Eesti ametkonnad olid sunnitud suurema kärata juba mais ja juunis sulgema Eesti ID-kaarte, kuna Tšehhi teadlastest sõltumatult tegutsenud Tartu ülikooli teadur oli avastanud neis nii kapitaalse turvavea, et suutis ühe neist lahti muukida ja näitliku võltsallkirja anda, selgub Postimehe käsutuses olevast kirjavahetusest.
Eestis vastutatavad elektrooniliste isikutunnistuste väljastamise ja turvalisuse eest Riigi Infosüsteemi Amet (RIA) ning politsei- ja piirivalveamet (PPA). Seni on nad hiliskevadel juhtunut märkinud vaid põgusalt muude vastuste sees. Postimehe valdusesse sattunud teadmata kellelt ja teadmata kellele edastatud kirjajupp andis ainest senisest mõnevõrra põhjalikumalt avastusesse süüvida.
RIA ei eita, et tekstis mainitu on tõesti aset leidnud. Jah, Tartu Ülikooli teadlane on turvavea tõesti avastanud. Jah, selle abil oli võimalik digiallkiri järgi teha. Jah, PPA on tõesti kaarte sulgenud. Kõik see on uudiseks aga riigi valimisteenistusele, kellele alles hiljuti tuli tšehhide avastatud turvavea tõttu otsustada, kas e-valimisi lubada või mitte.
Selgub, et Tartu Ülikooli doktorant ja lektor Arnis Paršovs on riigi IT-süsteemidega end aastate vältel väga hästi kurssi viinud ja temast on saanud tegelikult ka riigile partner, kellega RIA ja PPA ka ID-kaarti turvalisuse osas aktiivselt koostööd teeb. Kummalisel kombel oli Paršovsil tekkinud ligipääs teadmata mahus ID-kaardi sertifikaatide avalikele võtmetele. RIA pressiesindaja Helen Uldrichi sõnul kindlasti mitte kogu andmebaasile. Seda numbrit, kui palju ta enam kui miljonist võtmest läbi arvutas, ei ole teadlane avaldanud.
Tulemus oli igal juhul see, et ta avastas ajavahemikul 30.12.2014 kuni 20.06.2016 väljastatud ID-kaartide seas 15 sellist, mille võtmete turvatase oli lubamatult madal.
Ja mis eriti oluline: ühe 1979. aastal sündinud eestlase ID-kaarti avaliku võtme turvatase oli nii nõrk (vaid 1 bitt tavapärase 2000 biti asemel), et selle sertifikaadi abil oli võimalik kaardikasutaja digiallkiri lahti muukida ja sellega näitlikult võltsallkiri anda. See ID-kaart oli väljastatud veebruaris 2015.
RIA ametliku seisukoha kohaselt oli avastatud turvanõrkuse puhul tegemist harvaesineva ja väikesemahulise turvaveaga. Samas on Paršovsi teadustöö veel pooleli ja täpsemalt ei taha RIA seetõttu selle sisu kommenteerida.
«Analüüsides ID-kaartide avalike võtmete andmebaasi tuvastas Paršovs dokumentide tootmisprotsessis anomaalia, mille tõttu olid 15 kaarti saanud nõuetele mittevastavad nõrgad võtmed. Teadlane näitas ühe praakkaardi varal teadustöö raames, mille ta avaldab järgmisel kevadel, et sellise tootmisveaesinemisel on võimalik digiallkirja järele teha,» ütles Helen Uldrich.
Ta kinnitas kahte olulist asja. Esiteks: seda vigast kaarti ei olnud elektrooniliselt kordagi kasutatud. Ning teiseks: RIA kontrollis kõik ülejäänud ID-kaartide võtmed üle ja rohkem selliseid anomaaliaid ei leidnud.
«Informeerisime teadlase tuvastatud anomaaliast kaarditootjat Gemalto ja sertifitseerimisteenuse osutajat ning võtsime kasutusele meetmed, mis ei võimalda sellise veaga kaarte enam toota,» ütles Uldrich.
Seega kinnitab RIA, et tegemist ei olnud süstemaatilise vea, vaid üksikute praakkaartidega. PPA sulges juuni alguses need 15 vigast ID-kaarti ning väljastas inimestele garantiikorras uued kaardid.
«Ka varem on toodetud üksikuid praakkaarte, mis on vea ilmnemisel alati suletud ning vigased kaardid on garantiikorras välja vahetatud, » ütles Uldrich ja märkis, et ühtegi nõuetele vastavat Eesti ID-kaarti ei ole teadlased suutnud murda.
Kirjeldatud viga ei ole Eesti ametkondade kinnitusel kuidagi seotud Infineoni kiibi turvariskiga, mille avastasid Tšehhi teadlased. Selle kohta hakkas viiteid tulema RIA-le juunis.