Доказавший уязвимость ID-карт ученый похвалил Эстонию за отзыв сотен тысяч сертификатов
Доцент Масарикова университета Петр Свенда, возглавивший группу из пяти ученых, раскрывших уязвимость ID-карт Эстонии и других стран, заявил, что отзыв сертификатов был верным шагом из-за серьезного риска взлома ID-карт.
"Мне сложно сказать, почему власти Эстонии выждали паузу в 66 дней после того, как мы известили о проблеме и лишь потом приостановили сертификаты", - отметил Свенда в беседе с корреспондентом "Актуальной камеры на русском языке".
По словам доцента, ученые проинформировали эстонскую сторону 30 августа 2017 года, предоставив общее описание проблемы. "Но в детали мы не вдавались, эту информацию мы рассказали только производителю чипов (компании Infineon Technologies) еще в феврале. При этом мы решили не информировать "клиентов" данной компании. И сделали исключение только для Эстонии, когда выяснили, что уязвимые электронные удостоверения личности все еще в ходу, несмотря на то, что власти Эстонии и других стран, по идее, должны были получить информацию от производителя чипов гораздо раньше", - добавил Свенда.
Доцент не знает, как проходил процесс отызва сертификатов сотен тысяч ID-карт в Эстонии. Но для него ясно, что это было совсем не просто: пойти на такой серьезный шаг в стране, где электронные удостоверения личности (eID) настолько интегрированы в повседневную жизнь.
По словам доцента, в Словакии это было сделать проще. "С моей стороны хочу выразить уважение всем эстонским ИТ-специалистам, которые занимаются строительством электронного государства", - отметил Свенда.
В группу ученых, которые работают при расположенном в чешском городе Брно Масариковом университете, входит примерно 30 человек. "В данном щепетильном случае информация распространялась в очень узком кругу специалистов, которые были непосредственно вовлечены в процесс. Речь идет о трех словаках и двух чехах", - рассказал Свенда.
В пятницу, 10 ноября, в Ледяном погребе собрался совет по гособороне. Президент Керсти Кальюлайд после заседания заявила, что учреждения разрешили проблему с безопасностью ID-карт на 4+.
Напомним, поздним вечером 3 ноября государство приостановило действия сертификатов примерно 760 000 ID-карт. При принятии решения опирались в том числе и на Закон об удостоверяющих личность документах. Этот закон был дополнен положением о приостановлении действия и признании недействительным сертификатов удостоверяющих личность документов весной этого года.
Уязвимые карты можно обновить в собственном компьютере или бюро обслуживания Департамента полиции и погранохраны до 31 марта 2018 года, а с 1 апреля сертификаты не обновленных ID-карт будут аннулированы по соображениям безопасности. Обновить карту с аннулированными сертификатами уже не получится, и ее владельцу придется ходатайствовать о получении новой карты.
Редактор: Виктор Сольц