[Tanel]

PRESSITEADE - 30. augustil informeeris rahvusvaheline teadlaste grupp Riigi Infosüsteemi Ametit (RIA), et nad avastasid turvariski, mis mõjutab Eestis alates 2014. aasta oktoobrist välja antud ID-kaarte.

„Eesti ekspertide praeguse hinnangu kohaselt on turvarisk olemas ja me jätkame teadlaste väidete kontrollimist,“ ütles RIA peadirektor Taimar Peterkop. „Oleme juba välja töötanud esmased lahendused riskide maandamiseks ning teeme kõik selleks, et ID-kaardi turvalisus oleks jätkuvalt tagatud.“

„Praeguse info kohaselt ei ole antud turvarisk realiseerunud ning mitte kellegi digitaalset identiteeti ei ole selle abil kuritarvitatud,“ ütles Peterkop. „Kõik ID-kaardiga tehtud toimingud kehtivad ja astume rea samme, et seda turvariski ei oleks võimalik Eesti ID-kaardi ründamiseks kasutada ka tulevikus. Sulgesime ID-kaardi avalike võtmete andmebaasi, kuna ilma avalikku võtit teadmata ei ole võimalik antud turvariski kaardi ründamiseks kasutada.“

Võimalik turvarisk puudutab alates 2014. aasta oktoobrist välja antud ID-kaarte (sealhulgas e-residentidele väljastatud kaarte) ehk kokku ligi 750 000 kaarti. Enne 2014. aasta 16. oktoobrit väljastatud ID-kaartidel oli kasutusel teine kiip ning neid see risk ei mõjuta. Samuti ei puuduta antud turvarisk mobiil-ID-d.

„Eesti digitaalne ühiskond kasutab maailmas uuenduslikke tehnoloogiaid. Uute tehnoloogiatega kaasnevad mugavused, kuid paraku alati ka riskid. Oluline on, kuidas võimalikke ohte avastatakse ja välditakse. Antud juhtum on hea näide sellest, kuidas teadlased annavad avastustest meile teada ning Eesti riik saab asuda probleeme lahendama,“ ütles RIA juht Taimar Peterkop.


Allikas: https://www.ria.ee/ee/id-kaardi-kiibis-avastati-turvarisk.html

[Betamax]

[sooty]

Suht sobilivalt enne valimisi ilmunud uudis. Mina tõmban ajastuse peale tinfoili silmadeni.

[Betamax]

Tea, kas järgneb uus ring ID-kaardi uuendamist ja rahva jooksutamist-solgutamist. Alles siin kilgati, et uuem ja turvalisem - kindlasti tehke uuendused ära jne. Nüüd kohe pärast seda uus laks. Mina saan asjale pihta, aga lihtsam inimene, kes sellest "arvutivärgist" miskit ei jaga, võib päris ärritunud olla, et jälle hakka sellega jamama

[jeesus188]

http://arileht.delfi.ee/news/uudised/id-kaardi-kiibi-turvarisk-seab-e-valimised-kahtluse-alla?id=79410302

[pppd]

[sooty]

Eks nüüd seatakse kõik alates 2014 toimunud e-liigutused kahtluse alla.
eRiik closed for business

[Tanel]

Failide krüpteerimise võimalus ID kaardiga läks ka kinni, seoses ID-kaardi avalike võtmete andmebaasi sulgemisega.

[bladerunner]

Tanel, selle saab ringi teha nii, et andmeid saab sealt ainult PIN1 peale kätte ja neidki nt mingi X tk minutis. Sellega hoiab andmeõngitsejad eemal hoides rakendust samal ajal kasutatavana.

Aga suure jamaga tegemist igal juhul. Ma usun et 2017 KOV e-valimised jäävad ära ja 2019 RK e-valimised toimuvad eeldusel et need 750k kiipi on ringi vahetatud.
Riik lihtsalt ei saa lubada omale kahtlusi sellises asjas.

KE on muidugi sillas hetkel - "Aga me ju rääkisime kogu aeg..."

[Betamax]

Ehk siis olemasolevaid krüpteeritud faile ei saa samuti lahti hetkeseisuga? Nice

[Magic]

Nali kuubis ikka
Uus ja turvalisem.
Mul 2015 märts uuendatud

[pppd]

[Betamax]

[sooty]

[Magic]

Päriselus ma ei kasuta ID pea üldse (juhiloana ainult), erinevalt mID lahendusest.

