Na oprogramowanie działające w telefonie komórkowym powołuje się na przykład zawarta w rozporządzeniu definicja oprogramowania niepublicznego (§ 2, punkt 9).

W książce „Podpis elektroniczny – komentarz” (wydawnictwo DIFIN 2004) wypowiadają się na ten temat wybitni specjaliści w zakresie podpisu elektronicznego Piotr Popis i Robert Podpłoński, którzy byli współautorami rozporządzenia o warunkach technicznych:

„Możliwość złożenia podpisu elektronicznego przy wykorzystaniu usług telefonii komórkowej może odbywać się np. na następujących zasadach: dokument przeznaczony do podpisu przygotowuje się osobiście, po czym aplikacja podpisująca oblicza wynik funkcji skrótu, a następnie wynik ten wysyłany jest Internetem do podmiotu świadczącego usługi certyfikacyjne, który współpracuje z operatorem komórkowym i który wydał certyfikat (…).Warto podkreślić, że wg dokumentów unijnych (CWA 14355) taki model nie stoi w sprzeczności z obowiązkiem wyłącznej kontroli nad danymi służącymi do składania podpisu elektronicznego”.

Z prawnego punktu widzenia bezpieczne urządzenie do składania podpisu elektronicznego zbudowane jest z komponentu technicznego, który w tym przypadku jest kartą kryptograficzną, oraz oprogramowania podpisującego, którego zadaniem jest przygotowanie danych do podpisania przez komponent techniczny.

Komponent techniczny w rozwiązaniu Mobitrust jest dokładnie taki sam jak w innych urządzeniach rozpowszechnionych na polskim rynku i jest zasilany certyfikatem przez kwalifikowane centrum certyfikacji. Jedyną różnicę stanowi oprogramowanie podpisujące, które w przypadku podpisu mobilnego składa się z kilku części komunikujących się za pomocą Internetu, zamiast jednej aplikacji działającej na komputerze osoby podpisującej.

W rozumieniu CWA 14355 całe rozwiązanie stanowi przykład urządzenia klasy 2DH („Class 2DH”), w którym oprogramowanie podpisujące (SCA) składa się z infrastruktury po stronie operatora, zapewniającej komponenty DHC (Data Hashing Component) i SDP (Signer’s Document Presentation) oraz aplikacji zainstalowanej na karcie w telefonie, która zapewnia między innymi komponent DH (Display Hash). Wszystkie komponenty SCA, zgodnie z zaleceniami CWA 14355, są połączone bezpiecznymi kanałami.

Sama karta kryptograficzna stanowi w tym modelu SSCD (Secure Signature Creation Device), zaś w nomenklaturze polskiej ustawy o podpisie stanowi komponent techniczny i posiada odpowiedni certyfikat bezpieczeństwa.

Z punktu widzenia polskiego prawa zarówno komponent programowy, zainstalowany na karcie i przygotowujący dane do podpisania, jak i oprogramowanie po stronie operatora stanowią oprogramowanie podpisujące i posiadają odpowiednią deklarację zgodności.
Zalety mobilnego podpisu

Mobilny podpis stanowi uzupełnienie dla dotychczas stosowanych bezpiecznych urządzeń i w wielu zastosowaniach stanowi dla nich atrakcyjną alternatywę:

Mobilny podpis działa w oparciu o przeglądarkę WWW, dzięki czemu jest niezależny od systemu operacyjnego użytkownika – można z niego korzystać równie dobrze pod Windows, Macem jak i Linuksem.
Mobilny podpis nie wymaga żadnych dodatkowych urządzeń ani oprogramowania – czytników kart, sterowników, specjalnych aplikacji.
Użytkownik nie musi nosić przy sobie oddzielnej karty kryptograficznej, bo ma ją zawsze przy sobie w telefonie komórkowym.
Kod PIN w rozwiązaniu mobilnego podpisu jest wprowadzany w odrębnym urządzeniu, jakim jest telefon komórkowy, znacznie mniej narażonym na przejęcie przez złośliwe oprogramowanie niż przeciętny komputer z Windows. Znacznie zmniejsza to ryzyko kradzieży kodu PIN.
Skrót dokumentu jest generowany w zaufanym środowisku, poza kontrolą potencjalnie zawirusowanego systemu osoby podpisującej. Jest on przy tym pokazywany użytkownikowi dwukrotnie, co zmniejsza ryzyko manipulacji.
Rozwiązanie oparte o otwarte, europejskie standardy ETSI i zgodnie z wytycznymi dotyczącymi bezpieczeństwa publikowanymi przez europejski instytut CEN.

Zaloguj się lub zarejestruj by odpowiadać
Generate PDF file
Wersja do wydruku

Odpowiedzi

Witam, mam pytanie do praktyków:

Proszę o wyjaśnienie, bo dokumentacja MobiTrust'a nie jest zbyt jasna:

Czy podpis mobilny pracuje w 2 trybach?:

-podpisywanie formularzy on-line z którymi Plus/MobiTrust ma umowę, czyli np na stronach GUS - bez potrzeby używania aplikacji na komputerze

-podpisywanie dowolnych plików - wgrywane do aplikacji na PC, która generuje skrót... wysłanie tego skrótu przez MobiTrust na telefon, podpisanie...

Submitted by MarcinP (niezweryfikowany) on śr., 2011-08-17 21:12.

