Tarkvaragigandi Google hea kontrollitöö tulemusel avastatud praak Eesti ID-kaardi sertifikaatides puudutab ligi 250 000 ID-kaardi omaniku seas ka kõiki enam kui 5000 Eesti e-residenti kaarte.
Kõigil Eesti e-residentidel on samuti praaksertifikaadiga kaardid
Mõne nädala eest, 15 septembril selgus, et Google on oma veebilehitseja Chrome arendamisel karmimaks keeranud sertifikaatide formaalset kontrolli.
«Kruvid keerati sedavõrd kinni, et pihta sai umbestäpselt mitusada tuhat Eesti ID-kaarti, digitaalset isikutunnistust ja mis seal salata, e-residendi kaarti – need ei pressi enam Chrome’i rangetest turvatingimustest läbi ning veebisaiti sisse logida ei saa,» kirjutab Riigi Infosüsteemi Ameti (RIA) analüütik Anto Veldre ameti ajaveebis.
Veldre sõnul seisneb viga selles, et sertifikaat peaks algama teatud kokkuleppeliste bittidega – moodulid peaksid olema positiivsed, ent AS Sertifitseerimiskeskuse loodud sertifikaadid algasid nn miinusbittidega.
«Mingit otsest turvaohtu neist miinusbittidest ei tulene. Bitte äraspidi sättides ei lange otseselt kellegi privaatsus ega konfidentsiaalsus ega leki kusagilt mingeid andmeid. Lihtsalt pole ilus standardit eirata,» selgitas analüütik.
Veldre sõnul on aga bittide selline «valetõlgendus» vastuolus isegi Sertifitseerimiskeskuse enda majasisese standardiga – sertifitseerimispoliitikaga ning ta imestas, kuidas sai viga läbi minna ettevõtte kontrollimehhanismidest – audititest.
«Kuid, oh õudust, selgub, et isegi korraline audit ei leidnud valepidi bitte sertifikaadist üles. Seega on tegu justkui suuremat sorti skandaaliga. Või otse vastupidi, just see tõestabki, et kui läheneda mitteformalistlikult, polegi nagu eriti midagi juhtunud – isegi audiitor ei märganud. Kas üldse keegi märkaski, enne kui Google oma sirviku Chrome kasutusnõuded pingule kruvis?» küsis Veldre.
Inimesi loodetakse säästa
Selleks, et säästa kõiki vigase sertifikaadiga ID-kaardiga inimeste minemist politsei- ja piirivalveameti büroodesse – eriti, mis puutub ligi 5000 e-residenti – on RIA pöördumas tagasi aegadesse, kus ID-kaardil olevate sertifikaatide ja tarkvara sai uuendada üle interneti.
RIA elektroonilise identiteedi valdkonna juhi Vallo Veinthali sõnul on kauguuendamise võimaluse loomine paratamatu, sest teisiti on raske tagada Eesti ID-kaardi koostoimimine pidevalt uuenevate operatsioonisüsteemide ja veebibrauseritega.
Uue süsteemi loomiseks on eestil aega vähem kui kuus kuud, kuna siis tuleb Google välja oma uue veebilehitseja tarkvaraga ja sellest hetkest alates ei saaks vigase ID-kaardi tarkvaraga inimesed end enam selles identifitseerida.
Selleks tuleb teha muudatusi nii ID-kaardil kui selle haldusvahendil, mis on inimese arvutis. «Nendele muudatustele tuleb teha turva-analüüs ja lahendusega kaasnevate riskide hindamine,» sõnas Veinthal.
Tarkvara kauguuendamine toimus Eestis ka aastatel 2002-2006, mil füüsiline kaart anti inimestele 10 aastaks, ent sertifikaate uuendati iga kolme aasta tagant. Alates 2007. aastast muudeti kaart ja sertifikaadid sama aja tagant uuendatavaks ja online-uuendamist ei olnud enam vaja.
«Seoses ilmse vajadusega veerand miljonit sertifikaati ära uuendada, ilmselt tehaksegi nüüd taas see kena kompromiss teoreetilise turbe ja kasutusmugavuse teljel – lubatakse isikul endal oma kaardi sertifikaate üle interneti uuendada,» arvas ka Anto Veldre.
Eesti ID-kaartidele tarkvara tootva ASi Sertifitseerimiskeskus arendusvea tõttu on ligi 250 000 ID-kaardile sattunud viga, mis võib tulevikus nende kasutamisel probleeme põhjustada.
Vigaste sertifikaatidega ID-kaardid anti välja aasta jooksul alates 2014. aasta septembrist ning kui viga ei suudeta järgneva kuue kuu jooksul parandada, siis ei saa inimesed end enam autentida maailma populaarsuselt teise veebilehitseja Google Chrome’i tulevikuversioonidega. Sellel ajavahemikul on välja antud ka kõik Eesti e-residentide kaardid.
«Tegemist on kindlasti meie poolt standarditele mittevastavusega. Lasime oma tarkvaraarenduses vea läbi. Põhjus, miks see viga läbi läks ja permanentselt ka oli, on selles, et mitte ükski brauser polnud seni seda avastanud ning meie ID-kaart töötab siiani nendega suurepäraselt,» selgitas Postimehele sertifitseerimiskeskuse juht Kalev Pihl.