Департамент полиции и погранохраны опубликовал во вторник разъяснения и рекомендации в связи с выявленной уязвимостью 750 000 выданных в Эстонии ID-карт.

Во вторник, 5 сентября, Департамент государственной инфосистемы Эстонии сообщил об обнаружении потенциальной уязвимости в ID-картах. Риск касается примерно 750 000 ID-карт, выданных после 16 октября 2014 года. В связи с этим Департамент полиции и погранохраны опубликовал пояснения и рекомендации, которые приводятся ниже.

Безопасно ли пользоваться ID-картой?

В качестве удостоверяющего личность документа ID-карта полностью безопасна. Риск не касается ID-карт, выданных до 16 октября 2014 года. По сегодняшней оценке, использование ID-карты для аутентификации в интернете и проставления дигитальной подписи по-прежнему безопасно. Злоупотребление ID-картой – это сложный и дорогостоящий процесс; нам не известно ни одного случая, когда это было бы сделано.

Все предпринимаемые сейчас шаги прежде всего направлены на предупреждение возможных рисков – это мера предосторожности, чтобы нельзя было злоупотребить выявленным риском.

Департамент государственной инфосистемы и Департамент полиции и погранохраны занимаются постоянным мониторингом ситуации и отреагируют немедленно, если риск вырастет.

Как я могу пользоваться ID-картой?

Всеми услугами можно пользоваться точно так же, как и прежде. ID-карта по-прежнему действует удостоверяющим личность документом и рейсовым документом до конца срока, указанного на карте. Для владельцев Mobiil-ID также ничего не поменяется.

Что для меня изменится?

Пока не приостановлены или аннулированы сертификаты, для владельца карты ничего не меняется. ID-картой можно пользоваться так же, как прежде. Если сертификаты будут из-за риска закрыты, то владелец будет оповещен по э-почте, а также об этом будет сообщено публично.

Должен ли я ходатайствовать о новой ID-карте?

ID-карта по-прежнему действует удостоверяющим личность документом и рейсовым документом до конца срока, указанного на карте, документ действителен для путешествий по Европейскому Союзу. Действительная карта вида на жительство действительна для путешествий вместе с паспортом иностранца. Если заканчивается срок действия карты, то следует подать ходатайство о получении новой карты. В других случаях подавать ходатайство о получении новой карты не надо, риска это не снижает.

Есть ли ID-карте альтернативы?

Вместо ID-карты можно использовать Mobiil-ID. Для использования многих других услуг, например, для того, чтобы зайти в интернет-банк, можно использовать Smart ID, пин-калькулятор. Использовать карты кодов не советуем, их риски выше, чем у ID-карты.

Как я могу получить Mobiil-ID?

Обратись к своему оператору мобильной связи, который выдаст подходящую для этого SIM-карту. Затем следует активировать Mobiil-ID на странице politsei.ee. Mobiil-ID можно пользоваться сразу после активизации. После этого можно закрыть сертификаты ID-карты, чтобы избежать риска злоупотребления.

Сколько это стоит?

Месячная плата оператору мобильной связи составляет 1 евро в месяц.

Кто меня проконсультирует?

Номер линии помощи ID-карты – 1777. Совет по использованию Mobiil-ID можно получить у своего оператора мобильной связи, в том числе по инфотелефону или через веб-страницу.

Готовы ли операторы мобильной связи к такой нагрузке?

Операторы мобильной связи знают о такой необходимости и считаются с этим, но клиентам следует учесть, что могут возникнуть очереди длиннее обычного.

ТЕХНИЧЕСКИЕ ВОПРОСЫ

Что на самом деле означает эта уязвимость? Уязвима ли ID-карта для взлома? Какие данные нужны для того, чтобы взломать карту и воспользоваться ею?

Теоретически ID-карту можно использовать для установления личности и проставления дигитальной подписи, не имея карты и не зная ПИН-кодов. Для взлома карты только одного открытого ключа сертификата недостаточно – нужна большая вычислительная мощность для вычисления тайного ключа и специальное программное обеспечение, чтобы поставить подпись. Программное обеспечение ID-карты для этого не подходит, так как это подразумевает наличие карты в считывателе ID-карты.

