В 12 500 ID-картах снова обнаружили риск безопасности

Департамент полиции и погранохраны к 1 июня аннулирует сертификаты и заменит почти 12 500 ID-карт, не соответствующих требованиям безопасности. Об этом в четверг, 17 мая, сообщили Департамент полиции и погранохраны и Департамент государственной инфосистемы в совместном пресс-релизе.

Иллюстративное фото ERR

"По состоянию на сегодняшний день в Эстонии находятся в использовании почти 12 500 ID-карт, не отвечающих требованиям безопасности. Сертификаты этих карт будут признаны недействительными с 1 июня", - говорится в сообщении.

Карты обменяют бесплатно

ID-карту с недействительными сертификатами больше нельзя будет использовать электронным образом, поэтому для аутентификации в э-услугах и проставления дигитальной подписи следует подать ходатайство о получении новой карты или использовать mobiil-ID. В гарантийном порядке государство обменяет все ID-карты, не отвечающие требованиям безопасности, срок действия которых больше трех месяцев, начиная со дня подачи ходатайства о новом документе.

"Всем пользователям тех ID-карт, которые не отвечают требованиям безопасности, мы вышлем оповещение через портал eesti.ee и персонально передадим информацию о том, как обменять ID-карту", – сказала эксперт по документам Департамента полиции и погранохраны Кайа Кирх.

Департамент полиции и погранохраны предъявил производителю ID-карты претензию о нарушении требований безопасности. Производитель отрицает нарушение.

Ключи отдельно от чипа

"Для Департамента полиции и погранохраны важно иметь уверенность в том, что приватные ключи пользователей ID-карт не могут находиться нигде еще, кроме как в чипе карты. Если партнер нарушил это требование безопасности, то мы должны признать сертификаты карт недействительными", – сказала Кирх.

Требованиям безопасности не отвечают те ID-карты и карты вида на жительство, которые были выданы до октября 2014 года и которые были обновлены при помощи приложения производителя карт в бюро Департамента полиции и погранохраны. Производитель ID-карты не следовал всем требованиям, генерировал приватные ключи части ID-карт вне чипа. Генерирование ключей вне чипа дает возможность генератору ключей использовать ID-карту, не имея карты физически и не зная PIN-кодов. Для того, чтобы минимизировать этот риск, Департамент полиции и погранохраны признает сертификаты этих карт недействительными.

"Нам неизвестно ни об одном случае злонамеренного использования карты. Все сделки, заключенные при помощи карты, и поставленные при помощи карты дигитальные подписи правомерны и действительны, в том числе и э-голосование", – подтвердил руководитель сферы eID Департамента государственной инфосистемы Маргус Арм.

Обнаружить нарушение требований безопасности помогло сотрудничество с ученым Тартуского университета, а также подготовленный на прошлой неделе экспертами AS Cybernetica анализ. "Обнаруженное нарушение показывает, насколько важно сотрудничать с учеными и экспертами этой сферы, с чьей помощью мы можем сделать дигитальный мир безопаснее", – сказал Арм.

Карты, которые затронул риск:

- ID-карты, выданные с 2011 года до 16 октября 2014 года, и карты вида на жительство, выданные с 2011 года до 17 декабря 2014 года, которые были обновлены в бюро обслуживания Департамента полиции и погранохраны начиная с июля 2012 года до июля 2017 года.

- Всего таких карт было более 74 000, на сегодняшний день действительных карт примерно 12 500.

Проблема не касается карт:

-           которые были затронуты риском 2017 года и которые были обновлены в период с октября 2017 года и по апрель 2018 года;

-           которые были обновлены дистанционно;

-           которые никогда не обновлялись; 

-           которые выданы после октября 2014 года, в случае карт вида на жительство - карт, выданных 17.12.2014.

В качестве удостоверений личности карты сохранят действие

Карты с риском безопасности будет действовать до конца указанного на них срока и в том случае, если сертификаты карты признаются недействительными.

ID-карта и карта вида на жительство действует в качестве удостоверяющего личность документа и рейсового документа, карты клиента и для дигирецепта. 

Если человек, карта которого затронута риском, никогда не использует карту электронно (не заходит в э-услуги при помощи ПИН-кодов ID-карты и не проставляет дигитальную подпись), то этой картой можно безопасно пользоваться до конца срока действия.

Карту, подвергнутую риску, следует обменять, если у пользователя нет других средств аутентификации, например, mobiil-ID, и человек желает пользоваться э-услугами.

Больше информации можно найти на сайте www.id.ee.