SPIS, sdružuje 47 firem z oboru informačních a komunikačních technogií |
Elektronický podpis nebyl rozšifrován, byl jen nalezen špatně ukrytý privátní klíč
(Vyjádření Sdružení pro informační společnost k narušení bezpečnosti elektronického podepisování programem PGP - Pretty Good Privacy)
V úterý v odpoledních hodinách zveřejnila společnost ICZ tiskovou zprávu v níž popisuje možné zneužití elektronického podpisu, pokud je k podepisování používán známý program PGP.
Sdružení pro informační společnost oceňuje špičkovou odbornou práci obou zainteresovaných odborníků a oceňuje i to, že svůj objev zveřejnili, protože o chybách je lépe vědět, a podniknout proti nim opatření, než před nimi schovávat hlavu do písku.
Tisková zpráva vydaná společností ICZ obsahuje objektivní hodnocení situace, ovšem média, která se těchto informací chopila, jej začala šířit jako „poplašnou zprávu o nebezpečnosti elektronického podpisu“. Zjednodušující způsob, jakým o tomto objevu referují některá média je poněkud zavádějící a případná mediální kampaň může budoucímu užívání elektronického podpisu ublížit více, než nalezená bezpečnostní díra.
Sdružení pro informační společnost jako iniciátor vzniku zákona o elektronickém podpisu proto považuje za nutné zdůraznit, že oba kryptologové sami konstatují, že nenašli chybu v samotném mechanismu elektronického podpisu, ani elektronický podpis nerozluštili. Prokázali však, že tzv. privátní klíč, což je důvěrný prostředek k vytvoření elektronického podpisu, je programem PGP chráněn špatně a může být neoprávněnou osobou získán a zneužit.
Použijeme-li přirovnání s bezpečně zamknutým trezorem, pak oba pánové neodemkli samotný trezor žádným páčidlem ani paklíčem, ale zjistili, že pokladník si zamyká klíč od trezoru ve špatně zamčené zásuvce nebo že jej ukládá pod rohožku. Díky tomu, že klíč pod rohožkou našli, trezor bez problému klíčem odemkli.
Poučením by tedy mělo být, že „elektronický podpis je bezpečný“, ale že si uživatelé musejí soubor se svým privátním klíčem hlídat lépe, než se domnívali (podobně jako klíč od trezoru). A konečně, že tvůrci softwaru pro elektronické podepisování by se měli poučit a lépe dbát na implementaci elektronického podpisu.
V Praze 21.3.2001
Jménem Sdružení pro informační společnost
Zbyšek Bahenský, prezident
mailto:zbysekb@spis.cz