:format(webp)/nginx/o/2018/03/27/7730691t1h8e2f.jpg)
Eesti ID-kaarti tabas aasta jooksul juba teine turvakriis, sel korral puudutab Tartu Ülikooli teadlase avastatud turvaviga enam kui 70 000 ID-kaarti, millest käibel on veel enam kui 10 000.
Riigi Infosüsteemi Ameti (RIA) eID valdkonna juhi Margus Armi sõnul on praegu sellest turvaveast puudutatud ID-kaarte käibel 12 500. Inimestele antakse nende väljavahetamiseks aega kaks nädalat ning kui seda pole 1. juuniks tehtud, siis nende sertifikaadid tühistatakse ja nendega ei saa enam e-teenuseid kasutada.
Turvanõuetele ei vasta ID-kaardid ja elamisloakaardid, mis on välja antud enne 2014. aasta oktoobrit ning mida on uuendatud politsei- ja piirivalveameti teenindustes kaarditootja Gemalto loodud tarkvara kaudu.
Täpsemalt on veaga ID-kaardid välja antud aastast 2011. kuni 2014. aasta 16. oktoobrini ning vigased elamisloakaardid alates 2011. aastast kuni 2014. aasta 17. detsembrini ning neid peab olema uuendatud vahemikus 2012. aasta juulist kuni 2017. aasta detsembrini PPA büroodes. PPA rõhutab, et selliste dokumentide omanikud kontrolliksid rakenduse https://www.eesti.ee/portaal/!portaal.document_check kaudu, mida nad dokumendiga tegema peavad.
Seega ei puuduta viga kaarte, mida on kauguuendatud, mida ei ole üldse uuendatud või mis on välja antud hiljem kui oktoober 2014.
Margus Arm kinnitas Postimehele, et sel korral ei ole tegemist globaalse kiibiprobleemiga ning probleem puudutab vaid Eesti ID-kaarte. «See on puhas meil kasutatud protseduuri käkk,» sõnas Arm.
/nginx/o/2018/05/17/7848513t1h08b4.jpg)
PPA võtab turvariskiga ID-kaartide omanikega ise ühendust ja annab infot kaartide väljavahetamise kohta. Oma ID-kaardi puudutatust probleemist on võimalik kontrollida ka veebilehel www.id.ee.
PPA rõhutab samas, et paljud turvanõuetele mittevastava ID-kaardi kasutajad ei ole PPA saadetud personaalset teavitust saanud, kuna nende eesti.ee e-postiaadress ei ole edasi suunatud.
Kauguuendamine ei ole nende ID-kaartide puhul võimalik ja seega tuleb neil füüsiliselt PPA büroodes järel käia ja kaart garantiikorras välja vahetada.
PPA esitas kaarditootjale Gemaltole selle juhtumiga seoses ka uue rahalise nõude. Ameti dokumendieksperdi Kaija Kirchi sõnul andis ettevõte eile õhtul teada, et ei tunnista rikkumist ega lepi nõudega. Nii PPA kui RIA ei välista Gemaltoga uue ja eelmise turvaveaga seotud nõuete tõttu kohtuteed – mõlemad pooled tahavad kokkulepet saavutada, kuid pole ilmselgselt seni teineteisele vastu tulnud.
«Esitasime nõude, kui tuli esialgne analüüs. Nõudele vastasid nad eile hilisõhtul ja eitasid kõike. Rohkem nad vastanud ei ole,» sõnas Kirch. Nõude suurust ta lepingu kohaselt avalikustada ei tohi.
Sarnane info oli Margus Armil: «Oleme tootjaga suheldes põrkunud kogu aeg vastu seina. Nende väitel ei ole midagi sellist olnud.» Partneritega tehtud uurimistöö viitab tema sõnul just sellele, et viga oli Gemalto loodud protsessis.
PPA tegi ka teenistusliku kontrolli asjaolude selgitamiseks. Sellest selgus, et PPA-l puudus info selle kohta, et ID-kaardi tootja genereerib privaatvõtmeid väljaspool kiipi.
«Ka ei ole meil täna ühtegi põhjust arvata, et mõjutatud kaarte oleks kuritarvitatud või kellelgi oleks nende kaartide privaatsetele võtmetele ligipääsu. See on küll teoreetiliselt võimalik, kuid reaalselt ei ole praegu intsidendist ühtegi märki,» teatas politsei.
Milles viga seisneb
RIA-l on tekkinud veendumus, et Gemalto loodud tarkvara tõttu genereeriti ID-kaartidel PPA kontorites uuendamise käigus privaatvõtmed väljaspool kiipi. Ehk tegemist oli Gemalto teadliku tegevusega. See omakorda annab võimaluse kurjategijatele siseneda e-teenustesse ohvri ID-kaarti omamata ja PIN-koode teadmata.
