Sinu brauser on natuke ajast maha jäänud. Et kõik töötaks, nagu vaja, palun uuenda enda brauserit.
Küpsised aitavad meil teenuseid edastada. Meie teenuseid kasutades nõustute sellega, et kasutame küpsiseid. ROHKEM INFOT >
Postimees 160 Juubeli puhul loe seda lugu tasuta!

Vihje ID-kaardi kohta andsid Tšehhi teadlased

5
KOMMENTEERI PRINDI ARTIKKEL
Saada vihje
ID-kaart. | FOTO: Erik Prozes / Postimees

Eesti kihama pannud kahtlus ID-kaardi turvanõrkusest pärineb Postimehe allikate väitel Tšehhi küberneetikutelt, kes teevad oma teadustöö avalikuks oktoobri lõpus.

Tšehhide uurimuse jaoks katsetati korraga paljude tootjate kiipe, muu hulgas Saksa ettevõtte Infineon Technologies AG oma, mida Eesti D-kaardi tootja Gemalto kasutab Eesti ID-kaartidel alates 2014. aasta oktoobrist.

Tšehhid leidsid laboris uut matemaatilist lähenemist proovides enda väitel, et teatud tingimustes genereerib Eesti ID-kaardilgi kasutatav kiip nõrgemaid võtmeid, kui standard lubab. Kui avalik võti on nõrk, on sellest aga hõlpsam tuletada salajast võtit, millega väärkasutada kellegi e-identiteeti.

«Teadlased katsetasid uusi matemaatilisi teooriaid,» selgitas Riigi Infosüsteemi Ameti (RIA) tehnoloogianõunik Mark Erlich RIA-le saadetud materjalide sisu. «Nad leidsid, et mingid teoreemid töötavad ühe spetsiifilise toote puhul – võtmete arvutamise mootor tegi laboritingimustes nõrgemaid võtmeid.»

Täpseid katsetingimusi osapooled turvakaalutlustel ei avalda.

Nõrkus puudutab 750 000 Eesti ID-kaarti aga üksnes väga teoreetiliselt: anomaaliaga kaarte võib, aga ei pruugi nende seas olla. RIA on appi palunud rea eesti teadlasi, kes aitavad välja selgitada, kas välismaa kolleegide teooria Eesti ID-kaardi puhul klapib.

Miks siis peaminister nii jõulise avalduse tegi, kui oht on üksnes ülimalt teoreetiline?

Erlichi sõnul on põhjuseid kaks. Seni on ID-kaardi anomaaliate taga olnud tootmisviga. Hiljuti läks selle pärast sulgemisele 15 ID-kaarti, mille sertifikaadid tühistati. Tootmisvigu on harva ja vähe. Tšehhide leitu puudutab aga, kuigi väga teoreetiliselt, siiski 750 000 kaarti. «Oht ise ei ole suur, aga on globaalne ja mitte meie kontrolli all,» selgitas Erlich.

Eestlased said ID-kaardi tootjalt Gemaltolt kiiresti vastuse, et ka nemad on kiibi haavatavusest teadlikud. Gemalto on tšehhidega varemgi koostööd teinud ja on tõenäoliselt partner ka pahanduse toonud teadustöös.

Samal ajal otsitakse Eestis palavikuliselt lahendust. RIA peadirektori asetäitja Andrus Kaarelsoni sõnul kohtuvad iga päev kindlal kellaajal töögrupid, kelle ülesanne on teoreetiline turvanõrkus täiesti välistada.

«Töögrupp alles analüüsib ja koostab esialgseid visioone, kuidas seda lahendada. Pigem muudame kaartidel oma ESTeID-rakendust, et see nõrkus Eestit ei puudutaks.»

Teisisõnu – kaardil olev ESTeID-rakendus kirjutataks ümber nii, et tehase tarkvara vigane osa ei rakendu.

Kauguuendatav tarkvara võimaldaks kõik ID-kaardid kasutusse jätta. Isegi kui mõni kasutaja oma kaardi tarkvara värskendamata jätab, tuleb uus ID-kaartide põlvkond kasutusele 2018. aasta lõpus või 2019. alguses.

