Sinu brauser on natuke ajast maha jäänud. Et kõik töötaks, nagu vaja, palun uuenda enda brauserit.
Küpsised aitavad meil teenuseid edastada. Meie teenuseid kasutades nõustute sellega, et kasutame küpsiseid. ROHKEM INFOT >
Postimees 160 Juubeli puhul loe seda lugu tasuta!

Häkkerid võinuks luua eestlastest digikloonid

15
KOMMENTEERI PRINDI ARTIKKEL
Saada vihje
Turvarisk. | FOTO: graafika: Alari Paluots

Kui ID-kaardi turvarisk, mille peaminister eile suure kella külge pani, ka tegelikult realiseeruks, saaksid häkkerid piisavalt raha kulutades luua mõnest Eesti residendist digitaalse klooni ja asuda internetis temana tegutsema.

Läinud kolmapäeva õhtul potsatas Riigi Infosüsteemi Ameti (RIA) infoturbeintsidentide käsitlemise osakonna CERT meilile kiri, mis ajas terveks nädalalõpuks jalule paarsada Eesti helgemat IT-spetsialisti ning röövis ööune mõnegi ministeeriumi tippjuhtidelt.

Nimelt visandas ühes Euroopa riigis tegutsev rahvusvaheline teadlaste grupp kirjas nelja-viieastmelise ahela, mille rakendudes oleks pahalastel teoreetiliselt võimalik mõne Eesti digi-ID omaniku identiteeti kloonida.

Teadlaste fookuses polnud Eesti ID-kaart ega isegi mitte meie tehnoloogia, vaid Šveitsi kiibitootja Gemalto AG üks kiip. Sellist tüüpi kiip on kasutusel mitmel pool mujalgi maailmas, ent konkurentsitult enim leidub seda Eestis.

Kui keegi turvaauku tõepoolest ära kasutada tahaks, oleks raha ja tööjõu kulutamise eesmärk pigem Eesti maine lörtsimine.

Nimelt kannab seda siin 750 000 ID-kaarti, mis on välja antud alates 2014. aasta 16. oktoobrist. Just siis võeti Eesti ID-kaartidel kasutusele uus kiip, mis põhines uuemal tehnoloogial, oli kiirem ja eelduslikult turvalisem. Kiibile andsid oma turvasertifikaadid Prantsusmaa ja Saksamaa.

Olgu kohe öeldud, et teadlased ei ole ID-kaardi krüptot lahti murdnud, vaid tõendasid üksnes paberil, et teoorias oleks see võimalik. Kogu valemit kirja saatjad CERTile ette ei andnud, kuid materjalist piisas, et panna siinsed infoturbeeksperdid riske läbi mängima ja kirja saatjatega ühendust võtma.

Ilmnes, et kogu loo nõrk koht puudutab kiibil oleva muutmatu tehasetarkvara üht elementi. Nõrkus ilmneb siis, kui kiip suhtleb tarkvaraga, mis Eesti riigi tellimusel selle ümber on ehitatud – olgu siis sertifikaatide kaardilt väljalugemine, nende kontrollimine või digiallkirjade andmine.

Kaks võtit

Keerulisest probleemist aru saamiseks tuleb teada, et Eesti inimese digitaalne isik koosneb sertifikaatidest ja need omakorda avalikust ja privaatvõtmest.

Ilmselt on teadlased näidanud, et nüüd on võimalik suhteliselt väikese arvutusvõimsusega tuletada digitaalse sertifikaadi avalikust võtmest privaatvõti ja seega on tõenäoliselt midagi valesti võtmepaari genereerimisega kiibil.

Halva üllatusena möönis ka kaardi tootja Gemalto AG Riigi Infosüsteemi Ametile, et teadlaste hinnang kiibi baastarkvara haavatavuse kohta on paraku tõsi.

«Kui keegi suudaks digi-ID kloonida, saaks ta teoreetiliselt kasutada ID-kaarti isikutuvastuseks ja digiallkirja andmiseks ilma kaarti omamata ning PIN-koode teadmata,» kirjeldas RIA tehnoloogianõunik Mark Erlich.

Kui keegi seda teha üritaks, tuleks iga ID-kaart häkkida ükshaaval ning seegi oleks meeletu töö. Seega ei ole võimalik korraga kõiki Eesti ID-kaarte ohtu seada.