Zaloguj się lub zarejestruj by odpowiadać

Jestem zażenowany poziomem obsługi użytkownika usługi podpisu kwalifikowanego Mobitrust. Używam od roku, działa OK. Do dziś. Chciałem zainstalować oprogramowanie Mobitrust na innym komputerze, potrzebuje instalki Protectora, a tu: strona www.mobitrust.pl nie działa (komunikat brak dostępu, nawet z iPlusa), ich jedyna oficjalna infolinia czynna 24/dobę (12) 444 1362 nieosiągalna z sieci Polkomtela...
Ta firma jest niepoważna!

Submitted by uzytkownik Mobitrust (niezweryfikowany) on pt., 2010-12-03 19:18.

Zaloguj się lub zarejestruj by odpowiadać

Nie bardzo rozumiem..

1. W takim razie do Mobitrust wysyłany jest cały dokument? czy tylko skrót?
2. Z rysunku wynika, że to Mobitrust przesyła podpisany dokument to Urzędu, ale chyba tak nie jest, wymagałoby to przecież dostosowania każdej aplikacji podpisująco-wysyłającej.

Submitted by th on pon., 2009-02-16 18:42.

Zaloguj się lub zarejestruj by odpowiadać

Nie bardzo rozumiem..

Submitted by th on pon., 2009-02-16 18:42.

Zaloguj się lub zarejestruj by odpowiadać

moim zdaniem, przyda się do rozwiązanie, zwłaszcza ludziom ceniącym wygodę... ja osobiście wypróbuję technologię PLUSa i zobaczymy jak to będzie :-)

Submitted by abakus11111 (niezweryfikowany) on czw., 2009-01-15 23:39.

Zaloguj się lub zarejestruj by odpowiadać

Bezpieczeństwo.

Według mnie sporo kwestii w Mobilnym Podpisie należałoby wyjaśnić, albo chociaż poddać ogólnej dyskusji. To, że produkt spełnia standardy oraz to, że został już gdzieś indziej wykorzystany nie uprawnia do tego aby przyjmować go bezkrytycznie. Pozwolę sobie wyrazić moje zdanie.

1.
Najbardziej interesująca mnie kwestia to co tak właściwie Mobitrust wysyła na telefon komórkowy użytkownika? Czy jest to tylko tzw. skrót (czyli wynik działania funkcji hashującej) czy może skrót i skondensowana informacja nt. podpisywanego formularza (np. numer konta, kwota, nazwa, itp.)?

Proszę zwrócić uwagę, że jeżeli przesyłany jest tylko skrót informacji to system jest równie (nie)bezpieczny jak Stacjonarny Podpis. Aby skutecznie przeprowadzić atak w Stacjonarnym Podpisie należy wprowadzić konia trojańskiego na komputer ofiary, który przejmie kontrolę nad wykonywaniem skrótu podczas podpisu. W przypadku Mobilnego Podpisu wystarczy aby koń trojański przejął kontrolę nad przeglądarką systemu. Chodzi o to, aby koń trojański wysłał do podpisu formularz innej treści niż wypełniony przez użytkownika. Cała ta "zabawa" z komórką jest bezużyteczna, bo Mobitrust pokaże na stronie www i w telefonie ten sam skrót z spreparowanego formularza. Użytkownik nie zauważy, że podpisuje co innego.

2.
Gdzie odbywa się generowanie kluczy? Czy generowanie kluczy odbywa się wewnątrz karty i tym samym nigdy nie opuszcza urządzenia?

3.
Moim zdaniem produkt Mobitrustu pod względem bezpieczeństwa znacząco nie różni się od stosowanych obecnie haseł smsowych. Bezpieczeństwo opiera się nie na sile kryptograficznej podpisu cyfrowego, ale na wykorzystaniu dwóch kanałów do przekazywania informacji - tak jak w potwierdzeniach smsowych. Posłużę się prostą analizą. Mobitrust wykonuje za nas skrót, który pokazuje na stronie i wysyła smsem. W tym miejscu musimy mieć pełne zaufanie do mobitrustu. To zaufanie musimy mieć za każdym razem, a nie tylko przy wyrabianiu certyfikatu. Co jeśli serwery mobitrustu są opanowane przez hackera? Haker może przejąć część funkcjonalności systemu odpowiedzialnej za wykonywanie funkcji skrótu i zamiast naszych dokumentów podstawiać dyspozycję przelewu pieniędzy na jego konto, itp. Wszyscy użytkownicy systemu są w niebezpieczeństwie. To że mamy klucz prywatny u siebie to tylko iluzja, dająca nam wrażenia że mamy nad tym kontrolę. Co by zmieniło gdyby taki klucz był przechowywany w Mobitruście zamiast u nas? Moim zdaniem niezbyt wiele. I tak musimy mieć do niego pełne zaufanie przez cały czas. Być może ten klucz byłby tam nawet bezpieczniejszy. Zamiast wykonywać podpis u siebie i przesyłać go do Mobitrustu, niech Mobitrust przysyła nam na telefon skrót (do porównania z tym na stronie - tak jak poprzednio), a my po wprowadzeniu PINu będziemy odsyłali mu informację TAK lub NIE w zależności czy potwierdzamy operację czy nie. Dalej, Mobitrust podpisuje informację i przekazuje podpisany dokument dalej. Co ciekawe, od strony technicznej zachowujemy ten sam poziom bezpieczeństwa(!), bo według założeń Mobitrust ma z użytkownikiem ustanowiony bezpieczny kanał (, czyli taki, który daje obu stronom pewność, że nikt się pod nikogo nie podszywa oraz, że transmisja jest zakodowana). Rozpatrując dalej, po co Mobitrust miałby przechowywać klucze prywatne oraz certyfikaty wszystkich użytkowników systemu. Taka ilość kluczy to spora odpowiedzialność. Niech Mobitrust ma tylko swoje klucze i wykonuje nimi podpisy pod dokumentami rodzaju "...użytkownik X potwierdził oprację o treści Y...".

