Vrhunske šifrirne rešitve slovenskih proizvajalcev

Po objavi razkritja, da sta ameriška obveščevalna služba CIA in nemška obveščevalna služba BND imeli v lasti švicarsko podjetje Crypto AG, ki je svoje šifrirne rešitve akreditiralo tudi v Sloveniji, so se te dni odzvali tudi na Uradu vlade za tajne podatke Republike Slovenije.

Po zagotovilih vodje UVTP šifrirne rešitve Crypto AG v slovenski upravi niso več v rabi že najmanj osem let. Je pa Slovenija opremo Crypto AG podedovala iz Jugoslavije, po njegovih besedah pa jo je od Crypto AG kupovala še v devetdesetih letih.

Vodja UVTP je za medije tudi zatrdil, da “v zadnjih letih Slovenija uporablja v glavnem vrhunske šifrirne rešitve slovenskih proizvajalcev”.

Glede na dokument “Seznam odobrenih šifrirnih rešitev”, ki ga je 18. februarja 2019 na spletu objavil slovenski Urad vlade za tajne podatke, imajo šifrirne rešitve odobrena štiri slovenska podjetja, in sicer (navajamo jih po abecednem vrstnem redu): Beyond Semiconductor d.o.o., Biokoda d.o.o., Cifra d.o.o. in Digitech d.o.o..

Pa si poglejmo njihove spletne strani. Konkretno, uporabo HTTPS.

Beyond Semiconductor

Gre za leta 2005 ustanovljeno podjetje, z več predstavništvi v tujini in glede na vsebino spletne strani (prva stran je v angleščini, slovenske vsebine pa so v pripravi), usmerjeno izrazito v poslovanje s tujino.

Spletna stran podjetja Beyond Semiconductor (https://www.beyondsemi.com/) podpira HTTPS in nas iz HTTP povezave pravzaprav samodejno preusmeri na varno HTTPS povezavo.

Kvaliteta HTTPS povezave je ocenjena z B, saj spletni strežnik podpira starejša protokola TLS 1.0 in TLS 1.1 (najverjetneje zaradi kompatibilnosti s starejšimi brskalniki). Podrobnejša analiza ne kaže kakšnih večjih pomanjkljvosti v HTTPS konfiguraciji spletnega strežnika. Splošni vtis je tako dober.

Biokoda

Tudi spletna stran podjetja Biokoda kaže, da gre podjetje, usmerjeno v poslovanje s tujino. Prva stran je namreč v angleščini, na voljo pa so še vsebine v nemškem jeziku.

Spletna stran podjetja Biokoda (https://www.biokoda.com/) podpira HTTPS in nas iz HTTP povezave pravzaprav samodejno preusmeri na varno HTTPS povezavo.

Tudi kvaliteta HTTPS povezave te spletne strani je ocenjena z B, saj spletni strežnik podpira starejša protokola TLS 1.0 in TLS 1.1 (najverjetneje zaradi kompatibilnosti s starejšimi brskalniki). Prav tako podrobnejša analiza ne kaže kakšnih večjih pomanjkljvosti v HTTPS konfiguraciji spletnega strežnika. Tudi tukaj lahko zaključimo, da je splošni vtis dober.

Cifra

Podjetje Cifra ima spletno stran (http://www.cifra.si/) na voljo samo v slovenskem jeziku. Spletna stran je privzeto dostopna samo preko nešifrirane HTTP povezave. Če sami ročno zahtevamo varni HTTPS protokol (https://www.cifra.si/), dobimo opozorilo o neveljavnem digitalnem potrdilu.

Hitri pregled razkrije, da je digitalno potrdilo njihovega spletnega strežnika podpisano z lastno izdanim digitalnim potrdilom Cifra CA, ki je veljavno kar 10 let (1. 1. 2020 do 1. 1. 2030). Enako je skoraj 10 let veljavno tudi digitalno potrdilo spletnega strežnika.

Že samo to predstavlja težavo, saj predolga veljavnost digitalnih potrdil ni v skladu z dobrimi praksami, ki jih priporoča združenje CA/Browser Forum, ki vključuje izdajatelje digitalnih potrdil (Certificate Authorities), proizvajalce spletnih brskalnikov ter operacijskih sistemov. Le-to v dokumentu Baseline Requirementsfor theIssuance and Management of Publicly-Trusted Certificates (poglavje 6.3.2. - Certificate Operational Periods and Key Pair Usage Periods) določa, da smejo imeti digitalna potrdila veljavnost največ 2 leti (oziroma 825 dni). Takšno priporočilo je bilo sprejeto že v letu 2017, velja pa od marca 2018. Predolgo veljavna potrdila so namreč zastarela in zelo verjetno tudi ranljiva, zato krajši cikel izdaje digitalnih potrdil povečuje varnost HTTPS povezav.

A to še ni vse. Poleg navedenega, na HTTPS različici spletne strani sploh ni nobene vsebine. Pričaka nas namreč obvestilo “Error 403”, vsebina pa še razkrije, da podjetje uporablja malo znani spletni strežnik Abyss Web Server X2.

Hiter pregled ranljivosti omenjenega spletnega strežnika, pokaže, da gre za produkt, kjer se ranljivosti odpravljajo relativno počasi. Varnostne ranljivosti v Abyss spletnemu strežniku so bile najdene v letih 2002 in 2003, odpravljene pa šele v letu 2008, ena v letu 2010 in dve v letu 2017. To kaže na neprimeren odnos avtorjev aplikacije za spletni strežnik do varnosti njihovega produkta. Da podjetje, ki se ukvarja z varnostnimi rešitvami uporablja takšno programsko opremo, pa tudi ne daje najbolj dobrega vtisa. Je pa res, da podjetje Cifra uporablja novejšo različico spletnega strežnika, za katero v CVE bazi ni navedenih ranljivosti (kar pa seveda ne pomeni, da ne obstajajo).

Kvaliteta HTTPS povezave te spletne strani ne odstopa od siceršnjega slabega vtisa, in je ocenjena z oceno T. K oceni poleg že opisanih težav z digitalnim potrdilom, pripomore tudi uporaba neustreznih algoritmov (npr. SHA1 za digitalno podpisovanje). Vsekakor bi lahko pričakovali, da bo spletna stran podjetja, ki se ukvarja z varnostnimi rešitvami na varnostnem področju pustila malo boljši vtis.

DODATEK: po objavi prispevka so me kontaktirali iz podjetja Cifra d.o.o. s pojasnilom, da so nastavitve HTTPS danes posodobili. Tako sedaj ne uporabljajo več SHA1, pač pa SHA256. Z izjemo težav z digitalnimi potrdili, je konfiguracija HTTPS strežnika sedaj bistveno boljša. Vsekakor pozitivno.

Digitech

Podjetje Digitech ima spletno stran (http://www.digitech.si/) ima spletno stran na voljo tako v slovenskem kot v angleškem jeziku. To kaže na to, da je podjetje usmerjeno tudi v tujino. A spletna stran je privzeto dostopna samo preko nešifrirane HTTP povezave. Če sami ročno zahtevamo varni HTTPS protokol (https://www.digitech.si/), pa dobimo precej nenavadno opozorilo, ki kaže, da je z digitalnim potrdilom spletnega strežnika nekaj hudo narobe.

Kaj konkretno je narobe z digitalnim potrdilom in pravzaprav s celotnimi nastavitvami HTTPS povezave na spletnem strežniku pa nam razkrije podrobnejša analiza.

Seznam pomanjkljivosti je skorajda fascinanten. Uporaba SHA1 za digitalno podpisovanje, uporaba SSL3 (da, leta 2020!), uporaba šibkih ali ne-varnih šifrirnih algoritmov (npr. RC4 - spet, leta 2020!),… posledično ne preseneča, da je HTTPS povezava ranljiva na skoraj vse razvpite napade zadnjih nekaj let.

To vsekakor ne pušča dobrega vtisa.

Zato seveda ne preseneča, da tudi v tem primeru na HTTPS različici spletne strani sploh ni nobene vsebine. Pričaka nas namreč generično obvestilo, ki pravi, da HTTPS del spletnega strežnika deluje.

Naj vas obvestilo “It works!” (“Deluje!”) ne zavede. HTTPS na tej spletni strani prav gotovo ne deluje kot je treba.

Tako tudi ta spletna stran ne pusti prav dobrega vtisa. Ne samo zato, ker gre za spletno stran podjetja, ki se ukvarja z varnostnimi rešitvami, pač pa tudi zato, ker se na spletni strani podjetje hvali, da je “Vedno korak pred ostalimi, ker … sledimo novim trendom in tehnologijam ter se redno izobražujemo na področju naše dejavnosti, kar nas postavlja korak pred konkurenco.”

* * *

Uporaba ali neuporaba HTTPS na spletnem strežniku in kvaliteta HTTPS povezave seveda ne pove kaj dosti o kvaliteti šifrirnih rešitev, ki so jih omenjena podjetja akreditirala v Sloveniji. Vsaj ne neposredno.

A vtis, ki ga podjetje v današnjem času naredi na spletu, je še kako pomemben. Od podjetij, ki se ukvarjajo z varnostnimi rešitvami, lahko upravičeno pričakujemo, da bodo varnost na vsakem koraku jemala skrajno resno.

Kot smo videli, se navedena štiri podjetja pri tem precej razlikujejo. Kakšen vtis to pušča na potencialne kupce njihovih rešitev, pa naj seveda presodi vsak sam.

Mimogrede, spletišče Telefoncek.si, na katerem se nahajate, ima oceno HTTPS povezave A+.