Pojasnila v zvezi z ranljivostjo ROCA

1. Na spletu sem opazil obvestilo, da je bila v pametnih karticah in pametnih ključih USB Gemalto odkrita varnostna ranljivost. Velja to za vse pametne kartice in ključe ponudnika Gemalto?

Ne. Varnostna ranljivost zaradi napake v programskem zapisu je bila odkrita pri sledečih izdelkih Gemalto:

  • pametna kartica Gemalto IDPrime .NET,
  • pametni ključ USB Gemalto IDPrime .NET K30,
  • pametni ključ USB Gemalto IDPrime .NET K50.

Zaradi napake v programskem zapisu v čipu kartice (napaka v algoritmu za generiranja ključev digitalnega potrdila na pametni kartici) se varnostna ranljivost pokaže le v primeru, da je bilo digitalno potrdilo (certifikat) generirano/prevzeto neposredno na pametno kartico/pametni ključ USB. 

2. Ne spomnim se, ali sem ob prevzemu digitalnega potrdila (certifikata) le to generiral/prevzel v brskalnik ali neposredno na pametno kartico ali pametni ključ USB. Kako lahko preverim, če je moje digitalno potrdilo ogroženo?

Razumljivo, da se ne spomnite, saj je od prevzema digitalnega potrdila lahko preteklo že več let. Predlagamo, da kliknete tu in preverite, ali je vaše digitalno potrdilo prizadeto oz. ogroženo.

3. Kdo mi lahko pomaga, da preverim, ali je moje digitalno potrdilo ogroženo?

Če vam na povezavi ni uspelo preveriti, ali je vaše digitalno potrdilo ogroženo, se obrnite na ekipo CREA plus. Dosegljivi smo prek elektronske pošte Ta e-poštni naslov je zaščiten proti smetenju. Za ogled potrebujete Javascript, da si jo ogledate. in prek telefonske številke 0590 74 270.

4. Izkazalo se je, da je moje digitalno potrdilo ogroženo. Kaj moram narediti?

V izogib potencialnim tveganjem predlagamo preklic potrdila pri vašem izdajatelju potrdila in pridobitev novega.

5. Kako sem lahko prepričan/a, da pametne kartice in pametni ključi USB proizvajalca HID Global nimajo varnostne ranljivosti?

Podjetje HID Global, proizvajalec številnih sodobnih varnostnih rešitev, je zaradi nedavne odkrite varnostne ranljivosti na pametnih karticah in pametnih ključih USB opravilo temeljito analizo svojih izdelkov ter potrdilo, da ranljivost CVE-2017-15361, imenovana ROCA, ni prisotna v pametnih karticah HID Crescendo ali pametnih ključih USB HID ActivKey, kar vključuje modele Crescendo 1100 in 1150 in Crescendo 144K FIPS. Prav tako z ranljivostjo ROCA niso prizadete njihove starejše in EOL (end-of-life) pametne kartice ali pametni ključi USB, ki so se prodajali pod blagovno znamko ActivIdentity (pametne kartice ActivIdentity 64K, 80K in 114K in ActivKey SIM).

6. Uporabljam pametni USB ključ Gemalto IDPrime .NET in ob preverjanju na vaši povezavi se je izkazalo, da je moje digitalno potrdilo ogroženo. Potrdilo sem takoj preklical in naročil novo. Zakaj moramo potrošniki nositi stroške za nakup nove pametne kartice ali novega pametnega USB, če je očitno napako storil proizvajalec?

Proizvajalec pametnih kartic Gemalto je eno izmed največjih in uveljavljenih ponudnikov tovrstne opreme na trgu. Družba CREA plus je Gemaltov posrednik pri prodaji te opreme, ki se zaveda pomena digitalne varnosti, zato je naša prva skrb, da o varnostnem tveganju obvestimo vse uporabnike teh izdelkov. Pomembno je, da uporabniki čim prej preverijo, ali je njihovo digitalno potrdilo ogroženo ter da ukrepajo, če je odgovor pozitiven. V primeru ogroženosti digitalnega potrdila je preklic potrdila in pridobitev novega edini način za ponovno vzpostavitev digitalne varnosti. Zavedamo se dodatnih stroškov, ki jih ima uporabnik s preklicom in pridobitvijo novega potrdila, zato smo pripravili posebno ponudbo za nakup nove pametne kartice.

7. Ali proizvajalec Gemalto ne more odpraviti napake v programski opremi na pametnih karticah in pametnih ključih USB Gemalto IDPrime .NET?

Žal ne. Na pametni kartici oz. pametnem ključu USB je težko izvajati popravke (na samem čipu kartice), saj programske opreme na pametni kartici oziroma pametnem ključu USB ni mogoče preprosto obnoviti na daljavo oziroma je to nemogoče.

8. Kdo izvaja varnostne protokole in preizkušanja v primeru pametnih kartic in pametnih ključev USB?

Vsa varnostna preizkušanja in protokole pred lansiranjem izdelka na trg izvede sam proizvajalec, v konkretnem primeru Gemalto. CREA plus je le eden izmed ponudnikov pametnih kartic in pametnih ključev USB Gemalto v Sloveniji.

9. Kaj pomeni ROCA?

V strokovni javnosti se za opis prizadete programske knjižnice na pametnih karticah in ključih USB Gemalto IDPrime .NET uporablja izraz »ranljivost ROCA« oz. »ROCA«.

Zaradi prizadete programske knjižnice so lahko pametne kartice in ključi USB Gemalto IDPrime .NET, ki sicer že dlje časa niso več v prodaji (End of Sale), ranljive ob uporabi generiranja ključev RSA neposredno na kartici/ključu USB (knjižnice RSA Infineon RSA ne ustvarijo pravilno para ključev RSA). Več o tem si lahko preberete na Gemalto Security Bulletin.

10. Med pogostimi vprašanji in odgovori nisem našel/a odgovora na svoja vprašanja. Potrebujem več informacij. Kam se lahko obrnem?

Ekipa CREA plus vam je s svetovalci in tehnično podporo na razpolago za vsa pojasnila in odgovore prek elektronske pošte Ta e-poštni naslov je zaščiten proti smetenju. Za ogled potrebujete Javascript, da si jo ogledate. in prek telefonske številke 0590 74 270.