Nebezpečí v bezpečných čipech

Univerzitních objevů, které vyvolají bezprostřední velký rozruch, protože se dotýkají milionů lidí, není zase tolik. Odborníkům z Centra výzkumu v kryptografii a bezpečnosti Fakulty informatiky MUNI se ale v lednu 2017 jeden takový vydařil. Zjistili totiž, že čipy, které se v té době používaly například v moderních občanských průkazech několika zemí, jsou zranitelné a jejich elektronická obrana prolomitelná. Jednotlivé vlády tak musely obranné systémy proti zneužití elektronických identit změnit a výrobce čipů přistoupil k vylepšení ochrany.

Když se o několik měsíců později objevila na veřejnosti zpráva, že je možné u čipů německé firmy Infineon Technologies používaných u zvlášť citlivých zařízení a dokumentů či v dokladech vysledovat proces, jakým se u nich generují kryptografické klíče, byla to rána už spíš pro veřejnost než pro jejich producenta. Ten o tom dávno věděl. Bezpečnostní komunita má v tomto ohledu jasně nastavená opatření. Když se na problém přijde, nejdřív se informuje výrobce, aby měl prostor situaci řešit. Až později jde informace na veřejnost.

Přesně podle tohoto schématu postupovali i odborníci Masarykovy univerzity. Na chybu nepřišli záměrně, ale díky příbuznému výzkumu, který jim dal pro objev základ. Nasbírali tak dost informací, které pak mohli poskytnout výrobci zabezpečení i jednotlivým vládám, aby pro ně bylo snazší problém vyřešit.

Nebylo to vůbec snadné. Informatici ukázali, že problematické čipy se používaly už od roku 2007. Ve svých občanských průkazech je měly mimo Slovenska, například Estonsko nebo Španělsko, dohromady se tak problém dotknul desítek milionů uživatelů. Článek o objevu vydala agentura Reuters, a magazín Forbes chybu vyhodnotil dokonce jako horší než dříve objevenou až skandální zranitelnost wi-fi.