Pozn. red.:Když před časem prolétla v obecných médiích zpráva o tom, že byla "prolomena bezpečnost elektronického podpisu", tak jsem se nejprve hrozně vyděsil, a pak hrozně naštval. Vcelku zajímavé a na počátku snad seriózně míněné informace o bezpečnostním riziku formátu OpenPGP se totiž s chutí chopili někteří senzacechtiví kolegové a rozšířili řadu zcela zavádějících poplašných zpráv a článků.

Slovo "kolegové" se mi v tomto případě píše velice těžko a uvedená kauza mne naprosto zbavila iluzí, že některé deníky u nás bulvární jsou a některé ne. I renomované agentury a deníky totiž publikovali bulvárním způsobem naprosté dezinformace a poplašné zprávy.

Vzniklá kauza se dá přirovnat k situaci, kdy odborná lékařská práce přinese informace o tom, že některé konzervační látky zrovna neprospívají lidskému zdraví (což je mimochodem uznáváno jako fakt) a druhý den vyjdou uznávané noviny s palcovými titulky: KEČUPY JSOU JEDOVATÉ.

Znovu se také mimochodem prokázal význam odborných periodik, které se většinou snažily ihned uvést věci na pravou míru, a vysvětlit svým čtenářům, o co vlastně jde. Dopad těchto méně senzačních článků už bohužel nebyl tak výrazný. Proto považujeme za užitečné celou kauzu, která výrazně poškodila rozvoj informační společnosti u nás, znovu připomenout a vysvětlit. Následující článek od jednoho z předních odborníků na kryptologii u nás, Petra Nádeníčka ze společnosti AEC, si klade za cíl seznámit čtenáře s kauzou "prolomení" formátu OpenPGP, jejím průběhem a důsledky, které z ní vyplývají.

"Odborníci v oblasti kryptografie ze společnosti ICZ zjistili "závažnou bezpečnostní slabinu mezinárodního významu" ve známém a používaném formátu OpenPGP."

Tato zpráva uveřejněná 19. března tohoto roku vyvolala mnohé bouřlivé diskuse odborné i laické veřejnosti a na několik dní se dostala na stránky domácích a několika málo zahraničních novin. Bohužel drtivá většina těchto článků nebyla schopna srozumitelně vysvětlit "podstatu problému" a spíše se snažila udělat z uvedené zprávy za každou cenu senzaci.

Bylo velice zajímavé sledovat, jak se původní informace při své cestě napříč českými médii postupně měnila, až z ní vzniklo něco, co by šlo bez váhání označit za poplašnou zprávu. Všechno přitom začalo zcela nenápadně, když se onoho "osudného" dne odpoledne v agenturním zpravodajství ČTK objevila krátká zpráva s titulkem ICZ objevila chybu ochrany elektronického podpisu. Již formulace této zprávy nebyla bohužel zcela bezchybná a její obsah ve svém důsledku vedl k tomu, že si čtenář neznalý odborných podrobností mohl učinit jediný závěr: "elektronický podpis, o kterém se toho poslední dobou tolik napsalo a namluvilo, obsahuje závažnou chybu."

Redaktoři českých novin okamžitě ucítili senzaci a ve shonu před blížící se uzávěrkou zprávu od ČTK i s chybami a nepřesnostmi převzali a upravili si ji k obrazu svému. Například MF DNES z původní zprávy udělala článek s výstražným titulkem ICZ: Elektronický podpis není bezpečný. Nejdále se však dostali v Lidových novinách, když ve svém článku s titulkem Objev za miliony? Dva Češi rozluštili elektronický podpis doslova napsali, že "dva experti jako první na světě sestavili program, který je schopen za několik vteřin nabourat elektronický podpis. Ten umožňuje "zakódovat" a "otevřít" důvěrné počítačové dokumenty při elektronickém obchodování a styku s úřady prostřednictvím Internetu.".

Přitom jen opravdu malá část z uvedených informací předkládaných široké laické veřejnosti se zakládá na pravdě. Novináři, kteří bez dostatečných znalostí a ověření informací, napsali uvedené články, si neuvědomili, že aférou, kterou vyvolávají, mohou poškodit elektronický podpis a rozvoj jeho používání, ačkoliv s ním tato kauza víceméně takřka nesouvisí. Je velice zajímavé, že následným dementi a vysvětlením situace ze strany různých organizací a sdružení zabývajících se při své činnosti elektronickým podpisem již nebyla v médiích věnována taková pozornost, jako původní sice zkreslené, ale do značné míry senzační zprávě.