Злоупотребление ID-картой – это крайне сложный и дорогостоящий процесс; нам не известно ни одного случая, когда это было бы сделано. Многие услуги (например, банки) требуют для аутентификации еще логин и/или пароль – их также надо знать.

Как я могу аннулировать сертификаты своей карты? Что для этого надо сделать?

Действие сертификатов можно приостановить по номеру инфолинии ID-карты 1777, информацию можно найти на сайте id.ee.

Действие сертификатов может приостановить или аннулировать владелец карты сам либо провайдер услуги. Сейчас для этого нет прямой необходимости. Если ситуация изменится, об этом тут же будут оповещены владельцы карт.

Если владелец карты хочет полностью исключить возможность злоупотребления, можно сделать себе Mobiil-ID и после его активации приостановить или аннулировать сертификаты. В случае приостановления сертификат можно заново активировать, в случае аннулирования использовать карту дигитально больше нельзя.

Можно ли аннулировать только возможность проставления дигитальной подписи?

Аутентификацию и возможность проставления дигитальной подписи можно аннулировать или приостановить лишь одновременно, так как риск касается обеих функций.

В каком случае государство может аннулировать мои сертификаты?

Сертификаты будут аннулированы тогда, если риск их взлома станет реальным. Об аннулировании владельцы карт будут обязательно оповещены.

Можно ли обменять такую ID-карту на новую и как быстро?

Все выдаваемые сейчас ID-карты имеют этот риск. Новая ID-карта находится в стадии разработки.

В качестве удостоверяющего личность документа карта действует, как прежде.

Можно ли исправить эту ошибку через веб-сайт?

Пока нет, но мы работаем над этим.

Что произошло в октябре 2014 года, из-за чего возникла эта ошибка? Знала ли эстонская сторона об изменении?

В октябре 2014 года в ID-картах стали использовать новый, более быстрый чип, который основан на новой технологии и поэтому предположительно более безопасный. Чипу выданы французские и немецкие сертификаты безопасности, которые подтверждают соответствие чипа всем требованиям безопасности. Такой же чип используется в удостоверяющих личность документах нескольких других стран, а также на платежных картах и служебных удостоверениях. Риск возник в следствие совместного влияния чипа и программного обеспечения.

Что произошло с сертификатами, из-за чего возник риск?

То, что криптографические алгоритмы, на которых основываются сертификаты, становятся по мере возрастания вычислительной мощности понемногу уязвимее, с точки зрения технологии является обычным развитием. Именно по этой причине сертификаты ID-карты заменяются через некоторое время на более сильные.

В данном случае выявленный риск совпал с ростом вычислительной мощности. Еще несколько лет назад взлом такой карты был бы гораздо более дорогостоящим и поэтому еще менее вероятным, чем сейчас.

Когда вы об этом узнали, почему вы говорите об этом только сейчас?

О возможном риске сообщила международная группа ученых по официальным каналам. По выявлению каждого такого риска резко вырастает опасность его злоупотребления.

Поэтому мы обнародовали эту информацию тогда, когда мы смогли проверить полученную информацию и со своей стороны и в то же время применили меры предосторожности для уменьшения возможных рисков.

Что я могу сделать для защиты своей карты?

Если вы не пользуетесь D-картой для совершения сделок, то вы можете приостановить сертификаты ID-карты. Останется возможность использовать альтернативы, которых этот риск не касается, например, Mobiil-ID.

Эксперты Департамента государственной инфосистемы и Департамента полиции и погранохраны внимательно следят за ситуацией, при необходимости будет приостановлено использование сертификатов. Об этом сообщат и пользователям, и общественности.

ЗЛОУПОТРЕБЛЕНИЕ

Могу ли я проверить и как это сделать, не злоупотребил ли кто моей картой или идентитетом?

В случае, если есть подозрение, что имело место электронное злоупотребление ID-картой, обратитесь в полицию и Департамент государственной инфосистемы (cert@cert.ee).

