Przypomnijmy, polska firma G DATA poinformowała o wykryciu luki w oprogramowaniu do składania bezpiecznego podpisu elektronicznego firm Signet i Certum. Firma nie podała żadnych szczegółów technicznych. W opublikowanym dzisiaj komunikacie Certum zdementowało informacje o dziurach i zarzuciło autorom z G DATA "absolutną ignorancję lub świadome wprowadzanie opinii publicznej w błąd".

Kto ma rację?

Firma G DATA nie udostępniłą do tej pory szczegółów odkrytych przez siebie dziur, jednak zostały one podane w komunikacie Certum. Opisany atak nie jest niczym nowym i polega na zainstalowaniu w systemie Windows konia trojańskiego, który przechwytując odpowiednie wywołania systemowe jest w stanie spowodować, że użytkownik co innego zobaczy, a co innego podpisze.

Czy opisany przez G DATA atak jest niemożliwy lub niepraktyczny? Nie. Jest to atak realny. Czy w związku z tym "bezpieczny podpis elektroniczny" jest niebezpieczny? I tak, i nie.

Zainstalowanie aplikacji do bezpiecznego podpisu elektronicznego (dowolnego producenta) w przeciętnym systemie, podłączonym do sieci, używanym do ściągania poczty oraz przeglądania WWW z dużym prawdopodobieństwem skończy się opisanym przez G DATA przejęciem systemu i w rezultacie możliwością wmanewrowania użytkownika w podpisanie niepożądanych dokumentów. Tak samo jak korzystanie z aplikacji do e-bankingu na zawirusowanym lub kontrolowanym przez konia trojańskiego systemie może się skończyć przejęciem danych do konta ofiary.

Bezpieczny podpis w bezpiecznym środowisku

Zaufana aplikacja do e-podpisu nigdy nie będzie zapewniać odpowiedniego poziomu bezpieczeństwa jeśli będzie działać w niezaufanym systemie. O tej starej prawdzie często zapomina się dyskutując nad bezpieczeństwem usług elektronicznych.

Producenci aplikacji do e-podpisu oraz ustawodawca też o niej wiedzą i zakładają że "komponent programowy" jest bezpieczny tylko w bezpiecznym środowisku. W przypadku oprogramowania Certum takie zastrzeżenie znajduje się w deklaracji zgodności programu proCertum SecureSignVer. Deklaracja z 10 marca 2004 roku mówi: "instrukcja (...) określa, w jakim środowisku informatycznym powinno być używane, aby nie było możliwe wprowadzenie w błąd użytkownika, co do weryfikacji podpisu z powodu zainfekowania komputera".

To trochę tak jak z certyfikatem bezpieczeństwa ITSEC-C2 dla Windows NT - system był bezpieczny na poziom C2, ale tylko wtedy... gdy nie był podłączony do sieci.

Podpis bezpieczny, ale...

Wspomniana w deklaracji instrukcja posiada jeden akapit, mówiący o tym że aplikacja służy do wykorzystania w środowisku niepublicznym, takim jak dom, biuro itp. Do systemu powinna mieć również dostęp ograniczona liczba użytkowników.

Wszystkie te deklaracje i zastrzeżenia służą bardziej zachowaniu formalnej zgodności z ustawą i rozporządzeniem, niż zabezpieczeniu użytkownika końcowego. Ktoś wpadł w kłopoty, bo na jego zawirusowanym komputerze podpisany elektronicznie dokument o udziale w loterii okazał się umową sprzedaży domu? No cóż, w instrukcji było napisane że do komputera ma mieć dostęp ograniczona liczba użytkowników. Czy działający z innego miasta złodziej spełnia formalne wymogi tej deklaracji?

W tym sensie informacja firmy G DATA jest słuszna, ponieważ uświadamia przeciętnemu użytkownikowi takie zagrożenia płynące ze stosowania e-podpisu w praktyce Wiedzieli o nich prawie wszyscy, ale tylko ci którzy brali udział w konferencjach o podpisie elektronicznym.

Bezpieczny papier, bezpieczne pióro

Niezależnie od tego jak się skończy konflikt między obydwoma firmami, problem pozostaje.

Można go rozwiązać przynajmniej na trzy sposoby:

1. Wydzielając dedykowane stanowisko do e-podpisu. Jeśli zrezygnujemy z korzystania z sieci to radykalnie zmniejszamy szansę przejęcia kontroli nad komputerem. Problemem jest wygoda korzystania. Dokumenty trzeba przenosić na dyskach CD lub dyskietkach, ale przy okazji od razu mamy wersję do archiwum.

2. Starając się zabezpieczyć standardowy komputer za pomocą antywirusów, firewalli i innych zabezpieczeń. Należy jednak pamiętać że sitko można łatać w nieskończoność a i tak może się ono okazać dziurawe.

3. Tworząc dedykowane urządzenia do bezpiecznego e-podpisu. Stanowisko oparte o zaufany system operacyjny może zapewnić wysokie bezpieczeństwo nawet po podłączeniu do sieci. Takie prace są już prowadzone przez kilka polskich firm.