Tartu teadlane leidis vigase ID-kaardi, mille digiallkirja sai võltsida

Tartu ülikooli teadlane Arnis Paršovs analüüsis Eestis välja antud ID-kaartide krüptovõtmete turvalisust ja leidis nende seas mitu lubatust nõrgemat võtit, sealhulgas ühe, mille digiallkirja oli tal võimalik järgi teha, kirjutab Postimees.

Paršovs avastas ajavahemikul 30.12.2014 kuni 20.06.2016 väljastatud ID-kaartide seas 15 sellist, mille võtmete turvatase oli lubamatult madalal. Ühe 1979. aastal sündinud eestlase ID-kaarti avaliku võtme turvatase oli nii nõrk (vaid 1 bitt tavapärase 2000 biti asemel), et selle sertifikaadi abil oli võimalik kaardikasutaja digiallkiri lahti muukida ja sellega näitlikult võltsallkiri anda. Loe täpsemalt Postimehest.

RIA: praakkaartide asemele on väljastatud garantiikorras uued

“Tartu ülikooli teadlase poolt tuvastatud anomaalia ID-kaardi tootmisprotsessis, mille tõttu oli ringlusse jõudnud 15 praakkaarti, ei mõjutanud mitte kuidagi ülejäänud ID-kaartide turvalisust ja sel puudub seos Tšehhi teadlaste avastatud turvariskiga Infineoni toodetavates kiipides,” ütles riigi infosüsteemi ameti eID valdkonna juht Margus Arm pressiteate vahendusel.

“Tartu Ülikooli doktorant ja lektor Arnis Paršovs on üks partneritest, kes on ID-kaarti juba aastaid uurinud ning kellega RIA ja PPA teeb aktiivselt koostööd. Analüüsides ID-kaartide avalike võtmete andmebaasi tuvastas Paršovs dokumentide tootmisprotsessis vea, mille tõttu olid 15 kaarti saanud nõuetele mittevastavad nõrgad võtmed. Teadlane näitas ühe praakkaardi varal teadustöö raames, mille ta avaldab järgmisel kevadel, et sellise tootmisvea esinemisel on võimalik digiallkirja järgi teha. Seda vigast kaarti ei olnud elektrooniliselt kordagi kasutatud,” ütles Arm.

“PPA sulges juuni alguses need 15 vigast ID-kaarti ning väljastas inimestele garantiikorras uued kaardid. RIA kontrollis üle ka kõikide teiste dokumentide sertifikaatide avalikud võtmed ning vigaste võtmetega kaarte rohkem ei leitud. Informeerisime teadlase tuvastatud anomaaliast kaarditootjat Gemalto ja sertifitseerimisteenuse osutajat ning võtsime kasutusele meetmed, mis ei võimalda sellise veaga kaarte enam toota.”

“Kirjeldatud viga ei ole seotud augusti lõpus Eestile teatavaks saanud Infineoni kiibi turvariskiga, mille avastasid Tšehhi teadlased. Ka varem on toodetud üksikuid praakkaarte, mis on vea ilmnemisel alati suletud ning vigased kaardid on garantiikorras välja vahetatud. Ühtegi nõuetele vastavat Eesti ID-kaarti ei ole teadlased suutnud murda.”