Language switcher

Sa oled siin

2011. aastal tuvastasid teadlased Eestis kasutusel olevas ID-kaardis turvanõrkuse

Ligi 120 000 ID-kaarti puudutanud turvanõrkus seisnes selles, et teatud ründevektori tulemusel oli võimalik kasutada kaarti ilma PIN1 ja PIN2 koodi teadmata (ehk anda ka digiallkirja). Selleks, et rünne läbi viia, pidi ründaja enda kätte saama kasutaja ID-kaardi ning ID-kaart pidi olema kehtiv (kaardi kaotamise korral üldjuhul sellest teavitatakse ning sertifikaadid peatatakse või tühistatakse). ID-kaartide kuritarvitustest teateid ei olnud ega ole siiani.

Turvanõrkus lahendati sertifikaatide uuendamise teel ning viimane selle põlvkonna kaart aegus 2016. aasta lõpus. Alates 2018. aasta detsembrist sõlmis Eesti riik lepingu uue ID-kaardi tootjaga.

2011. aasta turvanõrkus erines 2017. aasta ID-kaardi turvanõrkusest selle poolest, et 2011. aasta kaardis oli kiibirakenduses mitmeid vigu, mille ära kasutamiseks tuli enda valdusesse saada ka ID-kaart. Kui kaardiomanik täitis aga oma hoolsuskohustust ja kaarti enda käest ära ei andnud, siis ohtu ei tekkinud. 2017. aasta turvanõrkust oli aga võimalik realiseerida ID-kaarti füüsiliselt omamata.

2011. aasta vigade parandamiseks töötati välja uus kaardirakendus ning inimesi kutsuti kaardil olevat tarkvara uuendama. Viimaste uuendamata kaartide elektrooniline kasutamine peatati 2013. aasta suvel.

Riigi Infosüsteemi Ameti peadirektori asetäitja Margus Armi sõnul on ID-kaardi 20-aastane ajalugu olnud kindlasti edukas: „Oleme unikaalne riik, mille toimimine sõltub digitaalsetest lahenditest ning kõik meie teenused on üles ehitatud elektroonilise identiteedi vahenditele: ID-kaart, mobiil-ID, Smart-ID. 20 aasta jooksul on aga tehnika, sh senised turvalised lahendused oluliselt muutunud ehk edasi arenenud. Oleme teadlastega koostöös avastanud vigu, need parandanud ja tegelenud ka tagajärgedega. Meil ei ole kelleltki õppida, sest oleme selles valdkonnas n-ö esimesed tegijad – seega õpime enda tehtust.“

Tema sõnul on täna, 10 aastat hiljem kogu eID valdkond paremini ja ühtlasemalt reguleeritud kogu Euroopas: „Muutunud on õigusruum ja ühtlustunud erinevad turvastandardid – kvalifitseeritud ettevõtted viivad läbi turvateste ja auditeid. Paljuski selles maailmas taandub usaldusele ning täna ei ole meil alust kahelda maailma suurtootjate usaldusväärsuses. Ka ühiskonnana oleme täna palju paremini valmis erinevatest nõrkustest ja intsidentidest rääkima ning tegema seda palju avatumalt, sest see on osa usaldusest elektroonilise identiteedi vahendite vastu, mida igapäevaselt kasutame. Samuti usaldus riigi vastu.“

„Meil ei ole täna ühtegi põhjust kahelda ID-kaardi või teiste elektroonilise identiteedi vahendite turvalisuses. Turvalisus on aga protsess, mis ajaga muutub ja mis vajab kogu aeg tähelepanu. Tehnoloogia areneb pidevalt, nõrkusi leitakse ja parandatakse ka edaspidi. Pidev uuenemine ja areng on aga ainus viis, kuidas tagame e-riigi jätkusuutlikkuse. Me küll vaatame minevikku ja toome välja seal avastatud vead, kuid veel rohkem pöörame pilgu tulevikku, et neist vigadest õppida,“ ütleb Arm.

Lisa 1. Isikutunnistuste ja elamisloakaartide taotluste prognoos 2012. a (247.8 KB, PDF)
Lisa 2. ID-kaardi tarkvara analüüs, 02.12.2011, Toni Koivunen, Sauli Pahlman (1.37 MB, PDF)
Lisa 3. Eesti ID-kaardi v3.0 koodi analüüs Joe-Kay Tsay raporteeritud PKCS#1 ründe valguses, 12.12.2011, Martin Paljak (1.67 MB, PDF)
Lisa 4. Tabel ID-kaardi tarkvara varemteadaolevate vigade kohta, 12.12.2011, Martin Paljak (3.19 MB, PDF)
Lisa 5. ID-kaardi tarkvara analüüs, 14.12.2011, Toni Koivunen, Sauli Pahlman (2.02 MB, PDF)

Veel uudiseid samal teemal

22.10.2021

Politsei tuletab meelde: kontrolli, kas tead oma dokumendi PIN-koode

22.10.2021 – Alates uuest aastast ei väljasta Politsei- ja Piirivalveamet enam uusi PIN-koode neile dokumendi kasutajatele, kelle ID-kaart, elamisloakaart või digi-ID on välja antud enne 30.11.2018.

01.10.2021

Kas oled mugavaks ja muretuks e-hääletamiseks valmis?

1.10.2021 – 11.–16. oktoobrini kestva e-hääletamise tarbeks tuleb üle kontrollida ID-kaardi või mobiil-ID sertifikaadid ning kasutada uusimat tarkvara.