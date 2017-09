Tõtt öelda jagas riigi infosüsteemi amet (RIA) esimesed muudetud tarkvaraga ID-kaardi toorikud katsetamiseks välja juba läinud nädala lõpus – need läksid peamiselt pankadele, et nood saaks oma e-teenused uue tarkvaraga kasutatavaks teha.

Muutus pole küll suur, ent on põhimõtteline. Kui praegu kasutab ligi 750 000 võimaliku turvanõrkusega ID-kaarti digiallkirjastamiseks ja muudeks teenusteks 2048 biti pikkust RSA krüptoalgoritmi, siis tarkvarauuenduse järel võetakse kasutusele hoopis elliptkõverate algoritm.

Seeläbi õnnestub mööda minna kaarditootja Gemalto kiibi baastarkvara teoreetilisest turvanõrkusest, mille Tšehhi teadlased üht kindlat kiipi uurides avastasid. Nimelt genereeris Gemalto kiip teatud tingimustes nõrgemaid krüptovõtmeid, mis võivad uute matemaatiliste meetoditega murtavad olla.

«Kui me võtame kasutusele elliptkõverate algoritmi, siis see nõrkus ei rakendu,» selgitas RIA eID valdkonna juht Margus Arm.

Maakeeli tähendab see, et kõik, kes alates oktoobri lõpust uue ID-kaardi haldustarkvara oma arvutisse laadivad ja selle abil novembris oma ID-kaardi tarkvara uuendavad, saavad teoreetilisest turvanõrkusest lahti. Elliptkõverate algoritm ise pole Eestis midagi uut – seda kasutatakse juba alates 2014. aastast näiteks mobiil-ID puhul, mille kasutamist ka RIA on viimastel nädalatel usinalt propageerinud.

Teenusepakkujad testivad

Kuigi lahendus on valmis juba praegu, jõuab see avalikkuseni alles oktoobri lõpus, pärast kohalike omavalitsuste volikogude valimisi. Põhjus on lihtne: pall on hetkel sadade e-teenuste pakkujate väravas, kes peavad kontrollima, kas nende teenused ka uue krüptomeetodiga töötavad. Teenused, nagu e-pank, e-registratuur ja muud, ei saa ID-kaardi uuenduse järel seisma jääda. Mida vanemad süsteemid ja keskkonnad, seda suurema tõenäosusega võivad need vajada arendamist, mille eest peab tasuma teenusepakkuja ise.

«Praegu me veel ei tõmba hinge – testijad testivad kogu aeg. Tuleb üle kontrollida, kas kogu ahel toimib,» ütles Arm. Seni e-teenuste pakkujad RIA-le erilistest tõrgetest teatanud ei ole, aga suur osa katsetamisest seisab alles ees.

See, kuidas mastaapsele probleemile vähem kui 21 päevaga lahendus leiti, on RIA peadirektori Taimar Peterkopi sõnul positiivne üllatus. «Ma nägin praktikas, kuidas ettevõtted kiiresti kaasusid, kui nägid, et riik on hädas. See on väikese Eesti riigi tugevus, mida suurriik ei suuda,» ütles ta.

Olulisim osa mõttetööst tehti avalikkusele teadmata ära just nädalavahetusel, 2. ja 3. septembril enne turvanõrkuse avalikuks tulekut. Just siis otsustasid RIA, politsei- ja piirivalveameti (PPA), sertifitseerimiskeskuse ja Gemalto eksperdid, et parim on vahetada ID-kaardil kasutatavat krüptoalgoritmi.

Et RIA ise koodi ei kirjuta, vaid üksnes koordineerib, kaasati programmide loomisse ettevõtete nõusolekul endised RIA töötajad IT-firmadest Nortal ja Cybernetica. Kaasa aitas veel rida teisi ettevõtteid, näiteks ise oma abi pakkuma tulnud Guardtime.

Uuendamisele läks kokku kaks tarkvara: inimeste arvutites olev ID-kaardi haldusvahend ja kaardi kiibil olev tarkvara osa. Esimese eest vastutab RIA, Gemalto peab aga hea seisma, et novembrist kasutusele tulevad uued ID-kaardid tuleksid tehasest välja juba uue Eesti tarkvaraga.