NemID på hardware blev lukket ned på grund af sårbarhed

NETS testede om angrebsteknikken Roca kunne bruges på NemIDs hardware - og det kunne den...

NETS lukkede i sidste uge for NemID på hardware, og det viser sig at være fordi Roca-angreb er muligt at udføre på det. Med Roca kan en hacker regne sig frem til en privat nøgle ud fra kendskab til en offentlig nøgle i et PKI-setup, hvilket netop bruges af NemID.

Roca er endnu ikke offentliggjort i detaljer, men dette vil snart ske - nemlig den 2. november i forbindelse med "ACM Conference on Computer and Communications Security" konferencen.

Sammen med offentliggørelsen af Roca blev der udgivet et testværktøj, hvor man kan afprøve om en given nøgle er sårbar overfor Roca. Det var dette værktøj som NETS' sikkerhedsfolk brugte.

Thomas Sølling, chef for NemID-medarbejdersignatur NETS, udtaler:

Der sidder nogle sikkerhedseksperter i vores it-afdeling, som begynder at undersøge, om sårbarheden faktisk gælder for vores løsning. Det går op for os, at nogle private nøgler på NemID Hardware, er sårbare. Og det sker i løbet af 19. oktober, at vi finder ud af, der er et problem.

På dette kontakter Nets fat i leverandøren af løsningen, Gemalto.

Om fredagen (20. oktober, red.) beder vi dem tage produktet væk fra deres webshop, så der ikke er flere, der kan købe hardwaren.

Gemalto har bekræftet overfor NETS at de anvender Infineon-biblioteket.

NETS arbejder i øjeblikket på en erstatning, men de skal først kunne garantere for sikkerheden. Således er der endnu ingen tidshorisont for hvornår en hardwareløsning til NemID er klar.

Billede: nemid

Kategori: Online  

Tags: nets   nemid   roca   nøgle   pki   infineon   gemalto