Teadlaste grupi juht: ID-kaardi kiibitootja soovis aega kokku hoida ({{commentsTotal}})

Foto: Siim Lõvi/ERR

Riigi Infosüsteemi Ametile (RIA) ekspertanalüüsi teinud teadlaste grupi juht Arne Ansper ütles, et ID-kaartide väljavahetamiseni viinud turvanõuete eiramise põhjuseks oli tõenäoliselt kiibitootja soov hoida kokku aega.

AS Cybernetica sai RIA-lt mõned kuud tagasi palve vaadata üle kõikide ID-kaartide sertifikaatide avalikud võtmed ja analüüsida, kas kõik need võtmed on ikka loodud ID-kaardi enda poolt või mitte. Häirekellad RIA-s hakkasid lööma siis, kui Tartu Ülikooli teadlane Arnis Parsovs oli neile avaldanud killukese oma teadustööst.

"Joonistus välja kaks selget gruppi nendest sertifikaatidest. Ühede puhul võib üsna kindlalt väita, et need on tõesti kaardi enda poolt genereeritud ja siis oli teine grupp, küll palju väiksem, mille puhul jälle võib üsna kindlalt väita, et need ei ole kaardi poolt tehtud. Meie eesmärk ikkagi on see, et see võti oleks ainult omaniku kontrolli all, sest Eestis on ju digiallkiri võrdne omakäelise allkirjaga ja see, kui keegi saaks kellegi nimel allkirju anda, see oleks nagu väga suur probleem," rääkis Ansper "Aktuaalsele kaamerale."

Ansper ütles, et selline asi ei saanud juhtuda kogemata, vaid see pidi olema teadlik otsus. Vastuseta on ainult küsimus, kas otsuse tegi kiibitootja üksinda või oli teisigi otsustajaid. Fakt on, et tegemist on vanema põlvkonna kaartidega ja otsustavaks sai ilmselt uute võtmete genereerimiseks kuluv aeg.

"See kaart genereeris neid võtmeid kaua ja ei olnud nii, et ta genereeris neid üks või kaks minutit, vaid ta võis ka kümneid minuteid vaeva näha, sest see võtmete genereerimine on juhuslik protsess ja seal ei olnud võimalik ennustada, et kui kaua see aega võtab," selgitas Ansper.

Paraku ei nõustunud Gemalto seda teemat "Aktuaalsele kaamerale" kommenteerima, ka ei ole laekunud lubatud teadet Gemalto emafirmast Prantsusmaal. Politsei- ja piirivalveamet (PPA) kinnitas, et nemad sellist lahendust ei tellinud.

"Me oleme teinud läbi väga põhjaliku kontrolli, meie sisekontroll on uurinud, kas võis olla selline olukord, et PPA andis nõusoleku ja tellis selle ja me oleme saanud vastuse, et sellist olukorda ei ole olnud, PPA ei ole tellinud võtmete genereerimist väljaspool kiipi," ütles PPA identiteedi ja staatuste büroo peaekspert Kaija Kirch.

Ka nädalavahetusel tegeleb PPA enam kui 12 000 kaardiomaniku teavitamisega, võib juhtuda, et mõni väljavahetamist vajava kaardi omanik saab politseist ka telefonikõne.

"Praeguseks me oleme helistanud umbes 400 inimesele, kes on kõige aktiivsemad kasutajad ja helistamine jätkub ka homme ning järgmisel nädalal.
Eelkõige teavitatakse siiski e-kirja teel ning see saabub läbi portaali eesti.ee, mis peaks olema isikliku e-posti aadressiga ühendatud," lausus Kirch.

Toimetaja: Indrek Kuus



ERR kasutab oma veebilehtedel http küpsiseid. Kasutame küpsiseid, et meelde jätta kasutajate eelistused meie sisu lehitsemisel ning kohandada ERRi veebilehti kasutaja huvidele vastavaks. Kolmandad osapooled, nagu sotsiaalmeedia veebilehed, võivad samuti lisada küpsiseid kasutaja brauserisse, kui meie lehtedele on manustatud sisu otse sotsiaalmeediast. Kui jätkate ilma oma lehitsemise seadeid muutmata, tähendab see, et nõustute kõikide ERRi internetilehekülgede küpsiste seadetega.
Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: