"Инсайт": потребителей оградили от “лишней” информации по ID-картам ({{commentsTotal}})

Департамент Государственной инфосистемы заявил, что для решения проблемы нужно обновить сертификаты карт. Однако достаточно ли только обновления сертификатов? Говоря простым языком, цифровой сертификат - это "бирка" на электронном ключе. На бирке написано, кто владелец ключа и какую дверь этот ключ открывает. Но обновление бирки не сделает сам ключ безопаснее.

"Замена сертификатов ничего не решит в случае, если не менять ключи", - признал советник-эксперт департамента Государственной инфосистемы Марк Эрлих. Как выяснилось, обновлять будут не только сертификаты карт, но и алгоритм создания ключей. Эту информацию департамент не разглашал до тех пор, пока "Инсайт" не начал задавать прямые вопросы.

"Мы говорим о замене сертификатов потому что это главная часть замены ключа, - пояснил Эрлих - И это то, что человек понимает лучше всего".

Кроме того, департамент ни разу не упоминала о том, что новое решение несовместимо с некоторыми устаревшими операционными системами, а конкретно с операционной системой Yosemite, поддержка которого завершилась совсем недавно, в сентябре этого года. "Есть проблема в том, что старые операционные системы не всегда могут поддерживать тот алгоритм который мы используем", - сказал Эрлих. 

Как развивались события 

В начале сентября в цифровом государстве грянул гром. Стало известно об уязвимости, затрагивающей сотни тысяч эстонских ID-карт.

Чип ID-карты. Автор: Postimees/Scanpix

По словам Эрлиха, при производстве чипов карт была использована оптимизация, которая в тот момент не влияла на безопасность документов. Однако позже учеными был найден метод, позволяющий использовать эту уязвимость и подделать чужую электронную подпись.

Полную информацию о характере уязвимости Эстония получила лишь в конце октября, когда ученые из чешского исследовательского центра Centre for Research on Cryptography and Security опубликовали полный доклад с результатами своего анализа. До этого, по словам Эрлиха, было известно лишь то, что речь идёт о теоретической угрозе и, что она не касается всех чипов, а только чипов одного типа. Поэтому полтора месяца - с сентября по конец октября - государство было вынуждено анализировать проблему фактически опираясь на слухи.

 "Нам повезло, что у нас были ученые, что они сотрудничали с нами и оповестили нас в августе. Естественно, если бы мы знали об этом раньше, у нас было бы больше времени на поиск решения”, - сказал Эрлих. Иными словами, если бы не личное знакомство эстонских экспертов с чешскими учеными, государство не узнало бы о существовании проблемы до момента публикации полного отчета.

Доклад опубликовали 30 октября. Вскоре после этого проблема была решена. С вечера 3 ноября правительство приостановило действие сертификатов почти 760 000 электронных документов. После этого пользователи должны обновить сертификаты.

Об уязвимости было известно давно, а виноватых нет

Решение было найдено в рекордные сроки. Возможно, спешки удалось бы избежать, если бы Эстония была оповещена о проблеме своевременно. О наличии уязвимости было известно с февраля, однако информация стала поступать к эстонским властям лишь пару месяцев назад.

Согласно информации на сайте чешской исследовательской организации, алгоритм подбора ключей был обнаружен уже в конце января этого года. В начале февраля ученые передали эти сведения производителю чипов - компании Infineon Technologies AG.

На сайте Infineon сказано, что фирма незамедлительно проинформировала своих клиентов и предложила варианты уменьшения урона. Клиентом Infineon, производящим ИД-карты, является компания Gemalto. То есть либо она, либо сам производитель чипов должны были оповестить об уязвимости эстонские власти. Однако такую информацию в Эстонии вплоть до сентября не получали.

"Если это (то, что производитель чипов оповестил клиентов в феврале - прим. ред.) на самом деле так, то до нас эта информация не дошла, - сказал Эрлих. - Виноватых найти действительно сложно. Я бы сказал, что пускай с виноватыми разбираются юристы".

Редактор: Артур Тооман



ERR kasutab oma veebilehtedel http küpsiseid. Kasutame küpsiseid, et meelde jätta kasutajate eelistused meie sisu lehitsemisel ning kohandada ERRi veebilehti kasutaja huvidele vastavaks. Kolmandad osapooled, nagu sotsiaalmeedia veebilehed, võivad samuti lisada küpsiseid kasutaja brauserisse, kui meie lehtedele on manustatud sisu otse sotsiaalmeediast. Kui jätkate ilma oma lehitsemise seadeid muutmata, tähendab see, et nõustute kõikide ERRi internetilehekülgede küpsiste seadetega.
Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: