Kütuse tankimisel põlema lahvatamine on sadu kordi suurem risk kui see sinu sertide jalutamaminek _________________ Every version of the garment appears to be sold out online, with prospective shoppers given the opportunity to join a waitlist.
LKits, kas igal PIN koodi muutmisel krüpteeritakse võtmed uuesti kaardi peal?
Ma loodan küll, sest muidu ei kaitse PIN kood priva võtit üldse. Sellepärast on ka vajalik PIN koodi muutmisel vana PIN kood sisestada, et kõigepealt de-krüpteerida ning siis uuesti krüpteerida.
LKits, kas igal PIN koodi muutmisel krüpteeritakse võtmed uuesti kaardi peal?
Ma loodan küll, sest muidu ei kaitse PIN kood priva võtit üldse. Sellepärast on ka vajalik PIN koodi muutmisel vana PIN kood sisestada, et kõigepealt de-krüpteerida ning siis uuesti krüpteerida.
Ma olen kasutanud OpenPGP krüteeringut meilirakendustel ja sel ei genereerita salasõna vahetamisel mitte mingit uut võtit. Ma arvan, et ID kaardiga on samamoodi.
LKits, kas igal PIN koodi muutmisel krüpteeritakse võtmed uuesti kaardi peal?
Ma loodan küll, sest muidu ei kaitse PIN kood priva võtit üldse. Sellepärast on ka vajalik PIN koodi muutmisel vana PIN kood sisestada, et kõigepealt de-krüpteerida ning siis uuesti krüpteerida.
Ma olen kasutanud OpenPGP krüteeringut meilirakendustel ja sel ei genereerita salasõna vahetamisel mitte mingit uut võtit. Ma arvan, et ID kaardiga on samamoodi.
Jutt on kahest eri asjast. Kindlasti ei genereerita ID-kaardi PIN koodi vahetamisel uut võtit, vastasel juhul oleks vaja ka uut sertifikaati. Omaette küsimus on see, kas võti on PIN koodiga krüpteeritud või kaitseb PIN kood seda muud moodi. Kui OpenPGP võti on salasõnaga kaitstud, siis salasõna vahetamisel krüpteeritakse see uuesti, kuid võti ise jääb samaks.
PIN kood minu meelest väike asi võrreldes sertide endi haavatavusega. Kodus ID kaardi haldusvahendi abil PIN vahetamine või sertide uuendamine (olen seda juba korra teinud, kui Id kaardi halduvahend seda pakkus) on tunduvalt turvalisem, kui näiteks sama protsessi läbiviimine avalikus internetipunktis ID kaardi lugejaga varustatud arvutis. Kodus teed, seda enamasti siis, kui kedagi kõrval ei ole või isegi, kui teed oma pereliikme nähes, siis ilmselt usaldad pereliiget rohkem, kui mingeid juhusõpradest tonte, kes külas on- Olgu öeldud et nt võõrale isikule, olgu või nn "sõbrale" usaldatud PIN kood on palju ohtlikum versioon kui ise asju ajades. Sisuliselt on PIN kood ikkagi kasutaja kinnitus ehk vastab tingimusele "Jah". nt Jah, ma tahan sisse logida, Jah, ma tahan allkirjastada. Ja siis käivitatakse vastav protsess mida kasutaja tahab teha. PIN kood on 4 kohaline number ja selle äraarvamine ilmselt juhugeneraatori abil on kindlasti lihtsam (PIN ei ole krüpteeritud, ainult siis krüpteeritakse, kui lukku läheb nt 3 korda valesti sisestades), aga selleks et seda teha, peab pahalasel olema kaart käepärast. Mitu korda olen nt Telia esinduses oma mID uut sim kaarti taodeldes oma ID kaardiga tema juuresolekul sisse toksinud, kas teenindaja vaatab või ei vaata, pole väga tähtis sest ilma kaarti füüsiliselt valdamata ta ei saa midagi teha.
