Cybernetica analüüs ID-kaardi kriisist: peame ka edaspidi olema valmis massiliseks kiirkorras uuendamiseks

Septembri alguses pressikonverentsil avalikustatud ID-kaardi kriis. Foto: Sander Ilvest/PM/Scanpix

Eesti küberturbe teadus-arendusettevõte Cybernetica tegi Eestis sel sügisel puhkenud ID-kaardi kriisist analüüsi, mille üks järeldus on, et tuleb parandada elektroonilise identiteedi massilise uuendamise ja asendamise võimet.

“Edaspidi tuleb kindlasti vähendada taristu sõltuvust ühest elektroonilise identiteedi platvormist, alternatiivide kasutuselevõttu tuleb laialdaselt soodustada ja propageerida. Samuti tuleb parandada eID massilise uuendamise ja asendamise protsesside läbilaskevõimet,” seisab analüüsis.

“Riik peab partneritelt (eID teenuse osutajad) ostma ka võimekuse ja valmisoleku toimida force majeure tingimustes, mida kaartide kiirkorras vahetamine kahtlemata on.”

Ohtu ei sattunud ükski digiallkiri ega autentimine

Cybernetica kokkuvõtte järgi ei sattunud ühegi digiallkirja autentsus ohtu, kuna Eestis on juriidilist jõudu omavad digitaalallkirjad alati varustatud ajatempliga. Seepärast saab alati tõestada, et dokument allkirjastati enne, kui nõrkus teatavaks sai.

“See on hea näide sellest, kuidas põhjalik töö digitaalallkirja seaduse loomisel ja rakendamisel on end positiivselt ära tasunud,” järeldavad Cybernetica eksperdid.

“Ka ID-kaardi autentimisfunktsioon ei saanud kannatada – kui teenusepakkujad kontrollivad korrektselt sertifikaatide kehtivust, ei pääse ebaturvaliseks muutunud ja nüüdseks tühistatud sertifikaatide alusel keegi e-teenustele ligi.”

Võtmete genereerimine jäi kaardile

Lisaks kordavad Cybernetica asjatundjad üle ka põhjuse, miks kriisi lahendades ei otsustatud ID-kaarti muuta nii, et selle krüptovõtmeid oleks hakatud väljaspool kaarti genereerima. Teatavasti kahtlustasid mõned skeptikud just seda, mis on oleks muutnud kaardi turvalisust.

“ID-kaardi kasutamine kvalifitseeritud digitaalallkirja andmise vahendina nõuab, et salajane võti genereeritaks kiibis ega lahkuks sealt kunagi. Seega ei tulnud kõne alla ka võimalus genereerida võtmed kaardist väljas ning need siis kaarti importida,” kirjutavad Cybernetica analüüsi autorid.

Loe Cybernetica analüüsi siit.