[H_K]

[ykshuntka]

Asi ei tööta ikkagi nii nagu telliti.
Isegi viimane kaartide ja programmi uuendus ei aidanud.
Nüüd väike paanika ja paari nädala pärast parandus selga.
Ja kõik valima

[sooty]

Valima? Teades peaministri erakonna viha kõige e vastu läheb hästi, kui lubatakse kehtivuse lõpuni isikut tõendava dokumendina kasutada ("sest kiibita dokument on turvalisem ju" kõlab suht Karilaiu moodi)

Mina ei suuda optimistlik olla. See jama on igal juhul vesi keskerakonna veskile ja hetkel nende käes kõik hoovad piduri tõmbamiseks.

[Betamax]

Viga on viga ja see pole mitte mingil viisil Keskerakonna süü.
Pigem jätta kõiksugu KE provokatsioonidele allumata ja parandada see viga ASAP ära ning näidata, et see e-värk meil ikkagi toimib.

[fgth]

"Kõigi vigaste kaartide koodi lahtimuukimine maksab hinnanguliselt ligi 60 miljardit eurot." Ehk 80 000€ kaardi kohta

[pppd]

Tundub et Kesk ei ole ammu enam probleem, EKRE on selle e-hääletuse vaenamise teema edukalt üle võtnud. Ei läinud paari tundigi, kui Helme juba täpselt teab, millega tegu ja mida teha tuleb.
http://uueduudised.ee/uudis/mart-helme-e-valimised-tuleb-ara-jatta/

[sooty]

Krt err striimil ei ole ju häält

[Betamax]

[jeesus188]

Mitu korda öeldakse err ülekande ajal teoreetiline?
Ülekanne
http://www.err.ee/616719/id-kaardi-kiibis-peitub-teoreetiline-turvarisk

[sooty]

[attrs]

[Betamax]

[Nastix]

[SirVorkars]

Ja jaa tulge vahetage välja ja 25 per feiss riigil tulu jälle...
Ning järgmine aasta avastame järgmise turvariski... uus vahetus jälle...
Ja nii lihtsalt riigieelarvete auke täidamegi...

[pppd]

[jeesus188]

[WäntWõll]

SirVorkars,
Mis riigi tulu siin jahutakse Riigile on kaart tasuta või kust seda asja nüüd imetakse.
Tootmise hind on ID-kaardi hind mis on riigilõiv.
Taristusse kus kaarti kasutad ei maks ju suurt keegi midagi, kui siis ainult tähte saab närida, et maksad riigile makse.

Lisaks teema ei ole vahetamises, kui täna toodetakse edasi teoreetilise turvariskiga kaarte, mida sa siin vahetad

[sooty]

Kas need vea leidjad on juba tuvastatud? Tahaks tausta teada. Ma olen jätkuvalt keskerakonna jaoks ülisoodsa ajastuse tõttu skeptiline. Kas oli vaja nii suure kella külge panna? Meenutuseks, et see propaganda on jätkuvalt üleval: https://estoniaevoting.org/

Välismaal juba levitatakse kuulujutte, et kõigi e-residentite ja elanike isikuandmed on häkitud vms

[Tanel]

[Magic]

Eelnev oli sellise ümara jutu ajamine ja selle sidumine e-valimiste peale. Hetke probleem tundub tõsisem, sest 80K tehnika kuluna pole suurt midagi. Lisaks jama sellega, et riik ei saaks ka 1 juhtumit lubada.
Aga kui kui selle 80K eelduseks on rohkem infot kui tavaliselt välja antakse, siis probleemi pole. Hetkel võiks siis lubada mID kasutamise (paberit täitma küll ei viitsi minna).
Ehk kui e-valimine kaob, siis valima ei lähe.

[sooty]

Nimede ja konkreetsete faktide peitmine jätab igatahes suht halva mulje ja hea pinnas vandenõuteoreetikutele.

Näide tõenäolisest propagandast:

[Raisum]

ID.ee lehel on veel natuke infot selle kohta.