Nii, masshäkkimine: PIN kood ilmselt asub samuti kiibil, samuti koodi muutmine ja ülekirjutamine. Nüüd on küsimus selles, et seda saab teha ainult ID kaardi tarkvara abil. Pahalasel võib olla arvuti ID kaardi tarkvara, aga kui tal kaarti füüsiliselt ei ole, ei piisa sellest et PIN üle kirjutada või sisse häkkida- Nimetatud põhiturvarisk tuli ju mujalt- algoritmi veast, millel pole PIN koodiga mingit pistmist. Sama ka PIN de-blokeerimisega PUK abil. Pahalasel peab olema ligipääs PUK koodile, sest PUK võib-olla krüpteeritud, vähemalt mina arvan nii võib-olla eksin nende koodide krüpto osas. Lõppkokkuvõttes on kaardivalmistaja- ja postikäitlejapoolne leke (Ümbrik, koos PIN koodide ja kaartidega saadetakse isegi uue korra järgi koju,kui teed taotluse digikeskkonnas ja sõrmejälgede andmisest politseiametile biomeetrilise passi taotlemisel pole möödunud rohkem, kui 5 aastat) on palju suurem oht, sest kaardivalmistaja trükib kaardi ja genereerib koodid, postikäitleja-kuller peab selle sinuni toimetama. KUi selle etapi käigus läheb kaart valedesse kätesse, siis on risk palju suurem, kui minna teenindusse ja seal kaart kätte saada. Selles mõttes on nt pangakaartide positeel toimetamine ja mID sewrtride taotlemine turvalisem- mõlemad eeldavad usaldusväärse identimisvahendiga sisselogimist e-keskkonda ja alles siis aktiveeritakse teenus. Ahjah, mis puutub koodide nähtavusse ID kaardi haldusvahendi kasutamisel, siis sisestus on maskeeritud ju. Krvalt võib inimene vaadata ekraani aga ta ei näe midagi. Tark nuhk vaatab sel juhul seda, kuidas sa klaviatuuri sisestad- seetõttu on ka uutel sularahaautomaatidel ja isegi osadel kassaterminalidel NUmPad külgedest varjatud, mis puudutab skimmereid ja muid vahendeidf, siis selle kohta on pangad soovitanud jälgida, et automaat ei näeks kahtlane välja, aga võimalus, et keegi paneb varjatud jälgimisseadmeid sinu kodu arvutile, on kaduvväike, et mitte öelda- olematu. Juua täis peaga sõbrale ID-Pangakaardi usaldamine joomakaaslasele on siinkohal 1000 korda suurem risk, et ärkad pärast üles, pangaarve tühi ja sinu vastu on esitatud SMS laenunõue.
LKits, kas igal PIN koodi muutmisel krüpteeritakse võtmed uuesti kaardi peal?
Ma loodan küll, sest muidu ei kaitse PIN kood priva võtit üldse. Sellepärast on ka vajalik PIN koodi muutmisel vana PIN kood sisestada, et kõigepealt de-krüpteerida ning siis uuesti krüpteerida.
Ma olen kasutanud OpenPGP krüteeringut meilirakendustel ja sel ei genereerita salasõna vahetamisel mitte mingit uut võtit. Ma arvan, et ID kaardiga on samamoodi.
Jutt on kahest eri asjast. Kindlasti ei genereerita ID-kaardi PIN koodi vahetamisel uut võtit, vastasel juhul oleks vaja ka uut sertifikaati. Omaette küsimus on see, kas võti on PIN koodiga krüpteeritud või kaitseb PIN kood seda muud moodi. Kui OpenPGP võti on salasõnaga kaitstud, siis salasõna vahetamisel krüpteeritakse see uuesti, kuid võti ise jääb samaks.
Täpselt.
Sama kehtib ka näiteks TrueCrypt kõvaketta krüpteerimisel.
võimalus, et keegi paneb varjatud jälgimisseadmeid sinu kodu arvutile, on kaduvväike, et mitte öelda- olematu.
Keyloggeri varjatud installimise võimalus arvutisse on kaduvväike, et mitte öelda olematu? Khm khm
Also, võimalus, et keegi su arvutile juba paigutatud täiesti varjamata jälgimisseadme varjatult üle võtab (veebikaamera) - ka täiesti olematu, eks ole?
võimalus, et keegi paneb varjatud jälgimisseadmeid sinu kodu arvutile, on kaduvväike, et mitte öelda- olematu.
Keyloggeri varjatud installimise võimalus arvutisse on kaduvväike, et mitte öelda olematu? Khm khm
Also, võimalus, et keegi su arvutile juba paigutatud täiesti varjamata jälgimisseadme varjatult üle võtab (veebikaamera) - ka täiesti olematu, eks ole?
kuidagi tasapisi on tekkinud teema ID-kaardi enda "häkkimisest". Kui ma õigesti oplen arusaanud, pole turvariski realiseerumiseks häkkeril füüsilist ligipääsu ID-kaardile ja ID-lugejale üldse vaja.
