/nginx/o/2018/05/09/7833983t1h372c.jpg)
Eesti sai suhteliselt viimasel hetkel teada meie ID-kaardis peituvast turvaveast tänu teadlaste ja Eesti riigitöötajate joodud õllele. Selliseks infovahetuseks ametlikult loodud rahvusvahelised kanalid Eesti puhul ei töötanud, selgus vea avastanud Tšehhi teadlase täna Tallinnas peetud esinemiselt.
Masaryki ülikooli teadlane Petr Svenda rääkis, et tema juhitav teadlaste rühm tõendas Infineoni toodetava kiibi turvavea 2017. aasta jaanuari lõpus. Juba 1. veebruaril anti sellest e-kirja kaudu teada Infineonile ning mais võtsid esimesed Infoneoni kliendid teadlastega kindluse mõttes ise ühendust. 20. juunil andis aga Austria nende e-tervist tabanud veast teada kõigile Euroopa riikidele.
Eesti ametnikeni see info aga ei jõudnud või ei osatud tohutus infomüras seda tähele panna. Austria teade ei hiilanud ka just täpse informatsiooniga. Asjad hakkasid meie jaoks juhtuma alles augusti alguses, kui tšehhid ise meie sertifikaate kontrollisid ja neis leiduvale turvaveale kinnituse said.
/nginx/o/2018/05/09/7833990t1h5b69.jpg)
«Kontakteerusime CERTiga (Riigi Infosüsteemi Ameti allüksus-toim) 30. augustil, kuid enne seda me ei teadnud, kas neil (Eesti-toim) juba on plaan ja kas nad juba teavad sellest. Kahtlesime, kas on üldse vaja nendega ühendust võtta. Tundsin aga isiklikult Martin Paljakut (RIA töötaja-toim) ning seda seoses ühiste avaliku koodi arendusprojektidega ja tänu mõnele varasematel aastatel joodud õllele,» rääkis Svenda täna Tallinnas toimunud ID-kaardi konverentsil.
Just Paljak oli see, kes soovitas teadlastel saata CERTile täpsemad andmed avastuse kohta ning 30. augustil see nii ka läks.
Tšehhi ülikooli teadlased olid avastanud, et Infineoni kiipide turvavea tõttu on sertifikaatide avaliku osa abil võimalik tuletada kiipides olevat privaatset osa ja nii kasutajate identiteet varastada. Kui tavalise 2048 bitise võtme puhul kuluks selliseks tuletuseks 6442450944000000 (vCPU e. protsessori) aastat, siis Infineoni kiipide puhul vaid 140 vCPU aastat, mis võimsate arvutiparkide korral lüheneks veelgi.
RIA peadirektor Taimar Peterkop rääkis tänasel konverentsil, et Infineon ei pidanudki Eestit teavitama, kuna Eesti riik ei ole kiibitootja otsene klient. Veast ei andnud tema sõnul esimesena meile infot ka ID-kaarte tootev ettevõte (Gemalto-toim ), kellega Eesti riigil on leping. Gemalto on varem väitnud, et teavitas juhtumist Eesti ametnikke juba juunis.
Peterkopi sõnul kulus ühel Eesti ettevõtte Cybernetica töötajal vaid kaks kuud, et katseks üks ID-kaardi kiip lahti muukida.
Turvaveast teada saamise aeg on oluline, kuna sellest sõltub, kui palju on riigil aega turvaviga parandada enne, kui häkkerid vea avastavad ja seda ära kasutada suudavad.
ID-kaardi turvavea tõttu tühistati enam kui 800 000 Eesti ID-kaardi sertifikaadid. Ligi 500 000 Eesti inimest vahetas oma kaardil need välja ning kes seda tähtajaks ei teinud (neid oli veidi enam kui 300 000), need enam oma ID-kaarte veebiteenuste kasutamiseks kasutada ei saa.
Oleks häkkeritel õnnestunud lahti muukida kasvõi mõni Eesti ID-kaart ja seda isiku nimel kasutama hakata, oleks selle maineline kahju olnud nähtavasti päästmatult lootusetu. Õlu päästis Eesti ID-kaardi.
Petr Svenda sõnul on laialdaselt levinud e-kaartide suureks probleemiks see, et nende disain on salastatud ja seega on keeruline ka vigade tuvastamine ning parandamine. Parim lahendus turvaprobleemide vältimiseks tulevikus on tema sõnul erinevate tootjate kiipe ja muid vahendeid kasutada.
Eestis väljaantavad ID-kaardid sisaldavad siiamaani kõnealuseid vigaseid Infineoni kiipe, kuid need on kohapeal loodud uue tarkvara abil turvalisemaks muudetud. Eesti otsustas mitte muuta pikemaks sertifikaatide avalikke võtmeid ega luua privaatseid võtmeid vigastest kiipidest väljaspool.
Eesti ID-kaardil on kolm põhilist elektroonilist kasutusfunktsiooni: dokumentide allkirjastamine, isikutuvastamine ja failide krüpteerimine.