Miks ID-kaardi privaatvõti peab olema tehtud kaardil?
Eesti ID-kaardil olevaid krüptovõtmeid on kaks, avalik ja salajane ehk privaatne. Eestis on olnud põhimõtteks, et privaatvõti tuleb luua kaardi peal, sest seda sealt välja võtta enam ei saa. Ainus viis kaardil olevat privaatvõtit kasutada on PIN-koodiga – nagu kaardiomanik igapäevaselt asju ajades teeb. “Kui aga privaatvõti on tehtud kuskil mujal, originaalasukohas ja siis kopeeritud kaardile, eksisteerib salajane võti juba kahes kohas: originaalasukohas ja kaardil,” selgitas Margus Arm. Kes, kuidas ja millal väljaspool kaarti olevat salajast võtit kasutada saab, seda on äärmiselt raske kontrollida.
Ent Cybernetica teadlased leidsidki viiteid sellele, et osadel Eesti ID-kaartidel on krüptovõtmed, mis on genereeritud väljaspool kaarti. Kuidas see avastati?
Krüptovõtmed peavad olema juhuslikud, neid ei tohi olla võimalik ära arvata. “Ent ehkki võtmed on juhuslikult genereeritud, on genereerimisalgoritmid pisut erinevad ja seal tekivad markerid, mis turvalisuse osas on ebaolulised, kuid võimaldavad eristamist,” selgitas Ansper. Teisisõnu: krüptovõtmete statistilise analüüsiga on võimalik aru saada, kus kohas ja mis vahenditega need on genereeritud.
Meenutuseks: mullune ID-kaardi kriis puhkes sellest, et tšehhi ja slovaki teadlased avastasid, et ühe konkreetse Infineoni tarkvara abil loodud krüptovõtmed ei olnud täiesti juhuslikud, vaid neid oli võimalik oodatust lihtsamalt “ära arvata” ehk lahti murda. See oli väga tõsine turvarisk.
Antud juhul ei ole näha, et tegu oleks lihtsamalt ära arvatavate võtmetega. Aga näha oli, et need võtmed pole genereeritud mitte ID-kaardi peal selles oleva tarkvaraga, vaid kuskil mujal.
PPA büroodes olev tarkvara tegi trikke
Margus Arm selgitas, et selliselt eristuvate kaartide jälge ajades jõutigi kriitilise kohani. 2012. aastal tellis politsei- ja piirivalveamet tarkvara ID-kaartide sertifikaatide uuendamiseks, mida kasutatakse tänaseni PPA teenindusbüroodes. Just sinna, PPA büroodesse toodud ja seal uuendatud ID-kaartide puhul oli näha, et neis olevad krüptovõtmed pärinevad kuskilt mujalt.