Švenda uurimisgrupi avastus puudutas teatavasti Eesti ID-kaartides kasutusel olnud RSA krüptosüsteemi, milles ilmnes, et avaliku võtme järgi on võimalik tuletada privaatvõti. See annaks ründajale võimaluse võltsida krüptoallkirju.

RIA peadirektor Taimar Peterkop kordas täna üle Eesti tehnilised valikud, mille ees mullu sügisel Eesti ID-kaart seisis:

• kasutada pikemaid RSA võtmeid
• genereerida salajased võtmed väljaspool ID-kaarti
• kasutada elliptiliste kõverate krüptograafiat

Esimene võimalus langes ära, kuna pikemad võtmed ei mahtunud kaardile. Teine võimalus välistati, kuna Eesti ID-kaardi juures on olnud läbivalt kasutusel põhimõte, et salajaseid võtmeid ei tohiks genereerida kuskil mujal – see suurendab riski, et kõiki kaarte saaks murda, kui rünnata seda “mujal” olevat süsteemi. Nii jäi üle kolmas variant, elliptiliste kõverate krüptograafia.

“Elliptilistel kõveratel on mõned eelised, eelkõige seoses võtmepikkustega,” rääkis Švenda intervjuus Geeniusele. Ent teisalt on tegu keerulisema süsteemiga, kus veaoht on suurem.

Švenda: ameeriklased pole kõiki oma kaarte avanud

“Minu vaatenurgast on neid raskem korrektselt implementeerida. See ei tähenda automaatselt, et need oleks vähem turvalised, aga kasutama peaks kõige paremaid kurve (krüptoalgoritmi valikul – H.L.), mis saada on,” rääkis Švenda.

“Peab kasutama just õiget “kurvi” ja sellel ei tohi olla ühtegi nõrkust. NIST standardiseeris mõned, aga probleem on usalduses: nad ei ütle, kuidas nad neid hindasid. Nii et eksisteerib võimalus, et need pole täiesti usaldusväärsed,” ütles Švenda.

Švenda viitab juba aastaid arutelu all olnud võimalusele, et USA riiklik standardite ja tehnoloogiainstituut NIST on heaks kiitnud ja andnud soovituse kasutada elliptiliste kõverate algoritme, mille on arendanud luureagentuur NSA. See fakt pole iseenesest eriline, sest NSA ülesanne ongi infoturbesüsteeme ja tehnoloogiaid arendada. Ent kahtluste järgi on NIST heaks kiitnud standardid, mille osas pole 100-protsendilist läbipiastvust ja neis võib olla hoopis NSA tagauks.

Eesti teadlased, 2013: elliptkõverate sobivus sõltub sellest, kas NSAd loetakse ohuks või ei

RIA toetub sellistes küsimustes regulaarsetele krüptograafiliste algoritmide elutsükli uuringutele, mida on aastaid tellitud Cybernetica teadlastelt.

Juba viis aastat tagasi, pärast Edward Snowdeni dokumendilekkeid, teadvustasid elliptkõverate ja NSA probleemi ka nemad: “Seoses NSA paljastustega on krüptograalises kogukonnas tõusnud küsimused ka NISTi standarditud primitiivide kohta.”

Nad viitavad uurimistöödele, kelle hinnang P-256 kõverale on tagaukseohu seisukohast hävitav. “Üldised soovitused elliptiliste kõverate kasutuselevõtuks sõltuvadki sellest, kas NSA tagaust loetakse ohuks või mittte. Kui ei loeta, on mõistlik kasutada võimalikult standardseid kõveraid, nt P-192 ja P-256, mis kuuluvad olulisemate standardite ühisossa,” kirjutasid Eesti teadlased 2013. aasta raportis.

2015: Eesti võtab P-256 kasutusele

NSA tagaust ohuks ei loetud: kaks aastat hiljem võeti Eestis kasutusele esimesed mobiil-ID kaardid uue krüptoalgoritmiga, milleks on P-256 elliptkõverad.

Švenda esindab krüptograafide seda gruppi, kes ei taha anda positiivset hinnangut tehnoloogiale, mille sisu täpselt näha pole. “NIST standardiseeris mõned kurvid ilma selgitamata, kuidas ja miks just need valiti. Nii et me ei tea, kas need on just õiged. On teisi, mis on parimad ja mille kohta on rohkem avalikku infot,” rääkis ta täna Tallinnas.

Kuigi Švenda oli skeptiline elliptkõverate tehnoloogias osas, ei ole otseseid tõendeid nende ebaturvalisuse kohta.

Samas rõhutas Švenda, et NISTist pärinevat elliptkõverate kõrval on palju turvalisemaid. “Näiteks Daniel Bernsteini oma, kes on maailma tippkrüptograaf ja kelle loodud kurvides pole neid probleeme, mida on leitud NISTi omades.”

2016: ameeriklased nimetavad järsku algoritmi ebasoovitavaks

Elliptkõverate ja NSA teemat on RIA raportites ka hlijem puudutanud. 2016. aasta raportis viidatakse NSA segastele sõnumitele. Nimelt soovitas Ameerika agentuur ootamatult P-256 kurviga krüptoalgoritmi mitte kasutada, ainsaks “kõlbulikuks” jäi P-384. Põhjendusena toodi ära võimalus, et kvantarvutiga võiks ühte neist edukalt murda.

NSA teade jättis Cybernetica teadlaste hinnangul palju ruumi spekulatsioonideks. Kvantarvutitega seotud põhjendus ei tundu loogilised, sest nii peaksid olema “ebasoovitavad” mõlemad, mitte ainult üks elliptiline kõver.

“Teooriad ulatuvad sellest, et NSA on teinud mingi avalikkusele tundmatu läbimurde, kuni venelaste ja hiinlaste eksitamiseni,” viidatakse seletustele, mis NSA teate taga võib olla. Samas viitavad Eesti teadlased nüüd teisele uuringule, mille järgi on nii P-256 kui P-384 tagauksevabad.

2017: Eesti valib elliptkõverad ID-kaardi kriisi lahendamiseks

Nagu ülal kirjeldatud, valis 2017 sügisel RIA ID-kaardi kriisi lahendamiseks elliptkõverate tehnoloogia. Uuendatud ID-kaartides on kasutusel P-384 kõveraga krüptoalgoritm.

Kui veel kaks aastat tagasi viitasid Cybernetica teadlased, et P-384 osas pole teada kogu tõde ja NSA pole kogu infot avaldanud, siis nüüd toetuti nende soovitusele. “ID-kaardi riistvara poolt toetatud elliptkõverate seast valiti kasutamiseks NIST-i kõver P-384. Valiku peamiseks kriteeriumiks oli lahenduse toetatus operatsioonisüsteemides ja rakendustes, aga samuti NSA soovitused,” kirjutavad teadlased tänavu veebruaris ilmunud raportis.

Seni kuni kahtlustel pole konkreetsemat sisu, ei saa ka neid ümber lükata. Parim õppetund on aga valmisolek edaspidiseks, mille teadlased annavad: “Tulevikus tekkivate võimalike probleemide lahendamine võib nõuda praegu kasutatavate algoritmide täielikku väljavahetamist ning selleks tuleb valmis olla.”