[Tanel]

sooty, meh?

[Tanel]

http://www.err.ee/616735/valimiskomisjon-arutab-e-haaletuse-voimalikkust-kolmapaeval

[H_K]

[sooty]

[salatoimik]

iga kord enne valimisi ujuvad igasugu experdid oma hädadega välja ja kaaugtavad et ebaturvaline. Vahepealsel ajal ei piixu nagu keegi

[DVDRW]

[sooty]

[Tanel]

[Leinö]

https://imgur.com/Yvlh0Al

[rv30]

[Plugy]

Tänapäeval on paljud kliendikaardid muutunud ID-kaardi põhiliseks, aga keegi pole ära seletanud inimestele, mis andmeid see ID-kaardilt võtab kui registreerida ID-kaart kusagil poes kliendikaardiks.
Kas keegi teab?

Kui hakata mõtlema, siis juba sellega seoses võib olla turvarisk päris suur, kui antud poe serverist mingi häkker suudab varastada kliendikaardi andmeid, näiteks dokumendi number jne, mida hiljem saab omakord maha müüa dokumendi võltsijatele.
Sest dokumendi number on sama tähtis nagu isikukood, sellega sa identifitseerid enda isikut.

[WäntWõll]

[Sold OUT]

isikuandmete faili saab id kaardilt kätte automaatselt, muud midagi

Allolevaid andmeid saab lugeda ilma PIN-koodi sisestamata (piisab, kui kaart on lugejas).

Omaniku andmed:

eesnimi
keskmine nimi
perekonnanimi
sünnipäev
sünnikoht
isikukood
kodakondsus
sugu
elamisloa tüüp
ID-kaardi enda kohta saab lugeda järgmiseid andmeid:

ID-kaardi seerianumber
ID-kaardi aegumise aeg
ID-kaardi väljaandmise aeg

[LKits]

Kas ma olen valesti aru saanud, aga krüpteerimise andmebaas peaks sisaldama ju ainult avalike võtmeid ehk krüpteerimine võib olla häiritud, mitte DEkrüpteerimine?
Privaat-võti peaks ju asuma ID-kaardil.

Krüpteerimine peaks toimuma järgnevalt:
* Kasutaja soovib krüpteerida faili nii, et seda saaks avada Ain;
* Krüpteerimise programm pöördub avaliku võtme andmebaasi poole;
* Laaditakse alla Aini avalik võti (sertifikaat), krüpteeritakse sellega fail;

Nüüd, kui see krüpteeritud fail saadetakse Ainile, siis de-krüpteerimiseks ei pea olema tal ju Internetiühendust ehk ei pöörduta andmebaasi poole.
Või peab? Olen millestki valesti aru saanud?

[webromps]

[scorpionx]

Krüpteerida saab, küsid adressaadi ID-kaardi kiibilt isikutuvastamise sertifikaadi (http://id.ee/index.php?id=33998), kui tõesti vaja.
Dekrüpteerida saab, salajane võti dekrüpteerimiseks kaardi kiibil.

^ mõlemad offline tegevused, ei ole taustal toimimiseks teenust / internetiühendust vaja. Avalik LDAP-kataloogiteenus (ldap.sk.ee:389) tegi asja lihtsalt tarbijale mugavaks ja kenasti kättesaadavaks => DD3 krüpto tegi kasutaja eest päringu kataloogi, võttis sealt sertifikaadi ja pakkus võimaluse krüpteerimiseks.

***

isikuandmete failis olevat infot saab igaüks lugeda, kui nt paigaldab OpenSC oma tööjaama (https://github.com/OpenSC/OpenSC/releases). Seal on eidenv.exe nimeline rakendus, mis loeb kaardilugejas oleva dok. isikuandmete failist info ja manab kasutaja ette.
sama kasutavad ka kliendikaardid, a la superkinod, olerex jne.

[ab79]

[WäntWõll]

[LKits]

[jägaja]

No problemo

http://arileht.delfi.ee/news/uudised/telia-saame-mobiil-id-paeva-jooksul-anda-tuhandetele-inimestele?id=79416494

ehk nüüd kõik mID või sID manu, vastavalt vajadusele teha valik.

[sarvik]

See mobiil id päästaks vist ainult siis kui samas ka id kaart lasta blokeerida? Vastasel juhul on ju ikka see teoreetiline võimalus, et keegi kasutab seda auku ära teades vaid kaardi avalikku võtit. See kas ise id kaarti kasutada või mitte ei oma tähtsust, piisab kui see on sulle välja antud. Või olen millestki valesti aru saanud?

[webromps]

Kuigi oht on teoreetiline, siis pakun et kõrgematel positsioonidel olevate isikute serdid tühistatakse, vältimaks potentsiaalset rünnet. Paar miljonit eurot mõne tipppoliitiku võtme murdmise eest ja vale allkirja väljaandmiseks eest on suhteliselt odav. Seega tasub silma peal hoida, et kas nüüd lähiajal on tekkinud või tekib sinna huvitavate isikute serte. Samas seal on ainult vist sert id. Ja selle mappimine on natukene tülikas tegevus.

