20.11.2017, 15:05

ID-kaardi kriis tabas ka Hispaaniat, mõjutades 60 miljonit kaarti

Madis Aesma

Forte peatoimetaja

Hispaania ID-kaardi näidis.

FOTO: Wikimedia Commons

Teatavasti avalikustasid tarkvaraspetsialistid eelmisel kuul, et Saksa ettevõtte Infineon Technologies turvatarkvara, mida ID-kaartide kiipides kasutatakse, pole üldse nii turvaline, kui seni arvati.

Seda, missugune olukord turvariski avalikustamise järel septembri alguses Eestis lahti rullus, teavad ilmselt kõik Forte lugejad. Esialgu räägiti lihtsalt teoreetilisest turvariskist, mis puudutas kaarte, mis olid väljastatud 16. oktoobrist 2014. Probleemi täpsem teadlastepoolne kirjeldus ja viide Infineonile järgnes oktoobri keskpaigas. Novembri algul teatati, et ID-kaartide sertifikaadid suletakse tavakasutajaile 3.-5. novembriks. Praegu saab turvariskiga ID-kaarte uuendada kuni 31. märtsini.

Nüüd on analoogiline probleem Hispaanias, aga vahe on selles, et seal on kaarte, mis probleemist mõjutatud, märksa rohkem - 60 miljonit.

Situatsioon on aga erinev ka teises mõttes: Eestis mõjutas turvarisk 760 000 kaarti, aga meie kasutame oma kaarte erinevate igapäevaste funktsioonide jaoks palju sagedamini, kirjutab ZDnet. Paar aastat tagasi ilmunud uuringu kohaselt kasutasid hispaanlased oma ID-kaarti ehk DNIe-d kõigist avalike teenustega seotud toimingutest vaid 0,02 protsendil juhtudest.

Turvafirma Enigma Bridge tegevjuht Dn Cvrcek ütles ZDnetile, et võimalikud ründajad saaksid turvaauku ära kasutada selleks, et näiteks digiallkirjastatud lepinguid tagasi pöörata või tühistada, mis oleks hõlbus seetõttu, et hispaanlased ei kasuta allkirjade puhul ajatemplit.

"Ma ei usu endiselt, et väga paljude inimeste ründamiseks saaks tõeliselt laialdast rünnakut korraldada," ütles Cvrcek. Samas sõnas ta, et individuaalse rünnaku hind on kiirelt kukkunud - kui varem arvati, et selle maksumus võiks jääda 20 - 40 000 dollari vahele, siis nüüd on selle realistlik hind umbes 2000 dollarit.

El Diario vahendab, et võimuorganid reageerisid turvaohust teatamisele sellega, et kõik alates aprillist 2015 välja antud sertifikaadid tühistati. Samuti peatati võimalus inimestel politseijaoskondades asuvates iseteenindusterminalides digiallkirju anda. Kaardilugejaga saavad inimesed arvuteis siiski allkirju edasi anda.

Nagu ZDNet kirjutab, on nüüd tarvis kaartide sertifikaadid uuendada, aga millal ja kuidas see täpselt toimuma peaks, selle kohta Hispaanias kuigi palju infot liikvel ei ole. Vaid Baskimaa sertifitseerimisasutus Izenpe, mis on ligi 30 000 serti peatanud, on jaganud infot selle kohta, kuidas kaarte uuendada. Kaosele lisab hoogu veel seegi, et nagu näib, on paljud inimesed, kes hiljuti DNIe-kaardid soetasid, hoolimata sertifikaatide väidetavast peatamisest ikkagi võimelised neid kasutama.

Kommenteeri Loe kommentaare