Nová technologie čipu v občanském průkazu přinese nové hrozby

Nová technologie čipu v občanském průkazu přinese nové hrozby

Nový typ občanského průkazu přinese nejpodstatnější změnu v tom, že už nebude možné vydat variantu bez elektronického čipu. Bude se jednat o kontaktní čip, pro jehož používání bude nezbytné zasunutí občanského průkazu do čtečky připojené k počítači. To eliminuje hrozbu ve formě neautorizovaného přečtení informací z karty potenciálním útočníkem, který disponuje čtečkou schopnou extrahovat data pouhým přiblížením, jaká může hrozit např. u bezkontaktních platebních karet.

Pro případy fyzického prokázání totožnosti bude nadále potřeba znát svůj tzv. “bezpečnostní osobní kód” (BOK), tedy 4 až 10-ti místný číselný kód, který se už nějakou dobu používá u všech novějších občanek a slouží pouze pro omezené spektrum služeb, resp. autentizaci do elektronických systémů, do kterých se přihlašuje někdo jiný na základě vámi předloženého průkazu (např. policie při legitimaci).

Pro přístup k samotné správě dat na čipu občanského průkazu bude potřeba znát další kód ve stejném formátu jako BOK, tzv. “identifikační osobní kód” (PIN). V případě chybného zadání PINu třikrát po sobě je čip zablokován. Pro jeho odblokování pak bude nutné použít tzv. “deblokační osobní kód” (PUK). Ten má opět stejný formát.

Jak zabezpečit nový čip?

Přestože může být lákavá představa poznamenat si všechny tyto kódy na kus papírku a uložit do peněženky zároveň s občanským průkazem (protože kdo by si pamatoval všechny ty piny, že?), rozhodně tak nečiňte!

Pokud máte opravdu strach, že byste zmíněné číselné kódy zapomněli, použijte radši password manager (např. cross-platformní KeePass), data tak budou šifrovaně uložená na počítači nebo mobilu a pamatovat si musíte jen hlavní heslo, které se navíc může skládat z libovolných znaků. Stále je ale důležité zvolit dostatečně silné a zároveň snadno zapamatovatelné heslo.

Pro tento záměr doporučujeme vytvořit tzv. heslovou frázi (passphrase) skládající se z několika (aspoň 4) náhodně zvolených samostatných slov. Hlavní výhoda oproti standardnímu heslu je v tom, že je většinou snadněji zapamatovatelná než např. jedno slovo, ve kterém nahradíme některá písmena speciálními znaky, zároveň ale může poskytovat srovnatelnou nebo lepší bezpečnost než zmíněné jednoslovné heslo. Pro více informací o tomto tématu např. zde: useapassphrase.com.

Stejně jako je potřeba dbát obezřetnosti při nastavování hlavního hesla k password manageru, je podstatné volit vhodný číselný kód při nastavování BOK, PIN a PUK kódu. V první řadě se rozhodně vyhněte často používaným a snadno úhádnutelným posloupnostem jako 1234, 1111, 9876, atd.

Pokud budete používat password manager, je vhodné využít možnosti maximální délky kódu čítající 10 cifer. Pro vygenerování náhodného kódu (a heslové fráze pro password manager) je možné použít např. tento web: xkpasswd.net. V neposlední řadě, každý číselný kód měl být jiný, aby např. v případě odposlechnutí BOK kódu při legitimaci a následném odcizení občanského průkazu nebylo možné spravovat data na čipu za pomocí totožného kódu. Rozhodně také hesla nikomu nesdělujte (samozřejmě kromě situace, kdy po vás bude nějaká úřadem pověřená osoba chtít BOK kód v rámci ověření totožnosti).

Mezi základní funkce karty patří ukládání RSA klíčů a certifikátů, které pak můžou sloužit pro autentizaci v informačních systémech, případně k vytváření digitálních, resp. elektronických podpisů. Certifikáty se dále dají importovat a exportovat z a do operačního systému.

Při používání čipu občanského průkazu je taky dobré dbát na to, abyste čtečku vždy připojovali ke známému a dostatečně zabezpečenému zařízení, ke kterému máte přístup jen vy (a případně vaši blízcí), tedy není úplně nejlepší nápad přihlašovat se do webových aplikací v kavárně, knihovně, a pod., kde si ke stejnému přístroji sedají desítky lidí denně a zvyšuje se tedy hrozba toho, že by byl počítač zkompromitován a mohlo by dojít k úniku citlivých dat. Se stejnou opatrností je potřeba přistupovat i k výběru čtečky.

Je lepší spíš vsadit na ověřený model (např. přímo na stránkách Ministerstva vnitra doporučovaná Gemalto GemPC Twin), zakoupit ho v nějakém ověřeném obchodě a nepoužívat pak jen tak nějakou čtečku, kterou si náhodně od někoho půjčíte.

A na závěr, v případě ztráty/odcizení občanského průkazu je potřeba neprodleně událost oznámit kterémukoliv obecnímu úřadu obce s rozšířenou působností, matričnímu úřadu, popř. policii. Kdo by chtěl mít zvýšený pocit bezpečí, tomu pak doporučujeme revokovat v takové situaci všechny certifikáty, které jste si na čip nahráli a které přímo nesouvisí se státními aplikacemi, tedy např. certifikát k internetovému bankovnictví. Přestože by data na čipu měla být šifrována a nepřístupna nikomu, kdo nemá příslušný PIN, zákeřný útočník by mohl přijít na způsob, jak tento mechanismus obejít.

O autorovi

Adam Nastulczyk
Etický hacker
Popsal bych se jako životní optimista se zdravou příměsí realisty a silnými sklony k perfekcionismu. Hacking je jedním z mých dětských snů, který si v posledních letech začínám plnit. O IT se ale zajímám celý svůj život, ať už ve formě programování svých nápadů nebo spravování toho, co se zrovna rozbilo. Aktivně se taky věnuju hře na příčnou flétnu a když zbyde nějaký čas, jdu si třeba zaběhat.
Zobrazit více od autora

Podobné blogy