Tšehhi teadlase Petr Svenda juhitud teadlaste rühm avastas, et miljonites krüptovõtmetes on nõrkus, mida saab murda suhteliselt vähese vaevaga, kirjutab tehnoloogiaportaal Geenius.ee. Problemaatilised krüptovõtmed luuakse Saksa firma Infineon koodiga ja need on kasutusel muuhulgas Gemalto kiipkaartides, millesuguseid on Eestis käibel ligi 750 000.

Infineoni koodiga loodud krüptovõtmed on loodud selliselt, et avalikust võtmest salajase võtme tuletamine on liiga lihtne. Viimased kuus aastat välja antud Eesti ID-kaartides on 2048-bitine turvavõti, mille lahtimurdmine peaks disaini kohaselt tavalisel arvutil võtma aega mitu kvadriljonit aastat. Infineoni koodiga loodud krüptovõtme saab murda aga maksimaalselt 100 aastaga, keskmiselt kulub selleks poole vähem aega.

Kuigi see tundub pikk aeg, saab murdmistööd kiirendada kasutades selleks mitut arvutit. Ründaja jaoks on optimaalne kasutada Amazoni veebiteenustes renditavat teenust, mis imiteerib 1000 arvuti tööd. Selliselt kuluks 2048-bitise võtme murdmiseks kuni 40 000 dollarit, kirjutavad teadlased. Ars Technica arvutuste järgi võtab see aega maksimaalselt ligi 17 päeva.

RIA: Tšehhi teadlaste töö kokkuvõttes Eesti ID-kaardi kohta uut infot ei ole

RIA peadirektor Taimar Peterkop ütles ERRile, et sisuliselt kordab see teadustöö üle kõik selle, mida amet on rääkinud, lihtsalt detailsemalt on täpsustatud haavatavuse sisu ja mõju.

"Mitte midagi uut meie mõistes ei ole. See sama, mida RIA on rääkinud, see kõik pädeb. Me tuleme varsti välja tehnilise lahendusega, et kauguuendada ID-kaarte, kõik läheb nii nagu oleme seni rääkinud," kinnitas Peterkop ja lisas, et kauguuendamine algab 1. novembrist, nagu varem lubatud.

Selles, et ID-kaardi lahti murdmiseks kulub 17 päeva, ei olnud RIA peadirektor siiski kindel ja märkis, et see võiks nii olla ainult ideaalsete tingimuste korral.

"Selle jaoks on vaja enne tervet rida meetmeid, see tööriist - spetsiaalne tarkvara - tuleb kõigepealt välja arendada, et hakata üldse murdma ja neid tehnilisi detaile on veel. Nii et seda, et see 17 päeva on, me küll ei saa kinnitada, seda peame veel täpsemalt vaatama," sõnas Peterkop.

Teadustöö ei keskendu Eesti ID-kaardile, vaid konkreetse tootja kiibi turvanõrkusele. Probleemi tegelik ulatus on Eestist tunduvalt laiem, see puudutab konkreetse kiibi turvanõrkust, mis avaldub paljude neid kiipe kasutavate kaartide ja seadmete puhul.

Teadlased toovad oma töös välja, et vigased tooted on olnud ametlikult sertifitseeritud rahvusvaheliste standardite järgi ning viga on jäänud sellele vaatamata avastamata.

"Täna avaldatud teadustöö kokkuvõtte põhjal ei ole politsei- ja piirivalveametil alust ID-kaartide sertifikaate sulgeda ja praegu töötame edasi teadmisega, et saame turvariskiga ID-kaartide uuendamist alustada novembris,“ ütles politsei- ja piirivalveameti identiteedi ja staatuste büroo juht Margit Ratnik.

RIA eID valdkonna juht ning töögrupi vedaja Margus Arm ütles, et praegu testitakse ID-kaardi kauguuendamise rakendust ning e-teenuste pakkujatele on antud testkaardid, et nad saaksid proovida selle sobivust enda süsteemidega.

ID-kaardi sertifikaate saab uuendada novembrist kuni märtsi lõpuni. Uuendamiseks tuleb arvutisse laadida alla ID-kaardi tarkvara uus versioon ja järgida ekraanil olevaid juhiseid. Sertifikaate saab uuendada nii oma koduarvutis kui ka PPA teenindustes.

"Eesti ID-kaart ja selle digitaalsed lahendused on jätkuvalt turvalised. Täna ei ole teateid ühestki digitaalse identiteedi vargusest," lausus Arm.

Kokkuvõtet teadustööst saab lugeda SIIN. Teadlased esitlevad oma tööd 30. oktoobril Dallases toimuval konverentsil ACM CSS.