Seega sügavalt kama on sellest kas sa üldse oma e-identiteeti reaalelus kasutad. Piisab, kui sertifikaadid ei ole peatatud ega ka tühistatud.
võimalus, et keegi paneb varjatud jälgimisseadmeid sinu kodu arvutile, on kaduvväike, et mitte öelda- olematu.
Keyloggeri varjatud installimise võimalus arvutisse on kaduvväike, et mitte öelda olematu? Khm khm
Also, võimalus, et keegi su arvutile juba paigutatud täiesti varjamata jälgimisseadme varjatult üle võtab (veebikaamera) - ka täiesti olematu, eks ole?
Pin kood üksinda on väärtusetu.
No kui keegi vaevanäha tahab siis PIN kood(id) on ju ka vaja teada saada ja kui need juba teada saadud siis vastav pikanäpumees paneb sul rahakoti koos kõigi kaartidega pihta.
Koodid oled sa juba eelnevalt saanud, eks.
Asi on motiveerituses. Alati ei pea röövima ja kõike välja peksma. Saab ka tsiviliseeritumalt inimesele "ülatuse" valmistada. Pole vaja häkkida ID-kaarti kuude ja aastate kaupa ega pool tundi inimest peksta. _________________ " Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine."
võimalus, et keegi paneb varjatud jälgimisseadmeid sinu kodu arvutile, on kaduvväike, et mitte öelda- olematu.
Keyloggeri varjatud installimise võimalus arvutisse on kaduvväike, et mitte öelda olematu? Khm khm
Also, võimalus, et keegi su arvutile juba paigutatud täiesti varjamata jälgimisseadme varjatult üle võtab (veebikaamera) - ka täiesti olematu, eks ole?
Pin kood üksinda on väärtusetu.
No kui keegi vaevanäha tahab siis PIN kood(id) on ju ka vaja teada saada ja kui need juba teada saadud siis vastav pikanäpumees paneb sul rahakoti koos kõigi kaartidega pihta.
Varguse puhul tuleb kaart kohe kinni panna. See on elementaarne. Alati võib ka vana head rattavõtme ja põlve meetodid kasutada kui tahad teemat selles suunas edasi arendada kus füüsiline vägivald juba laual on.
Spoiler
viimati muutis sukelduja 14.09.2017 14:59:46, muudetud 1 kord
sukelduja, Röövimise puhul saad rahakoti kadumisest kohe teada, kui varguse oled avastanud, on juba ammu hilja. _________________ " Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine."
sukelduja, Röövimise puhul saad rahakoti kadumisest kohe teada, kui varguse oled avastanud, on juba ammu hilja.
Sa võid sama hästi ka ohvri lapse röövida ja ta teeb kõik, mida sa tahad, ise ära, aga mingiks massilisemaks aktsiooniks ei sobi kumbki. E-valimiste kontekstis on see liiga kallis, aeganõudev ja ohtlik.
viimati muutis sukelduja 14.09.2017 15:05:16, muudetud 1 kord
Üsna lihtne viis erinevaid avalikus kohas sisse toksitud PIN koode teada saada on termokaamera kasutamine. Vahetult peale PIN koodi sisestamist toob termokaamera näpitud numbrid nähtavale.
Aga kui puudutad suvalisi nuppe ka? _________________ Every version of the garment appears to be sold out online, with prospective shoppers given the opportunity to join a waitlist.
Loomulikult näeb termokaameraga, siis neid suvaliselt puudutatud nuppe. See eeldab teadmist, et keegi jälgib sind termokaameraga. Siin oli juttu PIN koodi sisesamisest.
võimalus, et keegi paneb varjatud jälgimisseadmeid sinu kodu arvutile, on kaduvväike, et mitte öelda- olematu.
Keyloggeri varjatud installimise võimalus arvutisse on kaduvväike, et mitte öelda olematu? Khm khm
Also, võimalus, et keegi su arvutile juba paigutatud täiesti varjamata jälgimisseadme varjatult üle võtab (veebikaamera) - ka täiesti olematu, eks ole?
kunagi räägiti, et arvuti klaviatuuri nuumpadist tulenevate ohtude vältimiseks on soovituslik kasutada eraldi numpadiga varustatud kaardilugejat. tavalise klaviatuuri ja keyloggeri puhul pidi olema id kaardi puhul koodi mahalugemine igaljuhul raskendatud, mil moel, jäi selgusetuks.
