ID-kaardi võimaliku turvariski avastanud teadlased selgitasid esmakordselt, milles oht seisneb
Teadlased avaldasid täna esialgse teadustöö kokkuvõtte, millest sai Eesti jaoks alguse ID-kaardi turvaprobleemi lahendamise operatsioon.
Eile lõppenud kohalikke valimisi tabas poolteist kuud enne valimispäeva tõsine hoop. Septembri alguses peeti eesotsas peaminister Jüri Ratasega erakorraline pressikonverents, kus räägiti, et 750 000 ID-kaardil on avastatud potentsiaalne turvarisk. Riski avastas teadlaste rühm Tšehhi Masaryki ülikoolist, Suurbritannias asuvast Enigma Bridge'ist ja Itaalia Ca' Foscari ülikoolist.
Tšehhi teadlase Petr Svenda juhitud teadlaste rühm avastas, et miljonites krüptovõtmetes on nõrkus, mida on võimalik lahti murda. Probleemiks on krüptovõtmed, mis luuakse Saksa firma Infineon Technologies AG poolt toodetud kiipides. Need on kasutusel ka Eestile ID-kaarte tootva Gemalto kiipkaartides.
Teadustöö väidab, et avalikust krüptovõtmest on võimalik tuletada salajane võti. Tehnoloogiaväljaande Ars Technica kirjutas, et kui kasutada korraga paljusid arvuteid, võtaks võtme murdmine aega kõigest 17 päeva ja sellele kuluks kuni 40 000 dollarit.
"Avaliku võtme krüptograafia põhiline omadus on see, et avalikud võtmed oleksid ka päriselt avalikud – neid võib jagada kõigile ilma igasuguse turvariskita," ütles üks teadlastest Graham Steel Ars Technicale. Teadustöös aga leiti, et see omadus on "täiesti katki".
"See tähendab, et kui keegi digiallkirjastab dokumendi salajase võtmega, pole võimalik tõestada, kes selle tegelikult allkirjastas. Või kui sa saadad tundlikku infot, mis on krüpteeritud kellegi avaliku võtme abil, ei saa sa kindel olla, et ainult see inimene saab seda lugeda. Nüüd võid sa minna kohtusse ja eitada, et see olid sina, kes digiallkirjastas mingi dokumendi – seda pole võimalik tõestada, sest teoreetiliselt võis su salajase võtme välja arvutada ükskõik kes," selgitas Steel.
Nii Steel kui Svenda on hoiatanud, et turvariski võimalus võib teha e-valimised haavatavaks. Kuigi reaalset valimispettust on keeruline ellu viia, on selle võimaluse olemasolu – olgugi, et see on peaaegu võimatu – murettekitav, sest see võib anda hoogu võltsuudistele ja vandenõuteooriatele, ütles Svenda Arsile.
"Kujutage ette, kui Shadowbrokersite sarnane häkkerite rühmitus postitab ainult mõned salajased võtmed internetti ja väidab, et nad on suutnud lahti muukida veel mitmeid võtmeid," lisas Steel.
Teadlaste rühm avaldas täna teadustöö esialgse kokkuvõtte. Detailse ülevaate teadustööst teevad teadlased teisel novembril toimuval konverentsil.
"Täna avaldatud teadustöö kokkuvõtte põhjal ei ole Politsei- ja Piirivalveametil alust ID-kaartide sertifikaate sulgeda ja praegu töötame edasi teadmisega, et saame turvariskiga ID-kaartide uuendamist alustada novembris," ütles politsei- ja piirivalveameti identiteedi ja staatuste büroo juht Margit Ratnik.
"Eesti ID-kaart ja selle digitaalsed lahendused on jätkuvalt turvalised. Täna ei ole teateid ühestki digitaalse identiteedi vargusest," ütles riigi infosüsteemi ameti (RIA) eID valdkonna juht ning töögrupi vedaja Margus Arm.
RIA eestvedamisel on välja töötatud tarkvara, mille abil saab turvariskiga ID-kaartide, elamisloa ja digi-ID elektroonilist osa uuendada alates novembrist. "Praegu testime rakendust ning oleme andnud testkaardid e-teenuste pakkujatele, et nad saaksid proovida selle sobivust enda süsteemidega," ütles Arm.
