Video

eще

"Инсайт": вся ли правда об ID-картах нам известна?

Кризис, связанный с эстонскими ID-картами, миновал, но вопросы остались. Программа "Инсайт" разбиралась, почему эстонским специалистам пришлось решать проблему в кратчайшие сроки, и всю ли информацию получили потребители.

В начале сентября в цифровом государстве грянул гром. Стало известно об уязвимости, затрагивающей сотни тысяч эстонских ID-карт.

"Научные сотрудники из Чехии провели исследование и выявили, что чипы, которые используются также в Эстонии, в принципе подвержены потенциальному риску, то есть их в принципе возможно взломать", - пояснил глава отдела развития информационных услуг Министерства экономики и коммуникации Янек Розов.

Как рассказал "Инсайту" советник-эксперт департамента Государственной инфосистемы Марк Эрлих, при производстве чипов карт была использована оптимизация, которая в тот момент не влияла на безопасность документов. Однако позже учеными был найден метод, позволяющий использовать эту уязвимость и подделать чужую электронную подпись.

Полную информацию о характере уязвимости Эстония получила лишь в конце октября, когда ученые из чешского исследовательского центра Centre for Research on Cryptography and Security опубликовали полный доклад с результатами своего анализа. До этого, по словам Эрлиха, было известно лишь то, что речь идёт о теоретической угрозе и, что она не касается всех чипов, а только чипов одного типа. Поэтому полтора месяца – с сентября по конец октября – государство было вынуждено анализировать проблему фактически опираясь на слухи.

"Нам повезло, что у нас были учёные, что они сотрудничали с нами и оповестили нас в августе. Естественно, если бы мы знали об этом раньше, у нас было бы больше времени на поиск решения", - сказал Эрлих. Иными словами, если бы не личное знакомство эстонских экспертов с чешскими учеными, государство не узнало бы о существовании проблемы до момента публикации полного отчета.

Доклад опубликовали 30 октября. Вскоре после этого проблема была решена. С вечера 3 ноября правительство приостановило действие сертификатов почти 760 000 электронных документов. После этого пользователи должны обновить сертификаты.

 

Об уязвимости было известно давно

Инсайт

Решение было найдено в рекордные сроки. Возможно, спешки удалось бы избежать, если бы Эстония была оповещена о проблеме своевременно. О наличии уязвимости было известно с февраля, однако информация стала поступать к эстонским властям лишь пару месяцев назад.

Согласно информации на сайте чешской исследовательской организации, алгоритм подбора ключей был обнаружен уже в конце января этого года. В начале февраля ученые передали эти сведения производителю чипов – компании Infineon Technologies AG.

На сайте Infineon сказано, что фирма незамедлительно проинформировала своих клиентов и предложила варианты уменьшения урона. Клиентом Infineon, производящим ИД-карты, является компания Gemalto. То есть либо она, либо сам производитель чипов должны были оповестить об уязвимости эстонские власти. Однако такую информацию в Эстонии вплоть до сентября не получали.

"Если это (то, что производитель чипов оповестил клиентов в феврале – прим. ред.) на самом деле так, то до нас эта информация не дошла", - сказал Эрлих. "Виноватых найти действительно сложно. Я бы сказал, что пускай с виноватыми разбираются юристы", - добавил он.

 

Потребителей оградили от "лишней" информации

Инсайт

Департамент Государственной инфосистемы заявил, что для решения проблемы нужно обновить сертификаты карт. Однако достаточно ли только обновления сертификатов? Говоря простым языком, цифровой сертификат – это "бирка" на электронном ключе. На бирке написано, кто владелец ключа и какую дверь этот ключ открывает. Но обновление бирки не сделает сам ключ безопаснее.

"Замена сертификатов ничего не решит в случае, если не менять ключи", - признал Эрлих. Как выяснилось, обновлять будут не только сертификаты карт, но и алгоритм создания ключей. Эту информацию департамент не разглашал до тех пор, пока "Инсайт" не начал задавать прямые вопросы.

"Мы говорим о замене сертификатов потому что это главная часть замены ключа," - пояснил Эрлих - "И это то, что человек понимает лучше всего."

Кроме того, РИА ни разу не упоминала о том, что новое решение несовместимо с некоторыми устаревшими операционными системами, а конкретно с операционной системой Yosemite, поддержка которого завершилась совсем недавно, в сентябре этого года. "Есть проблема в том, что старые операционные системы не всегда могут поддерживать тот алгоритм который мы используем", - признал Эрлих.

 

Эксперты усвоили урок

Инсайт

По словам главы департамента полиции и погранохраны Эльмара Вахера, на сегодняшний момент обновлены 200 тысяч сертификатов. Можно считать, что проблема решена и цифровая подпись снова в безопасности. Но значит ли это, что ситуация не повторится?

"Проблемы в IT-сфере есть всегда, даже если взять наши телефоны – посмотрите, программное обеспечение обновляется очень регулярно", - сказал Розов - "Это значит, что обнаружили какую-то проблему, и следующей версией её закрыли". Иными словами, кризисы будут возникать в том случае, эксперты не будут успевать латать новые дыры в системе безопасности.

По словам Розова черный сценарий для Эстонии заключался бы в переходе от моментального делопроизводства обратно к бумажному. Нынешний же кризис эксперты расценивают как полезный опыт.

"Естественно, будут усвоены уроки, сделаны соответствующие выводы. Наверняка будут разработаны какие-то планы – как жить, когда это случилось и как предотвратить подобное в будущем. Наверняка будут выработаны какие-то более серьёзные схемы проверок, договоров и так далее", - сказал Розов.

"Для нас эта ситуация стала хорошим уроком по поиску методов и уязвимостей в наших системах, а также того, что мы можем улучшить. Так, чтобы в будущем, когда возникнет такая же или похожая проблема, мы смогли среагировать ещё быстрее и ещё лучше", - подтвердил Эрлих.

Эксперты решили проблему в рекордное время и сделали выводы. Однако неизвестно, поможет ли этот опыт справиться со следующим кризисом, если производитель карт по-прежнему будет затягивать передачу информации.

Полина Волкова
Редактор

На ту же тему

Там нет комментариев. Будьте первым!

Ответить на комментарий

+{{childComment.ReplyToName}}:
Ответить на комментарий
Ответить

Nõusolek isikuandmete töötlemiseks
Olen lugenud ERR-i internetipõhiste teenuste isikuandmete kaitse põhimõtteid, millega saab tutvuda siin.
Annan ERR-ile õiguse säilitada ERR-i infosüsteemis enda nime, isikukoodi ja e-posti aadressi ning kommenteerimise hetkel kasutusel olnud IP-aadressi kuni konto kustutamiseni.
Mittenõustumisel ei ole võimalik ERR.ee keskkonda kommentaare postitada.
Laadi juurde ({{take2}})
Поле для имени должно быть заполнено
Не более 50 печатных знаков
Поле для комментариев должно быть заполнено
Не более 1024 печатных знаков
{{error}}
Оставить комментарий

Последние сообщения

ERR kasutab oma veebilehtedel http küpsiseid. Kasutame küpsiseid, et meelde jätta kasutajate eelistused meie sisu lehitsemisel ning kohandada ERRi veebilehti kasutaja huvidele vastavaks. Kolmandad osapooled, nagu sotsiaalmeedia veebilehed, võivad samuti lisada küpsiseid kasutaja brauserisse, kui meie lehtedele on manustatud sisu otse sotsiaalmeediast. Kui jätkate ilma oma lehitsemise seadeid muutmata, tähendab see, et nõustute kõikide ERRi internetilehekülgede küpsiste seadetega.