Päevatoimetaja:
Angelina Täker
Saada vihje

ID-kaardi turvarike: mida see kasutajatele tähendab?

Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Copy
ID-kaart.
ID-kaart. Foto: JAANUS LENSMENT/POSTIMEES

Riigi Infosüsteemi amet (RIA) teatas täna, et ID-kaardil avastati turvarisk, mis puudutab pärast 2014. aasta oktoobrit väljastatud kaarte. PPA koostas küsimus-vastus vormis ülevaate, mida see inimestele tähendab.

Kas ID-kaardi kasutamine on turvaline?

Isikut tõendava dokumendina on kaart täiesti turvaline. Enne 2014. aasta 16. oktoobrit välja antud kaarte turvarisk ei puuduta.

Praeguse hinnangu põhjal on ID-kaardi kasutamine jätkuvalt turvaline ka internetis autentimiseks ja digiallkirjastamiseks. ID-kaardi kuritarvitamine on keeruline ja kallis; meile pole teada ühtki juhtu, kus seda tehtud oleks.

Kõik praegused sammud on eeskätt võimalikke riske ennetavad – tegemist on ettevaatusabinõuga, et ilmnenud turvanõrkust ei saaks ära kasutada.

RIA ja PPA monitoorivad pidevalt olukorda ja reageerivad kohe, kui risk kasvab.

Kuidas ma ID-kaarti kasutada saan?

Kõiki teenuseid saab edasi kasutada täpselt nii nagu varem. ID-kaart kehtib jätkuvalt nii isikut tõendava dokumendi kui ka reisidokumendina kuni kaardile märgitud kehtivusaja lõpuni.

Mobiil-ID omanike jaoks ei muutu samuti midagi.

Mis minu jaoks muutub?

Kuni sertifikaate ei ole peatatud ega tühistatud, ei muutu kaardiomaniku jaoks midagi. ID-kaarti saab kasutada nagu seni.

Kui sertifikaadid turvariski tõttu suletakse, antakse sellest kaardiomanikule teada e-posti teel ja teavitatakse avalikult.

Kas ma pean taotlema uue ID-kaardi?

ID-kaart kehtib jätkuvalt isikut tõendava dokumendina kuni kaardile märgitud kehtivusaja lõpuni ja on kehtiv reisimiseks Euroopa Liidus. Kehtiv elamisloakaart koos välismaalase passiga kehtivad reisimiseks.

Kui ID-kaardi kehtivusaeg lõpeb, tuleb taotleda uus kaart.  Muul juhul uut ID-kaarti taotlema ei pea ja turvariski see ka ei maanda.

Kas ID-kaardile on alternatiive?

ID-kaardi asemel võib kasutada mobiil-ID-d. Paljudesse teistesse teenustesse, nt pangateenustesse sisse logimiseks saab kasutada ka Smart-ID-d, PIN-kalkulaatorit. Koodikaarte kasutada ei soovita, nende turvariskid on suuremad kui ID-kaardil.

Kuidas ma saan endale mobiil-ID?

Pöördu oma mobiilioperaatori poole, kes väljastab selleks sobiva SIM-kaardi. Seejärel tuleb mobiil-ID aktiveerida politsei.ee veebilehel. Mobiil-ID-d saab hakata kasutama kohe pärast aktiveerimist. Pärast seda võib ID-kaardi sertifikaadid sulgeda, et kuritarvituse riski vältida.

Mis see minu jaoks maksab?

Operaatori teenustasu on praegu 1 € kuus.

Kes mind nõustab?

ID-kaardi abiliini number on 1777.

Mobiil-ID osas saab nõu mobiilioperaatorilt, ka operaatori infotelefoni ja veebiteeninduse kaudu.

Kas mobiilioperaatorid on selleks koormuseks valmis?

Mobiilioperaatorid on vajadusest teadlikud ja arvestavad sellega, aga arvestada võiks tavapärasest pikemate järjekordadega.

TEHNILISED KÜSIMUSED

Mida see haavatavus tegelikult tähendab? Kas ID-kaart on häkitav? Mis andmeid on selleks vaja, et saaks kaarti häkkida ja häkitud kaarti kasutada?

