Tallinna tehnikaülikoolis valminud uuring möödunud aasta ID-kaardi kriisist juhib tähelepanu sellele, et Eesti riigiametites polnud piisavat kompetentsi sellise ulatusega juhtumile reageerimiseks. Kuigi kriis õnnestus laheneda, teevad uurijad hulga soovitusi riigiasutuste töö muutmiseks, rahastamise suurendamiseks ning pakuvad välja uue ametikoha: turvaarhitekt. Muuhulgas selgub, et kui info tšehhide avastuse kohta oleks kohe täismahus Eestisse jõudnud, oleks lahendus olnud palju kiirem ja lihtsam.
Miks Eesti ROCA turvaveast varem teada ei saanud?
Erinevate ekspertintervjuude ja dokumendianalüüsi põhjal tehtud TTÜ uuringus analüüsiti, miks Eesti ROCA turvaveast varem teada ei saanud. Petr Švenda uurimisgrupp on RSA võtmete rünnatavust uurinud aastaid ja avaldas varasema uuringu juba 2016, kuigi selles ei viidata seosele Eesti ID-kaardi ja uuritud kiibi margi vahel.
- Tuli välja, et Eesti krüptograafiateadlased ja spetsialistid ei avastanud ohtu kahel peamisel põhjusel:
“ehkki väidetavalt on see avalik info, siis eesti teadlased ei teadnud ID-kaardis kasutatava kiibi marki; - krüptograafiliste algoritmide riistvarateostuste uurimine ei ole seotud ühegi Eesti teadlase igapäevatööga, mistõttu artikli sisu ja järeldustega ei oldud kursis.”
Alles pärast seda, kui tšehhi teadlaste grupi leiu täistekst RIA-le 30. oktoobril 2017 avaldati, selgus, et tegelikult oleks turvavea saanud suhteliselt lihtsalt ohutuks teha. Selleks oleks kulunud kaks sammu (lühendada RSA võtmepikkust 100 biti võrra, sest sellise võtmepikkuse juures nõrkus ei avaldu; anda vigaste kaartide omanikele välja uued avaliku võtme sertifikaadid, kasutades kauguuendamise funktsiooni).