ID-kaardi ohudMihkel Kärmas Eesti Ekspress, 16.04.2003
 |
 |
|
| ETTEVAATUST! ID-kaart on hea, aga selle kasutamine on ohtlik, ütleb andmeturbespetsialist Ahto Buldas. (Vallo Kruuser) |
|
|
|
Pankade ja IT-firmade lobi tulemusena juurutatud ID-kaart pole tavaelus mitte ainult peaaegu kasutu, vaid kätkeb ka turvaauke, millest kasutajaid pole teavitatud.
Hirmuhigi otsaees ja õõnes tunne põues, avastad sa, et sinu maja alune krunt pole katastri järgi enam sinu oma, et sinu nimele on ootamatult tekkinud laen, mida sa ei jõua ka kümne eluea jooksul tagasi maksta, ning – mis kõige vapustavam – sa oled kahenaisepidaja. Kohustus tõestada, et kõik see on eksitus, lasub sinul.
Umbkaudu nii võiks mõnede andmeturvaspetsialistide meelest välja näha must stsenaarium, kui keegi suudab kaaperdada inimese e-identiteedi ehk lahti murda tema ID-kaardi. “ID-kaart ei ole jama. Kuid sellel on mõned tehnoloogilised ja seadusandlikud puudused, mis võivad kaardi valdajale olla väga ränkade tagajärgedega,” nendib äsja endale ID-kaardi taotlenud arvutihuviline Vello Laar.
Esiuks lukus, tagauks irvakil
ID-kaardi füüsiliste turvaelementide hulk ja keerukus on aukartustäratav ning kaardi elektrooniliseks kasutamiseks (näiteks allkirja andmiseks) vajalikke koode teab vaid kaardi omanik. Digitaalse allkirja ehtsust kontrollib ja kinnitab teisele osapoolele sertifitseerimisteenust osutav Sertifitseerimiskeskus AS.
Teoorias on kõik tipp-topp. Praktikas saab aga ID-kaarti kodus kasutada vaid vähemalt 300 krooni maksva lisaseadme, kiipkaardi lugeja abil, mis käib personaalarvuti külge. Ja just siin luurab oht, mis teeb skeptikud murelikuks.
“Kahjuks on piisava turvalisuse saavutamine enamikule arvutikasutajatele üle jõu käiv ülesanne. Praktika näitab, et valdav osa internetti ühendatud “tavakasutaja” arvutitest on häkkerile suhteliselt kerge saak,” hoiatab andmeturbele spetsialiseerunud TTÜ professor Ahto Buldas. “Digitaalallkirja seadustamine loob seega uue ohu – allkirja elektroonilise võltsimise ja sellest tuleneva moraalse ja materiaalse kahju.”
Nädal tagasi raporteeris Postimees, et keskkriminaalpolitsei paljastas kurjategijad, kes spioneerimisprogrammi ehk “Trooja hobuse” abil nuhkisid välja mitme firma internetipanga salakoodid ja varastasid arvetelt raha. Vajalik nuhkimistarkvara leiti internetist ja rünnakuteks kasutati küberkohvikuid. Kurjategijad arreteeriti alles siis, kui nad valmistusid veebruari lõpus kandma endale ühe suurfirma pangaarvelt 900 000 krooni.
Nõrk koht pole ID-kaart ise, vaid arvuti, milles seda kasutatakse. Sama skeemi ja tarkvaraga on andmekaitsespetsialistide meelest võimalik rünnata ka ID-kaarti ning halvemal juhul omastada ohvri identiteet, misjärel ainus piirang võimalikule kahjule oleks kurjategija fantaasia.
Kõik või mitte midagi
Ainus kaitse arvuti kaudu korraldatud rünnaku vastu oleks piirang ID-kaardiga sooritatavate tehingute suurusele või tüübile, nagu see on tavaline veebipankades. “Piirangud võimaldaksid igal kasutajal selgelt määratleda talle vastuvõetava riskipiiri digitaalallkirja kasutamisel,” selgitab Buldas. ID-kaardi puhul aga selliseid limiite seada ei saa. Inimesel on valida kaks varianti: ta kas usaldab süsteemi või mitte.
