Language switcher

Вы здесь

В 2011 году ученые выявили уязвимость в системе безопасности ID-карты, используемой в Эстонии

Уязвимость, затрагивающая почти 120 000 ID-карт, заключалась в том, что в результате определенного вектора атаки можно было использовать карту, не зная коды PIN1 и PIN2 (то есть поставить электронно-цифровую подпись). Для проведения атаки злоумышленник должен был заполучить ID-карту пользователя, при этом ID-карта должна была быть действующей (в случае утери карты обычно люди сообщают об этом, и сертификаты приостанавливаются или аннулируются). Сообщений о неправомерном использовании ID-карт не было и нет до сих пор.

Уязвимость была устранена путем обновления, а срок действия последней карты этого поколения истек в конце 2016 года. Начиная с декабря 2018 года эстонское государство заключило договор с новым производителем ID-карт.

Уязвимость 2011 года отличалась от уязвимости ID-карты 2017 года тем, что на карте 2011 года было несколько ошибок в приложении чипа, для использования которых необходимо было завладеть и самой ID-картой. Однако, если владелец карты соблюдал свои обязанности по соблюдению осторожности и не отдавал карту в чужие руки, опасности не возникало. Однако уязвимость 2017 года можно было реализовать, не имея физического доступа к ID-карте.

Чтобы исправить ошибки 2011 года, было разработано новое приложение для карты, и людям было предложено обновить имеющееся на карте программное обеспечение. Электронное использование последних необновлённых карт было приостановлено летом 2013 года.

По словам заместителя генерального директора Департамента государственной инфосистемы (RIA) Маргуса Арма, 20-летняя история ID-карты определенно была успешной: «Мы уникальное государство, функционирование которого зависит от цифровых решений, и все наши услуги построены на средствах электронной идентификации: ID-карта, Mobiil-ID, Smart-ID. Однако за последние 20 лет технологии, включая прежние безопасные решения, значительно изменились, то есть продвинулись вперед. В сотрудничестве с учеными мы обнаружили ошибки, исправили их и разобрались с последствиями. Нам не у кого учиться, поскольку мы первыми что-то делаем в этой области, поэтому мы учимся на том, что мы сами делаем».

По его словам, на сегодняшний день, 10 лет спустя, вся сфера электронной идентификации (eID) лучше и единообразнее регулируется по всей Европе: «Изменилось правовое пространство, были унифицированы различные стандарты безопасности: квалифицированные компании проводят тесты и аудиты безопасности. И во многих аспектах доверие к этой сфере возвращается, так что сейчас у нас нет причин сомневаться в надежности крупнейших мировых производителей. Сегодня мы как общество в целом гораздо лучше подготовлены к тому, чтобы говорить о различных уязвимостях и инцидентах, причем делать это гораздо более открыто, поскольку это тоже часть доверия к средствам электронной идентификации, которые мы используем ежедневно. А также доверия к государству».

«На сегодняшний день у нас нет причин сомневаться в безопасности нашей ID-карты или других средств электронной идентификации. Однако безопасность — это процесс, который со временем меняется и требует постоянного внимания. Технологии всё время развиваются, уязвимости и впредь будут выявляться и устраняться. Единственный же способ обеспечить устойчивое развитие электронного государства — это постоянные инновации и прогресс. Хотя мы и будем оглядываться в прошлое и обращать внимание на обнаруженные там ошибки, но еще больше мы будем обращать свой взор в будущее, чтобы учиться на этих ошибках», — сказал Арм.

Isikutunnistuste ja elamisloakaartide taotluste prognoos 2012. a (247.8 КБ, PDF) (на эстонском языке)
Analysis of the ID-card software, 02.12.2011, Toni Koivunen, Sauli Pahlman (1.37 МБ, PDF) (на английском языке)
Eesti ID-kaardi v3.0 koodi analüüs Joe-Kay Tsay raporteeritud PKCS#1 ründe valguses, 12.12.2011, Martin Paljak (1.67 МБ, PDF) (на эстонском языке)
Tabel ID-kaardi tarkvara varemteadaolevate vigade kohta, 12.12.2011, Martin Paljak (3.19 МБ, PDF) (на эстонском языке)
Analysis of the ID-card software, 14.12.2011, Toni Koivunen, Sauli Pahlman (2.02 МБ, PDF) (на английском языке)

Еще новости по той же теме

19.05.2022

Проверьте, включено ли в вашем веб-браузере расширение Web eID!

18.05.2022 – Вам не удается поставить подпись с помощью ID-карты в э-услуге? Проверьте, включено ли в вашем веб-браузере расширение Web eID!

10.05.2022

RIA подписал пятилетний договор о Mobiil-ID

10.5.2022 – Департамент государственной инфосистемы (RIA) и поставщик сертификационных услуг SK ID Solutions AS (SK) заключили пятилетний договор об обеспечении услуги мобильного идентификатора (Mobiil-ID), который вступит в силу 2 июля.