Incydent ROCA

EuroCert sp. z o.o. powodowany troską o bezpieczeństwo swoich klientów informuje o wykryciu podatności kluczy używanych dotychczas do składania kwalifikowanych podpisów elektronicznych. Wykryte zagrożenie dotyczy kart ATOS CardOS 5.0  oraz CardOS 5.3  z chip-em SLE78 i z biblioteką Infineon v. 1.2.13. Podatność jest spowodowana błędem w procedurze wytworzenia kluczy RSA o długości 2048 bitów i nie przekreśla możliwości dalszego stosowania wymienionych modeli kart w przypadku zastosowania silniejszych kluczy. Obecne działania serwisowe wynikają ściśle z zaleceń producenta oraz jednostek certyfikujących karty.

Usterka, jak ustalono, może umożliwić odbudowanie klucza prywatnego z zawierającego klucz publiczny certyfikatu kwalifikowanego. Próba sfałszowania podpisu przy wykorzystaniu wykrytej podatności jest trudna do zrealizowania i względnie kosztowna. Koszty pojedynczego fałszerstwa w wypadku klucza długości 2048 bitów szacuje się na około 40-80 tysięcy USD. Dokonanie fałszerstwa jest jednak możliwe i nie można dalej stosować dotychczasowych kluczy. Dbając o bezpieczeństwo swoich klientów EuroCert sp. z o.o. unieważnia certyfikaty długości 2048 bitów wygenerowane za pomocą tych kart i dokonuje bezpłatnej wymiany kluczy długości 2048 bitów na nowe klucze długości 3072 bitów.

Właścicieli wymienionych kart uprzejmie proszę o zgłoszenie się pod numer telefoniczny 22 490 36 45 w. 500 (cena połączenia) pod którym uzyskają dalsze instrukcje postępowania. Całość procedury jest realizowana zdalnie i nie zajmie Państwu dłużej niż 10 minut.

W celu sprawdzenia, czy posiadana przez Panią / Pana karta należy do zagrożonych proszę:

  1. podłączyć do komputera urządzenie do składania podpisu kwalifikowanego (karta / token / mikroczytnik),
  2. uruchomić aplikację o nazwie „Smart Security Interface”, po uruchomieniu której wyświetlone zostanie okno analogiczne do zamieszczonego poniżej:

W ramce zakreślonej czerwonym kolorem zostanie wyświetlona nazwa karty. Nazwa karty CardOS V5.0 lub CardOS V5.3 wskazuje na kartę cechującą się podatnością.

Jednocześnie EuroCert sp. z o.o. przeprasza Panią / Pana za zaistniałe niedogodności na których powstanie nie miał wpływu. Problem wystąpił w całości z przyczyn spowodowanych działaniami podmiotów trzecich, których renomie i jakości produktów zawierzyliśmy dokonując wyboru kart. Mimo dołożenia najwyższej staranności polegającej na wyborze produktów zbadanych i certyfikowanych nie można wykluczyć wystąpienia tego rodzaju podatności. Problem wystąpił w wielu centrach certyfikacji na świecie i niedogodności związane z unieważnieniem certyfikatów dotyczą milionów użytkowników.

Informacyjnie:

  1. Problem z wymienionymi na wstępie kartami ATOS i certyfikatami kluczy długości 2048 bitów dotyczy niewielkiej liczby kart sprzedanych przez EuroCert Sp. z o.o.
  2. Dotychczas nie odnotowano wykorzystania podatności w celach przestępczych.
  3. Z uwagi na fakt, że pozyskanie klucza powoduje ryzyko wykorzystania Państwa podpisu w dowolnym celu, zastosowanie opisanej procedury stało się konieczne.

Zgodnie z zapewnieniem producenta nowe klucze o długości 3072 bitów gwarantują dalsze bezpieczne korzystanie z dotychczasowej karty.

O nas

Firma Eurocert powstała 19.01.2012 i jest zarejestrowana w Warszawie. Głównym trzonem firmy jest działalność związana z oprogramowaniem w zakresie bezpieczeństwa cyfrowego. Rynkiem właściwym działalności jest Miasto Stołeczne Warszawa. W mieście tym zlokalizowane jest biuro oraz miejsce przechowywania zasobów sprzętowych niezbędnych do funkcjonowania serwisów. Do niedawna kadra pracownicza firmy specjalizowała się w modernizacji i obsłudze Data Center, a także w administrowaniu systemami serwerowymi. Firma działa w zakresie spraw technicznych związanych z serwerownią i przechowywaniem danych. Posiadamy dużą wiedzę w zakresie bezpieczeństwa przechowywanych danych.

Co warto wiedzieć?

Zgodnie z Ustawą z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. poz. 1579) dane w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi.

Pliki cookie ułatwiają nam świadczenie usług. Korzystając z naszej strony zezwalasz na wykorzystywanie plików cookie. Jeśli chciałbyś się dowiedzieć w jaki sposób przetwarzamy pozyskane dane, kliknij „Więcej informacji” lub „Ok” aby zamknąć okno.
Więcej informacji Ok