“Kuigi praegusel ID-kaardi kontseptsioonil on selgeid tehnilisi puudusi, ei tähenda see mingil juhul, et ID-kaart on kasutuskõlbmatu. Vastutuse piiramine on tehniliselt üsna lihtsasti teostatav. Kui see tehtud, on digitaalne allkiri palju turvalisem tavalisest,” hindab Buldas.
Tõenäosus, et ülaltoodud must stsenaarium tegelikult teostub, on kaduvväike. Ent kui see peaks juhtuma, kuidas tõestada, et sa ei müünud tegelikult ära oma maad, ei võtnud miljonilaenu.
Postitatud rubriiki Määratlemata. Talleta
püsiviide. Kommenteerimine ja trackback-viidete lisamine ei ole lubatud.
Uudised
ID-kaardi ohud
ID-kaardi ohudMihkel Kärmas Eesti Ekspress, 16.04.2003
ID-kaardi lummus
* ID-kaart on taskus juba rohkem kui 180 000 kodanikul. See on kohustuslik riigisisene isikut tõendav dokument kõikidele Eesti elanikele alates 15. eluaastast. Tänavu on plaanis välja anda 250 000 uut ID-kaarti.
* Ideaalis kõlbab ID-kaart isiku tuvastamiseks nii poes kui ka arvutivõrgus ning digitaalallkirja andmiseks. Samuti on sellest räägitud ka kui haigekassakaardi, juhiloa ja pangakaartide asendajast. Kõigi kasutusvõimaluste lõppu on raske ette näha.
* ID-kaart on äärmiselt ahvatlev pankadele, sest võimaldaks dokumente vormistada interneti kaudu. Näiteks kaoksid notarijärjekorrad. Sestap olid just pangad ID-kaardi projekti suured toetajad.
* Kaartide valmistamine läks riigile maksma üle 330 miljoni krooni, millele lisandus 80 miljonit sertifitseerimise kulusid.
Pankade ja IT-firmade lobi tulemusena juurutatud ID-kaart pole tavaelus mitte ainult peaaegu kasutu, vaid kätkeb ka turvaauke, millest kasutajaid pole teavitatud.
Hirmuhigi otsaees ja õõnes tunne põues, avastad sa, et sinu maja alune krunt pole katastri järgi enam sinu oma, et sinu nimele on ootamatult tekkinud laen, mida sa ei jõua ka kümne eluea jooksul tagasi maksta, ning – mis kõige vapustavam – sa oled kahenaisepidaja. Kohustus tõestada, et kõik see on eksitus, lasub sinul.
Umbkaudu nii võiks mõnede andmeturvaspetsialistide meelest välja näha must stsenaarium, kui keegi suudab kaaperdada inimese e-identiteedi ehk lahti murda tema ID-kaardi. “ID-kaart ei ole jama. Kuid sellel on mõned tehnoloogilised ja seadusandlikud puudused, mis võivad kaardi valdajale olla väga ränkade tagajärgedega,” nendib äsja endale ID-kaardi taotlenud arvutihuviline Vello Laar.
Esiuks lukus, tagauks irvakil
ID-kaardi füüsiliste turvaelementide hulk ja keerukus on aukartustäratav ning kaardi elektrooniliseks kasutamiseks (näiteks allkirja andmiseks) vajalikke koode teab vaid kaardi omanik. Digitaalse allkirja ehtsust kontrollib ja kinnitab teisele osapoolele sertifitseerimisteenust osutav Sertifitseerimiskeskus AS.
Teoorias on kõik tipp-topp. Praktikas saab aga ID-kaarti kodus kasutada vaid vähemalt 300 krooni maksva lisaseadme, kiipkaardi lugeja abil, mis käib personaalarvuti külge. Ja just siin luurab oht, mis teeb skeptikud murelikuks.