Powyższa analiza transformuje system Mobitrustu do systemu o podobnym bezpieczeństwie bez wykorzystania podpisu a jedynie dwóch kanałów komunikacji. Rożnica z popularnie wykorzystywanymi hasłami smsmowymi (np w systemach bankowych) jest teraz następująca:
-do systemu bankowego najpierw logujemy się przy użyciu loginu i hasła. To zostało zastąpione PINem wpisywanym w komórce.
-w systemie bankowym smsem (1. kanał) przychodzi kod, który przekazujemy przez www (2. kanał) w celu potwierdzenia. W "nowym" systemie obiema kanałami przychodzi informacja (skrót), a zbieżność skrótu potwierdzamy telefonem.
-przewagą "nowego" systemu jest natomiast to, że komunikacja z telefonem komórkowym użytkownika jest bezpieczna (według założeń) i dwustronna. W systemach bankowych tylko dostajemy smsa (nie odsyłamy smsem nic), a kod w nim zawarty wpisujemy do formularza na stronie. W "nowym" systemie potwierdzamy operację (TAK lub NIE) telefonem.

W przypadku Mobilnego Podpisu słabym ogniwem jest Mobitrust. Jego serwery są z pewnością lepiej chronione niż pojedynczy komputer użytkownika, ale w przypadku włamu konsekwencje są dla wszystkich użytkowników systemu katastrofalne. W przypadku Stacjonarnego Podpisu konsekwencje włamu ponosi tylko konkretny użytkownik.

Istota siły kryptograficznej podpisu elektronicznego ma się nijak w tym systemie.

Swoją drogą to ciekaw jestem konstrukcji bezpiecznego kanału Mobitrust<->Użytkownik zbudowanego jedynie na serwisowych SMS-a...

Submitted by R. (niezweryfikowany) on pon., 2008-05-19 00:05.

Zaloguj się lub zarejestruj by odpowiadać

Moim zdaniem produkt Mobitrustu pod względem bezpieczeństwa znacząco nie różni się od stosowanych obecnie haseł smsowych

Haseł smsowych nie można uznać za bezpieczny podpis elektroniczny w rozumieniu ustawy czy dyrektywy. Hasła smsowe nie są przypisane do konkretnej osoby tylko do numeru telefonu, więc nie zapewniają takiego samego poziomu niezaprzeczalności.

Oczywiście, nie chciałbym żeby ktoś zrozumiał to tak że uważam że hasła smsowe za niewystarczające do autoryzacji przelewów - zwłaszcza, że zaczyna się kolejna akcja lobbingowa mająca na celu "ujednolicenie metod uwierzytelnienia w bankach" przez zastąpienie ich podpisem kwalifikowanym. Miejmy nadzieję, że to nie nastąpi bo oznaczałoby to koniec bankowości internetowej w Polsce :)

To że mamy klucz prywatny u siebie to tylko iluzja, dająca nam wrażenia
że mamy nad tym kontrolę. Co by zmieniło gdyby taki klucz był
przechowywany w Mobitruście zamiast u nas? Moim zdaniem niezbyt wiele.

Zmieniałoby to bardzo dużo, przede wszystkim jeśli chodzi o funkcję niezaprzeczalności. Klucze prywatne do certyfikatów kwalifikowanych występują w jednym egzemplarzu na karcie kryptograficznej użytkownika, gdzie są generowane na etapie personalizacji. Dzięki temu możliwe jest przeprowadzenie dowodu, że to właśnie dany użytkownik złożył podpis i wyparcie się tego jest trudne.

Swoją drogą to ciekaw jestem konstrukcji bezpiecznego kanału
Mobitrust<->Użytkownik zbudowanego jedynie na serwisowych SMS-a

Bezpieczny kanał jest realizowany za pomocą dodatkowego, całkowicie oddzielnego materiały kluczowego zainstalowanego na karcie dokładnie w tym celu.

W przypadku Mobilnego Podpisu słabym ogniwem jest Mobitrust. Jego
serwery są z pewnością lepiej chronione niż pojedynczy komputer
użytkownika, ale w przypadku włamu konsekwencje są dla wszystkich
użytkowników systemu katastrofalne

Podobnie jak w przypadku włamu do systemu centrum certyfikacji czy banku.

Submitted by pkrawczyk2 on pon., 2008-05-19 11:40.

Zaloguj się lub zarejestruj by odpowiadać

Panie Pawle,

Chciałbym zaznaczyć, że moja wypowiedź dotyczy głównie kwestii bezpieczeństwa systemu. Zdaje sobie sprawę, że jest Pan entuzjastą nowego systemu. W kwestiach prawnych z pewnością jest Pan znawcą podpisu elektronicznego, ale oczekiwał bym od Pana większego obiektywizmu, którego moim zdaniem zabrakło w Pańskim artykule.

