Aarhus-forskere har hacket løs på 4.841.990 danskeres NemID-nøgler i et år

NemID OCES er blevet gennemtestet for dårlig tilfældighed, som potentielt kan være en bombe under signatur-løsningen. NemID klarer dog frisag.

Forskere fra Aarhus Universitet har testet Nem-ID’s sikkerhed mod mulige angreb som følge af dårlig tilfældighed, og konklusionen er klar - NemID er sikkert. Det fremgår af Aarhus Universitets hjemmeside.

»Vi har testet for en ganske bestemt svaghed. Når vi ikke har fundet noget, så betyder det, at den bestemte svaghed i forhold til tilfældighed, ikke findes her. Der kan jo være andre, det kan vi jo ikke garantere noget i forhold til,« siger en af dem, der står bag testen, professor ved datalogisk institut på Aarhus Universitet Ivan Damgård til Version2.

Forskerne har testet den komponent af NemID, der kaldes Offentlige Certifikater til Elektronisk Service (OCES), der bruges, når man skal logge ind til offentlige og private servicer, og når man skal signere dokumenter.

I denne brug af NemID indgår en offentlig og en privat nøgle. Den offentlige nøgle bruges til at kontrollere ægtheden af brugernes signatur, mens den private kan bruges til at underskrive dokumenter.

Læs også: Vellavet NemID-phishing mail bruger DDoS-angreb som lokkemad

Dårlig tilfældighed

Inden for de seneste år har der været øget fokus på sikkerheden ved denne form for nøgler, da der i nogle tilfælde kan være en bias eller skævhed i den tilfældighed, der bruges til at generere den private nøgle, og det mindsker sikkerheden.

Det har især været i fokus ved systemer med mange millioner af nøgler, at man udfra en analyse af de offentlige nøgler kunne finde frem til de private nøgler på grund af skævheden i måden nøglerne er blevet genereret.

Testen af NemID startede i januar 2014, hvor en gruppe forskere fra “Kryptografi og Datasikkerhed” kontaktede Nets Dan-ID A/S om udlevering af data. De fik alle 4.841.990 offentlige NemID OCES nøgler fra tilsendt, og de kan altså nu konkludere, at NemID OCES ikke lider under dårlig tilfældighed.

Læs også: Danske Bank sætter grænsen op til 150.000 kroner med Mobile Pay og NemID

Matematikken bagved

NemID benytter sig af en såkaldt RSA-signatur, hvor alle brugeres private nøgler indeholder to store primtal (a og b). Produktet (n) af de to primtal (a og b) er så den offentlige nøgle. Sikkerheden ligger i, at det er svært at finde ud af, hvad a og b er - altså den private nøgle - kun ud fra deres produkt (n).

Primtallene i den private nøgle findes ved generering af tilfældige tal. Og her er det vigtigt, at tilfældigheden fungerer ordentligt.

»Det afgørende er, at det ikke må være for nemt at gætte, hvilke to primtal der er valgt (til den private nøgle, red.). Man vælger et helt tilfældigt tal, som kandidat til et primtal. Og så tester man, om det er et primtal, man har fat i. Hvis ikke det er det, så smider man det væk, og vælger et nyt tilfældigt tal,« forklarer Ivan Damgård og fortsætter:

»Der er en rimelig chance for, at det man vælger faktisk er et primtal, selvom man bare tager en helt tilfældig kandidat.«

Hvis tilfældigheden ikke er tilstrækkelig, kan flere brugere ende med, at dele af den private nøgle er ens, og så kan systemet knækkes.

Hvis n og n1 deler et primtal - enten a eller b - kan man hurtigt finde det delte primtal ved at finde det største tal, som n og n1 kan divideres med. Og har man på den måde fundet frem til f.eks. a, kan man hurtigt finde b, og dermed kan man signere dokumenter på brugerens vegne.

Læs også: Disse elementer er i spil til NemID's afløser

»Hvis der er to offentlige nøgler, der har denne forbindelse til hinanden, så vil man kunne se det ved at teste for det. Og det er den test, vi har lavet,« siger Ivan Damgård.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (16)

Kommentarer (16)
Johnny Olesen

Udlov en dusør på en millioner dollar, og se hvor hurtigt Nem-ID bliver hacket... Helt seriøst - hvorfor ikke bare gøre som Google, og udlove en masse penge for at finde fejl i systemerne?

Kristoffer Olsen

Med fare for at lyde polemisk er jeg tilbøjelig til at være enig i, at det er ret ligegyldigt, om nøglerne er genereret med tilstrækkelig tilfældighed, al den stund at FE kan få udleveret ens private nøgle uden retskendelse, bare man rejser ud af landet.

