Sellest hetkest, kui Riigi Infosüsteemi Amet teisipäeva hommikul teatas, et teadlased on avastanud Eesti ID-kaardis võimaliku turvaaugu, on IT-kogukond avalikult kättesaadava info põhjal proovinud aru saada, mis tegelikult juhtus. Pea kõik arutelud jõuavad välja ühte kohta: ilmselt on kõrvalistel isikutel võimalik kaardiga sisse logida ja allkirju anda ka ilma PIN-koode teadmata ja ilma kaarti omamata.

Geeniuse toimetus konsulteeris päeva jooksul paljude Eesti asjatundjatega, kes tunnevad nii kogu ID-kaardi süsteemi ülesehitust kui krüptograafiat laiemalt. Meil pole mingit siseinfot ning keegi pole meid ei avalikult ega salaja eraldi briifinud selle kohta, mis tegelikult juhtus, aga me toome siin ära stsenaariumi, mida eranditult kõik meiega rääkinud üksteisest sõltumatud spetsialistid kõige tõenäolisemaks pidasid. Teema on mitte-IT-spetsialistidele keeruline, aga me proovime seda teha ülimalt lihtsustatult, seega spetsialistid andku see lihtsustatus meile andeks.

Need reeturlikud avalikud võtmed

Väga kõnekas fakt kogu sündmustiku juures on see, et riik otsustas ohust teada saades sulgeda ID-kaardi avalike võtmete serveri, mida pidas SK ID Solutions AS, vana nimega Sertifitseerimiskeskus. Et selle olulisust mõista, teeme ühe lihtsa põike sellesse, kuidas ID-kaardi krüptograafia üldse töötab.