Τι απαντά το υπ. Ψηφιακής Διακυβέρνησης στο δημοσίευμα περί «κενού ασφαλείας» στο gov.gr
Ανανεώθηκε:
«Ανυπόστατο» χαρακτηρίζει το υπουργείο Ψηφιακής Διακυβέρνησης τον ισχυρισμό περί ύπαρξης «κενού ασφαλείας» στην ψηφιακή υπηρεσία Υπεύθυνης Δήλωσης του gov.gr, απαντώντας σε σχετικό δημοσίευμα.
Στη σχετική ανακοίνωση του, το υπουργείο αναφέρει πως «στην ψηφιακή υπηρεσία της Υπεύθυνης Δήλωσης, με τη δημιουργία κάθε νέου εγγράφου γεννιέται και ένας μοναδικός κωδικός για το συγκεκριμένο έγγραφο, με τον οποίο εκείνος στον οποίο απευθύνεται το έγγραφο μπορεί να το αναζητήσει. O μοναδικός κωδικός, όπως και τα άλλα προσωπικά στοιχεία της δήλωσης, είναι γνωστά μόνο στον ιδιοκτήτη-αποστολέα της δήλωσης και στον παραλήπτη, οι οποίοι έχουν και την ευθύνη διασφάλισής τους, ακριβώς όπως συμβαίνει και στην έντυπη δήλωση. Στην πράξη, η νέα ψηφιακή υπηρεσία της υπεύθυνης δήλωσης συνιστά όχι απλά διευκόλυνση του πολίτη, αλλά και αναβάθμιση της αξιοπιστίας των δημοσίων εγγράφων, αφού ανά πάσα στιγμή η γνησιότητα του ψηφιακού εγγράφου είναι επαληθεύσιμη από τον παραλήπτη του».
Η ανακοίνωση του υπουργείου ήρθε ως απάντησε σε πρωτοσέλιδο δημοσίευμα της «Εφημερίδας των Συντακτών» με τίτλο «Τρύπα Ασφαλείας στο gov.gr». Το δημοσίευμα επικαλείται ανακοίνωση της περασμένης εβδομάδας από την Ένωση Πληροφορικών Ελλάδας, όπου αναφέρεται ότι έστειλαν επιστολή στο υπουργείο Ψηφιακής Διακυβέρνησης, στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στην Αρχή Διασφάλισης Απορρήτου Επικοινωνιών, όπου ανέφεραν το εξής: «Παρατηρήσαμε πως μπορεί κανείς να βρει με απλή αναζήτηση στο Google υπερσύνδεσμο (URL) που εμφανίζει την υπεύθυνη δήλωση πολίτη, άσχετου με αυτόν που κάνει την αναζήτηση, ο οποίος έχει δημιουργήσει την δήλωσή του μέσω της πλατφόρμας: https://dilosi.services.gov.gr/create/q/templates. Πρακτικά, αν οποιοσδήποτε βρει από κάποια πηγή ή εντελώς τυχαία τον κωδικό hash key που χρησιμοποιείται για την επικύρωση (validation) τέτοιων εγγράφων εδώ: https://dilosi.services.gov.gr/show/q/validate, αποκτά αυτόματα στην κατοχή του ένα PDF έγγραφο με όλα τα στοιχεία του υπογράφοντος την υπεύθυνη δήλωση. Και όλα αυτά είναι διαθέσιμα με ένα απλό URL, χωρίς κανένα έλεγχο πρόσβασης ή αυθεντικοποίηση (login) του χρήστη. Μπορεί μάλιστα να κατεβάσει το έγγραφο τοπικά με την ψηφιακή υπογραφή του Υπουργείου, δηλαδή έτοιμο προς οποιαδήποτε νόμιμη χρήση».
Από την πλευρά του, το υπουργείο επισημαίνει ότι ο μοναδικός κωδικός κάθε εγγράφου με τα χαρακτηριστικά ασφαλείας του gov.gr αποτελείται από 22 χαρακτήρες που προκύπτουν με την κωδικοποίηση base64 (διαφορετικοί χαρακτήρες Α-Ζ, a-z, 0-9) ενός μη ανιχνεύσιμου αριθμού μήκους 128 bits (2128 διαφορετικοί αριθμοί). «Η μη ανιχνευσιμότητα προκύπτει από την ενσωμάτωση εντροπίας από τους εξυπηρετητές του gov.gr στη γεννήτρια τυχαίων αριθμών /dev/urandom του λειτουργικού συστήματος Linux, κατάλληλη για κρυπτογραφική χρήση» σημειώνεται, προσθέτοντας ότι με βάση αυτή την κρυπτογράφηση, «εάν κάποιος προσπαθήσει να μαντέψει (brute force attack) τον κωδικό ενός εγγράφου με ρυθμό 12000 προσπαθειών ανά δευτερόλεπτο (ο μέγιστος ρυθμός εξυπηρέτησης για την εν λόγω υπηρεσία), τότε για να πετύχει με πιθανότητα 0.1% ένα κωδικό εγγράφου θα πρέπει να προσπαθεί για 4 εκατομμύρια φορές τη χρονική διάρκεια του γνωστού σύμπαντος (δεκάδες εκατομμύρια δισεκατομμύρια έτη). Ουσιαστικά λειτουργεί ως ένα πολύ ασφαλές και μεγάλο σε μέγεθος password που το ξέρει μόνο ο ιδιοκτήτης του εγγράφου και ο νόμιμος παραλήπτης του. Δεν δημοσιεύεται, ούτε υπάρχει αλλού, παρά μόνο στον παραλήπτη που το χειρίζεται ως προσωπικό έγγραφο. Ταυτόχρονα, εάν κάποιος χρήστης επιχειρεί επιθέσεις, υπάρχουν πολλαπλά επίπεδα μέτρων στις υποδομές της ΕΔΥΤΕ ώστε να απομονωθούν οι προσπάθειές του, είτε προέρχονται από συγκεκριμένο σημείο, είτε είναι κατανεμημένες (DDoS attack)».