Teoreetiliselt on võimalik kasutada ID-kaarti isikutuvastuseks ja digiallkirja andmiseks ilma kaarti omamata ja PIN koode teadmata. Ainult sertifikaadi avaliku võtme teadmisest kaardi lahtimurdmiseks siiski ei piisa – vaja on ka suurt arvutusvõimekust salajase võtme väljaarvutamiseks ja spetsiaalset tarkvara, millega allkirja anda. ID-kaardi tarkvara selleks ei sobi, sest eeldab ID-kaardi paiknemist kaardilugejas.

ID-kaardi kuritarvitamine on äärmiselt keeruline ja kallis, meile pole teada ühtki juhtu, kus seda tehtud oleks.

Paljud teenused (näiteks pangad) nõuavad teenusesse sisselogimiseks lisaks kasutajatunnust või salasõna või mõlemat korraga – ka neid tuleb teada.

Kas ja kuidas saan oma kaardi sertifikaadid tühistada? Kas seda peaks tegema?

Sertifikaate saab peatada ID-kaardi abitelefonil 1777. Lisainfot leiab id.ee lehelt.

Sertifikaadid võib peatada või tühistada iga kaardi omanik ise või teenusepakkuja. Praegu selleks otsest vajadust ei ole. Kui olukord muutub, siis teavitatakse sellest kaardiomanikke kohe.

Kui kaardiomanik tahab kuritarvituse võimaluse välistada, võib soetada mobiil-ID ja selle aktiveerimise järel ID-kaardi sertifikaadid peatada või tühistada.

Sertifikaadi peatamise korral saab sertifikaadi uuesti aktiveerida, tühistamise korral kaarti enam digitaalselt kasutada ei saa.

Kas saan tühistada ainult allkirjastamise võimaluse?

Autentimise ja allkirjastamise saab peatada või tühistada ainult korraga, sest turvarisk puudutab mõlemat.

Mis juhul võib riik tühistada minu sertifikaadid?

Sertifikaadid tühistatakse siis, kui nende häkkimise risk muutub reaalseks. Tühistamisest antakse kaardiomanikule kindlasti teada.

Kas ja kui kiiresti saab vigase ID-kaardi uue vastu vahetada?

Kõik praegu väljastatavad ID-kaardid on sama turvariskiga. Uus ID-kaardi lahendus on alles väljatöötamisel.

Isikut tõendava dokumendina on ID-kaart endiselt kehtiv.

Kas viga saab veebi kaudu parandada?

Praegu veel mitte, aga töötame selle kallal.

Mis juhtus 2014. aasta oktoobris, et selline viga tekkis? Kas Eesti oli sellest muutusest teadlik?

2014. aasta oktoobris võeti ID-kaartidel kasutusele uus kiip, mis oli kiirem, põhines uuemal tehnoloogial ja oli seega eelduslikult turvalisem. Kiibile antud Prantsusmaa ja Saksamaa turvasertifikaadid kinnitavad selle vastavust kõigile turvanõuetele. Sama kiip on kasutusel mitme teise riigi isikutunnistusel, ka maksekaartidel ja töötõenditel.

Turvarisk tekkis uue kiibi ja tarkvara koosmõjus.

Mis juhtus sertifikaatidega, et need enam turvalised pole?

See, et krüptograafilised algoritmid, millel sertifikaadid põhinevad, muutuvad arvutusvõimsuse kasvades tasapisi ebaturvaliseks, on tehnoloogia seisukohalt tavapärane areng. Just sel põhjusel vahetatakse ID-kaardi sertifikaate mõne aja tagant tugevamate vastu.

Praegusel juhul sattus ilmnenud turvarisk kokku arvutusvõimsuse kasvuga. Veel mõni aasta tagasi oleks sellise kaardi lahtimurdmine olnud oluliselt kulukam ja seega veelgi ebatõenäolisem kui praegu.

Kuidas te teada saite? Miks te alles nüüd sellest räägite?

Võimalikust turvariskist andis teada rahvusvaheline teadlaste rühm ametlike kanalite kaudu.

Iga sellise turvanõrkuse ilmsiks saamisel tõuseb hüppeliselt selle ärakasutamise oht. Sellepärast avalikustasime teabe siis, kui olime saadud infot omalt poolt kontrollinud ja ühtlasi võtnud kasutusele ettevaatusabinõud turvariskide vähendamiseks.

Mida saan kaardi kaitseks teha?