PGP ve zkratce
Předtím, než si popíšeme objevenou slabinu programu PGP, bylo by dobré se s ním alespoň ve zkratce seznámit.

PGP - Pretty Good Privacy (Docela dobré soukromí) - je kryptografický balík, který je využíván především pro šifrování zpráv a souborů a vytváření/ověřování digitálních podpisů. Jeho autorem je američan Philip R. Zimmermann. První verze tohoto programu byla uvolněna v červnu 1991 jako 'free software'. Další verze (i komerční od PGP Security - Network Associates) následovaly a dnes patří program PGP bezesporu mezi jedny z nejrozšířenějších prostředků pro šifrování elektronické pošty a pro ověřování její pravosti pomocí digitálních podpisů. PGP pracuje s šifrovacími algoritmy CAST, AES, TripleDES, IDEA, Twofish, a lze tedy říci, že patří mezi kryptograficky poměrně silné prostředky. Nemalou výhodou je i dostupnost na většině platforem.

PGP se navenek jeví jako systém s veřejným a soukromým klíčem. Každý uživatel si generuje jeden nebo více párů tajného (soukromého) a veřejného klíče. Veřejné klíče jsou pak zveřejněny všem ostatním uživatelům. Ve skutečnosti je však při šifrování pomocí PGP při každém použití generován náhodný symetrický klíč a zpráva nebo soubor je zašifrován symetrickou šifrou s použitím tohoto náhodného klíče. Tento klíč je pak zašifrován systémem s asymetrickou šifrou, který zde řeší pouze problém s distribucí symetrického klíče.

Kromě šifrování umožňuje PGP také opatřit přenášené zprávy digitálními podpisy (signaturami), které umožňují příjemci ujistit se o integritě a autenticitě přijatých dokumentů. V tomto případě je použito některého HASH algoritmu, který produkuje 128bitové číslo - jakýsi otisk zprávy. Toto číslo je pak zašifrováno tajným klíčem uživatele a výsledek je připojen jako digitální podpis ke zprávě. Příjemce může pomocí veřejného klíče získat původní HASH a porovnáním ověřit integritu e-mailu a pravost podpisu. Vzhledem k tomu, že tajný klíč zná jen odesílatel, nemohl zprávu nikdo podvrhnout.

Věřejné a soukromé klíče bývají obvykle uchovávány v tzv. svazcích klíčů. (Soubor pubring.pgp obsahuje obvykle veřejné klíče a je průběžně doplňován; secring.pgp je svazek tajných klíčů, který je obvykle neměnný a je udržován v zašifrovaném tvaru.) Pokud má být použito tajného klíče, je nejprve vyžadována tzv. fráze hesla (passphrase), kterou je soubor se soukromým klíčem zašifrován. Tato fráze nemá nic společného s klíčem, může být libovolně dlouhá a má být volena tak, aby si ji uživatel snadno zapamatoval, a nebylo možné ji uhádnout (třeba i několik vět i s pravopisnými chybami apod.).
Systém PGP nabízí uživateli následující možnosti, jak publikovat svůj veřejný klíč:

. Zveřejnit klíč na veřejném serveru k tomuto účelu určenému.
. Poslat veřejný klíč e-mailem.
. Uložit ho do souboru a ten distribuovat dle uvážení.

Je důležité si povšimnout, že pokud není veřejný klíč distribuován přímo "z ruky do ruky" (například na disketě) od osoby, které klíč patří a známe ji, nemáme nikdy stoprocentní jistotu o identitě vlastníka klíče.

Co je s ohledem na kauzu "prolomení elektronického podpisu" nejdůležitější, je právě rozdíl mezi správou a nakládáním s klíči v konkrétním případě programu PGP a tím, jak jej předpokládá zákon o elektronickém podpisu.

Systém PGP opírá svou důvěryhodnost, přesněji řečeno důvěryhodnost svých certifikátů, o vyjádření důvěry (podepsání) veřejného klíče od co největšího počtu dalších uživatelů (jejich výroky vytvářejí tzv. "pavučinu důvěry", anglicky: web of trust). To je principiálně odlišný přístup od toho, který vyžaduje platný zákon o elektronickém podpisu Zákon na rozdíl od tohoto přístupu počítá s existencí tzv. certifikačních autorit, které budou vydávat příslušné certifikáty, a tím potvrzovat spojení veřejného klíče a identity konkrétní osoby. Z tohoto principiálního důvodu nemůže být tedy systém PGP v této formě použit jako technologie pro elektronické podpisy ve smyslu platné právní úpravy. Z těchto důvodů tedy nelze ani elektronické podpisy vytvořené pomocí PGP považovat za právně relevantní.

