Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

E-parakstā izmantotā SHA1 uzlaušana LVRTC pārsteidz nesagatavotu

Kategorija: cert.lv + eparaksts + LVRTC

No šodienas droša elektroniskā paraksta lietotājiem ir pieejams parakstīšanai nepieciešamās programmatūras eParakstītājs 1.4.1. atjauninājums, kurā mainīts eParaksta radīšanai izmantotais kriptogrāfijas algoritms. Uzticams sertifikācijas pakalpojumu sniedzējs VAS Latvijas Valsts radio un televīzijas centrs (turpmāk – LVRTC) un Informācijas tehnoloģiju drošības incidentu novēršanas institūcija CERT.lv aicina eParaksta lietotājus nekavējoties savos datoros atjaunināt programmatūru eParakstītājs.

Drošības atjauninājums ieviests, ņemot vērā pagājušajā nedēļā starptautiskā tehnoloģiju uzņēmuma Google publiskoto informāciju par kriptogrāfijas algoritma SHA1 ievainojamību. Latvijā šāds kriptogrāfijas algoritms tiek izmantots virknē informācijas sistēmu un lietotņu, tostarp eParaksta radīšanai kopš tā ieviešanas 2006.gadā. Kopš Google paziņojuma par SHA1 ievainojamību š.g. 23.februārī, LVRTC speciālisti ir veikuši eParaksta un saistīto sistēmu drošības auditu un izstrādājuši programmatūras atjauninājumu, izmantojot jaunākas paaudzes kriptogrāfijas algoritmu SHA256.

Acīmredzot LVRTC nenoticēja brīdinājumiem vairāku gadu garumā, ka SHA1 kuru katru brīdi tiks uzlauzts.

Kopš 28.februāra virtuālā eParaksta lietotājiem portālā www.eparaksts.lv nav pieejama dokumentu parakstīšanas PDF formātā, jo arī portālā tiek veikta kriptogrāfijas algoritma nomaiņa.

LVRTC aicina eParaksta lietotājus un informācijas sistēmu izstrādātājus sekot līdzi informācijai un lietotņu atjauninājumiem portālā www.eparaksts.lv, jo visdrīzākajā laikā lietotājiem būs pieejams arī informācijas sistēmās izmantoto JAVA bibliotēku atjauninājums, savukārt turpmākajās dienās lietotājiem un informācijas sistēmu izstrādātājiem tiks nodrošināts vēl viens programmatūras un JAVA bibliotēku  atjauninājums, kas ļaus atpazīt parakstāmos dokumentus, kurus potenciāli ietekmējusi kriptogrāfijas algoritma ievainojamība.

Un ko darīt ar dokumentiem, kas parakstīti pēc 23.februāra? Vai to juridiskais spēks nevar tikt apšaubīts?

Avoti:
LVRTC: https://www.eparaksts.lv/lv/jaunumi/tiek-mainits-eparaksta-radisanai-izmantotais-kriptografijas-algoritms-aicina-nekavejoties-atjauninat-programmaturu-eparakstitajs/

2017-03-02  »  edgars

  1. Lācis
    2 March 2017 @ 11:23

    Nevis neticēja, bet ,visticamāk, neko par to nebija dzirdējuši.

  2. Jezups
    2 March 2017 @ 22:51

    Bruce Schneier jau pirms gadiem pieciem prognozēja, ka 2018. gadā būs realizējami kolīziju uzbrukumi un aicināja kāpt nost no SHA-1. Googlei tas izdevās bišķiņ ātrāk …

  3. M
    3 March 2017 @ 07:24

    Nu.. es ticu, ka specdienesti (asv) jau sen ir uzlauzuši daudz ko vairāk, tikai par to klusē. Analogi kā ww2 laikā tika uzlauata nacistu šifrētā saziņa un par to klusēja.

  4. Pīzdulis
    6 March 2017 @ 02:44

    Jā jā, ASV specdienesti vāc telemetriju no tavas mātes vibratora!

  5. Oto
    7 May 2018 @ 11:24

    Panikas celšana. Google pierādīja tikai to, ka lai uzlauztu SHA-1 šobrīd ir nepieciešami nesamērīgi ieguldījumi. Kā reiz saceltais troksnis ir īstais brīdis pāriet uz SHA256. Pirms tam visi bļautu, ko lieki aiztiek sistēmu kas strādā.

Re: E-parakstā izmantotā SHA1 uzlaušana LVRTC pārsteidz nesagatavotu







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>