Henrik Madsen

Med fare for at lyde polemisk er jeg tilbøjelig til at være enig i, at det er ret ligegyldigt, om nøglerne er genereret med tilstrækkelig tilfældighed, al den stund at FE kan få udleveret ens private nøgle uden retskendelse, bare man rejser ud af landet.

Hov hov, det passer jo ikke.

Nets siger selv at nøglerne ligger på en sikret server med hardware kryptering og jeg skal gi dig skal jeg .

Hvis FE kan få nøglerne udleveret, så betyder det at nogen kan trække nøglerne ud af denne sikrede hardware krypterede enhed og kan nogen, så kan "nogen som ikke gerne skulle kunne" også.

Peter Binderup

Hvis FE kan få nøglerne udleveret, så betyder det at nogen kan trække nøglerne ud af denne sikrede hardware krypterede enhed og kan nogen, så kan "nogen som ikke gerne skulle kunne" også.

Hvad er det lige at FE skal med NemID nøglerne? De bliver jo reelt kun brugt som en form for to faktor login - de springer da to faktor delen over og går direkte til fagsystemerne - for FE er papkortet da fuldstændigt ligegyldigt.

Kristoffer Olsen

Hvad er det lige at FE skal med NemID nøglerne?


Det har du selvfølgelig ret i. Det var også mere for at illustrere pointen om, at teoretisk sikkerhed er af mindre betydning, hvis den omkringliggende kontekst er fyldt med huller.

Der er dog nogle marginale use cases, hvor adgang til nøglen kunne være nyttig så vidt jeg kan se:
https://www.nemid.nu/dk-da/om_nemid/hvad_er_nemid/sikker_e-mail/

Nets siger selv at nøglerne ligger på en sikret server med hardware kryptering og jeg skal gi dig skal jeg .

Hvis FE kan få nøglerne udleveret, så betyder det at nogen kan trække nøglerne ud af denne sikrede hardware krypterede enhed og kan nogen, så kan "nogen som ikke gerne skulle kunne" også.

Fair nok, men er vi ikke enige om, at man næppe skal ændre mange linjers kode i det client-side JavaScript, som dekrypterer den private-nøgle med ens kodeord for, at det i ukrypteret tilstand kan overdrages til uvedkommende tredjepart?

Bjarne Nielsen

Nets siger selv at nøglerne ligger på en sikret server med hardware kryptering

Hvis vi i stedet for FE tænker på nogen, som kan skrive modificeret firmware til harddiske, og som er kendt for at kunne opsnappe hardware undervejs imellem leverandør og kunde, så er det måske slet ikke helt så sikkert.

Men det ville også forudsætte, at nøgleparret blev brugt til at kryptere noget seriøst, og ikke bare til single-sign-on til banker og det offentlige. Det er næppe besværet værd at angribe nøglernes integritet, når serverne allerede driftes af firmaer, hvor data er nemmere af få fingre i. Man vil da klart gå efter det svageste led.

Næh, det er alle andre, som skal holdes væk, og så er det faktisk interessant nok at kigge på, om nøglerne er solide.

Søren Hansen

Kender du til dokumenterede eksempler på, at kriminelle elementer uden for efterretningssektoren har kapacitet til at udnytte svagheder i kryptografiske tilfældighedsgeneratorer?

Debians PRNG i openssl havde for en stund kun et effektivt keyspace på 15 bit. Jeg tror det er overkommeligt for kriminelle elementer med selv meget begrænsede ressourcer at brute force sig igennem det.

Jacob Sparre Andersen

Jeg mindes at have læst en rapport om indbrud i britiske banker, hvor et af eksemplerne netop handlede om at de kriminelle havde fundet ud af at udnytte en svaghed i en banks krypteringssystem. Jeg kan ikke huske så mange detaljer, men nøglerummet havde vist kun halvt så mange bit som banken troede.

Henrik Madsen

Hvordan når du frem til det?

Hvis det er muligt at trække nøglerne ud så er de jo ikke "sikrede i hardware".

Vi så jo hvordan det kun tog én korrupt medarbejder og eet sladderblad med penge til at få adgang til de kendte's kreditkort transaktioner.

Hvis det er muligt at bestikke folk til at give en adgang til dankort transaktioner, hvordan forestiller du så (måske) at det skulle være umuligt når det kommer til NemID logins.

Jeg er sikker på at kunne Se og Hør have købt sig adgang til de kendte's lægejournaler via NemID så ville de også have betalt for det.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 10:29

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017