Uudis

Uutele ID-kaartidele pääseb ligi “politsei võtmega”: milleks see mõeldud on?

Foto: Sander Ilvest/Scanpix

Detsembri algusest väljastatakse Eestis uusi ID-kaarte, mille tehnilisest kirjeldusest on huvilised ja arendajad avastanud viite “Police Key”-nimelisele võimalusele. “Police Key” annab muuhulgas võimaluse kaardi PIN-koodi ära arvata nii palju kordi kui vaja.

Uue ID-kaardi septsifikatsiooni kohaselt saab administraatori võtme ehk “Police Key”-ga muuta näiteks kaardi PIN-koode, genereerida võtmepaari (avalik ja salajane võti), aga ka lähtestada PIN-koodi proovimise loendur – teatavasti saab PIN-koodi valesti sisestada enne lukustumist ainult kolm korda.

Et kaarti ei peaks ära viskama, kui PIN ununeb

Kuigi nime järgi võiks arvata, et politseile on antud võimalus teha ID-kaardiga midagi kodaniku selja taga, on riigi infosüsteemi ameti sõnul tegu tavapärase funktsionaalsusega.

RIA eID valdkonna juht Margus Arm ütles, et “Police Key” on sisuliselt administraatori võti.

Sisuliselt on seda vaja näiteks sel juhul, kui inimesel on kaardi PIN-koodid ja PUK ununenud ning ta tahab kaarti siiski edasi kasutada, mitte tellida riigilõivu eest uut kaarti.

Avaldame RIA esindaja vastuse täismahus:
“Viidatud administraatori võti (Police Key) kuulub kaarditootmise protsessi juurde ning sellele võtmele ei ole kellelegi ligipääsu (peale kaarditootja). Seda võtit saab uute PIN-koodide väljastamiseks ja sertifikaatide uuendamiseks kasutada ainult kaarditootja.

Ilma sellise lahenduseta ei oleks võimalik väljastada kasutajatele koodide ununemise või kadumise korral uusi PIN-koode, kuna pärast kaardi väljastamist puuduks ligipääs kiibile. PIN-koodide unustamise korral tuleks sellisel juhul tellida uus ID-kaart ning maksa seejuures ka riigilõivu.

Kirjeldatud võtmega tagab kaarditootja limiteeritud ja turvalise ligipääsu kaardi kiibile, võimaldades läbi viia eelpool nimetatud toiminguid (uute PIN-koodide väljastamine sertifikaatide uuendamine).

Kaarditootja on PINi loenduri ümberseadistamist (juhul kui on saavutatud maksimaalne arv vale PINide sisestamise katseid – 3 korda) võimaldanud alati kahel viisil:

  1. Kasutaja rollis – PUKi kasutamisel
  2. Administraatori rollis (kaardi tootja) – kasutades CMK (Card Managment Key) kaardi ja PINi/Sertifikaadi uuendusteenuse vaheliseks autentimiseks ja turvakanali loomiseks

Vanas kaardirakenduses EstEID olid kasutusel 3DES võtmed (CMK PIN ja CMK CERT), uues IDEMIA keskkonnas kasutatakse sama protseduuri jaoks Police Key nimelist AES võtit.”

Märksõnad:

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto- ja rahaportaali olulisematest lugudest.