Nieprawda. O jakiej niezaprzeczalności tutaj mówimy!? Przecież i tak podpisujemy wszystko co daje nam mobitrust w ciemno! Nie generujemy u siebie hasha - całkowicie ufamy Mobitrustowi. Tak samo całkowicie byśmy ufali Mobitrustowi, który przechowywałby nasze klucze (niech nawet przechowuje je w sposób: jedna karta - jeden użytkownik; to nie ma znaczenia dla ogółu rozpartywanego problemu na płaszczyźnie bezpieczeństwa).

Bezpieczny kanał jest realizowany za pomocą dodatkowego, całkowicie oddzielnego materiały kluczowego zainstalowanego na karcie dokładnie w tym celu.

Nie przeczę, że tak jest. Gdzie można znaleźć szczegóły techniczne?

Podobnie jak w przypadku włamu do systemu centrum certyfikacji czy banku.

Bzdura. Od centrum certyfikacji dostajemy certyfikat tylko raz (na rok... dwa lata). Nie potrzebujemy częściej kontaktować się z centrum certyfikacji (nie wchodzę w kwestię listy CRL). Centrum nie wykonuje dla nas żadnych hashów przy podpisie. Bezpieczeństwo serwerów centrum to jego sprawa, bezpieczeństwo operacji podpisu oraz podpisanych dokumentów (w przypadku Stacjonarnego Podpisu) to sprawa użytkownika.

Nie jestem zwolennikiem haseł smsowych, ale proszę zwrócić uwagę, że w przypadku, jeżeli w Mobilnym Podpisie przychodzi do nas tylko skrót informacji na telefon to jest to być może nawet gorsze rozwiązanie od wspomnianych haseł jednorazowych! W przypadku haseł smsowych, żeby podrobić dyspozycję przelewu haker musi przejąć dwa kanały komunikacji (www i sms), w Mobilnym Podpisie wystarczy, że przejmie tylko jeden kanał - www.

System, który pod względem bezpieczeństwa ma być gorszy od i tak już ułomnych haseł smsowych, ma służyć do wykonywania BEZPIECZNEGO podpisu elektronicznego ?!

Irytuje mnie fakt, że w swoim artykule przedstawia Pan tylko zalety systemu, nie wspominając nic o tak kłujących w oczy wadach systemu! Co więcej, celowo Pan ich nie zauważa. Jaki jest powód?

Pozytywna konsekwencja jest taka, że nawet jeśli użytkownik skorzysta z komputera będącego pod kontrolą narzędzi hakerskich to dokonanie fałszerstwa podpisu będzie znacznie utrudnione. Jeśli koń trojański zmanipuluje treść dokumentu wyświetlanego użytkownikowi, to prawdziwy skrót dokumentu pokaże się po chwili na telefonie osoby podpisującej. Fakt, że jest on inny od tego wyświetlonego na ekranie komputera natychamiast daje osobie podpisującej sygnał, że coś jest nie w porządku.

Konsekwencja jest taka, że jeśli użytkownik skorzysta z komputera będącego pod kontrolą narzędzi hakerskich to dokonanie fałszerstwa podpisu będzie TAK SAMO MOŻLIWE JAK W STACJONARNYM PODPISIE. Jeśli koń trojański zmanipuluje treść dokumentu WYSYŁANEGO DOSTAWCY W CELU WYKONANIA SKRÓTU TO TEN SAM HASH POJAWI SIĘ NA STORNIE WWW I W TELEFONIE KOMÓRKOWYM. Fakt, że jest on TAKI SAM SPRAWIA, ŻE OSOBA NIE JEST ŚIADOMA OSZUSTWA.

Nalegam, aby sprostował Pan ten akapit.

System nie jest rozproszony. Rozproszone mogą być np bazy danych lub obliczenia. Myli Pan informatyczne pojęcia.

Więcej obiektywizmu Panie Pawle!

Submitted by R. (niezweryfikowany) on pon., 2008-05-19 14:41.

Zaloguj się lub zarejestruj by odpowiadać

Proszę zauważyć, że urządzenia do składania podpisu elektronicznego zawsze muszą pozostawiać jakiś obszar ryzyka akceptowalnego. Najmniejszy pozostawiają rozwiązania oparte o specjalizowane urządzenia, w których zarówno wyświetlenie jak i podpisanie dokumentu odbywa się w środowisku zaufanego systemu operacyjnego. Tyle, że operacje wymagające takiego poziomu zaufania są na tyle rzadko wykonywane elektronicznie, by ktokolwiek chciał ich używać. Cała reszta opiera się o liczne kompromisy i poszerzanie zakresu ryzyka akceptowalnego. Tutaj zaliczają się również rozwiązania Mobitrust i aplikacje, stosowane obecnie do podpisu kwalifikowanego pod Windows.

Co więcej, u nas - w przeciwieństwie np. do Niemiec - zaakceptowano powszechne wprowadzanie PIN z klawiatury a nie przez czytnik z PIN-padem. Zapewne ze względu na cenę tych ostatnich. Równocześnie, wbrew prognozom, wirusy na komórki nie upowszechniły się, częściowo dlatego że producenci tych ostatnich częściowo odrobili lekcję w zakresie ochrony przed złośliwym kodem.

Z tych dwóch powodów rozwiązanie Mobitrust stwarza istotną różnicę jakościową zmniejszając ryzyko kradzieży kodu PIN,
które jest całkiem realne przy pomocy keyloggera w rozwiązaniach
stosowanych u nas obecnie.

