В прошлую среду вечером Департамента государственных инфосистем (RIA) разослал по электронной почте письмо отдела работы по защите от инфоинцидентов CERT, которое на целую неделю поставило на уши пару сотен лучших ИТ-специалистов, а также лишило сна некоторых высокопоставленных руководителей министерств.

А именно, действующая в одной из европейских стран международная группа ученых расписала четырех-пятиходовый план, применив который, злоумышленники теоретически могут клонировать данные владельца какой-нибудь эстонской диги-ИД.

В фокусе внимания ученых не была ни эстонская ИД-карта, ни даже наша технология, они изучали один чип швейцарского производителя Gemalto AG. Чипы такого типа используются по всему миру, но больше всего они распространены в Эстонии. Именно такие чипы установлены на 750 00 ИД-картах, которые выдавали с 16 октября 2014 года: тогда на эстонских картах был принят в использование чип, который основан на новой технологии. Сертификат безопасности чипу дали Франция и Германия.

Сразу было сказано, что ученые не взламывали крипту ИД-карты, просто на бумаге доказали, что в теории это возможно. Всей формулы отправители письма не дали, но присланных материалов было достаточно, чтобы эксперты по инфобезопасности просмотрели риски и связались с отправителями.

Выяснилось, что слабым местом является один элемент неизменного заводского программного обеспечения на чипе. Слабое место проявляется тогда, когда чип общается с программой, которая переделана по заказу Эстонии – считка сертификатов с карты, их проверка или внесение дигитальной подписи.

Для понимания сложности проблемы нужно знать, что дигитальное лицо жителя Эстонии состоит из сертификатов, и они в свою очередь являются официальным и приватным. Ученые явно продемонстрировали, что теперь при небольшом по сути подборе комбинаций можно через ключи к официальным сертификатам получить доступ к приватным ключам. То есть, вероятнее всего, при генерации этой пары ключей было что-то сделано неправильно.

Но самым плохим сюрпризом для RIA стало то, что производитель карт Gemelto AG подтвердил, что оценка ученых может быть верной. «Если кто-то смог бы клонировать диги-ИД, то теоретически он мог бы использовать ИД-карту для идентификации личности и выдачи дигитальной подписи, не имея реальной карты и не зная ПИН-кодов», - описал советник по технологиям RIA Марк Эрлих.

На самом деле подвергнуть опасности все эстонские карты невозможно. «Только лишь знания официального ключа к сертификату карты недостаточно для ее взлома – нужны серьезные расчеты, чтобы заполучить секретный ключ и специальные программы, которыми дается дигитальная подпись», - объяснил Эрлих. Программное обеспечение ИД-карты для этого не подходит, поскольку предполагается, что карта при этом должна находиться в считывателе. Таким образом, хакер, у которого ИД-карты физически нет, должен как-то обойти и это препятствие.

Для того чтобы клон диги-ИД мог подписать что-то от лица другого человека, ему нужно одновременно взломать два ключа: как для подписи, так и для установления аутентичности.

Чтобы снизить возможные риски вчера Департамент полиции и погранохраны (PPA) закрыл базу данных официальных ключей, где до сих пор получили ключи других людей. До сих пор они были нужны, чтобы отправить кому-то криптированные файлы, которые может открыть только обладатель ключа.

Обычный пользователь эстонской ИД-карты все же может не беспокоиться о  безопасности. Сообщения и сигналы о рисках поступают ответственным за это людям в RIA постоянно. Все они анализируются, оцениваются с точки зрения важности, возможности их реализовать и, что самое главное, - подсчитываются затраты возможных хакеров на взлом одной ИД-карты. «Злоупотребление ИД-картой крайне затруднено и дорого, нам неизвестно ни об одном случае, когда такое было сделано, - сказал Эрлих. – Криптография – это игра с вероятностью. Каждый код можно взломать, но тут есть вопрос: стоит ли и кому тратить миллион евро, чтобы получить доступ к банковскому счету пенсионера или отдать голос Партии реформ за министра социальных дел?»

В этот раз под угрозой оказались 750 000 эстонских ИД-карт, и на то, чтобы их взломать, хакерам потребовалось бы потратить 60 миллиардов евро. Простой математический подсчет показывает, что на взлом одной карты нужно иметь 80 000 евро. «Мы оцениваем уровень риска карты так же, как это делают частные предприятия в случае, например, обычных кредитных карт. Спрашиваем: чего теоретически злоумышленники могут добиться?» - объяснил Postimees руководитель области eID RIA Маргус Арм.

