TÜ teadlane avastas kevadel 15 ID-kaardi praakeksemplari, RIA teatel pole sel seost suvelõpu suure turvariskiga
Nagu Postimees täna kirjutas, avastas Tartu Ülikooli doktorant ja lektor Arnis Paršovs anomaalia ID-kaardi tuvastusprotsesis. Teadlane avastas selle juba ammu enne tänavu suve lõpus ilmnenud laialdast turvariski. Paršovsi leitud anomaalia tõttu oli jõudnud ringlusse 15 praakkaarti, mis kõik tänavu juuni alguses suleti.
RIA (Riigi infosüsteemi amet) eID valdkonna juht Margus Arm ütleb kommentaaris, et Tartu Ülikooli teadlase poolt tuvastatud anomaalia ID-kaardi tootmisprotsessis, mille tõttu oli ringlusse jõudnud 15 praakkaarti, ei mõjutanud mitte kuidagi ülejäänud ID-kaartide turvalisust ja sel puudub seos Tšehhi teadlaste avastatud turvariskiga Infineoni toodetavates kiipides.
"Tartu Ülikooli doktorant ja lektor Arnis Paršovs on üks partneritest, kes on ID-kaarti juba aastaid uurinud ning kellega RIA ja PPA teeb aktiivselt koostööd," ütleb Arm. "Analüüsides ID-kaartide avalike võtmete andmebaasi tuvastas Paršovs dokumentide tootmisprotsessis vea, mille tõttu olid 15 kaarti saanud nõuetele mittevastavad nõrgad võtmed. Teadlane näitas ühe praakkaardi varal teadustöö raames, mille ta avaldab järgmisel kevadel, et sellise tootmisvea esinemisel on võimalik digiallkirja järgi teha. Seda vigast kaarti ei olnud elektrooniliselt kordagi kasutatud.
PPA sulges juuni alguses need 15 vigast ID-kaarti ning väljastas inimestele garantiikorras uued kaardid. RIA kontrollis üle ka kõikide teiste dokumentide sertifikaatide avalikud võtmed ning vigaste võtmetega kaarte rohkem ei leitud. Informeerisime teadlase tuvastatud anomaaliast kaarditootjat Gemalto ja sertifitseerimisteenuse osutajat ning võtsime kasutusele meetmed, mis ei võimalda sellise veaga kaarte enam toota.
Kirjeldatud viga ei ole seotud augusti lõpus Eestile teatavaks saanud Infineoni kiibi turvariskiga, mille avastasid Tšehhi teadlased. Ka varem on toodetud üksikuid praakkaarte, mis on vea ilmnemisel alati suletud ning vigased kaardid on garantiikorras välja vahetatud. Ühtegi nõuetele vastavat Eesti ID-kaarti ei ole teadlased suutnud murda."