Kõik, mida sa pead teadma ID-kaardi turvariskist

Pane tähele! Artikkel on ilmunud enam kui 5 aastat tagasi ning kuulub Geeniuse digitaalsesse arhiivi.
Foto: Hans Lõugas

Millistel ID-kaartidel on turvarisk?

Turvarisk on avastatud ID-kaartidel, mis on välja antud alates 2014. aasta 17. oktoobrit.Praeguse hinnangu põhjal on ID-kaardi kasutamine jätkuvalt turvaline ka internetis autentimiseks ja digiallkirjastamiseks. ID-kaardi kuritarvitamine on keeruline ja kallis; pole teada ühtki juhtu, kus seda tehtud oleks. Mobiil-ID kasutamine on turvaline.

Mida turvariskiga ID-kaardi omanik teadma peaks?

Kuni sertifikaate ei ole peatatud ega tühistatud, ei muutu kaardiomaniku jaoks midagi. ID-kaarti saab kasutada nagu seni. Kui sertifikaadid turvariski tõttu suletakse, antakse sellest kaardiomanikule teada e-posti teel ja teavitatakse avalikult. ID-kaart kehtib jätkuvalt isikut tõendava dokumendina kuni kaardile märgitud kehtivusaja lõpuni ja on kehtiv reisimiseks Euroopa Liidus.

Kas tuleb taotleda uus ID-kaart?

Kehtiva ID-kaardi omanik uut ID-kaarti taotlema ei pea ja turvariski see ka ei maanda.

Kas e-valimised toimuvad?

RIA on teavitanud turvariskist riigi valimisteenistust, kes tagab valimiste korraldamist. Otsuse e-hääletamise toimumise kohta teeb Vabariigi Valimiskomisjon. E-valimised pole rohkem ohus kui muud teenused. Häälte hulgaline võltsimine pole selle kõrge kulu tõttu mõeldav.

Milles see turvarisk seisneb?

Teoreetiliselt on võimalik kasutada ID-kaarti isikutuvastuseks ja digiallkirja andmiseks ilma kaarti omamata ja PIN koode teadmata. Ainult sertifikaadi avaliku võtme teadmisest kaardi lahtimurdmiseks siiski ei piisa – vaja on ka suurt arvutusvõimekust salajase võtme väljaarvutamiseks ja spetsiaalset tarkvara, millega allkirja anda. ID-kaardi tarkvara selleks ei sobi, sest eeldab ID-kaardi paiknemist kaardilugejas.

2014. aasta oktoobris võeti ID-kaartidel kasutusele uus kiip, mis oli kiirem, põhines uuemal tehnoloogial ja oli seega eelduslikult turvalisem. Kiibile antud Prantsusmaa ja Saksamaa turvasertifikaadid kinnitavad selle vastavust kõigile turvanõuetele. Sama kiip on kasutusel mitme teise riigi isikutunnistusel, ka maksekaartidel ja töötõenditel. Turvarisk tekkis uue kiibi ja tarkvara koosmõjus.

ID-kaardi kuritarvitamine on äärmiselt keeruline ja kallis, pole teada ühtki juhtu, kus seda tehtud oleks.

Paljud teenused (näiteks pangad) nõuavad teenusesse sisselogimiseks lisaks kasutajatunnust või salasõna või mõlemat korraga – ka neid tuleb teada.

Kas ma saan ise välistada turvariski?

Jah. Kui kaardiomanik tahab kuritarvituse võimaluse välistada, võib soetada mobiil-ID ja selle aktiveerimise järel ID-kaardi sertifikaadid peatada või tühistada. Sertifikaadi peatamise korral saab sertifikaadi uuesti aktiveerida, tühistamise korral kaarti enam digitaalselt kasutada ei saa. Autentimise ja allkirjastamise saab peatada või tühistada ainult korraga, sest turvarisk puudutab mõlemat.

Riik tühistab sertifikaadid siis, kui nende häkkimise risk muutub reaalseks. Tühistamisest antakse kaardiomanikule kindlasti teada.

Kes turvariski avastasid?

Võimalikust turvariskist andis teada rahvusvaheline teadlaste rühm ametlike kanalite kaudu. Iga sellise turvanõrkuse ilmsiks saamisel tõuseb hüppeliselt selle ärakasutamise oht. Sellepärast avalikustasime teabe siis, kui olime saadud infot omalt poolt kontrollinud ja ühtlasi võtnud kasutusele ettevaatusabinõud turvariskide vähendamiseks.

Märksõnad: , ,

Populaarsed lood

Viimati lisatud

Vaata kõiki artikleid

Sisuturundus

Populaarsed lood mujal Geeniuses

Igal argipäeval

Ära jää ilma päeva põnevamatest lugudest

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto-, raha- ja meelelahutusportaali olulisematest lugudest.