RIA опроверг утверждения о новой уязвимости обновленных ID-карт
В соцсетях несколько недель распространяются утверждения, согласно которым в ходе обновления уязвимых ID-карт в них возникла новая и серьезная уязвимость, но Департамент государственной инфосистемы (RIA) категорически опровергает такие утверждения.
Утверждения о новой уязвимости связаны со способом генерирования ключей в процессе обновления сертификатов, пишет в понедельник, 13 ноября, портал Geenius.
Секретный ключ ID-карты лежит в основе всей системы защиты данных. Это значит, что если секретность ключа нарушена, или он попадет в чужие руки, то с его помощью можно, например, входить в интернет-банк, пользоваться электронными услугами, ставить электронную подпись и т.д.
Однако уже некоторое время в Facebook и других интернет-платформах распространяется утверждение, что в ходе обновления уязвимых ID-карт ключи генерируются не на карте, а, по техническим причинам, за ее пределами. Таким образом, если ключи генерируются в каком-то другом компьютере, находящемся в RIA или центре сертификации, возникает возможность, что их оттуда кто-то украдет. Ключи также могут попасть в чужие руки в тот момент, когда они пересылаются из компьютера на карту.
Кроме того, теоретически это дает государству возможность получить программную закладку в каждой ID-карте, которая позволит открывать зашифрованные с помощью этой карты файлы.
Заведующий отделом eID Департамента государственных инфосистем Маргус Арм категорически опроверг такие утверждения. "Нет, это неправда, - сказал Арм. - Ключи всегда в одном экземпляре, они генерируются на (размещенном на ID-карте) чипе, и с чипа их никак невозможно извлечь. Никто не сможет сделать с них копию".
Напомним, что в период после 16 октября 2014 года в Эстонии было выдано около 800 000 ID-карт, которые теоретически можно использовать для установления личности и проставления электронной подписи без самой ID-карты и без PIN-кодов к ней. Уязвимость была связана с не соответствовавшим требованиям чипом.
С 3 ноября сертификаты этих карт были приостановлены, а RIA разработал техническое решение, которое предусматривает дистанционное обновление программного обеспечения уязвимых ID-карт для устранения риска. Обновить карты можно до 31 марта 2018 года, после чего не обновленные сертификаты будут аннулированы.
В качестве удостоверяющего личность документа все карты будут сохранять действие до конца указанного на них срока. Обновленная карта также не требуется для покупки лекарств по электронному рецепту.
Дистанционное обновление ID-карт стало доступным в конце октября, но разработанное решение позволяет обновлять не более 15 000 карт в сутки, поэтому процесс обновления растянется на несколько недель.
Редактор: Андрей Крашевский