Eesti ID-kaardiga eile ilmsiks tulnud probleemid on seisanud dokumentide krüpteerimise ja Eesti pole oma ID-kaardiga sugugi ainus, kellel turvaprobleeme võib olla, ütles lühiintervjuus Postimehele Riigi Infosüsteemide Ameti tehnoloogianõunik Mark Erlich.
Intervjuu spetsialistiga: Eesti ID-kaardiga juhtunu pole erand (7)
AP: Mida kujutab endast probleemi avastanud teadlaste grupp - kas see oli kuidagi just meie kontrollimiseks moodustatud, oli see kuidagi seotud Soomega ja meie x-tee laienemisega sinna, kes sinna kuuluvad?
ME: Ei, tegemist on eraldiseisva teemaga. Teadlased ei uurinud Eesti ID-kaarti või meie tehnoloogiat, vaid ühe konkreetse kiibitootja toodet. See toode on mitmel pool mujalgi kasutuses – Eesti pole erand.
Mis juhtus oktoobris 2014 - mida tootja teistmoodi tegema hakkas, kas läks midagi halvaks kiibi ja tarkvara koostöös?
Sel ajal võeti kasutusele uuemad kiibid.
Mida toob kaasa avalike võtmete andmebaasi sulgemine - kas on tehtud nn valge nimekiri olemasolevatest teenuse kasutajatest ja uusi päringute tegijaid ligi ei lasta?
Otseselt mõjutab see failide krüpteerimist isikult isikule kasutades digidoc krüptorakendust. Siiski, kui on arvutis olemas sertifikaat (näiteks on varasemalt juba antud isikule faile krüpteeritud või krüpteeritakse isikule, kelle ID-kaart on arvutiga ühenduses), siis saab endiselt krüpteerida faile. Juba krüpteeritud failide lahti krüpteerimist see ei mõjuta – see toimib.
Kas turvariskiga kaardi omanikud saavad oktoobris e-hääletada?
Seda otsustab Vabariigi valimiskomisjon. Riigi Infosüsteemi Amet on komisjoni turvariskist informeerinud.
Kas häkkeritel oli teoreetiliselt vaja omada ohvri füüsilist ID-kaarti, et rünnata?
Füüsilist ID-kaarti ei pea omama.
Kuidas andmed võinuks kurjategijate kätte sattuda: kas mõne vaheteenusepakkuja kaudu?
Teoreetiliselt on võimalik kasutada ID-kaarti isikutuvastuseks ja digiallkirja andmiseks ilma kaarti omamata ning PIN koode teadmata. Ainult sertifikaadi avaliku võtme teadmisest kaardi lahtimurdmiseks siiski ei piisa – vaja on ka suurt arvutusvõimekust salajase võtme väljaarvutamiseks ja spetsiaalset tarkvara, millega allkirja anda. ID-kaardi tarkvara selleks ei sobi, sest eeldab ID-kaardi paiknemist kaardilugejas.
ID-kaardi kuritarvitamine on äärmiselt keeruline ja kallis, meile pole teada ühtki juhtu, kus seda tehtud oleks.