«Ainult sertifikaadi avaliku võtme teadmisest kaardi lahtimurdmiseks siiski ei piisa – vaja on ka suurt arvutusvõimekust salajase võtme väljaarvutamiseks ja spetsiaalset tarkvara, millega allkirja anda,» selgitas Erlich.

ID-kaardi tarkvara selleks ei sobi, sest eeldab, et ID-kaart on kaardilugejas. Seega häkker, kellel pole füüsilist ID-kaarti, peab ka sellest takistusest mööda saama.

Seega, et digi-ID kloonija saaks teise inimese nimel midagi digiallkirjastada, tuleb tal murda korraga kaks võtit – nii allkirjastamise kui ka autentimise omad.

Et riske vähendada, sulges politsei- ja piirivalveamet (PPA) eile avalike võtmete andmebaasi, kust teiste inimeste võtmeid seni kätte sai. Võtmeid oli seni vaja näiteks inimestel, kes tahtsid saata selle omanikule krüpteeritud faile, mida ainult võtme omaja saab avada.

Muretsemiseks pole põhjust

Tavaline Eesti ID-kaardi omanik võib turvariski suhtes siiski võrdlemisi muretu olla. Vihjeid ja signaale riskide kohta laekub valdkonna eest vastutavale RIA-le pidevalt. Kõiki neid analüüsitakse, hinnatakse olulisust, realiseeritavust ja mis peamine – võimalikku häkkerite kulutust ühe ID-kaardi lahtimuukimise peale.

«ID-kaardi kuritarvitamine on äärmiselt keeruline ja kallis, meile pole teada ühtki juhtu, kus seda tehtud oleks,» ütles Erlich.

Krüptograafia ongi mäng tõenäosustega. Iga kood on tulevikus muugitav, aga küsimus on, kas ja kellel tasub käia välja miljon eurot, et pääseda ligi pensionäri pangakontole või sotsiaalministri eest valimistel hääl Reformierakonnale anda?

Sel korral on ohustatud ID-kaarte 750 000 ning hinnanguliselt kuluks häkkeritel kõigi nende lahtimuukimise peale 60 miljardit eurot. Lihtne matemaatiline tehe näitab, et ühe kaardi häkkimise kulutus oleks 80 000 eurot. Ju siis ongi saavutatud piir, millest rahvusvahelise teadlaste rühma häkkimislahendus sel korral odavam oli.

«Hindame kaardi talutavat riskitaset, nii nagu seda eraettevõtted teevad näiteks tavapäraselt krediitkaartide puhul. Küsime: mida võidakse teoreetiliselt saavutada,» selgitas Postimehele RIA eID valdkonna juht Margus Arm.

Ta lisas, et kuigi arvutusvõimsuse hind langeb, on pigem kallis krüptograafiline analüüs, kuidas seda teha. «See on nii unikaalne, et me ei näe, et seda ohtu oleks. Seetõttu on oht matemaatiline,» ütles ta.

Analüütikud avaldasid eile Postimehele, et eraisiku ID-kaardi häkkimine üksnes identiteedi varastamiseks ei tasu end ära. Kui keegi turvaauku tõepoolest ära kasutada tahaks, oleks raha ja tööjõu kulutamise eesmärk pigem Eesti maine lörtsimine.

Lahendust alles luuakse

Viga, mis ID-kaartide kiipide tarkvaras on, parandada ei saa. Küll aga saab sellest mööda minna. «Loomegi praegu tarkvara, mis läheb sellest mööda ja mille puhul see turvanõrkus ei rakendu,» ütles Arm.

Uus kaardirakendus, mis kaardil võtmeid haldab ja genereerib, peaks loodetavasti valmima lähima kahe kuu jooksul. Seejärel tuleb ID-kaardi kasutajal tarkvarauuendus kaardile laadida ja genereerida endale uued sertifikaadid. ID-kaarti ei pea välja vahetama.