Kui ID-kaarti tehingute tegemiseks ei kasutata, võib ID-kaardi sertifikaadid peatada. Jääb võimalus kasutada alternatiive, mida turvanõrkus ei puuduta, näiteks mobiil-ID.

RIA ja PPA eksperdid jälgivad olukorda hoolikalt, vajadusel peatatakse sertifikaatide kasutamine. Sellest teavitatakse nii kasutajaid kui avalikkust.

KURITARVITAMINE

Kas ja kuidas saan kontrollida, kas keegi on minu kaarti/identiteeti kuritarvitanud?

ID-kaardi elektroonilise kuritarvitamise kahtluse korral pöördu politsei poole ja teavita RIA infoturbeintsidentide käsitlemise osakonda (cert@cert.ee).

Kas riik jätkuvalt garanteerib digiallkirja? Kui kaua?

ID-kaardiga antud digiallkiri kehtib, seda ka pärast sertifikaatide peatamist või tühistamist.

Kas pangad usaldavad EV ID-kaarti?

Pangad usaldavad ID-kaarti ja pangateenused on jätkuvalt ID-kaardi abil kasutatavad.

Kas ja millised tehtud toimingud saab kahtluse alla saada? Kas ma pean need  uuesti tegema?

Kõik pärast 2014. aasta oktoobrit ID-kaardiga antud allkirjad ja tehingud kehtivad.

Kas riik on jätnud kiipide turvalisuse kontrollimata?

ID-kaardi ja kiibi nõuetelevastavust on kinnitanud pädevad Saksamaa ja Prantsusmaa sertifitseerimisasutused, sellel on kehtiv turvasertifikaat.

Turvanõrkuse ilmnemise järel oleme astunud samme, et viia riskid miinimumi: sulgesime ID-kaardi avalike võtmete andmebaasi, meie eksperdid analüüsivad riskikohti ja tegelevad lahenduse otsimisega, et taastada ID-kaartide turvalisus kõrgeimal tasemel.

Kuidas ja millal te sellest turvaaugust teada saite?

Teadlaste rühm informeeris avastatud turvariskist RIAt 30. augusti õhtul.

Kes need teadlased on?

Tunnustatud ülikoolidest pärit rahvusvaheline krüptograafiateadlaste rühm, kes teavitas RIAt ametlike kanalite kaudu.

Kas nad teadlased reaalselt mõne kaardi häkkisid?

Nad tõestasid, et see on matemaatiliselt võimalik, kui on olemas piisav arvutusvõimekus. Ühtki Eestist pärit võtit ei ole teadaolevalt lahti murtud.

Kas olete ise teadlaste väiteid kontrollinud? Kas suutsite häkkimist korrata?

Kontrollimine võtab aega, seda teeb RIA koostöös Eesti teadusasutustega. Praegused tulemused kinnitavad, et uuringut võib pidada usaldusväärseks ja turvarisk on tegelik. Ühtki võtit siiski lahti murtud ei ole.

Kus see teadustöö avaldatud on? Kas selle info alusel on võimalik igaühel kaarti murda?

Teadustöö avaldatakse eeloleval sügisel rahvusvahelisel teaduskonverentsil. Konkreetseid ründetööriistu ei ole akadeemilistes töödes tavaks avaldada.

Miks te ei ole veel kaarte kinni pannud?  Kes sulgemise otsustab?

Tegemist on seni realiseerumata turvariskiga. Praeguses olukorras pole sulgemine põhjendatud ja tooks kaasa arvestatava ebamugavuse paljudele inimestele.

Mida te seni teinud olete?

RIA koos Eesti teadusasutuste ekspertidega on tegelenud väidete kontrollimise, riskide maandamise ja lahenduskäikude kaardistamisega. Seda on tehtud koostöös partnerite ja teenuseosutajatega, et vajadusel muudatusteks valmis olla.

VALIMISED

Kas e-valimised toimuvad? Kuidas nad toimuvad?

RIA on teavitanud turvariskist riigi valimisteenistust, kes tagab valimiste korraldamist. Otsuse e-hääletamise toimumise kohta teeb Vabariigi Valimiskomisjon.

Kas e-valimised on turvalised?

E-valimised pole rohkem ohus kui muud teenused. Häälte hulgaline võltsimine pole selle kõrge kulu tõttu mõeldav.

Märksõnad

Tagasi üles