Jak je to doopravdy s "prolomením" PGP
Zjištěná bezpečnostní slabina formátu OpenPGP je následující:

. Cizí osoba musí získat přístup k souboru s tajným podpisovým klíčem uživatele (obvykle v souboru *.SKR /např. secring.SKR/ uloženém na stanici uživatele nebo na sdíleném síťovém disku apod.) a určitým způsobem změnit jeho obsah (třeba i jen obyčejným binárním editorem - nepotřebuje k tomu vůbec použít program z rodiny PGP, ani znát běžné přístupové heslo uživatele k souboru).

. Oprávněný uživatel klíče poté musí pozměněný soubor alespoň jednou použít k podepsání nějaké zprávy.

. Útočník musí získat kopii podpisu takto podepsané zprávy.

. Z odchycené zprávy a původního souboru s tajným klíčem lze potom pomocí speciálního programu během několika minut extrahovat celý původní tajný podpisový klíč uživatele, a ten následně použít pro falzifikaci podpisů, pro falšování identity (autentifikace odesílatele), apod.

Několik faktů, které omezují význam nalezené slabiny:

. Bez přístupu k souboru s tajným klíčem zůstává PGP bezpečné. Ze znalosti veřejného klíče odesílatele, veřejného klíče adresáta a zachycené šifrované a podepsané zprávy poslané mezi nimi nelze rekonstruovat žádný tajný klíč ani jednoho z uživatelů - podpisy i důvěrnost zprávy tedy zůstávají zachované.

. Problém není v kryptografických algoritmech RSA, DSA, AES a DH/DSS, používaných v PGP, ale ve formátu PGP (přesněji Open PGP), tj. ve způsobu zpracování a uložení tajných klíčů (RSA nebo DSA) na disku v souboru, jež je málo bezpečné. Samotné algoritmy zůstávají i nadále bezpečné.

. Problém "formátu" dat tajných klíčů se principiálně nemusí týkat pouze PGP, ale i jiných kryptografických systémů. V implementaci kryptografických systémů se jedná o poměrně častý problém, který výrobci jistě v brzké době uspokojivým způsobem vyřeší.Neexistuje tedy žádný zvláštní důvod k panice.

Závěrem
Shrneme-li tedy uvedené fakty, můžeme říci, že nalezená "slabina" se vůbec netýká fungování samotného PGP jako takového. Přesněji řečeno, netýká se prolomení šifrovacích algoritmů, což by následně umožnilo dešifrovat zprávu bez vlastnictví potřebného klíče. Nalezená "slabina" se týká "pouze" správy soukromého klíče. Velice výstižně vystihuje tuto situaci následující příměr:

Představme si trezor s pořádným zámkem a klíčem. Pokladník, který používá tento nedobytný trezor k uschování hotovosti si však klíč k tomuto trezoru schovává například pod rohožku. Zloděj, který se do místnosti s trezorem vloupal, náhodou o tuto rohožku zakopne a najde uschovaný klíč. Nepotřebuje tedy do trezoru proniknout násilím, ale elegantně si jej odemkne a peníze v něm uložené ukradne. Právě ono zakopnutí o rohožku a nalezení klíče lze chápat jako analogii k popisované slabině systému PGP.

Pro běžného uživatele PGP vyplývá z této kauzy následující:

. Je třeba chránit si soubor se svým tajným klíčem PGP. Není možno jej nechávat volně v šanc na pevném disku svého počítače.

. Pro běžné aplikace, v nichž není spolehlivé určení identity uživatele opravdu důležité, je zjištěná bezpečnostní díra podružnou záležitostí.

. Jakmile bude k dispozici nová verze programu, která bude podporovat lepší uložení dat na disku, přejděte na ni.

Poučení z "krizového vývoje"
V reakci na popisované události společnost PGP Security a Network Associates Company oznámila, že privátní klíče budou v budoucnu ukládány do speciální klíčenky (iKey) a nikoliv na pevný disk počítače, jako dosud. Přístup ke klíčům v klíčence je chráněn unikátním číslem PIN. Na rozdíl od různých karet nepotřebuje iKey žádné speciální čtecí zařízení. Je vybaven konektorem USB a připojuje se přímo k USB portu (viz obr.).