Гарантирует ли государство по-прежнему дигитальную подпись? В течение какого времени? Проставленная ID-картой дигитальная подпись имеет силу, в том числе и после приостановления или аннулирования сертификатов? Доверяют ли банки эстонской ID-карте?

Банки доверяют ID-карте и банковскими услугами по-прежнему можно пользоваться при помощи ID-карты.

Можно ли подвергнуть сомнению какие-либо сделки, какие? Должен ли я делать что-то заново?

Все проставленные ID-картой подписи и совершенные сделки действуют.

Государство не проверило безопасность чипов?

Соответствие ID-карты и чипов требованиям безопасности подтвердили авторитетные учреждения по сертификации Германии и Франции, имеющие действующий сертификат безопасности.

Мы предприняли ряд шагов, чтобы свести риски к минимуму: закрыли базу данных открытых ключей ID-карты, наши эксперты анализируют ситуацию и занимаются поиском решения, чтобы восстановить уровень безопасности на самом высоком уровне.

Когда и как вы узнали об этом риске?

Группа ученых проинформировала Департамент государственной инфосистемы вечером 30 августа.

Кто эти ученые?

Группа ученых-криптографов из признанных университетов, которая проинформировала Департамент государственной инфосистемы по официальным каналам.

Взломали ли эти ученые реально какую-либо карту?

Они доказали, что это математически возможно, если есть достаточная вычислительная мощность. По имеющейся информации ни одного ключа из Эстонии взломано не было.

Проверили ли вы утверждения ученых? Смогли ли вы взломать карту?

На проверку требуется время, этим занимается Департамент государственной инфосистемы в сотрудничестве с эстонскими научными учреждениями. Имеющиеся сейчас результаты подтверждают, что исследование может заслуживать доверия и риск имеется. Но ни один ключ взломан не был.

Где опубликована эта научная работа? Может ли любой человек на основании этой информации взломать карту?

Научная работа будет опубликована этой осенью на международной научной конференции. В академических работах не принято обнародовать конкретные инструменты для атаки.

Почему вы не закрыли карты, кто это решает?

Это потенциальный риск, который не был реализован. В данной ситуации закрытие карт не обосновано и сопровождалось бы неудобствами для многих людей.

Чем вы занимались до этих пор, что сделано?

Департамент государственной инфосистемы вместе с экспертами эстонских научных учреждений занимались проверкой утверждений, минимизаций рисков и поиском решений. Этим занимаются в сотрудничестве с партнерами и провайдерами услуг, чтобы при необходимости быть готовыми к изменениям.

ВЫБОРЫ

Будут ли э-выборы? Как они будут проходить?

Департамент государственной инфосистемы сообщил о возможном риске государственной службе выборов, которая обеспечивает организацию выборов. Решение о проведении э-выборов принимает Республиканская избирательная комиссия.

Безопасны ли э-выборы?

Э-выборы не находятся в большей опасности, чем другие услуги. Массовая фальсификация голосов невозможна из-за высокой стоимости таких действий.

Юри Ратас: государство готово взять на себя ответственность за безопасность ID-карт

Премьер-министр Юри Ратас во вторник, 5 сентября, сообщил, что если из-за кризиса с риском надежности ID-карты кто-то пострадает, то государство готово взять на себя ответственность за это.

По словам Ратаса, если из-за выявленной проблемы с риском надежности ID-карт произойдет реальная кража личности, то сначала следует проверить, действительно ли это произошло, и если будет установлено, что данными о личности злоупотребили, то государство предпримет радикальные шаги.

Ратас заявил, что государство, разумеется, полностью возьмет на себя ответственность за надежность ID-карт.

Департамент государственной инфосистемы Эстонии сообщил во вторник, что выданные с октября 2014 года 750 000 идентификационных карт подвержены риску взлома.

30 августа международная группа ученых проинформировала департамент государственной инфосистемы, что они обнаружили потенциальный риск, который касается ID-карт, выданных начиная с 16 октября 2014 года.