Ometi torkab kogu sündmuste ajaliini vaadates silma, et kuskil on keegi midagi tähtsat tegemata jätnud.

Masaryki ülikooli teadlaste juhitud krüptograafide grupp leidis teatavasti RSA võtmete genereerimises haavatavuse tänavu jaanuari lõpus.

Juba 1. veebruaril saadavad nad vastutustundlikult vea kohta kirjelduse selle tootjale, Infineonile. Just see firma, Infineon Technologies AG, on teinud koodi, millega luuakse RSA krüptovõtmed Gemalto toodetud Eesti ID-kaartides. Infineoni kood on kasutusel ka sülearvutites ja paljudes teistes toodetes.

On loogiline, et Infineonil lasub vastutus kõiki oma kliente teavitada. Osaliselt see toimuski. Näiteks puudutas teadlaste leid USB-pulgal olevaid turvavõtmeid tegevat firmat Yubico. See firma otsustas USB-pulgad tasuta ringi vahetada. Yubico teatas sellest avalikult kokkulepitud päeval, 16. oktoobril.

Miskipärast info vea kohta Eestisse ei liigu. Gemalto, kes peaks veast teadma ja informeerima Eestit, ei ütle 7 kuu jooksul selle kohta silpigi. Geenius küsis olukorra kohta Gemalto AG-lt kommentaari. Ainus vastus: “Gemalto ei ole valmis kommenteerima.”

Tšehhid tulevad ise appi

Seda, et info Eestisse ei jõua, märkavad ka teadlased. Tšehhi krüptograaf Petr Švenda ütleb Geeniusele, et Infineon hakkas turvaveast oma kliente hoiatama juba aasta alguses. Teadlased ei jäänud firma tühipaljast sõna usaldama, vaid olid ka ise valvsad. “Me olime mõnede klientidega ise ühenduses, et me tegelikult teaksime, et Infineon ei varja nende eest seda nõrkust,” seletab Švenda.

See tähelepanelikkus annabki lõpuks Eestile probleemiga tegelemiseks kaks kuud, mis näib luksusena võrreldes slovakkidega, kes said asjast teada eelmisel nädalal, 16. oktoobril.

“Otsustasime Eesti ametiasutusi teavitada augustis seepärast, et saime ise aru, et neile pole info turvaveast mingil põhjusel jõudnud. Me nägime seda, kuna Eesti riik väljastas ikka edasi haavatavusega turvavõtmeid,” seletas Švenda, miks teadlased ise Eestile appi tulid.

Gemalto mängib suurte poiste liivakastis

Septembri alguses, kui RIA spetsialistid probleemi uurima hakkasid, võetakse ühendust ka Gemaltoga, kelle käest Eesti ametlikult veaga kaarte ostab. Selle asemel, et avalikult probleemi kinnitada, kostetakse suurfirmast, et “juristid tegelevad vastuse koostamisega”. Pärast seda, kui Eestis on ID-kaardi mure paisunud üleriigiliseks kriisiks, teatab Gemalto lõpuks kohaliku PR-bürool abiga, et firma “teeb kõik, et pakkuda kõikvõimalikku tuge” RIA-le turvariski lahedamisel.

Miks suurfirma kidakeelne oli, hakkab selguma oktoobri keskel. Vea avalikustamise esmaseks tähtajaks, 16. oktoobriks, on sellele juba turvapaiga välja andnud nii Microsoft kui Google. Selguse mõttes: see turvapaik ei puuduta kuidagi ID-kaarti, vaid Windowsi ja ChromeOS-iga töötavaid sülearvuteid, need suudavad nüüdseks haavatavust vältida.

Tagantjärgi jääb mulje, et Gemalto oli suurtega, ehk Microsofti ja Google’iga oma töökava kokku leppinud. Eesti otsus kogu probleemi avalikult lahata ähvardas tekitada vaid ebameeldiva PR-probleemi. Globaalsete suurfirmade omavaheline sujuv asjaajamine on tähtsam kui ühe pisiriigi kiibimure.

Kui RIA oleks turvaveast teada saanud kohe või varakult, aasta alguses, poleks see tehnilises mõttes palju muutnud, ütleb RIA e-ID valdkonna juht Margus Arm. Küll aga oleks see andnud Eesti ametnikele rohkem aega lahenduse välja töötamiseks ja Eesti inimestele aega ID-kaardi uuendamiseks.

Nüüd tuleb kõik see teha ära turbokiirusega.