Aga hetkel vist kõige loogilisem probleem tundub olevat kiibil olev algoritm, millega võtmed on genereeritud. Ilmselt ei ole siis päris randomilt tekkinud need võtmed, kui public key abil murtakse. Vaevalt päris brute force RSA murdmine.

[scorpionx]

[SirVorkars]

[Dogbert]

[sukelduja]

[Etz]

Einoh, midagi erilist ju ei juhtunud...random number ilmselt polnud lihtsalt eriti random...
Tootja kehitab õlgu ja väljastab patchi...enamik inimesi aga vaevalt et viitsib oma kaarti "upgradeda", seega riik keerab peagi need vigased kaardid kinni (tühistab sertifikaadid) ja elu läheb edasi.

Saame lihtsalt osakese oma elust taas PPA järjekordades veeta ja riigile pappi köhida...

Olen ise üks neist õnnelikest, kes sellel kevadel juba pidi oma ID kaarti vahetama...

[Diginugis]

Vähemalt saab soodukat

Spoiler

[Mnator]

Mis kuradi soodustus, see peaks olema alatiseks tasuta, kui just kiirelt id-kaardi probleemist üle ei saada.

[Equinox]

Link: https://geenius.ee/eksklusiiv/mis-id-kaardiga-ilmselt-tegelikult-juhtus-ja-kui-ohtlik-see-eestile/

Lõik artiklist:

[sooty]

Ei ole. Siiani jagatud info järgi on tõestatud teoreetiliselt. Suht kollane ja liiga alarmist artikkel väidab ka seda, et digiallkirjaga saab korteri ära võtta ja osaühingu maha müüa. Ei saa kumbagi teha. Isegi pangalaenu ei saa korteri peale.

[Dogbert]

Väikesele kogusele korrektsele infole lisaks liigub massiliselt FUD-ivahtu, nagu ikka.

[Max Powers]

Teoreetiline võimalus on siis kolm aastat eksisteerinud?

[bladerunner]

Teoreetiline võimalus on alati eksisteerinud.
Lihtsalt nüüd väidetavalt tõestati ära, et seda on ka reaalselt praeguse arvutusvõimsuse juures võimalik realiseerida mõistliku aja ja kuludega.

[Betamax]

Pärast seda Roonemaa artiklit on PPA telefon tõenäoliselt punane - rahvas kardab, et nende korterid müüakse 100€ eest maha ja peaministri lahtimuugitud ID-kaardiga antakse luba Venemaa okupatsioonile Eestis

[bugbrake]

Ma vaatan, et seda s**** on nüüd korrilikult ventikasse vistatud. See parastajate pool on nüüd päris häälekas. Ma vaatan seda asja nii et hea on et leiti see viga ja seda tunnistatakse ning sellega tegeletakse (loodetavasti).
Paljude inimeste arusaam sellest IT poolest on väga pealiskaudne kui üldse (mitte et kõik peaksid teadama täielikult seda) ja siis on see arusaam kerge tulema, et oi kuidas see kõik on pettus, vandenõuteooria jne. Kui inimesega rääkida kvantfüüsikast siis enamus ei mõista seda aga see ei tee ju kvantfüüsikat olematuks. Eks siin ole oma osa ka ajakirjandusel. Mina ei võta seda nii drastiliselt kui nüüd sellest kirjutatakse, leitakse lahenus saadakse korda.

[pppd]

[sooty]

Vähemalt reageerivad jura levitamisele kiirelt. Loodetavasti suudavad välismeedias ka uudiskünnise ületamisel piisavalt õiget infot jagada.

[Betamax]

[jägaja]

[teretalv]

Häkkimiskindlaid ja tagurpidi mitte lahti inseneeritavaid asju ei ole olemas nagu ei ole olemas ka tagatiseta raha, kõik muu on illusioon mille kukutab kokku esimese doominoo kukkumine.
Netiteel hääletamine tohiks olla vaid eelhääletusel võimalik.

[bugbrake]

[sooty]

Loen järjest meil avaldatavaid artikleid ja jääb mulje, et ikkagi keskerakonna räige ja EV sügavalt kahjustav trikitamine, sest avalduste järgi toimub riigis absoluutselt kõik vanaviisi edasi ning teised riigid ega ettevõtted, sest puudutatuid peaks ilmselt olema üksjagu, pole teinud mitte mingit avaldust.

[rv30]

No ei toimi ju kõik vanaviisi edasi. Dokumente ei ole võimalik krüpteerida kuna avalike võtmete andmebaas on suletud.

[pppd]

dokumente on endiselt võimalik krüpteerida, lihtsalt tuleb adressaadi sertifikaat saada kuskilt mujalt, soovitavalt tema enda käest.

[sooty]

Kui demagoogitseda, siis selle kasutamine tõesti raskemaks tehtud. Tavainimese jaoks on see väga kauge probleem. Pideval kasutajal on vajalikud serdid olemas ja need saab käsitsi lisada.

[sukelduja]

[jägaja]

Küsitakse ühes artiklis, et kelle huvides oli vaja ID kaardiga miskit ette võtta, ja loen järgmisest artiklist..

[pppd]

[Tanel]

http://www.postimees.ee/4234817/ria-peadirektor-5-oktoobriks-viga-parandatud-ei-saa