“Kahjuks on piisava turvalisuse saavutamine enamikule arvutikasutajatele üle jõu käiv ülesanne. Praktika näitab, et valdav osa internetti ühendatud “tavakasutaja” arvutitest on häkkerile suhteliselt kerge saak,” hoiatab andmeturbele spetsialiseerunud TTÜ professor Ahto Buldas. “Digitaalallkirja seadustamine loob seega uue ohu – allkirja elektroonilise võltsimise ja sellest tuleneva moraalse ja materiaalse kahju.”
Nädal tagasi raporteeris Postimees, et keskkriminaalpolitsei paljastas kurjategijad, kes spioneerimisprogrammi ehk “Trooja hobuse” abil nuhkisid välja mitme firma internetipanga salakoodid ja varastasid arvetelt raha. Vajalik nuhkimistarkvara leiti internetist ja rünnakuteks kasutati küberkohvikuid. Kurjategijad arreteeriti alles siis, kui nad valmistusid veebruari lõpus kandma endale ühe suurfirma pangaarvelt 900 000 krooni.
Nõrk koht pole ID-kaart ise, vaid arvuti, milles seda kasutatakse. Sama skeemi ja tarkvaraga on andmekaitsespetsialistide meelest võimalik rünnata ka ID-kaarti ning halvemal juhul omastada ohvri identiteet, misjärel ainus piirang võimalikule kahjule oleks kurjategija fantaasia.
Kõik või mitte midagi
Ainus kaitse arvuti kaudu korraldatud rünnaku vastu oleks piirang ID-kaardiga sooritatavate tehingute suurusele või tüübile, nagu see on tavaline veebipankades. “Piirangud võimaldaksid igal kasutajal selgelt määratleda talle vastuvõetava riskipiiri digitaalallkirja kasutamisel,” selgitab Buldas. ID-kaardi puhul aga selliseid limiite seada ei saa. Inimesel on valida kaks varianti: ta kas usaldab süsteemi või mitte.
“Kuigi praegusel ID-kaardi kontseptsioonil on selgeid tehnilisi puudusi, ei tähenda see mingil juhul, et ID-kaart on kasutuskõlbmatu. Vastutuse piiramine on tehniliselt üsna lihtsasti teostatav. Kui see tehtud, on digitaalne allkiri palju turvalisem tavalisest,” hindab Buldas.
Tõenäosus, et ülaltoodud must stsenaarium tegelikult teostub, on kaduvväike. Ent kui see peaks juhtuma, kuidas tõestada, et sa ei müünud tegelikult ära oma maad, ei võtnud miljonilaenu.
Turvalisim võimalikest variantidest
ID-kaardi tehnoloogia on turvalisem kõigist muudest seni Eestis kasutusel olevatest elektroonilistest kasutajatuvastuse vahenditest. ID-kaarti ei ole võimalik kopeerida – erinevalt magnetkaardist, mida saab kergesti kopeerida, ja paroolidest, kasutajanimedest ning koodikaartidest, mida saab lihtsalt meiliga edasi-tagasi liigutada.
Trooja hobuste risk on olemas, kuid kui keegi tunneb, et see oht on suur ja ta ei suuda ennast turvata, on alati võimalik paigaldada klaviatuuriga kaardilugeja. Selle kasutamisel sisestab inimene PINi otse kaardilugejalt ja see ei jõua kunagi arvutisse, niisiis pole seda võimalik ka kui tahes kavala viiruse või trooja hobuse abil kätte saada.
Seaduse järgi vastutab iga ID-kaardi omanik oma ID-kaardi ja PIN-koodide hoidmise ja kasutamise eest – just samamoodi, nagu me vastutame oma pangakaartide ja nende PIN-koodide, mobiiltelefoni, maja- ja autovõtmete ning kogu muu isikliku vara eest. ID-kaardi sertifikaatide kehtivus on võimalik igal ajahetkel abiliini (lühinumber 1777) kaudu peatada.
Jaanus Kase
Sertifitseerimiskeskuse kommunikatsioonijuht