Вопросы и ответы о безопасности ID-карты

07.09.2017 Четверг

Вопросы и ответы о безопасности ID-карты

30 августа международная группа ученых проинформировала Департамент государственных информационных систем о том, что они обнаружили потенциальный риск, который касается ID-карт, выданных начиная с октября 2014 года. Ниже представлены ответы Департамента полиции и погранохраны на связанные с этим вопросы.

ID-карта по-прежнему действует удостоверяющим личность документом и рейсовым документом до конца срока, указанного на карте Фото: Postimees

Безопасно ли пользоваться ID-картой?

В качестве удостоверяющего личность документа ID-карта полностью безопасна. Риск не касается ID-карт, выданных до 16 октября 2014 года. По сегодняшней оценке, использование ID-карты для аутентификации в интернете и проставления дигитальной подписи по-прежнему безопасно. Злоупотребление ID-картой – это сложный и дорогостоящий процесс; нам не известно ни одного случая, когда это было бы сделано.

Все предпринимаемые сейчас шаги прежде всего направлены на предупреждение возможных рисков – это мера предосторожности, чтобы нельзя было злоупотребить выявленным риском.

Департамент государственных информационных систем и Департамент полиции и погранохраны занимаются постоянным мониторингом ситуации и отреагируют немедленно, если риск вырастет.

Как я могу пользоваться ID-картой?

Всеми услугами можно пользоваться точно так же, как и прежде. ID-карта по-прежнему действует удостоверяющим личность документом и рейсовым документом до конца срока, указанного на карте. Для владельцев Mobiil-ID также ничего не поменяется.

Что для меня изменится?

Пока не приостановлены или аннулированы сертификаты, для владельца карты ничего не меняется. ID-картой можно пользоваться так же, как прежде. Если сертификаты будут из-за риска закрыты, то владелец ID-карты будет оповещен по электронной почте, и об этом сообщат публично.

Должен ли я ходатайствовать о новой ID-карте?

ID-карта по-прежнему действует удостоверяющим личность документом и рейсовым документом до конца срока, указанного на карте, документ действителен для путешествий по Европейскому союзу. Действительная карта вида на жительство пригодна для путешествий вместе с паспортом иностранца. Если заканчивается срок действия карты, то следует подать ходатайство о получении новой карты. В других случаях подавать ходатайство о получении новой карты не надо, риска это не снижает.

Есть ли ID-карте альтернативы?

Вместо ID-карты можно использовать Mobiil-ID. Для использования многих других услуг, например, для того, чтобы зайти в интернет-банк, можно использовать Smart ID, пин-калькулятор. Использовать карты кодов не советуем, их риски выше, чем у ID-карты.

Как я могу получить Mobiil-ID?

Обратитесь к своему оператору мобильной связи, который выдаст подходящую для этого SIM-карту. Затем следует активировать Mobiil-ID на странице politsei.ee. Mobiil-ID можно пользоваться сразу после активизации. После этого можно закрыть сертификаты ID-карты, чтобы избежать риска злоупотребления.

Сколько это стоит?

Месячная плата оператору мобильной связи составляет 1 евро в месяц.

Кто меня проконсультирует?

Номер линии помощи по связанным с ID-картой вопросам – 1777. Совет по использованию Mobiil-ID можно получить у своего оператора мобильной связи, в том числе по информационному телефону или через веб-страницу.

Готовы ли операторы мобильной связи к такой нагрузке?

Операторы мобильной связи знают о такой необходимости и считаются с этим, но клиентам следует учесть, что могут возникнуть более длинные очереди.

Технические вопросы

Что на самом деле означает эта уязвимость? Уязвима ли ID-карта для взлома? Какие данные нужны для того, чтобы взломать карту и воспользоваться ею?

Теоретически ID-карту можно использовать для установления личности и проставления дигитальной подписи, не имея карты и не зная ПИН-кодов. Для взлома карты только одного открытого ключа сертификата недостаточно – нужна большая вычислительная мощность для вычисления тайного ключа и специальное программное обеспечение, чтобы поставить подпись. Программное обеспечение ID-карты для этого не подходит, так как это подразумевает наличие карты в считывателе ID-карты.

Злоупотребление ID-картой – это крайне сложный и дорогостоящий процесс; нам не известно ни одного случая, когда это было бы сделано. Многие услуги (например, банки) требуют для аутентификации еще логин и/или пароль – их также надо знать.

Как я могу аннулировать сертификаты своей карты? Что для этого надо сделать?

Действие сертификатов можно приостановить по номеру информационной линии ID-карты 1777, информацию можно найти на сайте id.ee.

Действие сертификатов может приостановить или аннулировать владелец карты сам либо провайдер услуги. Сейчас для этого нет прямой необходимости. Если ситуация изменится, об этом тут же будут оповещены владельцы карт.

Если владелец карты хочет полностью исключить возможность злоупотребления, можно сделать себе Mobiil-ID и после его активации приостановить или аннулировать сертификаты. В случае приостановления сертификат можно заново активировать, в случае аннулирования использовать карту дигитально больше нельзя.

Можно ли аннулировать только возможность проставления дигитальной подписи?

Аутентификацию и возможность проставления дигитальной подписи можно аннулировать или приостановить лишь одновременно, так как риск касается обеих функций.

В каком случае государство может аннулировать мои сертификаты?

Сертификаты будут аннулированы тогда, если риск их взлома станет реальным. Об аннулировании владельцы карт будут обязательно оповещены.

Можно ли обменять такую ID-карту на новую и как быстро?