varjatud kaamera jne, sry, kui ma olen arvuti ainukasutaja, ei tassi seda igale poole kaasa, ei jäta vedelema, siis kes saab ligi ja mulle midagi varjatult paigaldada? Varjatult üler neti, täitsa võimalik, kui lased paigaldada nuhkvara, ehk lähed kusagile saastasaidile. sel juhul annad sa ise kontrolli oma arvuti üle selle pahavara arendajale. Selleks et keegi lambist väljastpoolt su arvutisse midagi paigaldaks peavad olema täidetud vähemalt 1 kahest tingimustest: 1. Sul on aktiveeritud kaughaldus. 2. Sul peab olema avatud prtidega netiühendus. Kui nendest 2 on täidetud, siis muidugi on ideaalne olukord. Seetõttu ma teengi nii, et kui lähen kodust ära kauemaks kui 2 tunniks- läheb arvuti kinni. Teiseks olen juba emaplaadi tasandil keelanud Wake On Lan ja Wake on PS2, esimesel juhul siis arvuti käivitamine üle neti ja teisel juhul arvuti käivitamine klaviatuuri ja hiire abil. Ülimalt väike tõenäosus, et keegi midagi mu arvutisse installib ilma minu teadmata.
Teame ju kõik, et kes väga paranoiliselt ennast tunneb, siis kleebib kaamera kinni. On olemas isegi erinevaid teooriaid, mis ütlevad, et isegi klahvivajutuse heli järgi olevat võimalus ära arvata, mis klahvi parasjagu vajutati. Võtame PIN koodi sisestamise pangaautomaadis. Kindlasti oleme kõik kuulnud kuidas numpadile vajutades kostuvad piiksud, kaks lühikest väga väikese intervalliga sisestust viitavad sellele et ühele klahvile vajutati 2 korda. Aga millisele?!?
Termokaamera vastu aitab võib-olla see, kui telefoni hoida ikka normaalses kaitseümbrises. Või talvel kasutades nutikindaid, siis ei tohiks mingisugune suur temperatuurierinevus väga märgatav olla. Tõmbad korra peopesaga üle ekraani ja tutkit sa termokaameraga aru saad, millisele nupule numpadis inimene vajutas. Lülitad taustavalguse välja ja tõmbad korra üle peopesa.
Suurim oht millega inimesed riskivad on see, et kasutavad klahvilukuna libistamist. Ma ise kasutan teadlikult PIN koodi. Tundub turvalisem.
ehk lähed kusagile saastasaidile. sel juhul annad sa ise kontrolli oma arvuti üle selle pahavara arendajale. Selleks et keegi lambist väljastpoolt su arvutisse midagi paigaldaks peavad olema täidetud vähemalt 1 kahest tingimustest: 1. Sul on aktiveeritud kaughaldus. 2. Sul peab olema avatud prtidega netiühendus.
Oh issand ise anna abi. Saastasaidile. Ehk suvalisele saidile näiteks mis parajasti juhtub kompromiteeritud olema või mõnda kompromiteeritud reklaambännerit kuvama.
Nagu seesama foorum siin, või mõni päevaleht, või sinu lemmikspordiklubi... Kuidas selline müüt, et pahavaraga nakatumine ripub sellest, kas sa ise kahtlastes kohtades käid või ise "OK" vajutad, eelmisest sajandist saadik siiamaani elus püsinud on?
Kaughalduse aktiveerimise kohta loe siitsamast äsjaolnud viidet halvale unenäole nimega AMT. Sa ainult arvad, et sina aktiveerid või ei aktiveeri midagi. Seda otsustab tänapäeval keegi teine ;(
Ja et pin koodi varastamine pahavara poolt on kasutu - no kuulge. Kui su masin on juba pahavara meelevallas ja su kaart on parajasti masinas, siis ei ole see PIN sugugi kasutu. Vastupidi see ongi kõik, mis vaja läheb . Ega ilma asjata ID kaardi rahvas ei räägi (neile kes viitsivad tähele panna) et ärge mingil juhul jätke oma kaarti masinasse vedelema (kuigi ausalt öeldes see vaid minimeerib aega mille jooksul teda ära kasutada saab, sest kui me eeldame, et masin on kompromiteeritud, siis on kõik nagunii pekkis juba selle aja jooksul, mis sul endal kaardi kasutamiseks vaja läks)
PS: termokaamera fännidele: aga mis siis kui ma ei vajutagi näpuga neid nuppe? Igasuguste poeterminalide nupud on nii rõvedalt mustad, et ma püüan neid tavaliselt ainult sõrmeküüne servaga vajutada. See ei tohiks väga soe ollallaa?
