Эстонские ведомства без особого шума начали закрывать эстонские ИД-карты уже в мае, после того как научный сотрудник Тартуского университета - еще до доклада чешских ученых - обнаружил в них настолько серьезную уязвимость, что даже сумел взломать одну из них и поставить дигитальную подпись. Это следует из переписки, попавшей в распоряжение Postimees.
Докторант Тартуского университета взломал ИД-карту жителя Эстонии и подделал его дигитальную подпись (2)
За выдачу и безопасность электронных удостоверений личности в Эстонии отвечают Департамент государственной инфосистемы (RIA) и Департамент полиции и погранохраны (PPA). До этого они лишь походя упоминали о случившемся поздней весной. Неизвестно кому предназначавшаяся переписка, попавшая в распоряжение Postimees, проливает свет на произошедшее.
RIA не отрицает: упомянутое в письмах действительно имело место. Да, сотрудник Тартуского университета действительно нашел уязвимость. Да, из-за нее можно подделать дигитальную подпись. Да, PPA действительно закрыл бракованные ИД-карты. Однако все это стало новостью для Государственной службы по организации выборов, которой многим позже - лишь после того, как уязвимость обнаружили чешские ученые, - пришлось решать, проводить электронные выборы или нет. Посмотрим, что именно произошло.
Как выяснилось, все началось с исследования докторанта и лектора Тартуского университета Арниса Паршовса. За годы в Эстонии он очень хорошо ознакомился с государственными ИТ-системами и даже стал партнером государства. И RIA, и PPA активно сотрудничают с ним по вопросам безопасности ИД-карт. Именно о его открытии и говорит фото, иллюстрирующее эту статью.
Удивительно образом у Паршовса появился доступ к публичным ключам сертификатов ИД-карт в неустановленном объеме. По словам пресс-секретаря RIA Хелен Ульдрих, все же доступ у него был не ко всей базе данных. Сам ученый точное количество ключей (всего их более миллиона), к которым он получил доступ, не обнародовал.
В любом случае результатом стало то, что среди ИД-карт, выданных с 30.12.2014 по 20.06.2016, он обнаружил 15 таких, уровень безопасности которых был непозволительно низким.
Что особенно важно: у одного жителя Эстонии 1979 года рождения уровень безопасности ключа ИД-карты был настолько слабым (всего 1 бит вместо обычных 2000 битов), что карту удалось взломать и поставить фальшивую дигитальную подпись. Эта карта была выдана в феврале 2015 года.
Согласно официальной позиции RIA, обнаруженная уязвимость ИД-карт не является масштабной и встречается редко. Научную работу Паршовса в RIA комментируют скупо, объясняя это тем, что она еще не закончена.
«Проанализировав базу данных публичных ключей ИД-карт Паршовс установил аномалию в процессе производства документов, из-за которой 15 карт снабдили не соответствующими требованиям слабыми ключами. В рамках научной работы, которая будет опубликована следующей весной, ученый показал на примере одной бракованной карты, что при появлении такой производственной ошибки возможно подделать дигитальную подпись», - сказала Хелен Ульдрих.
Она указала на два важных нюанса. Во-первых, эту бракованную карту ни разу не использовали для получения электронных услуг. А во-вторых, RIA проверила ключи всех остальных ИД-карт и больше таких аномалий не выявила.
«Мы проинформировали об открытой ученым аномалии производителя ИД-карт Gemalto и фирмы, предоставляющие услуги по сертифицированию, и приняли меры, чтобы карты с такой ошибкой больше не производились», - сказала Ульдрих.
Таким образом, RIA утверждает, что речь идет не о системной ошибке, а о единичной бракованной карте. В начале июня PPA закрыла 15 поврежденных ИД-карт и выдала людям новые карты в гарантийном порядке.
«И ранее производились единичные бракованные карты, которые при обнаружении ошибки сразу закрывали и выдавали вместо них новые», - сказала Ульдрих, заметив, что ни одну соответствующую требованиям эстонскую ИД-карту ученым взломать не удалось.
Эта ошибка, по заверению эстонских ведомств, никак не связана с уязвимостью чипа Infineon, обнаруженной чешскими учеными. Хотя информация об этом начала поступать в RIA еще в июне.
Служба по организации выборов: принимая решение, мы знали, что карты не взломаны
Государственной избирательной комиссии лишь в начале сентября пришлось принимать решение, разрешать ли э-выборы после обнаруженной чехами уязвимости или нет. Как выяснилось, об открытии тартуского ученого Комиссия не знала.
«Факт, что Государственная избирательная комиссия приняла решение, исходя из информации, что государство признало ИД-карту действующим государственным документом и ни одна карта не была взломана. Информации о 15 бракованных картах у Избирательной комиссии не было», - сообщила Postimees пресс-секретарь Службы по организации выборов Кристи Кирсберг.
И премьер-министр Юри Ратас, и глава RIA Таймар Петеркоп, и гендиректор PPA Эльмар Вахер утверждали, что эстонскую дигитальную подпись никому подделать не удалось.
Информация о масштабной уязвимости ИД-карт поступила в июне
На прошлой неделе Rus.Postimees писал, что 20 июня (почти сразу же после открытия докторанта Тартуского университета) в RIA поступила информация от австрийских коллег о том, что там из-за выявленной уязвимости чипа пришлось закрыть все ИД-карты, выданные до 9 июня.
«Из-за уязвимости австрийская фирма, оказывающая квалифицированные услуги, аннулировала все сертификаты, выданные до 9 июня 2017 года, и проинформировала об этом общественность и других причастных к этому делу», - говорится в сообщении, которое было отправлено и эстонским чиновникам.
RIA изучил это сообщение и поначалу ошибочно счел, что поступившая информация не касается эстонских ИД-карт. Позже выяснилось, что эстонские карты все же столкнулись с такой же проблемой, об этом Эстонию в августе уведомили чешские ученые.
ИД-карты для Эстонии изготавливает предприятие Gemalto. Его представитель Андреас Леманн две недели назад утверждал в соцсетях, что также проинформировал Эстонию о риске безопасности еще в середине июня. Наши ведомства назвали это утверждение ложью – их оповестили в конце августа, и тогда они начали в спешке искать решение проблемы.
Эстония решила закрыть 760 000 проблемных ИД-карт в начале ноября, прежде чем у преобладающей их части успели обновить программное обеспечение. Обновление через интернет затянулось, поскольку эстонские государственные инфосистемы не могут достаточно быстро осуществлять совместную работу. Сертификаты ИД-карт были закрыты раньше запланированного после соответствующего предложения правительству со стороны PPA и RIA.
Программное обеспечение для решения проблемы безопасности было разработано на средства Эстонии, а не Gemalto. По данным Postimees, за обнаруженную уязвимость Эстония выставила Gemalto требование почти на 20 миллионов евро.