Jeśli chodzi o fałszerstwo za pomocą złośliwego kodu, który podstawia użytkownikowi obraz z haszem fałszywego dokumentu to takie ryzyko występuje zawsze, jeśli używamy podatnej na atak platformy (pecet) jako części systemu. W tym przypadku jako urządzenia wyświetlającego dokument. Ale to właśnie zastąpienie go czym innym generuje gros kosztów w dowolnym innym modelu bezpiecznego urządzenia.

Proszę natomiast zauważyć, że nawet w takim przypadku szkoda jest jednak mniejsza. W przypadku przesłania do SSCD fałszywego hasza (pecet) podpisywany jest hasz zupełnie nie wiadomo czego. W przypadku sfałszowania pól w przeglądarce do haszowania trafiają dane wpisane przez fałszerza, co zapewnia dodatkowy materiał dowodowy w razie sporu.

Jeszcze o niezaprzeczalności złożenia podpisu. W modelu podpisu kwalifikowanego niezaprzeczalność jest domniemana dzięki temu że 1) jest Pan jedynym właścicielem karty, 2) jest Pan jedyną osobą znającą PIN, 3) klucz prywatny istnieje w jednej kopii. W przypadku haseł jednorazowych na telefonie żaden z tych postulatów nie jest spełniony, bo hasło z telefonu może odebrać i przepisać każdy.

Jeśli chodzi o obiektywizm to staram się go zachowywać w każdej sytuacji. Nie mam natomiast pełnej wiedzy na temat systemu Mobitrust, pomimo że wykonuję dla nich szereg prac konsultacyjnych, stąd brak pewności co do niektórych rozwiązań systemu. Natomiast rażący Pana fragment o na temat hasza wyświetlanego na stronie usunąłem.

Submitted by pkrawczyk2 on pon., 2008-05-19 16:43.

Zaloguj się lub zarejestruj by odpowiadać

...I ważne, aby przeciętny Kowalski wiedział na co się decyduje (ryzyko/korzyści) zakupując produkt A czy B. Co do rozwiązania Mobitrustu to wsadzanie klucza prywatnego kowalskiemu do telefon i wmawianie mu, że ma nad swoim podpisem kontrolę (bo przecież spełnia ustawę, itp) to w mojej ocenie jest nadużycie. Nie ma kontroli - jest całkowicie zdany na dostawcę, od którego dostaje hashe do podpisu. Dostawca jest kolejnym dodatkowym słabym ogniwem w systemie.

No i masz... Zaciera Pan temat, albo nie rozumie moich wypowiedzi. Ta "istotna różnica jakościowa" w postaci tego, że gdzie indziej wpisuje się PIN to tylko malutkie usprawnienie w porównaniu z fundamentalnymi wadami bezpieczeństwa, o których piszę. Małe procesory zostały "włożone" do kart właśnie w celu wyeliminowania tej wady systemu. Zostawmy problem kradzieży PINu, bo ta sprawa to pierwszy problem jaki został napotkany przy konstrukcji wszelkiej maści informatycznych systemów bezpieczeństwa. Rozwiązano go dając użytkownikowi właśnie kartę chipową. Takie zabezpieczenie przed kradzieżą haseł, czy ogólnie mówiąc sprzętu identyfikującego/autoryzującego, zostało uznane za wystarczające. Przechwycenie obu składników (PINu i karty) przez hakera ocenia się jako niskie zagrożenie. To że PIN wpisuje się do telefonu jest oczywiście in plus, ale w kwestii ogólnej oceny bezpieczeństwa to tylko kropla w morzu.
Natomiast co do wirusów na komórkach. Myślenie, że "producenci odrobili lekcję w zakresie ochrony" określił bym raczej jako życzeniowe. Chcielibyśmy, aby tak było. Rynek IT na świecie jest gęsty, firmy ograniczają koszty produkcji oprogramowania nie bez strat na jego jakość, a co jest tego konsekwencją - również bezpieczeństwa. W wielu przypadkach można by się przerazić widząc od środka systemy informatyczne co niektórych polskich dużych przedsiębiorstw. Wirusów na komórki z pewnością będzie mniej niż w pecetach.

Ok, zgoda. Ale tylko w przypadku ataku na komputer użytkownika. BTW. brakuje mi w tym miejscu specyfikacji tego systemu, żeby prowadzić dyskusję.

Stacjonarny podpis - tak.
Mobilny podpis - nie, bo to i tak, jak podpisywanie dokumentów z zamkniętymi oczyma. Rozpatrywanie domniemania niezaprzeczalności w tym przypadku nie ma sensu. Jedyne nad czym kowalski ma kontrolę to samo zdarzenie generowania podpisu bez żadnej informacji (treści).

Doceniam to, że usunął Pan konfliktowy akapit ze strony oraz to, że przyznał się Pan do współpracy z Mobitrustem. Ja również nie wiem jak dokładnie działa Mobilny Podpis dlatego często w moich wypowiedziach występują pytania. Ciekaw jestem czy Mobitrust udostępni specyfikację systemu.

