Gemalto: Eesti riigi tehtud avaldused on üllatus!

Turvariskiga ID-kaart

FOTO: Erik Prozes

ID-kaartide toomisega seoses Eesti riigi kriitika ja trahvinõuete alla sattunud tootva ettevõtte Gemalto kinnitusel ei ole ta ühegi nõude vastu eksinud.

«Gemalto on täitnud ID-kaardi lepingut ja selles kokkulepitud kohustusi nõuetekohaselt. Tehtud avaldused on Gemaltole üllatus,» ütles Postimehele Gemalto avaliku sektori äriüksuse kommunikatsioonijuht Eric Billiaert.

Billiaerti sõnul pole riik esitanud Gemaltole ühtegi analüüsi ega muid tõendeid, et lepingu alusel tarnitud dokumendid või teostatud isikustamisprotsess ei oleks olnud kooskõlas lepingus sätestatud nõuetega.

«Sellele vaatama uurib Gemalto hoolega PPA (politsei- ja piirivalveamet – toim) esitatud väidet ning kavatseb teha põhjaliku analüüsi, niipea kui kõnealune uurimisraport on meile edastatud,» lisas Eric Billiaert.

PPA dokumendieksperdi Kaija Kirchi sõnul andis ettevõte aga juba kolmapäeva õhtul teada, et ei tunnista rikkumist ega lepi nõudega.

«Esitasime nõude, kui tuli esialgne analüüs. Nõudele vastasid nad kolmapäeva hilisõhtul ja eitasid kõike. Rohkem nad vastanud ei ole,» sõnas Kirch. Nõude suurust ta lepingu kohaselt avalikustada ei tohi.

Eesti riigiametid andsid eile teada, et Gemalto oli andnud riigi käsutusse tehnoloogia, mis lõi inimeste elektroonilise identiteedi tuvastamise võtmeid viisil, mis ei olnud lepingus kokku lepitud. Selle tulemusel võis tekkida oht, et loodud on andmebaas, mille alusel on kurjategijal võimalik esineda e-teenustes oma ohvrite nimel.

Sulgemisele läheb ligi 12 500 ID-kaarti ning Gemaltole esitati lepingu rikkumise eest rahaline nõue.

ID kaardil on kokku neli võtit ehk kaks võtmepaari – üks võtmepaar on isikutuvastamiseks (PIN1 tagab ligipääsu selle privaatvõtmele), teine võtmepaar on allkirjastamiseks (PIN2 tagab ligipääsu selle võtmepaari privaatvõtmele).

ID-kaardi puhul nõuab riik oma partnerilt Gemaltolt, et need privaatvõtmed on piisavalt salajased selleks, et need tuleb lausa luua kiibil.

Riigi silmis sama turvalisuse astmega mobiil-ID puhul ollakse aga märksa leebemad ning nende puhul lubatakse ettevõttel SK IT Solutions privaatvõtmeid luua väljaspool kiipi ning need alles seejärel kiibile ehk SIM-kaardile kanda. Tõsi, mobiil-ID abil ei saa just selle erinevuse tõttu krüpteeritud faile lahti krüpteerida.

Eile lahvatanud ID-kaardi kaasuse puhul oli probleem eelkõige selles, et võtmete genereerimine väljaspool kiipi ei ole olnud lubatud, seega puudub riigil ka ülevaade, kuidas neid võtmeid tehtud on ja kuidas neid võtmeid hoitud ja hävitatud on.

Tagasi üles