Uuring: ID-kaardi kriisile oleks olnud kiire lahendus, kui info selle kohta Eestisse oleks jõudnud

Stenbocki maja, 02.11.2017: riik teatab turvariskiga ID kaartide sertifikaadide peatamisest. Foto: Mihkel Maripuu/PM

Tallinna tehnikaülikoolis valminud uuring möödunud aasta ID-kaardi kriisist juhib tähelepanu sellele, et Eesti riigiametites polnud piisavat kompetentsi sellise ulatusega juhtumile reageerimiseks. Kuigi kriis õnnestus laheneda, teevad uurijad hulga soovitusi riigiasutuste töö muutmiseks, rahastamise suurendamiseks ning pakuvad välja uue ametikoha: turvaarhitekt. Muuhulgas selgub, et kui info tšehhide avastuse kohta oleks kohe täismahus Eestisse jõudnud, oleks lahendus olnud palju kiirem ja lihtsam.

Miks Eesti ROCA turvaveast varem teada ei saanud?

Erinevate ekspertintervjuude ja dokumendianalüüsi põhjal tehtud TTÜ uuringus analüüsiti, miks Eesti ROCA turvaveast varem teada ei saanud. Petr Švenda uurimisgrupp on RSA võtmete rünnatavust uurinud aastaid ja avaldas varasema uuringu juba 2016, kuigi selles ei viidata seosele Eesti ID-kaardi ja uuritud kiibi margi vahel.

  • Tuli välja, et Eesti krüptograafiateadlased ja spetsialistid ei avastanud ohtu kahel peamisel põhjusel:
    “ehkki väidetavalt on see avalik info, siis eesti teadlased ei teadnud ID-kaardis kasutatava kiibi marki;
  • krüptograafiliste algoritmide riistvarateostuste uurimine ei ole seotud ühegi Eesti teadlase igapäevatööga, mistõttu artikli sisu ja järeldustega ei oldud kursis.”

Alles pärast seda, kui tšehhi teadlaste grupi leiu täistekst RIA-le 30. oktoobril 2017 avaldati, selgus, et tegelikult oleks turvavea saanud suhteliselt lihtsalt ohutuks teha. Selleks oleks kulunud kaks sammu (lühendada RSA võtmepikkust 100 biti võrra, sest sellise võtmepikkuse juures nõrkus ei avaldu; anda vigaste kaartide omanikele välja uued avaliku võtme sertifikaadid, kasutades kauguuendamise funktsiooni).

“Kui tšehhi teadlaste 2017.a. artikli täpne sisu olnuks Eesti riigile teada augustis 2017, siis oleks võimalik olnud suur osa veaga kaartidest uuendada enne artikli avaldamist,” ütlevad TTÜ uurijad.

Kuna aga seda ei teatud, mindi üle elliptkõverate krüptograafiale, mille jaoks tarkvaratoe arendamine võttis aega.

RIA pidi oskusteabe sisse ostma

Raport võtab kokku, et juhtumi lahendamise tehniline võimekus oli koondunud riigi infosüsteemi ametisse.

“RIA-l oli küll üldiselt olemas vajalikud ID-kaardiga seotud tehniline kompetents, kuid see ei olnud piisav sellise ulatusega juhtumile reageerimiseks. Puudu jäi nii tehnilise teadmisega inimressursist kui ka vajalikust oskusteabest, mida tuli kiiresti mujalt sisse osta. Kitsaskohana nimetati ka kriitilise teadmise koondumist üheainsa inimese kätte,” võtab raport olukorra kokku.

Soovitus: kasutada riigihanke seaduse erandeid

Teatavasti tellis RIA erasektorist tööd näiteks Cyberneticast ja Nortalist. Kuigi arved maksis valitsus, tekitas mõneti küsimusi lihthankemenetluse kasutamine.

“Mitmes intervjuus väljendati aga imestust, et RIA korraldas juhtumi lahendamiseks vajalike sisseostetud teenuste eest tasumise läbi lihthankemenetluse. Intervjueeritavad pakkusid, et asutustel võiks olla sarnastes olukordades võimalus teenuste eest tasuda lihtsamaid ning läbipaistvamaid meetmeid kasutades,” kirjutavad raporti autorid.

Nende soovitus on kasutada riigihangete seaduse erandeid, mis lubavad hankijal mitte rakendada seaduses sätestatud riigihangete korda, kui hankeleping on seotud riigisaladusega või lepingu täitmine eeldab kooskõlas õigusaktidega eriliste turvalisusnõuete täitmist.

Uus ametikoht: turvaarhitekt

Arvestades ID-kaardiga seotud lahenduste keerulisust ja spetsiifilisi krüptograafiaga seotud probleeme, oleks raske püsivalt riigiameti palgale võtta kõiki erialateadmistega spetsialiste. Üks lahendus on valdkonna eriuuringud ka edaspidi sisse osta, ent samas tuleks tarkvaraarendusega tegeleda pidevalt.

Seetõttu oleks RIA-s mõistlik luua “turvaarhitekti” töökoht. “Turvaarhitekt peaks olema valdkonna tehnilisi lahendusi ja võtmetehnoloogiaid tundev spetsialist, kelle ülesanne oleks mitte ainult hinnata lahenduste töö- ja ründekindlust, vaid ka nõustada ning suunata arendusprotsessi tervikuna,” kirjeldab raport. Turvaarhitekt peab oskama uuringuid tellida ja kasutada, tähtis on ka rahvusvaheliste kontaktide olemasolu.

Kokku esitatakse uuringus 36 ettepanekut eID juhtumi uuringu tulemite põhjal.

Uuringu tegi TTÜ uurimisgrupp koosseisus Ahto Buldas, Martha Jung, Kaja Kuivjõgi, Liisa Tallinn, Anna-Maria Osula, Rain Ottis, Jaan Priisalu ja Toomas Vaks, kes analüüsis RIA ja teiste osapoolte poolt kättesaadavaks tehtud dokumente ja viis läbi 32 intervjuud 41 inimesega vahemikus veebruar-aprill 2018.