Chciałbym przypomnieć, że podpis elektroniczny był możliwy w wykorzystaniu praktycznym na świecie dzięki odkryciu algorytmów asymetrycznych. Zapewniają one bardzo wysokie bezpieczeńtwo ze strony algorytmicznej. Założenia budowy infrastruktury klucza pulicznego mają mocne podstawy bezpieczeństwa - w swej teoretycznej idei są perfekcyjne. Stacjonarny Podpis doskonale korzysta i podtrzymuje założone fundamenty bezpieczeńtwa. Natomiast w Mobilnym Podpisie, te właśnie założenia są złamane. Bezpieczeńtwo opiera się na komunikacji dwu-kanałowej - jak w hasłach smsowych. W ten sposób powstała karykatura, w której wciśnięto gdzieś na siłę algorytm asymetryczny do podpisu zupełnie nie korzystając z jego ogromnych zalet dot. bezpieczeństwa. Odnoszę wrażenie, że klucz prywatny "wkładany" jest do telefonu, tylko po to żeby system podpasował pod ustawę. Wcześniej już pisałem, że z poziomu bezpieczeństwa to Mobitrust mógłby mieć wszystkie klucze u siebie, ale to by pewnie nie pasowało pod ustawę.

Standardy, na które się Pan powołuje w artykule... no cóż - rynek, lobbing, pieniądze, biznes.

Czy możliwym jest napisanie artykułu, który zostałby opublikowany na stronie ipsec.pl? Jakie warunki musi spełniać artykuł?

Czy ipsec.pl uczestniczy w lobbingu?

Submitted by R. (niezweryfikowany) on wt., 2008-05-20 13:40.

Zaloguj się lub zarejestruj by odpowiadać

Nie ma kontroli - jest całkowicie zdany na dostawcę, od którego dostaje
hashe do podpisu. Dostawca jest kolejnym dodatkowym słabym ogniwem w
systemie.

Proszę zauważyć, że około 60% użytkowników komputerów domowych tym bardziej nie ma nad nimi kontroli i jest całkowicie zdana na autorów trojanów, które tam hulają. W tym kontekście można oczekiwać, że chętnie oddadzą tę kontrolę zaufanemu podmiotowi w przypadku tak krytycznej operacji jak składanie podpisu elektronicznego i odbędzie się to z korzyścią dla ich bezpieczeństwa.

Nie pomijałbym też tutaj aspektu ergonomii. Obecnie korzystanie z podpisu elektronicznego w Polsce wymaga bez mała wyższego wykształcenia informatycznego dla zapanowania nad chaosem aplikacji i formatów, jaki zawdzięczamy naszym centrom. Stąd też rokuję bardzo dobrze takim usługom jak DVCS Certum, który pozwala zweryfikować podpis z poziomu przeglądarki WWW, też niejako oddając kontrolę nad nim. W przypadku Mobitrustu analogiczny proces zachodzi dla składania podpisu.

Natomiast co do wirusów na komórkach. Myślenie, że "producenci odrobili
lekcję w zakresie ochrony" określił bym raczej jako życzeniowe.

Po paru latach obserwacji tego rynku wydaje mi się, że uprawnione stwierdzenie że teza ta nie jest już tezą życzeniową, tylko ma charakter behawioralny. Po prostu tych wirusów na komórki nie ma tak wiele ani nie przenoszą się tak łatwo jak w środowiskach pecetowych. Być może jest to wynik zróżnicowania systemów - w wielu komentarzach winą za plagę wirusów pod Windows obarczano właśnie fakt, że stanowi on monokulturę.

Takie zabezpieczenie przed kradzieżą haseł, czy ogólnie mówiąc sprzętu
identyfikującego/autoryzującego, zostało uznane za wystarczające.
Przechwycenie obu składników (PINu i karty) przez hakera ocenia się
jako niskie zagrożenie.

Proszę zauważyć, że w obecnym rozwiązaniu dostęp do systemu z uprawnieniami administratora daje Panu łatwą możliwość przechwycenia kodu PIN podczas jego wpisywania oraz dostęp do karty przez CSP lub PKCS#11. Złośliwy sterownik zainstalowany przez trojana może mieć pełną kontrolę nad pamięcią całego systemu, włącznie z wejściem z klawiatury oraz wyjściem na zewnętrzne urządzenia, w tym kartę.

W ten sposób można wykonywać operacje podpisu w tle i bez wiedzy użytkownika np. przy okazji podpisywania innych dokumentów, albo w ogóle bez ograniczeń jeśli użytkownik zostawi kartę w czytniku. W tym konkteście nie można mówić, że jest to "niskie zagrożenie".

Założenia budowy infrastruktury klucza pulicznego mają mocne podstawy
bezpieczeństwa - w swej teoretycznej idei są perfekcyjne. Stacjonarny
Podpis doskonale korzysta i podtrzymuje założone fundamenty
bezpieczeńtwa.

Stacjonarny podpis składany w przeciętnym systemie Windows, w którym użytkownik sam instaluje sobie aplikację do składania i weryfikacji podpisu oraz nad którym na pełną kontrolę (zwykle pracując zresztą na koncie administratora) zdecydowanie nie podtrzymuje założonych fundamentów bezpieczeństwa, a w szczególności pozwala na stosunkowo łatwą utratę wyłącznej kontroli nad kartą.

Natomiast w Mobilnym Podpisie, te właśnie założenia są
złamane. Bezpieczeńtwo opiera się na komunikacji dwu-kanałowej - jak w
hasłach smsowych.

W przypadku podpisu mobilnego bezpieczeństwo nie opiera się na komunikacji. Komunikacja spełnia w tym przypadku jedynie funkcję, zgodnie z nazwą, komunikacyjną. Bezpieczeństwo opiera się dokładnie na tych samych zasadach, co w podpisie stacjonarnym. Jedyną różnicę stanowi logiczny podział oraz lokalizacja poszczególnych elementów bezpiecznego urządzenia (w rozumieniu CWA 14355).

