Nimelt on ilmnenud, et tööriist, mille abil PPA teenindusbüroodes ID-kaartide sertifikaate uuendati, ei olnud turvanõuetele vastav ning seetõttu ei saa pidada ka neid 12 500 ID-kaarti turvaliseks. Nõuded näevad ette, et ID-kaardi omanike privaatvõtmeid tuleb genereerida ainult kiibi peal, kuid seda ei suutnud kaarditootja tagada.

„Väljaspool kiipi võtmete genereerimine annab võtmete genereerijale võimaluse kasutada ID-kaarti füüsiliselt kaarti omamata ja PIN-koodi teadmata. Selle riski maandamiseks tunnistab PPA nende kaartide sertifikaadid kehtetuks,“ seisab täna avaldatud pressiteates.

Neid inimesi, kelle ID-kaarti seekordne turvaviga puudutab, saavad PPA käest personaalse kirja, kus juhendatakse edasi, mida selles olukorras teha. Teada on, et vigaste kaartide sertifikaadid suletakse alates 1. juunist. Selle aja jooksul on inimestel võimalus garantiikorras saada endale tasuta uus ID-kaart. Selleks tuleb saabunud e-kirjale vastata ning öelda millisesse PPA teenindusbüroosse uut ID-kaarti soovitakse. Garantiina väljastatud ID-kaart valmistatakse ühe päeva jooksul ning kehtib sama kaua kui suletav ID-kaart.

Nagu öeldud, siis viga puudutab neid kaarte, mis on väljastatud enne 2014. aasta 16. oktoobrit ning mida on PPA teenindusbüroodes uuendatud. PPA soovitab vaadata kinnitust, kas ID-kaart on turvaline või mitte läbi eesti.ee portaali, veebiküljelt id.ee või küsida PPA infotelefonilt.

Kuid tagasi probleemi juurde. Alates 2012. aasta juulist kuni eelmise aasta juuni lõpuni uuendati ID-kaartide sertifikaate ning selle tegemiseks pöördusid 75 000 inimest PPA teenindusbüroodesse. Sertifikaatide uuendamiseks kasutati tööriista, mille lõi kaarditootja Trüb Baltic AS, mille hiljem ostis ära Gemalto.

Tänaseks on nendest uuendatud kaartidest seni aktiivselt kasutusel 12 500 kaarti. Riigi infosüsteemi ameti (RIA) eID valdkonna juht Margus Arm kinnitas, et ühtegi turvavea kuritarvitamise juhtumit teada ei ole ning samm tehakse võimalike edasiste probleemide vältimiseks.

„Kõik seni tehtud tehingud ja kaardiga antud allkirjad on õiguspärased ja kehtivad. Kaasa arvatud e-hääletamine,“ sõnas Arm.

Viited võimalikule turvaprobleemile jõudsid RIA kõrvu juba möödunud aasta veebruaris, kuid sellele ei saadud mitte mingit kinnitust. RIA peadirektor Taimar Peterkop viitas keerulistele suhetele Gemaltoga, kes pole tänini seekordset turvanõrkusega tööriista loomist kinnitanud. Tõendeid selle kohta, et selline turvanõrkus tõepoolest on olemas, saadi tänu Tartu ülikooli doktorandile Arnis Paršovs, kes oma teadustöös Eesti ID-kaardi küsimusi uurib. Sellele järgnes AS Cybernetica teadlaste analüüs, mis viga kinnitas. Gemalto ajab seda endiselt tagasi.

PPA ja ID-kaardi tootja Gemalto vahel on juba praegu käimas üks kohtuvaidlus seoses uue ID-kaardi tootmise hankega. Eelmisel aastal puhkenud 750 000 ID-kaarti puudutanud turvanõrkuse kriisi osas käib endiselt partnerite vahel teineteisele nõuete esitamine, kuid kohtuhagi pole kumbki pool veel sisse andnud. PPA dokumendieksperdi Kaija Kirchi sõnul on seekordse probleemi puhul, kus dokumenditootja pole suutnud tagada nõuetekohast privaatvõtmete genereerimist, juba Gemalto vastu rahaline nõue esitatud.

„Sellele nõudele nad vastasid eile hilisõhtul ja eitasid kõike. Rohkem nad vastanud ei ole,“ ütles Kirch. Ta lisas, et sügisese suure ID-kaardi kriisi osas tuleb ilmselt Gemaltoga ette võtta kohtutee.

„Me oleme mõned korrad kohtunud, üritanud kokkulepet saavutada, aga kokkulepet ei ole. Meil pole läbirääkimised kuhugi jõudnud. Kahekesi omavahel arutades me ei jõua mitte kuhugi, aga mõlemad pooled tahaksid lahendust saada ja meil pole mõtet rohkem venitada seda asja. Me ilmselgelt ei tule üksteise seisukohtadele vastu,“ viitas Kirch kohtuteele.

Peterkopi sõnul on tänu Paršovsi teadustööle saadud jälile mitmele ID-kaardi probleemile, sealhulgas ka 15 praaktoodanguga ID-kaardile, kuid täna avalikustatud probleem oli neist kõige tõsisem.

„See oli kõige karmim asi, mis me teadsime. Meil oli sellega keeruline edasi minna ning see oli mul pidevalt kuklas. See on eelmise aasta veebruarist alates seganud mu ööund. Aga meil oli sein nimega Gemalto vastas. Sügisene suur ID-kaardi kriis tuli täiesti ootamatult, aga see tõstis meie kompetentsi ja me nägime, et andmeid on võimalik ka mujalt saada ja me ei sõltu Gemalto andmetest. Niisiis palusime nende mujalt saadud andmete põhjalt teha analüüsi Cybernetical,“ kommenteeris ta.

Margus Arm kinnitas, et privaatvõtmete genereerimise tööriistad peaksid vastama standarditele, töötama reeglitekohaselt ning auditeeritud, kuid tõdes, et ajal kui Trüb Baltic AS vastava tööriista PPA-le tarnis, ei olnud PPA-l ega RIA-l tööriista kontrollimise rolli.