Все выдаваемые сейчас ID-карты имеют этот риск. Новая ID-карта находится в стадии разработки.

В качестве удостоверяющего личность документа карта действует, как прежде.

Можно ли исправить эту ошибку через веб-сайт?

Пока нет, но мы работаем над этим.

Что произошло в октябре 2014 года, из-за чего возникла эта ошибка? Знала ли эстонская сторона об изменении?

В октябре 2014 года в ID-картах стали использовать новый, более быстрый чип, который основан на новой технологии и потому, предположительно, более безопасный. Чипу выданы французские и немецкие сертификаты безопасности, которые подтверждают соответствие чипа всем требованиям безопасности. Такой же чип используется в удостоверяющих личность документах нескольких других стран, а также на платежных картах и служебных удостоверениях. Риск возник вследствие совместного влияния чипа и программного обеспечения.

Что произошло с сертификатами, из-за чего возник риск?

То, что криптографические алгоритмы, на которых основываются сертификаты, становятся по мере возрастания вычислительной мощности понемногу уязвимее, с точки зрения технологии является обычным развитием. Именно по этой причине сертификаты ID-карты заменяются через некоторое время на более сильные.

В данном случае выявленный риск совпал с ростом вычислительной мощности. Еще несколько лет назад взлом такой карты был бы гораздо более дорогостоящим и поэтому еще менее вероятным, чем сейчас.

Когда вы об этом узнали, почему вы говорите об этом только сейчас?

О возможном риске сообщила международная группа ученых по официальным каналам. По выявлению каждого такого риска резко вырастает опасность его злоупотребления.

Поэтому мы обнародовали эту информацию тогда, когда смогли проверить полученную информацию в том числе со своей стороны и в то же время применили меры предосторожности для уменьшения возможных рисков.

Что я могу сделать для защиты своей карты?

Если вы не пользуетесь ID-картой для совершения сделок, то вы можете приостановить сертификаты ID-карты. Останется возможность использовать альтернативы, которых этот риск не касается, например, Mobiil-ID.

Эксперты Департамента государственных информационых систем и Департамента полиции и погранохраны внимательно следят за ситуацией, при необходимости будет приостановлено использование сертификатов. Об этом сообщат и пользователям, и общественности.

Злоупотребление

Могу ли я проверить и как это сделать, не злоупотребил ли кто моей картой или идентитетом?

Если есть подозрение, что имело место электронное злоупотребление ID-картой, обратитесь в полицию и Департамент государственных информационных систем (Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.).

Гарантирует ли государство по-прежнему дигитальную подпись? В течение какого времени? Проставленная ID-картой дигитальная подпись имеет силу, в том числе и после приостановления или аннулирования сертификатов? Доверяют ли банки эстонской ID-карте?

ID-карта - это документ, выдаваемый государством. Банки акцептируют карту для использования банковских услуг до тех пор, пока государство считает ID-карту безопасной. Банки могут применить дополнительные меры безопасности, если посчитают это необходимым.

Можно ли подвергнуть сомнению какие-либо сделки? Должен ли я делать что-то заново?

Все проставленные ID-картой подписи и совершенные сделки действуют.

Государство не проверило безопасность чипов?

Соответствие ID-карты и чипов требованиям безопасности подтвердили авторитетные учреждения по сертификации Германии и Франции, имеющие действующий сертификат безопасности.

Мы предприняли ряд шагов, чтобы свести риски к минимуму: закрыли базу данных открытых ключей ID-карты, наши эксперты анализируют ситуацию и занимаются поиском решения, чтобы восстановить безопасность на самом высоком уровне.

Когда и как вы узнали об этом риске?

Группа ученых проинформировала Департамент государственных информационных систем вечером 30 августа.

Кто эти ученые?

Группа ученых-криптографов из признанных университетов, которая проинформировала Департамент государственных информационных систем по официальным каналам.

Взломали ли эти ученые на самом деле какую–либо карту?

Они доказали, что это математически возможно, если есть достаточная вычислительная мощность. По имеющейся информации ни одного ключа из Эстонии взломано не было.

Проверили ли вы утверждения ученых? Смогли ли вы взломать карту?

На проверку требуется время, этим занимается Департамент государственных информационных систем в сотрудничестве с эстонскими научными учреждениями. Имеющиеся сейчас результаты подтверждают, что исследование может заслуживать доверия, и риск имеется. Но ни один ключ взломан не был.

Где опубликована эта научная работа? Может ли любой человек на основании этой информации взломать карту?

Научная работа будет опубликована этой осенью на международной научной конференции. В академических работах не принято обнародовать конкретные инструменты для атаки.

Почему вы не закрыли карты, кто это решает?

Это потенциальный риск, который не был реализован. В данной ситуации закрытие карт не обосновано и сопровождалось бы неудобствами для многих людей.

Чем вы занимались до сих пор?

Департамент государственных информационных систем вместе с экспертами эстонских научных учреждений занимались проверкой утверждений, минимизаций рисков и поиском решений. Этим занимаются в сотрудничестве с партнерами и провайдерами услуг, чтобы при необходимости быть готовыми к изменениям.

Выборы

Состоятся ли электронные выборы? Как они будут проходить?

Департамент государственных информационных систем сообщил о возможном риске государственной службе выборов, которая обеспечивает организацию выборов. Решение о проведении электронных выборов принимает Республиканская избирательная комиссия.

Безопасны ли электронные выборы?

Электронные выборы не намного опаснее других услуг, связанные с ID-картой. Массовая фальсификация голосов невозможна из-за высокой стоимости таких действий.

Теги