Czy ipsec.pl uczestniczy w lobbingu?

Nie. Lobbingiem można nazwać na przykład forsowanie podpisu kwalifikowanego w ZUS czy w bankowości elektronicznej, czyli akurat w zastosowaniach gdzie pasują jak kwiatek do kożucha. O ile mi wiadomo Mobitrust nie prowadzi działań mających na celu zakulisowe zmuszenie kogokolwiek do korzystania z ich rozwiązań za pomocą przymusu administracyjnego. Co więcej, dyskusja jaką tutaj prowadzimy stanowi poniekąd zaprzeczenie takich działań, które zakładają forsowanie danego rozwiązania bez jakiejkolwiek dyskusji.

Czy możliwym jest napisanie artykułu, który zostałby opublikowany na stronie ipsec.pl? Jakie warunki musi spełniać artykuł?

Jak najbardziej można, wystarczy że będzie jakoś podpisany (niekoniecznie nazwiskiem).

Submitted by pkrawczyk2 on wt., 2008-05-20 15:08.

Zaloguj się lub zarejestruj by odpowiadać

W porównaniu ze Stacjonarnym Podpisem, użytkownicy w Mobilnym Podpisie tracą _dodatkowo_ kontrolę. Oprócz tego, że w dalszym ciągu są narażeni na trojany to ponad to oddają kontrolę na zewnątrz, co wcale nie chroni ich przed trojanami. To nie jest zależność "coś za coś".

Czy Pan rozumie istotę sprawy polegającą na tym, że przypdku zawirusowanego komputera Mobilny Podpis Panu w niczym nie pomoże? Odnoszę wrażenie, że nie.

Wirusów na komórkach nie ma _jeszcze_ w takiej skali, dlatego, że przeciętny telefon służy tylko do rozmowy, wysyałania smsów i czasami pstrykania jakiś zdjęć. Na obencą chwilę nie wgrywa się programów do telefnów. Jeżeli niezależni producenci rozpoczną dostawę oprogramowania na telefony komórkowe sytuacja może się zmienić. To może się stać np w momencie kiedy podpisywany dokument będzie miał być prezentowany w telefonie - wówczas pojawi się konieczność posiadania różnych aplikacji (pewnie różnych producentów) do odczytu tych dokumentów. Mnogość wgrywanych aplikacji na telfon może dać miejsce wirus. Telefony nie są jeszcze tak skomplikowanym narzędziem jak pecety i na szczęscię, aż tak robudowane nigdy nie będą. Komórki zawsze pozostaną bardziej hermetycznym urządzeniem niż pecet, ale byłbym raczej daleki od ogłaszania już dziś zwycięstwa telefonów komórkowych nad trojanami.

W ten sposób można wykonywać operacje podpisu w tle i bez wiedzy użytkownika np. przy okazji podpisywania innych dokumentów, albo w ogóle bez ograniczeń jeśli użytkownik zostawi kartę w czytniku. W tym konkteście nie można mówić, że jest to "niskie zagrożenie".

Przeciętny Kowalski może nie wiedzieć, że kartę należy "trzymać" w czytniku tylko na czas samego podpisu.

Niedawno byłem w urzędzie odebrać dowód rejestracyjny samochodu. Zwróciłem uwagę na to, że na biurku Pani która mnie obsługiwała była jakaś karta chwipowa, która cały czas "siedziała" w czytniku, bez względu na to czy Pani siedziała przy biurku, czy szukała mojego dowodu w szafie w drugim pokoju.

Pisałem już, że jest to niewątpliwie in plus oraz, że Mobilny Podpis daje Panu kontrolę nad zdarzeniem podpisu w sensie liczności.

Poprzez fundamenty bezpieczeństwa rozumiem założone podstawy bezpieczeństwa teoretycznego. Te założenia sprawiają, że hermetyczność urządzenia do podpisu to kwestia impementacji tego samego podpisu. Dziś jest to komputer z zawirusowanym windowsem, jutro może to być linux uruchamiany z płytki lub hermetyczny tablet służący tylko do podpisu. Wszystkie 3 środowiska mogą być z powodzeniem przygotowane na wykorzystanie tego samego stacjonarnego podpisu (tej samej karty chipowej kupionej dzisiaj). Karta stanowi niezależny moduł. Nie trzeba nic zmieniać, a jedynie utworzyć (nazwijmy to) dodatkową usługę. A w mobilnym ? Czy to jak kupie sobie telefon komórkowy za 5000zł, to będzie mnie lepiej chronił ?
Nie, bo i tak wszystko zależy od dostawcy, a nie ode mnie.

Ponadto, co to Pan napisał to również uderza w Mobilny Podpis. Również w Mobilnym, aby przeprowadzić udany atak na podrobienie podpisu wystarczy zawirusowany komputer, który wyśle podrobiony formularz. Hashe będą te same, itd... już o tym pisałem kilka razy.

W przypadku podpisu mobilnego bezpieczeństwo nie opiera się na komunikacji. Komunikacja spełnia w tym przypadku jedynie funkcję, zgodnie z nazwą, komunikacyjną. Bezpieczeństwo opiera się dokładnie na tych samych zasadach, co w podpisie stacjonarnym. Jedyną różnicę stanowi logiczny podział oraz lokalizacja poszczególnych elementów bezpiecznego urządzenia (w rozumieniu CWA 14355).

