Sisene kasutajana

Anneta TNP Toetusfondi

Toeta siin Vaba Eesti Sõna!

Donate here to Vaba Eesti Sõna!

Otsing

Digiteeritud eesti ajalehed

digilehed

Eesti ametkonnad olid sunnitud suurema kärata juba mais ja juunis sulgema Eesti ID-kaarte, kuna Tšehhi teadlastest sõltumatult tegutsenud Tartu ülikooli teadur oli avastanud neis nii kapitaalse turvavea, et suutis ühe neist lahti muukida ja näitliku võltsallkirja anda, selgub Postimehe käsutuses olevast kirjavahetusest.

 

Eestis vastutatavad elektrooniliste isikutunnistuste väljastamise ja turvalisuse eest Riigi Infosüsteemi Amet (RIA) ning politsei- ja piirivalveamet (PPA). Seni on nad hiliskevadel juhtunut märkinud vaid põgusalt muude vastuste sees. Postimehe valdusesse sattunud teadmata kellelt ja teadmata kellele edastatud kirjajupp andis ainest senisest mõnevõrra põhjalikumalt avastusesse süüvida.

 

RIA ei eita, et tekstis mainitu on tõesti aset leidnud. Jah, Tartu Ülikooli teadlane on turvavea tõesti avastanud. Jah, selle abil oli võimalik digiallkiri järgi teha. Jah, PPA on tõesti kaarte sulgenud. Kõik see on uudiseks aga riigi valimisteenistusele, kellele alles hiljuti tuli tšehhide avastatud turvavea tõttu otsustada, kas e-valimisi lubada või mitte.

 

Selgub, et Tartu Ülikooli doktorant ja lektor Arnis Paršovs on riigi IT-süsteemidega end aastate vältel väga hästi kurssi viinud ja temast on saanud tegelikult ka riigile partner, kellega RIA ja PPA ka ID-kaarti turvalisuse osas aktiivselt koostööd teeb. Kummalisel kombel oli Paršovsil tekkinud ligipääs teadmata mahus ID-kaardi sertifikaatide avalikele võtmetele. RIA pressiesindaja Helen Uldrichi sõnul kindlasti mitte kogu andmebaasile. Seda numbrit, kui palju ta enam kui miljonist võtmest läbi arvutas, ei ole teadlane avaldanud.

 

Tulemus oli igal juhul see, et ta avastas ajavahemikul 30.12.2014 kuni 20.06.2016 väljastatud ID-kaartide seas 15 sellist, mille võtmete turvatase oli lubamatult madal.

 

Ja mis eriti oluline: ühe 1979. aastal sündinud eestlase ID-kaarti avaliku võtme turvatase oli nii nõrk (vaid 1 bitt tavapärase 2000 biti asemel), et selle sertifikaadi abil oli võimalik kaardikasutaja digiallkiri lahti muukida ja sellega näitlikult võltsallkiri anda. See ID-kaart oli väljastatud veebruaris 2015.

 

RIA ametliku seisukoha kohaselt oli avastatud turvanõrkuse puhul tegemist harvaesineva ja väikesemahulise turvaveaga. Samas on Paršovsi teadustöö veel pooleli ja täpsemalt ei taha RIA seetõttu selle sisu kommenteerida.

 

«Analüüsides ID-kaartide avalike võtmete andmebaasi tuvastas Paršovs dokumentide tootmisprotsessis anomaalia, mille tõttu olid 15 kaarti saanud  nõuetele mittevastavad nõrgad võtmed. Teadlane näitas ühe praakkaardi varal teadustöö raames, mille ta avaldab järgmisel kevadel, et sellise tootmisveaesinemisel on võimalik digiallkirja järele teha,» ütles Helen Uldrich.

 

Ta kinnitas kahte olulist asja. Esiteks: seda vigast kaarti ei olnud elektrooniliselt  kordagi kasutatud. Ning teiseks: RIA kontrollis kõik ülejäänud ID-kaartide võtmed üle ja rohkem selliseid anomaaliaid ei leidnud.

 

«Informeerisime teadlase tuvastatud anomaaliast kaarditootjat Gemalto ja sertifitseerimisteenuse osutajat ning võtsime kasutusele meetmed, mis ei võimalda sellise veaga kaarte enam toota,» ütles Uldrich.

 

Seega kinnitab RIA, et tegemist ei olnud süstemaatilise vea, vaid üksikute praakkaartidega. PPA sulges juuni alguses need 15 vigast ID-kaarti ning väljastas inimestele garantiikorras uued kaardid.

 

«Ka varem on toodetud üksikuid praakkaarte, mis on vea ilmnemisel alati suletud ning vigased kaardid on garantiikorras välja vahetatud, » ütles Uldrich ja märkis, et ühtegi nõuetele vastavat Eesti ID-kaarti ei ole teadlased suutnud murda.

 

Kirjeldatud viga ei ole Eesti ametkondade kinnitusel kuidagi seotud Infineoni kiibi turvariskiga, mille avastasid Tšehhi teadlased. Selle kohta hakkas viiteid tulema RIA-le juunis.

Tellimine

"Vaba Eesti Sõna" PDF-i täisversioon on tasuline. Kasutajakonto saamiseks tuleb täita tellimus. Maksmise ja tellimise info vaata sisukorrast Lehe tellimine. Tasuda saate krediitkaardiga PayPal'i kaudu siit.

Full PDF version of the paper costs $60 per year. To open your account, please click for more info Lehe tellimine. You can pay directly through PayPal. This is the safer, easier way to pay online.

Toeta ajalehte

Toeta siin Vaba Eesti Sona!

Donate here to Vaba Eesti Sõna!

Eesti Rahvuskomitee

eanc logo

NY Eesti Maja

em logo

NY Eesti Kool

nyek logo

Eesti Abistamiskomitee

erc logo

Järvemetsa Fund

2014 metsavaim

ESFUSA

eutf logo

Eesti Arhiiv USA's

eausa logo

LA Eesti Maja

laem logo

Kanada Metsaülikool

metsaulikool logo