Väga lihtsustatult, ütleme, et meil on vaja genereerida kümme juhuslikku arvu ja mingil põhjusel me teeme nii, et nende arvude algused on kogu aeg samad, näiteks 123456789 ja vahetame ainult kahte viimast numbrit. Nii et esimene “juhuslik” arv on 12345678945, järgmine 12345678924 ja nii edasi. Siis pole koodi murdmiseks vaja ära arvata pikka juhuslikku arvu, vaid ainult seda viimast, mis vahetub ja see on tunduvalt lihtsam. See on üks võimalus, miks pikk murdmatu kood murtavaks osutus, aga neid on veel.
Eesti jaoks on kõige olulisem see, et probleem ei ole meie e-riigi arhitektuuris ega süsteemis laiemalt, vaid ühe tootja tarkvaras. Me ei pea oma e-riigi juures midagi põhimõtteliselt ümber tegema, vaid saama katkiste asemele lihtsalt korralikud ID-kaardid ja probleem on lahendatud.
Nad varastavad meie allkirjad
Nüüd saame minna küsimuse juurde, kui oluline see avastatud turvaauk on ehk miks valitsus nii laialt sellele reageeris ja mis saab edasi.
Kui see ülaltoodud IT-spetsialistide see arutluskäik on tõsi, siis on tegemist riigi jaoks üsna niru olukorraga. Kui avalikust võtmest saab tuletada privaatse, tähendab see, et kolmandad isikud saavad meie eest hakata ID-kaardiga pangaülekandeid tegema, digiallkirju andma ja, tõepoolest, ka e-valimistel osalema. Kui salajane võti murtakse, saab sellega teha kõike seda, mida inimesed ise oma ID-kaartidega teevad, kasvõi lepingutele alla kirjutada, laenu võtta, firmasid osta ja müüa ja nii edasi.
Kõige hullem on see, et sellisel juhul saaks kaarte rünnata ka ilma, et neid füüsiliselt vaja oleks. Kellelgi pole vaja meile tänaval nuiaga pähe lüüa ja meie rahakotte ära varastada selleks, et meie digitaalseid identiteete varastada. Meie kaardid ja PIN-koodid oleks meiega turvaliselt kogu aeg kaasas, aga rünnak toimuks puhtalt läbi interneti ja nii, et me ilmselt ei saagi sellest teada enne, kui ilmub välja suvaline inimene digiallkirjastatud lepinguga, mille kohaselt sa müüd talle 100 euro eest oma korteri või kingid ära oma firma. Kuna allkiri näib 100 protsenti ehtne, on pärast väga raske tõestada, et sa ei andnud seda ise, vaid see on võltsing.
Muidugi on salajase võtme murdmiseks sel juhul vaja avalikke võtmeid ja see on ka ilmselt põhjus, miks riik avalike võtmete serveri kinni keeras, aga see on paremal juhul poolpidune lahendus. Jah, nüüd pole enam ühte kohta, kust mugavalt kogu rahvastiku avalikud võtmed endale alla laadida, aga esiteks ei ole meil mingit garantiid, et üks või kasvõi miljon inimest või kolmetähelist organisatsiooni seda juba ammu teinud pole ning teiseks lendavad meie avalikud võtmed internetis avalikult ringi iga kord, kui me ID-kaardiga midagi teeme.