Datové schránky a bezpečnost autentizace
20.11.2009
V době vzniku tohoto článku již datové schránky mají za sebou 14 dní ostrého provozu. Zatím nelze hovořit o úspěchu ani propadáku. Během následujících týdnů a měsíců se ukáže, jestli se česká společnost (podnikatelé a státní správa) se systémem sžije (jako se to povedlo s CzechPointem) nebo jestli nespokojenci a technické problémy donutí ministerstvo vnitra k dalším výjimkám a odkladům.
O čem hovořit lze, to je bezpečnost a technické řešení datových schránek, které zároveň předurčují i spokojenost uživatelů. Jak je v dokumentaci k DS mnohokrát zdůrazňováno, nejde o e-mail. Jedná se o elektronické úložiště, přes které se předávají datové zprávy od/k orgánům veřejné moci (OVM). Od 1. 1. 2010 se stává datová schránka zaručeným komunikačním kanálem pro zasílání faktur a podobných dokumentů mezi právnickými i fyzickými osobami a od července 2010 může být věcný obsah dokumentů v datové schránce libovolný.
V systému elektronického úložiště bylo nejprve potřeba vyřešit identifikaci všech subjektů (právnických, podnikajících fyzických a fyzických osob), aby jim mohly být datové zprávy doručovány a aby se příjemcům zobrazil odesílatel. Daná osoba je identifikována unikátním uživatelským jménem, které se generuje náhodně v zařízení ministerstva vnitra a tvoří jej řetězec mezi 6ti až 12ti znaky. Uživatelské jméno nelze změnit. Pokud tedy budete komunikovat s někým, koho najdete podle různých kritérií v číselníku ISDS (zprávy můžete posílat pouze osobám, které v číselníku jsou), máte slušnou šanci, že komunikujete skutečně s tím, s kým potřebujete.
Pokud se chceme zabývat bezpečností systému, je potřeba nejdříve odhadnout, jaké hrozby jsou aktuální, na jakých rozhraních a jak budou vypadat možné scénáře. Kdo by mohl mít zájem datové schránky zneužít? Jestliže budeme věřit tomu, že je s odeslanými zprávami nakládáno podle toho, co se píše v dokumentaci, největší bezpečnostní problémy hrozí na rozhraní uživatel-datová schránka. V tomto ohledu předpokládejme, že útočník přichází zvenčí (přes webovou službu) a nemá přístup k systémům provozovatele či správce (Česká pošta resp. Ministerstvo vnitra ČR).
Co by takový útočník mohl vytěžit zneužitím systému DS? Monitorováním komunikace dané osoby získá osobní údaje, citlivá data, která mohou sloužit k vydírání, může způsobit dočasné zablokování datové schránky firmy a z toho pramenící problémy napadené firmy s úřady. Možná se objeví i případy, kdy (si) útočník bude chtít dokázat, že před ním bezpečnost datových schránek neobstojí.
Bezpečnostní hrozby na rozhraní uživatel-ISDS bych rozdělil do tří skupin:
· Operační systém a nainstalované aplikace,
· Síťové hrozby vyplývající z použití internetu a prohlížeče,
· Autentizace do DS.
První hrozba zahrnuje možné útoky na operační systémy, internetové prohlížeče a další aplikace. Zde je odpovědnost na uživateli, jestli a jak bude softwarové prostředky aktualizovat a jak se bude při stahování či instalování aplikací chovat.
Síťové hrozby
Přítomnost antiviru (nejlépe v kombinaci s prověřeným osobním firewallem) by na stanici, kde se uživatel připojuje k ISDS, měla být samozřejmostí. Nebezpečí krádeže přístupových dat pomocí trojských koní, keyloggerů nebo jiných prográmků je nasnadě. Nabízí se i kombinace s phishingem, tj. podvrženou webovou stránkou, kde uživatel nevědomky zadá své přístupové údaje, které jsou pak poslány útočníkovi. Tento způsob bude pro hackery velmi přitažlivý vzhledem k tomu, že Provozovatel služby zaregistroval ne úplně intuitivní internetové domény. Navíc se pro přístup k DS oficiálně doporučuje doména www.datoveschranky.info, přičemž vlastní přihlašování je přesměrováno na mojedatovaschranka.cz. V úvahu se musí vzít i velké rozdíly mezi uživateli datových schránek pokud jde o zkušenost a znalosti s používáním výpočetní techniky.
Autentizace
Asi nejdůležitější jsou aspekty týkající se ověřování identity osoby, která je oprávněná datovou schránku používat. Pokud útočník odcizí přístupové údaje k datové schránce (nejlépe administrátorská práva), může sledovat komunikaci poškozené osoby, posílat podvržené zprávy, změnit heslo apod.
Problém autentizace je u datových schránek řešen uživatelským jménem (náhodně vygenerovaným), relativně tvrdými požadavky na přístupové heslo a možností obohacení přihlašování komerčním certifikátem.
Při zřízení datové schránky je vygenerováno náhodné heslo, které je nutné při prvním přihlášení do DS změnit. Délka hesla musí mít mezi 8 a 32 povolenými ASCII znaky, jejichž seznam je uveden v příloze č. 1 vyhlášky č. 194/2009 Sb. (dále jen Vyhláška). Heslo při tom musí obsahovat alespoň jedno velké písmeno, jedno malé písmeno a jednu číslici. Dále se heslo nesmí shodovat s heslem, které bylo již v minulosti použito. Heslo nesmí obsahovat údaje z datové schránky (příjmení, id uživatele apod.). Platnost hesla je stanovena na 90 dní.
Z výše uvedeného lze odvodit, jak se bude běžný uživatel ISDS chovat. Bezpečné heslo s patřičnými atributy napíše na papírek a přilepí na monitor. Nebo sofistikovaněji - heslo napíše do textového souboru, který uloží na svůj místní nebo síťový disk. Pokud by mě systém nutil každé tři měsíce měnit heslo, asi bych vymyslel univerzální kreaci, která by obsahovala základní text a například zvětšující se číslo. Zároveň bych si nechtěl heslo psát na papírky. Pak by vzniklo heslo typu Snehurkaa7trpasliku, za 90 dní změna na Snehurkaa8trpasliku, atd. Jiná zapamatovatelná sekvence: QwertzuioP1, QwertzuioP2, …, jen abych dostál požadavkům na složitost. Tento systém má výhodu, že např. podle počtu trpaslíků můžete odhadnout dobu používání datové schránky. Je tu ale také značná nevýhoda. Zručný „sociální inženýr“ může na základě zkoumání zájmů a zvyklostí uživatele velice rychle heslo uhodnout. Jak ale tuto hrozbu odvrátit? Zde přichází na scénu přihlašovací certifikát.
ISDS umožňuje doplňkové přihlášení do systému na základě komerčního certifikátu vydaného jednou ze tří v ČR akreditovaných certifikačních autorit. Privátní a veřejný klíč k certifikátu musí být vygenerovány na bezpečném elektronickém prostředku[1]. Tímto prostředkem se rozumí čipové karty nebo USB tokeny, které vyhovují podmínkám uvedeným ve Vyhlášce. Vyhláška specifikuje také přípustné hashovací a šifrovací algoritmy.
Použitím autentizačního tokenu se bezpečnost autentizace významně zvýší. Systém je navržen tak, že po registraci příslušného komerčního certifikátu v ISDS (úvodní přihlášení proběhne heslem) se uživatel přihlašuje nejprve certifikátem na tokenu a vzápětí ještě standardně heslem. Zvýšená bezpečnost nespočívá v síle digitálního certifikátu coby autentizačního prostředku. Důležité je to, že po registraci konkrétního certifikátu v ISDS, zůstávají RSA privátní klíč a certifikát pouze v tokenu. Protože klíče nejdou z tokenu exportovat, k certifikátu a tudíž i do datové schránky se dostane pouze ten, kdo vlastní token a zná k němu PIN (dvoufaktorová autentizace). Pokud platnost certifikátu vyprší, uživatel vygeneruje v tokenu nový. Současné čipové karty a tokeny pojmou desítky certifikátů a klíčů.
Použití kvalifikovaného certifikátu by mnohým uživatelům ušetřilo čas a peníze. Podle platné legislativy lze kvalifikovaný certifikát používat pouze pro zaručený elektronický podpis ve smyslu toho, že se podepisující osoba s daty seznámila a s obsahem souhlasí. Při autentizaci se ověřuje podpis náhodných dat. Podle organizace ETSI (tvůrce norem v oblasti elektronické certifikace) se nemůže kvalifikovaný certifikát použít k jinému účelu, protože pokud by byl zároveň použit např. pro šifrování, může být (i ze zákonných důvodů) požadován soukromý klíč vlastníka certifikátu (např. při ukončení prac. poměru) a tím by se porušil základní požadavek na kvalifikovaný certifikát: udržet jej výhradně pod kontrolou podepisující osoby.
Závěrem
Ochrana přístupu do datové schránky (byť silným) heslem je nedostatečná. Certifikát v bezpečném úložišti je dobrá cesta, jak zvýšit bezpečnost autentizace do ISDS i dalších systémů a chránit tak privátní data před útoky z vnějšku i zevnitř.
Sekce: Články | Tisk | Poslat článek známému