[Magic]

http://www.ohtuleht.ee/826350/id-kaardi-turvarisk-politsei-vastab-mis-muutub-kaardi-kasutaja-jaoks
step by step.

Nende vastuste baasilt võib ilmselt ID-ga e-valimised ära unustada.

[Betamax]

Pressikonverents oli hästi ette valmistatud, küsimustele suudeti vastata ja kogu värk polnud poliitiline. Ajakirjanikud olid samuti õnneks normaalsed, kuigi ikkagi mõnest küljest oli kiuslikku torkimist tajuda.
Ega siin muud polegi teha kui lasta asjapulkadel oma tööd teha. See oli õigesti öeldud, et kõigepealt lahendame probleemi ja siis hakkame alles süüdlaseid otsima ning kahjusid kokku lugema.

[kalvis]

Avaldus oli meelega ümmargune, et keegi teoreetilist võimalust praktikas kasutama ei tormaks.
Turvalahenduste töötajad püüavad pidevalt häkkerimaailmas tagasisidet saada kas nende kiip või algoritm on lahtimuugitav. teoreetiline tähendab, et kellelgi õnnestus just selle kaardi riistvara lahti muukida.
Põhimõtteliselt kogudes rohkem infot, oleks sel teoreetilisel häkkeril võimalik teostada kõiki ID kaardi tehinguid "õige isiku" pähe. Ja püüa siis õige isikuna tõestada, et see miljoniline käendusleping pole minu poolt allkirjastatud, pangakonto tühjendamisest rääkimata.
Seejuures e-valimised on veel pisiasi. Seniks ongi kõige turvalisem mitte ID kaarti kasutada kuniks on mingi lahendus välja mõeldud.
Ainus lohutav asi - tõenäoliselt lahtimuukijad vaevalt eesti Id kaardist midagi teavad. Seega on võimalik kiirelt kas paik peale panna (eriti ei usaldaks) või pigem kaardid kohe välja vahetada - rahaliselt kallim kuid turvaline lahendus.

[Betamax]

Peamine, et nüüd kapiteoreetikuid-maailmalõpuvandenõulasi meedias promoma ei hakataks. Vältimaks sellises stiilis situatsiooni: http://www.independent.co.uk/life-style/gadgets-and-tech/news/nasa-mars-child-sex-slave-colony-space-agency-alex-jones-infowars-robert-david-steele-a7816371.html

[sooty]

Digi suhtes skeptilised (välis)ajakirjanikud ja (välis)poliitikud ei kasuta seda mingil juhul punktide noppimiseks ega oma eesmärkide edendamiseks. Ja kindlasti ei oota meid ees kuid kestev vestlussaadetes ja arvamusartiklites lahmimine.

[H_K]

[sooty]

Ära proovi intriigi tekitada. Öeldi küll selgelt välja. Server suleti selleks, et ei saaks massiliselt päringuid teha. Turvarisk on jätkuvalt olemas. Kuritarvitamiseks on vajalik avalik võti.

http://epl.delfi.ee/news/arvamus/politoloog-e-valimistega-on-hoopis-tosisemad-probleemid-kui-id-kaardi-turvalisus?id=79412464

oportunistid ka lahmimas

[lz]

[pppd]

H_K, tutvu terminiga 'responsible disclosure'. Augu avastaja võtab ühendust tootja või teenusepakkujaga, annab normaalse aja vea kõrvaldamiseks ja siis tuleb detailidega avalikkuse ette. Ehk praegune riigipoolne 'full disclosure' pole võimalik, sest a) enne kõikide detailide avalikustamist tuleb auk likvideerida, et pahad seda ilmsüütute kodanike vastu ei kasutaks b) see inf pole riigi oma, see on augu leidjate privileeg, et nemad saavad otsustada, kus ja millal see info avaldatakse. Sinu uudishimu ei ole paraku argument

[Tanel]

[loox]

[Tanel]

See 80 000 per kaart oleks ikka väga kallis, kasvõi ühe hääle potentsiaalse kaaperdamise suhtes.
Rahaliselt odavam on krediitkaardi pettus.

Ootame valimiskomisjoni otsust.

[sooty]

Ei mäleta väga täpselt, aga juba antud e-häälte töötlemise protsessi osa on ju samuti digiallkirjadega seotud? Siis ei pea 750 000 allkirja murdma.