«Privaatvõti tohib alla ainult kaardi peale ja ainult seal genereeritud. Kui originaalvõtmest on kuskil olemas koopia, siis saab ta esineda teise inimesena,» selgitas Margus Arm.
Uue turvavea avastas Tartu Ülikooli doktorant ja lektor Arnis Paršovs. Ta on riigi IT-süsteemidega end aastate vältel väga hästi kurssi viinud ja temast on saanud tegelikult ka riigile partner, kellega RIA ja PPA ka ID-kaardi turvalisuse osas aktiivselt koostööd teevad.
Ta on avastanud turvavigu Eesti ID-kaardil ka varem ning möödunud aastal tuli ühe sellise tõttu juba välja vahetada 15 ID-kaarti. Loe sellest siin Postimehe artiklis.
Paršovs avastas nimelt möödunud aasta veebruaris, et on tuvastanud kaks sarnase avaliku võtmega ID-kaarti. See on aga vastuolus ID-kaardi turvapoliitika põhialusega ning seega tekkis kahtlus, et nii sai juhtuda vaid olukorras, kus võtmed on loodud väljaspool ID-kaardi kiipi.
«Üldine nõue on see, et kõik võtmed tuleb luua kiibil ning kuskil ei tohi neist olla koopiat,» selgitas Margus Arm. «Antud juhul avastasime, et rikutud on olulist turvanõuet.»
RIA palvel analüüsis võtmete väljaspool kiipi genereerimise väidet AS Cybernetica, kes tuvastaski koostöös TÜ teadlasega, et võtmed on väljaspool kiipi genereeritud koguni 74 581 ID-kaardi puhul.
Arnis Paršovs on koostamas ID-kaardi turvaprobleemidest teadustööd ja avalikustab selle umbes poole aasta pärast.
Kuidas on aga võimalik, et Eesti riik ei olnud ise siiamaani probleemi tuvastanud? Politsei vastus kõlab nii: «ID-kaardi turvalisuse tagamise üks baasnõuetest on see, et võtmeid võib genereerida vaid kiibis sees. Samuti on turvavõtmete kiibis sees genereerimise põhimõte selgelt sätestatud sertifitseerimise protsessis, mis on ka auditeeritud. Ükski audiitor ei ole seda viga tuvastanud. Varem on Gemalto PPA-le kinnitanud, et võtmed genereeritakse kiibis sees.»
Aasta halba und
RIA peadirektori Taimar Peterkopi sõnul on teadmine kõnealustest turvaveast olnud õhus möödunud aasta algusest ja väga keeruline on olnud selle teadmisega edasi minna.
«See on mul olnud kogu aeg kuklas, see on möödunud aasta veebruarist seganud mu ööund,» sõnas Peterkop ja märkis, et talle teadaolevalt uusi ID-kaarti turvaprobleeme praegu õhus ei ole.
Peterkopi sõnul kasvatas möödunudsügisene kiibikriis RIA teadlikkust ning andis teadmise, et infot ID-kaardi kohta on võimalik saada ka mujalt kui tootjalt. Just selle alusel pöörduti ka antud probleemi puhul Cybernetica poole.
«Küsimus on selles, kas usaldada Gemaltot või Eesti teadlasi. Kui need inimesed, kes on osalenud kogu e-riigi ehitamisel – näiteks Tartu Ülikoolist, väidavad midagi, siis ma usun neid,» sõnas RIA peadirektor ja lisas, et Arnis Paršovs on RIAga valmis tegema väga head koostööd.
Taimar Peterkopi hinnangul pole antud juhul tegemist kriisiga, vaid esitatud nõuete rikkumisega, mis ei põhjusta reaalset ID-kaartide ärakasutamist.
Gemalto toodab Eestile ID-kaarte selle aasta lõpuni. Postimees pöördus juhtumile kommentaaride saamiseks ka Gemalto esindaja poole.
Eelmine kriis puudutas 750 000 ID-kaarti
Tegemist on vähem kui aasta jooksul juba teise ID-kaardi turvalisust puudutava suure probleemiga.
Möödunud aasta 30. augustil informeeris rahvusvaheline teadlaste grupp Riigi RIAt, et nad avastasid turvariski, mis mõjutab Eestis alates 2014. aasta oktoobrist välja antud ID-kaarte ehk kokku ligi 750 000 kaarti.
Kõigi nende kaartide sertifikaadid tuli välja vahetada. Probleem peitus ID-kaardi kiibis ning ka selle juhtumiga seoses on riik esitanud Gemaltole trahvinõude.
/nginx/o/2015/07/13/4276165t1hdc37.jpg)