Аналитики заявили вчера Postimees, что взламывать ИД-карту частного лица только для того, чтобы украсть его идентитет, того не стоит. Если кто-то действительно захочет использовать дыру в безопасности, трата денег и рабочей силы будет оправданной только для нанесения ущерба репутации Эстонии.

Решение только создается

Ошибку, которая имеется в чипах ИД-карт, исправить нельзя. Но как выйти из создавшейся ситуации? «Мы создаем сейчас программу, которая выведет из ситуации, и при которой эта слабое место в защите не будет применяться», - сказал Арм.

Новое решение для карт, которое обслуживает и генерирует ключи на карте, должно быть готово в течение ближайших двух месяцев. После этого обновление нужно будет загрузить на карту и сгенерировать себе новые сертификаты. Менять карты не нужно.

По словам Маргуса Арма, Gemalto сообщили Эстонии, что есть план разработать новые чипы с лучшим программным обеспечением. Для этого нам нужно будет создать новые решения для ИД-карт, чтобы обходить выявленные проблемы. «Начиная с четверга мы спим меньше, - сказал Арм. – В субботу-воскресенье не отдыхали, работа идет. И так будет до тех пор, пока мы не будем готовы. По нашим оценкам, потребуется около двух месяцев, тогда все должно быть в порядке».

По словам премьер-министра Ратаса, выданные в Эстонии дигитальные подписи по-прежнему действуют по всему ЕС, и запрета на использование ИД-карт не выдавалось и тем чиновникам, которые имеют доступ к государственной тайне. Вопроса денег при разработке новых решений не возникнет, все нужные ресурсы будут найдены.

Диги-ИД Эстонии в цифрах

• Возможный риск касается ИД-карт, выданных начиная с 16 октября 2014 года (в том числе тех, что дали э-резидентам), то есть итого 750 000 карт.
• Карты, выданные до 16 октября 2014 года риску не подвержены, поскольку на них использованы другие чипы.
• Опасности нет и у пользователей mobiil-ID, которых в Эстонии 134 000.

Политическая атака на э-выборы

Решение премьер-министра Юри Ратаса сделать из дыры в безопасности ИД-карт тему «международной безопасности» привело к ожидаемой атаке со стороны Центристской партии и EKRE на э-выборы.

Нужный фон для отмены э-выборов в октябре политики вчера смогли создать всего на несколько часов. В демократии нельзя оставлять дыры в безопасности, сообщил сначала вице-председатель Центристской партии Яанус Карилайд, который посоветовал республиканской избирательной комиссии вместе с экспертам всерьез оценить, будет ли правильно идти дальше с электронными выборами при наличие риска безопасности. «Центристская партия всегда подчеркивала, что э-выборы должны быть безопасными и прозрачными. Наша осторожность оправдана», - сказал Карилайд.

И хотя в частных беседах с Postimees эксперты назвали риски по сути невозможными, Карилайд видит происходящее в мрачных тонах: «Эксперты должны обеспечить безопасность э-выборов и возможность контроля за тем, что ничто и никто не влияет на их результаты».

Его позиция прекрасно совпала с призывом EKRE, который озвучил председатель партии Март Хельме, считающий, что э-выборы нужно как можно скорее отменить: «Мы всегда были скептичны по отношению к э-выборам и теперь выяснилось, что не беспочвенно. Эстонская консервативная народная партия убеждена, что на нынешних выборах э-голосование нужно отменить».

Хельме ожидаемо разыграл карту российских спецслужб, спрогнозировав интерес ГРУ к выборам в Эстонии: «Напомним, что Россию прежде обвиняли во вмешательстве в выборы во Франции, в Германии, в Великобритании и в США. Теперь очередь дошла до Эстонии».

Единственной, кто выступил против критиков, стала Партия реформ, председатель которой Ханно Певкур видит в критике противников желание заработать политических очков: «Если вопрос в доверии к э-услугам и репутации Эстонии, то это не место для сбора политических очков». Он добавил, что, к счастью, сейчас речь идет о теоретическом риске, который, насколько известно, на практике не реализовывался.

По оценке Певкура, было бы неправильно сейчас испугаться и вернуться к бумажной экономике: «Эстония по-прежнему сильная э-страна и нам нужно выучить этот урок. Любой отказ от э-услуг станет движением назад и шагом в прошлое», - сказал Певкур. Республиканская избирательная комиссия обсудил сложившуюся ситуацию сегодня.