Võrgutarkvara professor Tanel Tammet: ID-kaartide massiline võltsimine ei ole praktiline

 (163)

ID-kaardi turvalisuse pressikonverents Superministeeriumis
Eilne ID-kaardi turvalisuse pressikonverents Superministeeriumis.Foto: Taavi Sepp

Tallinna tehnikaülikooli võrgutarkvara professor Tanel Tammet ütleb, et aeg ja arvutusvõimsus, mis kuluks selleks, et potentsiaalne kurjategija võiks pärast ID-kaardi turbega ilmnenud probleeme hakata massiliselt võltsimisega tegelema, ei tasu ära.

Tanel Tammet, milline kogu see probleem teile kõrvalt näib? Oli see, et tänaseks viisteist aastat kasutuses olnud ID-kaardiga millalgi ka sellise tõsidusega kriis tekib, prognoositav?

Iga keerukama süsteemi juures on väga tõenäoline, et pikema aja jooksul mingid turvaprobleemid vahel välja ilmuvad: see on küll prognoositav.
Millal ja mis moel just need kriisid tekivad, see ei ole prognoositav. ID-kaardi tulevikukindluse ja perspektiivis täiustamise analüüse on riigi poolt tellitud küll.
Riskide maandamiseks on enamasti hea mõte vältida monokultuure ehk kõigi asjade tegemist ühe ettevõtte poolt või ühe süsteemiga. Praegust olukorda leevendab tõsiselt see, et meil on olemas ka mobiil-ID, mis töötab teistsuguste põhimõtete alusel ja ei ole praegusest turvaprobleemist puudutatud.

Tanel Tammet.
Seotud lood:

Lugedes Henrik Roonemaa ülevaadet portaalis Geenius on nende toimetusel vestlustest ekspertidega kujunenud üldine seisukoht, et uutele kaartidele paigutatud vigaste kiipide tõttu on nüüd võimalik avalikest võtmetest hõlpsalt salajasi tuletada ja selles on ka kogu turvaprobleemi iva.

Loe veel

Kas jagate seisukohta, et just see ongi juhtunud ja see on probleemi tuum; see, millest väliseksperdid RIAle teatasid? Ehk kogu asi ongi selles, et salavõtmete tuletamine on nüüd lihtne ja keegi võib hakata meie eest digiallkirju laduma?

Päris ametlikku või kindlat infot, et milles turvaprobleem konkreetselt seisab ja kuidas seda kuritarvitusteks ära kasutada, ei ole veel avaldatud. Tsiteerides geenius.ee artiklit: "Pea kõik arutelud jõuavad välja ühte kohta: ilmselt on kõrvalistel isikutel võimalik kaardiga sisse logida ja allkirju anda ka ilma PIN-koode teadmata ja ilma kaarti omamata“.

Siin on kasutuses sõna "ilmselt" ning hoopis ebaselgeks jääb, mis eeldustel ja mis pingutustega kõrvaline isik kaardiga sisse logida või digiallkirja anda saaks. Näiteks täiesti võimalik on stsenaarium, kus lisaks suurele arvutusvõimsusele ja -ajale on selliseks kuritarvituseks vaja veel vastava ID-kaardiga sisselogimis-internetiliikluse või digiallkirjastatud dokumentide näidiseid, mida on massvõltsingute jaoks väga raske hankida. Massvõltsinguteks vajalik arvutusvõimsus ja aeg on ilmselt samuti liiga suur praktiliseks ründeks.

Reaalne oht on, et paar ID-kaarti võltsitakse ära kas mainekaotuse tekitamiseks või katseks teha pangaülekandeid. Aga ka see ei ole päris kindel.

Nagu teatati, on võetud ette ka "riskide maandamine." Aga kellegi kaarte ju veel sellest situatsioonist johtuvalt välja vahetatud pole, vigased kiibid on ikka neil peal.

Avalikult on välja kuulutatud, et avalike võtmete andmebaas - kasulik infoallikas muuhulgas ka võltsimistegevuseks - on suletud. Massvõltsimist see kindlasti raskendab, samas massvõltsimine ei tundu hetkeinfo põhjal niikuinii tõenäoline.

Põhiasjana on muidugi vaja leida tee probleemi võimalikult kiireks ja mugavaks lahendamiseks, ja minu arusaamist mööda selle väljamõtlemisega hetkel pead murtaksegi.

Kas e-valimised tuleks ära teha?

Jah. Senine info ID-kaardi turvaprobleemi osas ei jäta muljet, et see võiks reaalselt e-valimisi ohustada mingil moel peale mainelise rünnaku.

Samas võiksime seda hetke võtta hoiatusmärguandena kogu e-valimiste süsteemile: peame aktiivsemalt töötama turvalisuse tõstmisel terves e-valimiste ahelas. ID-kaart on seal ainult üks ja mitte üldse kõige olulisem või riskantsem komponent, ka mitte peale tänast päeva. Ma soovitaksin edaspidi planeerida e-valimiste mõistlikku hajutamist ses mõttes, et meil oleks mitu sõltumatut hääli koguvat ja kokkulugevat meeskonda, tarkvara ja servereid, kes saaks üksteise tööd ja lõpptulemust usaldusväärselt kontrollida.

Jäta kommentaar
või kommenteeri anonüümselt
Postitades kommentaari nõustud reeglitega
Loe kommentaare Loe kommentaare

FORTE TOP

Viimased uudised