Margus Armi sõnul pole Gemalto andnud Eesti riigile teada kavatsusest asuda tootma uuema ja parema tarkvara kiipe. Seega tuleb meil luua uued ID-kaardi rakendused, et tuvastatud probleemist mööda minna. «Alates neljapäevast on unetunde vähe olnud,» nentis Arm. «Laupäeva-pühapäeva ei peetud, töö käib. Seda nii kaua, kuni valmis saame. Ajahinnang oli umbes kaks kuud, siis peaks kõik asjad korras olema.»

Peaminister Ratase sõnul kehtivad kogu Euroopa Liidus edasi kõik Eestis antud digiallkirjad ning ID-kaardi kasutamise keeldu pole pandud ka neile riigiametnikele, kel ligipääs riigisaladusele. Raha taha rakenduse loomine ei jää, kõik vajalikud lisaressursid leitakse.

Eesti digi-ID arvudes

-Võimalik turvarisk puudutab alates 2014. aasta oktoobrist välja antud ID-kaarte (sealhulgas e-residentidele väljastatuid) ehk kokku ligi 750 000 kaarti.

-Enne 2014. aasta 16. oktoobrit väljastatud ca 600 000 ID-kaarti ohus ei ole, sest neil on peal teine kiip.

-Ohtu pole ka tasulise teenuse mobiil-ID kasutajatel, keda on Eestis 134 000.

E-valimised poliitilise rünnaku all

Peaminister Jüri Ratase otsus teha ID-kaardi turvaaugust «rahvusliku julgeoleku» teema tõi ettearvatult kaasa Keskerakonna ja Eesti Konservatiivse Rahvaerakonna (EKRE) rünnaku e-valimiste pihta.

Sobiva fooni oktoobrikuiste e-valimiste ärajätmiseks suutsid poliitikud eile luua vaid tundidega. Demokraatiale ei tohi jätta turvaauke, teatas esmalt Keskerakonna aseesimees Jaanus Karilaid, kes soovitas vabariigi valimiskomisjonil koos ekspertidega tõsiselt hinnata, kas tekkinud turvariski puhul on e-valimistega edasiminek ikka õige samm. «Keskerakond on alati rõhutanud, et e-valimised peavad olema turvalised ja läbipaistvad. Meie ettevaatlikkus oli õigustatud,» tõdes Karilaid.

Ehkki Postimehega peetud eravestluses nimetasid eksperdid turvariski sisuliselt olematuks, näeb Karilaid asju tumedates toonides.«Eksperdid peavad tagama e-valimiste turvalisuse ja kontrolli võimaluse, et miski ega keegi e-hääletamise tulemusi ei mõjuta. Kui seda teha ei suudeta, tuleb e-valimised ära jätta,» teatas Karilaid.

Tema seisukoht sobitub suurepäraselt EKRE agendaga, mille esimees Mart Helme kutsus erakonna pressiteates üles e-valimised kiirelt ära jätma. «Meie oleme alati olnud e-valimiste suhtes skeptilised ja nüüd selgub, et asja eest. Eesti Konservatiivne Rahvaerakond on veendunud, et seekordsetel valimistel peab e-valimised ära jätma,» seisis teates.

Helme mängis ettearvatult välja Vene eriteenistuste kaardi, prognoosides välisluureteenistuse GRU huvi Eesti valimiste vastu. «Meenutame, et Venemaad on varemgi süüdistatud valimistesse sekkumises Prantsusmaal, Saksamaal, Suurbritannias ja USAs. Nüüd jõudis järjekord siis Eestini,» märkis Helme.

Kritiseerijatele astus ainsana avalikult vastu Reformierakond, mille esimees Hanno Pevkur näeb rivaalide kriitikas soovi poliitiliseks punktivõiduks. «Kui küsimus on e-teenuste usaldusväärsuses ja Eesti riigi maines, siis see ei ole koht poliitilisteks punktivõttudeks,» manitses Pevkur. Ta lisas, et õnneks on praegu tegu teoreetilise riskiga, mis ei ole teadaolevalt praktikas realiseerunud.

Pevkuri hinnangul oleks väga vale praegu ära ehmuda ja pabermajanduse juurde naasta. «Eesti on endiselt tugev e-riik ja meil tuleb sellest teha endale korralik õppetund. Igasugune e-teenustest loobumine oleks tagasiminek ja samm minevikku,» lausus Pevkur. Vabariigi valimiskomisjon arutab tekkinud olukorda täna.

Tagasi üles