ID-kaartide turvarisk õõnestab e-teenuseid

Riigi Infosüsteemi Amet (RIA) andis 5. septembril teada, et rahvusvaheliste teadlaste grupp oli neid 30. augustil informeerinud turvariskist, mis mõjutab Eesti ID-kaarte, kui need on välja antud alates 16.10.2014. Varasemaid kaarte sertifikaadiprobleem ei puuduta.

Ametlikus pressiteates ei selgitatud 750 tuhande ID-kaardi turvariski aga ilmselt pole sertifikaat nii juhuslikult genereeritud kui arvatakse. Ametlik ID-kaardi leht id.ee teatab: „ID-kaardi kuritarvitamine on keeruline ja kallis; meile pole teada ühtki juhtu, kus seda tehtud oleks.” Õige oleks öelda, et veel pole avastatud. Pangad ei räägi samuti, kui palju neid on häkitud ja raha kadunud. Teadmatuses elamine on turvaline.

Vabariigi Valimiskomisjon tegi 6. septembril ekspertide ärakuulamise järel otsuse e-valimiste toimumisest. „Ühtegi reaalset turvaauku leitud ei ole, kogu ID-kaardi kiipi puudutav on hüpoteetiline,” sõnas Vabariigi Valimiskomisjoni esimees Meelis Eerik. Valimisi korraldab Riigi Valimisteenistus, mille juht Priit Vinkel polnud viimased kolm valimist serverite seadistamise juures ega küsinud rohkem kui „Mis kellaks tuleb kutsuda (krüpto)võtmed saavad ametnikud?”.

Riigi Valimisteenistuse juht Priit Vinkel katsetab e-valimist 2015. aastal. Foto Virgo Kruve
Riigi Valimisteenistuse juht Priit Vinkel katsetab e-valimist 2015. aastal. Foto Virgo Kruve

Valija ID-kaardi turvariskist rääkimine on väikselt mõtlemine, tuleb näha suuremat süsteemi. Kui ID-kaardi sertifikaat on lahtimurtav, siis see on tagauks elektroonilise hääletuse serverisse. Viimased kolm valimist ja tõenäoliselt ka enne seda, reguleeriti valimistel hääli koguvatesse serveritesse ligipääsu läbi interneti just ametniku isikukoodi ja sellele vastavate sertifikaatide küsimisega. Pole vaja füüsiliselt ligi pääseda serveri klaviatuurile, piisab kahe inimese sertifikaatide lahtimurdmisest. Kui õigustega ametnikud käivad e-hääli „vaatamas” ning tõmbavad neist osa alla ja laevad pärast tagasi, siis pole süsteemi rikkumatus enam tagatud. Lahendus ei ole ka mobiil-ID või pankade poolt turule toodud Smart-ID, mille krüptograafias vea leidmine seisab ees.

ID-kaart on osa e-teenustest ja turvarisk ei pruugi olla lahendatav „millegi allalaadimise ja uuendamisena”, nagu avalikkusele on serveeritud. 31. juulil andis RIA soovituse: ”Enne 2014. aastat digitaalselt allkirjastatud dokumendid(.ddoc), tuleks hiljemalt järgmise aasta juuliks üle tembeldada(.bdoc). Ajatempli lisamine viib need dokumendid vastavusse tänapäeva turvanõuetele ning tagab selle, et dokumente ei ole võimalik tulevikus muuta.”

Kevadised lunavara (krüptograafia) rünnakud riikide vastu Suurbritannias, Ukrainas ja Venemaal tõid päevavalgele liitlaste poolt arendatud küberrelvad, mis kasutasid Microsofti tarkvara auke, millest osadest polnud firmat isegi teavitatud. Kurjategijad said need endale läbi NSA andmelekke.

Riski teoreetilisus ei välista võimalust, et selle ärakasutamiseks on viis, mida meie pole veel leidnud. Eelmiste valimiste ajal ei räägitud meedias krüptograafia kasutamisest väljapressimise vahendina, aga fantaasiat ei piira väitega „ID-kaardi kuritarvitamine on keeruline ja kallis.”

Artikkel ilmus ajalehes “Kesknädal” 13.09.2017
http://www.kesknadal.ee/est/uudised?id=29363

Add a Comment

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga