[Tanel]

Riigi infosüsteemi amet ja Eesti eID-platvormi pakkuja Trüb Baltic AS on asunud välja töötama tehnoloogiat, mis võimaldaks ühendada ID-kaardi arvutite kõrval ka mobiilide ja tahvlitega. Üks võimalikest kasutusele võetavatest tehnoloogiatest mobiilsete seadmete ja ID-kaardi liidestamiseks on NFC kontaktivaba tehnoloogia.

Loe edasi: http://majandus24.postimees.ee/3225371/id-kaart-voib-saada-kontaktivaba-liidese-mobiili-ja-tahvliga

Loe ka online intervjuud äsja riigi infosüsteemi ameti (RIA) juhina tööd alustanud Taimar Peterkopiga: http://pluss.postimees.ee/3219323/eesti-on-kuberkurjategijaile-parim-sihtmark

[Mnator]

et võib taolise plaani realiseerimise järel oodata moblade ja tahvlite keylogerite uputust ja kallistusi võhivõõrastelt inimestelt .......

[Tanel]

https://www.ria.ee/public/RIA/Kruptograafiliste_algoritmide_uuring_2015.pdf

[Mnator]

ma vist oleks pidanud kirjutama, et kestvaid kallistusi võhivõõrastelt.

[Tanel]

Mnator, no pmst juba praegu ei takista miski kallistusi.

[elukaz]

Aa et juba praegu kallistatakse kaardilugeja su rahakoti vahele?

[Tanel]

PIN koodi teadasaamiseks ja kaardi kättesaamiseks teed pimedal tänaval "tugevama" kallistuse - teeb täpselt sama välja ja on odavam/lihtsam.

Vaevalt, et selle peale pole mõeldud NFC puhul. Selle kirjutataksegi, et enne kasutuselevõttu tuleb teha põhjalik krüptograafiline analüüs.
Kui see üldse tuleb (on piisavalt turvaline).

[elukaz]

Inimfaktorit kiputakse ikka alahindama. Ega keegi ei hakkagi 2048bit krüptot murdma kui on olemas muutumatud pinkoodid mida vabatahtlikult turvamata seadme klaviatuurilt sisestatakse.

[ab79]

Ma ei usu, et asi lihtsalt NFC toega piirdub. Tõenäoliselt läheb asi seda rada, et NFC-ga loetakse isikuandmed ja võtme avalik osa maha. Aga tehingu kinnitamiseks või allkirjastamiseks pead mobiili või tahvliga ikkagi PIN koodi toksima. Lõppkokkuvõttes miskine Mobiil-ID ja ID kaardi ristsugutis peaks arenema. Küsimus on ilmselt selles,kus hoida salajast võtit ja mismoodi lahendada PIN koodide hoidmise küsimus. Vanaviisi kiibi peal ei aita- mobiilil-tahvlil pole liidest mis kiipi maha loeb. NFC kaudu pole ka hea- suur turvarisk.
Mina näeks asja niiviisi, et ID kaart seotakse Mobiil-ID-ga. Ühes võtmed, teises PIN koodid (mobiil-id SIM kaardil). NFC on sillaks kahe rakenduse vahel.
Praegu on Mobiil-ID turvalisem, kui ID kaart, sest autentimine käib mööda kolme krüpttitud kanalit, keegi ei saa pealt kuulata üle klient-pank-mobiilioperaator sideseanssi. Teoreetiline võimalus, et keegi häkib sisse hetkel, kui ma tahan panka mobiil-id-ga sisse logida, täiesti võimatu,sest seanss kestab lühikest aega, päring aegub hetkest, kui pin koodi sisse toksin või autentimisest loobun. ID kaart on muidugi ka turvaline.

Ma arvan, et kui autentimine jääb klassikalise numpadi ehk pin koodiga mobiili-tahvli virtuaalsel või füüsilisel klaviatuuril, on veel ok. Kui identifitseerimine või kinnitus läheb automaatseks, on asi jama. Sest allkirjaõiguse korral piisaks vaid id kaardi lehvitamiseks võõra isiku poolt ja oleks "OK". Mis saab andmekaitsest ja privaatsusest, kui ID kaart on igapäevaselt kaasas, hakkad igal pool käies "piiksuma", sisuliselt saab siis minu liikumist jälgida ükskõik kes... Juba praegu aktsepteeritakse ID kaarte kliendikaardina, OK, see on lihtsalt isikutuvastuse baasil, aga, kui kinnitus hakkaks tööle üle NFC, on asi jama. Ei meeldi.

[Mnator]

Pin koodide teadasaamiseks ma mainisingi kohe esimese asjana keylogerit. Isik peab küll esmalt juba välja valitud olema, s.t. kurjategija peab teadma ohvrit.

