ID-kaardi kiibis avastati turvarisk :: Hinnavaatluse Foorumid

PontuLontu · HV kasutaja liitunud: 23.07.2002

LKits,
ei oska arvata, mida sa mõtled "privavõtmete uuesti genereerimise" all, kuid minul serte uuendades jäid PINid ja PUKid samaks, Isegi ei pakutud nende vahetust...

Muuseas, kas keegi teab, miks FIReFOX 55.03 iga allkirja anda e saa ( PIN2 ) ?

scorpionx · HV vaatleja liitunud: 01.10.2007

jägaja · HV Guru liitunud: 06.08.2004

Inimesed on väga vihaseks aetud selle turvaaugu riski pärast. Ei tea, küll, miks. Ma ise küll vihane pole, ei ole täheldanud, et minu vajaduste jaoks ID kaart nüüd vähem kasutum oleks.
Igatahes Telia esindustesse pole vaja minna vihaste inimeste sekka.

rv30 · HV kasutaja liitunud: 24.06.2007

http://kasulik.delfi.ee/news/uudised/telia-kliendid-marus-esindustes-ei-aita-ka-aja-broneerimine-jarjekorrad-on-ulmelised?id=79523142
Telia on otsustanud riiki keerulisel ajal toetada.

ab79 · HV kasutaja liitunud: 17.10.2012

No, kui üks klient toob sisse 12 euri aastas ja kui peres on ütleme vähemalt 2 mID kasutajat, siis on selge, et riiki peab toetama

Kas süsteemi enda ülalpidamiskulu ka reaalset 1 eur kuus väärt on, ei tea, üheltpoolt tundub kallis, aga kuna selle raha eest saad piiramatult ennast autentida/makseid allkirjastada, siis SMS põhine arvestus ilmselt tuleks veel kallim.

PontuLontu · HV kasutaja liitunud: 23.07.2002

ab79,
Enamus nuti ja ka kõnepakettides in sees piisavalt SMS-e, et tavainimene saaks hakkama tavapärasel kasutusel oma e-toimingutega.

Näiteks toon enda kasutuse
isikutuvastamine 1996 korda - ca 10 SMS-i päevas 285 tk kuus
allkirjastamine 484 korda - 2 sms päevas - 70 SMS-i kuus.
ja nüüda vaatame kõige odavamat nutipaketti näiteks elisas, mis annab sõnumeid piiramatult + 1000 tk EU piires kuus.

Kas keegi arvab veel siiani, et selle taga pole mitte mingi lobistajate seltskond ???

DVDRW · HV Guru liitunud: 13.10.2003

Maetud koer on leitud:
Failide krüptimine ID-kaardiga vanal viisil on lubatud asutusepõhiselt.

mikk36 · HV Guru liitunud: 21.02.2004

Dogbert · HV Guru liitunud: 03.05.2004

sooty · HV veteran liitunud: 12.06.2004

Hanso: ID-kaardi turvaprobleemid saavad uueks aastaks lahendatud

kippadi · HV vaatleja liitunud: 20.10.2016

Kui vaadata github.com/open-eid-is toimuvat, siis paistab, et kas pakutavaks lahenduseks pole äkki asjassepuutuvate kaartide uute sertifikaatide genereerimisel RSA algoritmi väljavahetamine ECDSA vastu. Igatahes tekkisid sellealased uuendused kuidagi väga täpselt samal ajal, kui sellest turvariskist juttu tuli. Ju siis seal kiibi rauas on mingi RSA-sse puutuv nõrkus kogemata kombel sees, samas kui ECDSA on (teadaolevalt) korras.

friik1 · HV Guru liitunud: 18.06.2004

Täiesti reaalne teooria.

Tanel · HV Guru liitunud: 01.10.2001

Riigi Infosüsteemi Ameti eestvedamisel on välja töötatud tarkvara, mille abil saab turvariskiga ID-kaartide, elamisloa ja digi-ID elektroonilist osa uuendada alates novembrist.

„Praegu testime rakendust ning oleme andnud testkaardid ka pankadele, et nad saaksid proovida selle sobivust e-teenuste kasutamiseks. Uus tarkvara võimaldab inimestel kodust lahkumata oma ID-kaardi sertifikaadid ära uuendada ning kui kõik läheb plaani järgi, algab sertifikaatide uuendamise protsess selle aasta novembrist,“ ütles Riigi Infosüsteemi Ameti (RIA) eID valdkonna juht ning töögrupi vedaja Margus Arm.

ID-kaardi sertifikaate saab oma kodu- või tööarvutist kauguuendada kahe kuu jooksul ehk kuni detsembri lõpuni. Uuendamiseks tuleb arvutisse laadida alla ID-kaardi tarkvara uus versioon ja järgida ekraanil olevaid juhiseid. Jaanuarist kuni märtsi lõpuni saab sertifikaate uuendada vaid Politsei- ja Piirivalveameti teenindustes. Alates aprillist tühistatakse kõik turvanõrkust omavate kaartide sertifikaadid, mis on jäänud selleks ajaks uuendamata.
„Teeme juba praegu ettevalmistusi, et novembrist alates Politsei- ja Piirivalveameti teeninduste lahtiolekuaegu pikendada nii õhtuti kui ka nädalavahetusel ning selleks perioodiks avada täiendavaid teeninduskohti. Kõige mugavam on kauguuendus juhendmaterjali järgi ise ära teha, kuid oleme valmis teenindustes kohapeal täiendavate jõududega aitama ja nõu andma,“ ütles Politsei- ja Piirivalveameti identiteedi ja staatuste büroo juhataja Margit Ratnik.
Sertifikaatide uuendamisega tuleb kindlasti kiirustada neil, kellel ei ole mobiil-ID-d, ent kasutavad ID-kaarti regulaarselt e-teenustesse sisenemiseks. „Novembri alguses, kui kauguuendamise protsess käivitub, piirame uuendamata ID-kaartide kasutusvõimalusi. See tähendab, et ID-kaarti ei saa enne digitaalselt kasutada, kui selle sertifikaadid on uuendatud. Selleks, et e-teenuste kasutamine sujuks novembri alguses tõrgeteta, soovitan aktiivsetel kasutajatel endale oktoobri jooksul mobiil-ID võtta. Arvestades uuendamist vajavate kaartide hulka ning tehnilisi piiranguid, võib esimestel päevadel uuendamise koormus olla väga suur,“ toonitas Margus Arm.
Inimesed, kes ei kasuta ID-kaarti elektrooniliselt, ei pea tingimata sertifikaate uuendama, sest kaart kui isikut tõendav dokument kehtib sellel märgitud kuupäevani. Ka ei puuduta sertifikaatide uuendamine neid, kelle ID-kaart on väljastatud enne 2014. aasta oktoobrit.

RIA peadirektor Taimar Peterkop ütles, et Eesti ID-kaart ja selle digitaalsed lahendused on jätkuvalt turvalised, ent turvalisuse säilitamiseks tuleb teha pingutusi. „Täna ei ole teateid ühestki digitaalse identiteedi vargusest, ent me ei jää seda ootama, vaid teeme kõik selleks, et oht võimalikult kiiresti likvideerida.“

ID-kaardi sertifikaatide uuendamise käivitamisest ning konkreetsetest juhistest annab RIA teada enne tarkvara avalikustamist hiljemalt oktoobri lõpus või novembri alguses.

Taust:

30. augustil informeeris rahvusvaheline teadlaste grupp Riigi Infosüsteemi Ametit (RIA), et nad avastasid turvariski, mis mõjutab Eestis alates 2014. aasta oktoobrist välja antud ID-kaarte (sealhulgas e-residentidele väljastatud kaarte) ehk kokku ligi 750 000 kaarti. Enne 2014. aasta 16. oktoobrit väljastatud ID-kaartidel oli kasutusel teine kiip ning neid see risk ei mõjuta. Samuti ei puuduta antud turvarisk mobiil-ID-d.

Allikas: www.ria.ee

WäntWõll · make.believe liitunud: 18.01.2005

http://arileht.delfi.ee/news/uudised/turvariskiga-id-kaarte-saab-uuendama-hakata-novembris?id=79645824

Tanel · HV Guru liitunud: 01.10.2001

Teema ka uudisena: https://foorum.hinnavaatlus.ee/viewtopic.php?t=716932

Mnator · HV Guru liitunud: 18.10.2007

ja ilmtingimata on vaja selles teates promoda tasulist mid

WäntWõll · make.believe liitunud: 18.01.2005

Mnator, ID-kaart on ka tasuline vähemalt tänase seisuga

Draqula · HV Guru liitunud: 29.10.2004

Mnator, kuni ID kaardi ülaloleva teema lahenduseni on vaja ju mingit vaidlustamata turvalisusega lahendust pakkuda.
WäntWõll, tavainimene ID kaarti kasutades ja kuni 10 allkirja andes teenuse eest igakuiselt ei maksa. Väljastamise eest küll maksab, aga kuutasu pole. Lisaks on isikutunnistus seaduse järgi kohustuslik dokument, mis tähendab, et see pole valikuline väljaminek.

Sold OUT · no credit liitunud: 30.07.2002

WäntWõll · make.believe liitunud: 18.01.2005

Draqula, Tean seda ja üsna detailselt

Alati võib passiga teha Smart-ID Swedis, mis tasuta ja läbi pangalingi saad ligi 99% e-teenustele

Mnator · HV Guru liitunud: 18.10.2007

DVDRW · HV Guru liitunud: 13.10.2003

Vähemalt ei pea uut id-kaarti tegema

netcat · Kreisi kasutaja liitunud: 13.01.2010

Mis mõtlemisainet? Gemalto on ju esinenud ametlikult teatega, et tunnistab viga ja teeb koostööd. Kui seda koostööd üliväga vajatakse, siis mõjuks kohe kahjutasuga vehkimine pisut jalga tulistamisena, või mis? Kahjutasu saab siis ka nõuda, kui kahjud on kokku loetud.

Mnator · HV Guru liitunud: 18.10.2007

Draqula · HV Guru liitunud: 29.10.2004