"Инсайт": потребителей оградили от “лишней” информации по ID-картам
Департамент Государственной инфосистемы заявил, что для решения проблемы нужно обновить сертификаты карт. Однако достаточно ли только обновления сертификатов? Говоря простым языком, цифровой сертификат - это "бирка" на электронном ключе. На бирке написано, кто владелец ключа и какую дверь этот ключ открывает. Но обновление бирки не сделает сам ключ безопаснее.
"Замена сертификатов ничего не решит в случае, если не менять ключи", - признал советник-эксперт департамента Государственной инфосистемы Марк Эрлих. Как выяснилось, обновлять будут не только сертификаты карт, но и алгоритм создания ключей. Эту информацию департамент не разглашал до тех пор, пока "Инсайт" не начал задавать прямые вопросы.
"Мы говорим о замене сертификатов потому что это главная часть замены ключа, - пояснил Эрлих - И это то, что человек понимает лучше всего".
Кроме того, департамент ни разу не упоминала о том, что новое решение несовместимо с некоторыми устаревшими операционными системами, а конкретно с операционной системой Yosemite, поддержка которого завершилась совсем недавно, в сентябре этого года. "Есть проблема в том, что старые операционные системы не всегда могут поддерживать тот алгоритм который мы используем", - сказал Эрлих.
Как развивались события
В начале сентября в цифровом государстве грянул гром. Стало известно об уязвимости, затрагивающей сотни тысяч эстонских ID-карт.
Чип ID-карты. Автор: Postimees/Scanpix
По словам Эрлиха, при производстве чипов карт была использована оптимизация, которая в тот момент не влияла на безопасность документов. Однако позже учеными был найден метод, позволяющий использовать эту уязвимость и подделать чужую электронную подпись.
Полную информацию о характере уязвимости Эстония получила лишь в конце октября, когда ученые из чешского исследовательского центра Centre for Research on Cryptography and Security опубликовали полный доклад с результатами своего анализа. До этого, по словам Эрлиха, было известно лишь то, что речь идёт о теоретической угрозе и, что она не касается всех чипов, а только чипов одного типа. Поэтому полтора месяца - с сентября по конец октября - государство было вынуждено анализировать проблему фактически опираясь на слухи.
"Нам повезло, что у нас были ученые, что они сотрудничали с нами и оповестили нас в августе. Естественно, если бы мы знали об этом раньше, у нас было бы больше времени на поиск решения”, - сказал Эрлих. Иными словами, если бы не личное знакомство эстонских экспертов с чешскими учеными, государство не узнало бы о существовании проблемы до момента публикации полного отчета.
Доклад опубликовали 30 октября. Вскоре после этого проблема была решена. С вечера 3 ноября правительство приостановило действие сертификатов почти 760 000 электронных документов. После этого пользователи должны обновить сертификаты.
Об уязвимости было известно давно, а виноватых нет
Решение было найдено в рекордные сроки. Возможно, спешки удалось бы избежать, если бы Эстония была оповещена о проблеме своевременно. О наличии уязвимости было известно с февраля, однако информация стала поступать к эстонским властям лишь пару месяцев назад.
Согласно информации на сайте чешской исследовательской организации, алгоритм подбора ключей был обнаружен уже в конце января этого года. В начале февраля ученые передали эти сведения производителю чипов - компании Infineon Technologies AG.
На сайте Infineon сказано, что фирма незамедлительно проинформировала своих клиентов и предложила варианты уменьшения урона. Клиентом Infineon, производящим ИД-карты, является компания Gemalto. То есть либо она, либо сам производитель чипов должны были оповестить об уязвимости эстонские власти. Однако такую информацию в Эстонии вплоть до сентября не получали.
"Если это (то, что производитель чипов оповестил клиентов в феврале - прим. ред.) на самом деле так, то до нас эта информация не дошла, - сказал Эрлих. - Виноватых найти действительно сложно. Я бы сказал, что пускай с виноватыми разбираются юристы".
Редактор: Артур Тооман