[ab79]

mobiili või tahvli puhul keylogger ei aita. seda põhjusel, et sim kaardil olev pin1-pin2 on mahaloetav, mitte kopeeritav ja asub ta turvatud kiibil ning toimib eralditöötava protsessori peal, mis ei sõltu ühestki opsüsteemist ega telefoni tarkvarast..kui võtta aluseks tavaline keylogger arvutis mis loeb lihtsalt klaviatuuri kaudu sissetoksitud sümboleid, siis peaks tegelikult ammu id kaardil olevad koodid lekkinud.
põhjus miks ei saa, on ilmselt see, et sisestatud numbrikombinatsiooni ei salvestata kusagil, see sisestatakse muutmälus otse id kaardi tarkvaras ainult niikauaks, kui on vajalik sisselogimiseks- samamoodi nagu ka netipanga kasutajatunnuse ja mobiilinumbri väljad-swedpank näiteks ei lase brauseril antud infot salvestada, igakord kui netipanga avalehele lähed, pead uuesti sisse toksima. vaatamata sellele, et autocomplete on aktiivne. järelikult ei salvestata kusagil,ka ajutiselt mitte.

suurim turvarisk on muidugi liiga lihtne pin kood. ja liigne usaldus, aga siis taandub asi lihtsalt sellele, et ohver ise suhtleb valede inimestega.

[Mnator]

ab79, miks siis väidetavalt on eraldi, omaenda numbriklaviatuuriga id-kaardi lugeja turvalisem tavalisest? Just rõhutatakse nende puhul, et keyloger siis ei saa pin-koode kätte....aga tavalugeja puhul on väidetavalt siiski võimalik.

[jnt]

Aga miks mitte üldse "tagurpidi"? Et mul on telefon mobiil-id sim kaardiga ja arvuti loeb telefonist nfc üle infot, mis vaja? Telefon käituks kui numpad'iga id-kaardi lugeja. Muidugi veidi mõttetuks muutub see siis, kui absoluutselt kõik portaalid ka mobiil-id'd lubavad.

Küll aga võiks olla võimalik jagada avatud infot, mis on id-kaardil, läbi nfc, et poed saaksid seda vähemalt kliendikaardina kasutada.

[rex]

[allu22]

PIN sisestamine kaardile viia? Kiire googeldamine andis sellise asja; http://hunkydee.blogspot.com/2012/11/new-smart-credit-cards-comes-with.html

[ab79]

[DVDRW]

Järgmine kuu lõppeb mul ID kaart ära. Ehk ei hakkagi enne uut tegema kui tuleb see NFC

[Tanel]

[WäntWõll]

http://open-eid.github.io/mobile/index.html?4311UuepolvkonnaeIDkiipkaartTrub.html
https://sk.ee/upload/files/AK2014_New%20Generation%20of%20eID%20Smartcard_Andreas%20Lehmann.pdf

[DVDRW]

[jnt]

ab79, einoh, üle nfc käiks sama side, mis täna üle usb juhtme, kusjuures "juhtme" teises otsas on siis id kaardi lugeja koos numpad'iga. (telefon) Igapäevaselt nii vajalik ei tundu, aga kujuta nüüd ette, et pangas vaja midagi allkirjastada, siis lööd telefoni kolks mingi karbikese vastu ning sisestad seejärel pin koodi nii nagu praegu mobiil-id'ga teed. Põhimõtteliselt lihtsalt väike shortcut sellele, et veebis hakata telefoni numbrit kirjutama kuskile.
Ja kindlasti võiks ka id kaardil olev plaintext stuff kättesaadav olla üle nfc, et panna kliendikaardid toimima.

[Mnator]

Numbriklaveriga id-kaardilugejate suhtes keylogerist pole veel teateid olnud, kasvõi juba seetõttu, et see ei oska infot saata mitte kuhugi mujale kui vaid arvuti id-kaardi tarkvarale kindla protokolli alusel ja seejuures osa infot on juba töödeldud seadme enda sees, mitte ei saadeta sisestatud pin-koode. Aga telefon/tahvel samas rollis on üsna haavatav, saadab hõlpsalt ka infot kurikaeltele nagu tavaarvuti ja seejärel nfc-ga ühendus luua ... küllalt must stsenaarium minu silmis.

[klf]

Kui terminali ennast ei või usaldada, siis numbriklaviatuur seda viga ei ravi. Sa ei tea ju, millele allkirja annad. Ekraanil näitab ühte, dokument on aga teine, või on sinna miskit lisatud.
Vaja on sellist terminali mis tegeleks ainult dokumendihaldusega, mille puhul oleks mõeldamatu mingisugune "äppide laadimine". Ühesõnaga, vaja on vastava toega e-lugerit.
Puutetundliku ekraani puhul võiks asi olla nii lihtne, et paned kuvatavale lehele oma käpa alla, mille peale terminal küsib PIN'i ja teeb digiallkirjastuse sinna otsa.

[ab79]

[elukaz]

Pigem siis juba dualsim telefonid mille ühel pesal on id võimekus ja kaart siis giljotiini all sobivaks. Ja tagakaanele eraldi displei pinpadi jaoks.