Sam Pan pisał w artykule, że użytkownik porónuje hashe i wykonuje podpis jeśli są zgodne... co zresztą i tak Panu udowodniłem, że to i tak nie ma sensu. Możemy to nazywać "jedyną różnicą", ale konsekwencje tej "jedynej różnicy" są daleko idące.

Submitted by R. (niezweryfikowany) on sob., 2008-05-24 15:27.

Zaloguj się lub zarejestruj by odpowiadać

Podpis elektroniczny za pomoca telefonu komórkowego jest już z powodzeniem stosowany w Estonii, a obsługa zawarta jest między innymi w oficjalnej aplikacji do podpisywania dokumentów DigiDoc Client ( http://www.sk.ee/pages.php/0203050102 ) oraz w apletach.

Wydaje mi się, że przesyłanie całego dokumentu do MobiTrust nie jest najlepszym pomysłem. Lepiej byłoby wysyłać sam hash - ale to jest kwestia dyskusyjna z którą na pewno musieli zmierzyć się projektanci tego systemu.

Submitted by uk4sh (niezweryfikowany) on wt., 2008-05-13 11:26.

Zaloguj się lub zarejestruj by odpowiadać

O przesyłaniu całego dokumentu do komórki można zapomnieć bo komunikacja jest realizowana za pomocą SMS serwisowych czyli max. 160 bajtów na komunikat, i to nie wiem czy w 8 bitach.
Komórka mogłaby stać się Data Hashing Component jeśli byłaby podłączona do systemu operacyjnego za pomocą kabla albo np. Bluetooth ale i tak w praktyce ma to niewielki sens ze względu na niską wydajność procesora komórki do celów haszowania.
Natomiast przyjmowanie od klienta samego hasza do podpisania przez system transakcyjny ma sens tylko wtedy, jeśli ufamy klientowi co do tego, że jego system nie znajduje się pod kontrolą złośliwego oprogramowania - czyli mamy sytuację o identycznym poziomie bezpieczeństwa, jak w obecnie stosowanym "bezpiecznym urządzeniu".
Wśród krajów, które stosują M-SIGN można wymienić jeszcze Turcję.

Submitted by pkrawczyk2 on śr., 2008-05-14 08:42.

Zaloguj się lub zarejestruj by odpowiadać

Wynika z tego, że skoro hash jest robiony HSMie to konsekwentnie
- dzielimy się naszym dokumentem z MobilTrustem – bo przepychamy cały dokument na ich serwer...więc czy nie było by jednak lepszym wyjściem dołożenia bezpiecznego komponentu wykonującego sam wyciąg z dokumentu i przepychanie tylko jego do MobilTrusta w celu podpisania (tzn przesłania tego do operatora) ?? Analogicznie zostało to wymyślone np. żetonie znacznika czasowego – przekazywany jest jedynie wyciąg a nie cały dokument? Zdaję sobie sprawę, że wymusza to wprowadzenie komponentu w postaci np. podpisanego apletu jako kawałka rozwiązania ale w tej postaci jak jest obecnie niepokojące jest nieco powierzanie treści dokumentu osobie trzeciej(mimo, że zaufanej :) ) no a poza tym ograniczamy się chyba nieco na wielkość przepychanych przez sieć dokumentów – czyż nie???
- poza tym SIM odsyła sam podpis a opakowaniem podpisu w jakiś „standardowy” dokument zajmuje się kto ? Jeśli MobileTrust – to oczywiście w zależności od formatu dokumentu może potrzebować samego dokumentu. W tym przypadku analogicznie jak w przypadku generowania hash-u można by to przenieść na stronę np. apletu - podobnie ma się ta sytuacja z komponentami SDK niektórych dostawców kwalifikowanego podpisu – wszytko może się odbywać pod kontrolą dostarczonego przez producenta apletu, wówczas uniknęli byśmy potrzeby przepychania dokumentu do MibilTrustu??
Pozdr.

Submitted by Bartosz Witkowski (niezweryfikowany) on wt., 2008-05-13 08:01.

Zaloguj się lub zarejestruj by odpowiadać

O ile mi wiadomo to dokumenty do podpisania są udostępniane w modelu usługowym - tzn. bank wystawia formularz, który następnie jest podpisywany w systemie Mobitrust. Proszę zauważyć, że takie rozwiązanie może być albo bardziej albo mniej bezpieczne od stacjonarnego bezpiecznego urządzenia do składania podpisu:

mniej bezpieczne w porównaniu z wyspecjalizowanym urządzeniem do składania podpisu z własnym wyświetlaczem i systemem operacyjnym
bardziej bezpieczne w porównaniu do rozwiązań, w której Data Hashing Component działa jako aplikacja w systemie klasy Windows, gdzie ryzyko przejęcia kontroli przed trojana jest realne (patrz atak G DATA z 2005)

Pierwsze rozwiązania pojawiają się właściwie tylko w Niemczech oraz Austrii, i nie sądzę żeby były stosowane na masową skalę ze względu na cenę. Drugie rozwiązanie to dokładnie to co mamy dzisiaj w Polsce, dlatego wydaje mi się że pomysł Mobitrust stanowi także dobry krok do zwiększenia bezpieczeństwa podpisu elektronicznego.

Submitted by pkrawczyk2 on wt., 2008-05-13 10:23.