PPA: ID-kaardi asemel saab kasutada mobiil-ID-d
Politsei- ja piirivalveameti teatel on ID-kaart endiselt turvaline kasutamiseks nii isikut tõendava dokumendina kui internetis autentimiseks ja digiallkirjastamiseks. PPA soovitab kasutada alternatiivina mobiil-ID-d, valmis tuleb aga olla pikkadeks järjekordadeks. Töö käib selle nimel, et turvaaugu saaks interneti kaudu ära parandada. Kui tekib reaalne häkkimisoht, võidakse sertifikaadid tühistada.
"ID-kaardi kuritarvitamine on keeruline ja kallis; meile pole teada ühtki juhtu, kus seda tehtud oleks. Kõik praegused sammud on eeskätt võimalikke riske ennetavad – tegemist on ettevaatusabinõuga, et ilmnenud turvanõrkust ei saaks ära kasutada," teatas PPA.
Kuni sertifikaate ei ole peatatud ega tühistatud, ei muutu kaardiomaniku jaoks midagi. ID-kaarti saab kasutada nagu seni. Kui sertifikaadid turvariski tõttu suletakse, antakae sellest kaardiomanikule teada e-posti teel ja teavitatakse avalikult.
Kõik praegu väljastatavad ID-kaardid on sama turvariskiga. Uus ID-kaardi lahendus on alles väljatöötamisel.
Teoreetiliselt on võimalik kasutada ID-kaarti isikutuvastuseks ja digiallkirja andmiseks ilma kaarti omamata ja PIN koode teadmata. Ainult sertifikaadi avaliku võtme teadmisest kaardi lahtimurdmiseks siiski ei piisa – vaja on ka suurt arvutusvõimekust salajase võtme väljaarvutamiseks ja spetsiaalset tarkvara, millega allkirja anda. ID-kaardi tarkvara selleks ei sobi, sest eeldab ID-kaardi paiknemist kaardilugejas.
ID-kaardi asemel võib kasutada mobiil-ID-d. PPA teatel on mobiilioperaatori vajadusest teadlikud ja arvestavad võimaliku suurema koormusega, aga arvestada võiks tavapärasest pikemate järjekordadega.
Küsimused ja vastused:
Mida see haavatavus tegelikult tähendab? Kas ID-kaart on häkitav? Mis andmeid on selleks vaja, et saaks kaarti häkkida ja häkitud kaarti kasutada?
Teoreetiliselt on võimalik kasutada ID-kaarti isikutuvastuseks ja digiallkirja andmiseks ilma kaarti omamata ja PIN koode teadmata. Ainult sertifikaadi avaliku võtme teadmisest kaardi lahtimurdmiseks siiski ei piisa – vaja on ka suurt arvutusvõimekust salajase võtme väljaarvutamiseks ja spetsiaalset tarkvara, millega allkirja anda. ID-kaardi tarkvara selleks ei sobi, sest eeldab ID-kaardi paiknemist kaardilugejas.
ID-kaardi kuritarvitamine on äärmiselt keeruline ja kallis, meile pole teada ühtki juhtu, kus seda tehtud oleks.
Paljud teenused (näiteks pangad) nõuavad teenusesse sisselogimiseks lisaks kasutajatunnust või salasõna või mõlemat korraga – ka neid tuleb teada.
Kas ja kuidas saan oma kaardi sertifikaadid tühistada? Kas seda peaks tegema?
Sertifikaate saab peatada ID-kaardi abitelefonil 1777. Lisainfot leiab id.ee lehelt.
Sertifikaadid võib peatada või tühistada iga kaardi omanik ise või teenusepakkuja. Praegu selleks otsest vajadust ei ole. Kui olukord muutub, siis teavitatakse sellest kaardiomanikke kohe.
Kui kaardiomanik tahab kuritarvituse võimaluse välistada, võib soetada mobiil-ID ja selle aktiveerimise järel ID-kaardi sertifikaadid peatada või tühistada.
Sertifikaadi peatamise korral saab sertifikaadi uuesti aktiveerida, tühistamise korral kaarti enam digitaalselt kasutada ei saa.
Kas saan tühistada ainult allkirjastamise võimaluse?
Autentimise ja allkirjastamise saab peatada või tühistada ainult korraga, sest turvarisk puudutab mõlemat.
Mis juhul võib riik tühistada minu sertifikaadid?
Sertifikaadid tühistatakse siis, kui nende häkkimise risk muutub reaalseks. Tühistamisest antakse kaardiomanikule kindlasti teada.
Kas ja kui kiiresti saab vigase ID-kaardi uue vastu vahetada?
Kõik praegu väljastatavad ID-kaardid on sama turvariskiga. Uus ID-kaardi lahendus on alles väljatöötamisel.
Isikut tõendava dokumendina on ID-kaart endiselt kehtiv.
Kas viga saab veebi kaudu parandada?
Praegu veel mitte, aga töötame selle kallal.
Mis juhtus 2014. aasta oktoobris, et selline viga tekkis? Kas Eesti oli sellest muutusest teadlik?
2014. aasta oktoobris võeti ID-kaartidel kasutusele uus kiip, mis oli kiirem, põhines uuemal tehnoloogial ja oli seega eelduslikult turvalisem. Kiibile antud Prantsusmaa ja Saksamaa turvasertifikaadid kinnitavad selle vastavust kõigile turvanõuetele. Sama kiip on kasutusel mitme teise riigi isikutunnistusel, ka maksekaartidel ja töötõenditel.
Turvarisk tekkis uue kiibi ja tarkvara koosmõjus.
Mis juhtus sertifikaatidega, et need enam turvalised pole?
See, et krüptograafilised algoritmid, millel sertifikaadid põhinevad, muutuvad arvutusvõimsuse kasvades tasapisi ebaturvaliseks, on tehnoloogia seisukohalt tavapärane areng. Just sel põhjusel vahetatakse ID-kaardi sertifikaate mõne aja tagant tugevamate vastu.
Praegusel juhul sattus ilmnenud turvarisk kokku arvutusvõimsuse kasvuga. Veel mõni aasta tagasi oleks sellise kaardi lahtimurdmine olnud oluliselt kulukam ja seega veelgi ebatõenäolisem kui praegu.
Kuidas te teada saite? Miks te alles nüüd sellest räägite?
Võimalikust turvariskist andis teada rahvusvaheline teadlaste rühm ametlike kanalite kaudu.
Iga sellise turvanõrkuse ilmsiks saamisel tõuseb hüppeliselt selle ärakasutamise oht. Sellepärast avalikustasime teabe siis, kui olime saadud infot omalt poolt kontrollinud ja ühtlasi võtnud kasutusele ettevaatusabinõud turvariskide vähendamiseks.
Mida saan kaardi kaitseks teha?
Kui ID-kaarti tehingute tegemiseks ei kasutata, võib ID-kaardi sertifikaadid peatada. Jääb võimalus kasutada alternatiive, mida turvanõrkus ei puuduta, näiteks mobiil-ID.
RIA ja PPA eksperdid jälgivad olukorda hoolikalt, vajadusel peatatakse sertifikaatide kasutamine. Sellest teavitatakse nii kasutajaid kui avalikkust.