Seitsmeliikmeline valimiskomisjon otsustas eile ühehäälselt, et praegu pole näha ohtu, mis e-valimised ebausaldusväärseks teeks. Komisjoni esimehe Meelis Eeriku sõnul oleks e-valimistest loobumine kummaline, kui RIA ja valitsus on avalikkusele kinnitanud, et Eesti ID-kaart on endiselt turvaline.

Otsus ei ole aga kivisse raiutud: kui lähinädalatel peaks ohu suuruse kohta laekuma uut infot, saab valimiskomisjon e-valimised peatada või nende tulemuse tagantjärele tühistada.

Valimiskomisjoni otsuse vastu lähevad sõnasõtta vähemalt kaks poliitilist jõudu. Eesti Konservatiivne Rahvaerakond teatas, et kaalub otsuse vaidlustamist kohtus.

«Kui on olemas selge võimalus, et Vene eriteenistused kas jooksutavad terved valimised kokku paar päeva enne valimisi või massiliselt võltsivad tulemusi või muudavad tulemust, siis on täiesti vastutustundetu suruda edasi, et teeme seekord ikkagi e-valimised ära,» teatas riigikogu EKRE fraktsiooni esimees Martin Helme ERRi uudisteportaalile.

Üsna oodatult on otsus lõhestanud ka muidu e-valimiste kaitseks välja astunud peaministripartei Keskerakonna. Aseesimees Jaanus Karilaid ütles, et kui ühiskonda ei suudeta maha rahustada, tuleks e-valimised ikkagi ära jätta. «Valimised on anonüümsed ja seal ei tohiks jääda ühtegi kõhklust, et keegi manipuleerib tulemusega,» ütles Karilaid.

ID-kaardi turvaprobleem

  • 30. august – Riigi Infosüsteemi Ameti (RIA) infoturbe intsidentide käsitlemise osakonna CERT e-postkasti potsatab õhtul teadlaste kiri, milles ID-kaardil tuvastatud turvanõrkuse lühike kirjeldus.
  • 31. august – RIA analüüsib riski ja võtab teadlastega ühendust. Allikas on usaldusväärne, RIA hindab turvariski võimalikuks. RIA esindajad kohtuvad ID-kaarti väljastava politsei- ja piirivalveameti juhtkonnaga ja teatavad probleemist.
  • 1. september – RIA teavitab minister Urve Palo ning julgeoleku ja riigikaitse koordinatsioonidirektorit Indrek Sirpi. Riigisaladusega töötamisel ID-kaardi kasutamises probleemi ei nähta. USAs viibiv peaminister Jüri Ratas saab asjast teada samal päeval. Valitsuse pressieksperdid otsustavad, et turvanõrkuse probleem tehakse avalikuks. RIA peadirektor Taimar Peterkop saab tütre isaks.
  • 2. september – tehnoloogia- ja õigusrühmad kaardistavad riski mõju e-riigi teenustele, sõnastavad probleemi õigusliku tähenduse, reastavad võimalused ja soovitused.
  • 3. september – RIA tegeleb probleemiga. USAst naasnud peaminister Ratas kutsub ülevaate saamiseks kokku kiire nõupidamise, kus probleemi lahkab RIA peadirektor Peterkop.
  • 4. september – valitsus arutab probleemi kolm tundi hommikul ja kolm õhtul. Otsustatakse, et info tehakse avalikuks järgmisel päeval. Peaminister Ratas otsustab ära jätta visiidi Poola ja osaleda pressikonverentsil. RIA teavitab probleemist asutusi, keda turvarisk võib mõjutada, kohtutakse pankade ja telekomiettevõtete esindajatega. RIA peadirektor paneb vastsündinud tütrele nime ID-kaarti kasutades.
  • 5. september – RIA peadirektor ütleb meediaväljaannete peatoimetajatele, et tema e-valimiste korraldamisega ei riskiks. Politsei käsib sertifitseerimiskeskusel sulgeda ID-kaardi avalike võtmete andmebaasi LDAP. Peaminister teatab, et e-valimiste toimumise otsustab valimiskomisjon.
  • 6. september – valimiskomisjon otsustab ühehäälselt, et e-valimised korraldatakse.
Tagasi üles