LKits,
ei oska arvata, mida sa mõtled "privavõtmete uuesti genereerimise" all, kuid minul serte uuendades jäid PINid ja PUKid samaks, Isegi ei pakutud nende vahetust...
Muuseas, kas keegi teab, miks FIReFOX 55.03 iga allkirja anda e saa ( PIN2 ) ? _________________ Life is a beach, Surf.
LKits,
ei oska arvata, mida sa mõtled "privavõtmete uuesti genereerimise" all, kuid minul serte uuendades jäid PINid ja PUKid samaks, Isegi ei pakutud nende vahetust...
Muuseas, kas keegi teab, miks FIReFOX 55.03 iga allkirja anda e saa ( PIN2 ) ?
erisus tulenes kiibirakenduse versioonist.
3.4 kaart - PIN-koodid jäid samaks;
3.5 kaart - uued koodid.
Inimesed on väga vihaseks aetud selle turvaaugu riski pärast. Ei tea, küll, miks. Ma ise küll vihane pole, ei ole täheldanud, et minu vajaduste jaoks ID kaart nüüd vähem kasutum oleks.
Igatahes Telia esindustesse pole vaja minna vihaste inimeste sekka. _________________ " Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine."
No, kui üks klient toob sisse 12 euri aastas ja kui peres on ütleme vähemalt 2 mID kasutajat, siis on selge, et riiki peab toetama Kas süsteemi enda ülalpidamiskulu ka reaalset 1 eur kuus väärt on, ei tea, üheltpoolt tundub kallis, aga kuna selle raha eest saad piiramatult ennast autentida/makseid allkirjastada, siis SMS põhine arvestus ilmselt tuleks veel kallim.
ab79,
Enamus nuti ja ka kõnepakettides in sees piisavalt SMS-e, et tavainimene saaks hakkama tavapärasel kasutusel oma e-toimingutega.
Näiteks toon enda kasutuse
isikutuvastamine 1996 korda - ca 10 SMS-i päevas 285 tk kuus
allkirjastamine 484 korda - 2 sms päevas - 70 SMS-i kuus.
ja nüüda vaatame kõige odavamat nutipaketti näiteks elisas, mis annab sõnumeid piiramatult + 1000 tk EU piires kuus.
Kas keegi arvab veel siiani, et selle taga pole mitte mingi lobistajate seltskond ??? _________________ Life is a beach, Surf.
Kui serdid tühistatakse, peab riik tasuta uued serdid ehk uued kaardid riigieelarvest kinni plekkima(riigieelarves nagunii meie raha). See pole kasutaja viga, et turvarisk pinnale ujus. Need, kellel korraliselt kehtivusaeg läbi saab, nendelt jah on õigustatud tasu küsida. See on umbes sama, et pank annab välja vigase pangakaardi ja klient peab selle kinni plekkima. Ei lähe kohe mitte. OK omal soovil küll, aga ma arvan, et niikaua, kui riik mu serte ei peata, ma mingit uut ID-d küll taotlema ei hakka.
Serte saab uuendada ilma kaarti väljavahetamata.
Ja see ongi juba turvarisk - mina isiklikult arvasin, et seda teha ei saa. Ühekordselt luuakse ning nii ongi - kui tahad uusi serte - uus kaart.
Ei ole turvarisk, vähemalt mitte oluline. Miks, sellele olen juba korra juba vastanud.
On küll turvarisk, kuna sertifikaatide muutmine/uuendamine ebaturvalises keskkonnas (tavaline kasutaja kodu) on turvarisk.
Kui ID-kaardi serte tehtaks ainult turvalises keskkonnas, kus käivad kontrollitud inimesed, teadaolevatel aegadel, tagantjärele tuvastatavalt.
Kodus võib keegi kasvõi üle õla vaadata sinu uut genereeritud PIN koodi.
Jah, seda saab ka teha ümbrikuga, kuid minu meelest on palju turvalisem lasta genereerida serdid selleks ettenähtud turvalises asukohas.
Utiliit käsib uute PIN-ide genereerimisel need ajutised PIN-id esimesel võimalusel ära vahetada PIN-ide vastu, mida ekraanil ei ole kuvatud.
Teiseks, kui sul on selliseid üle-õla vaatajaid hulgaliselt, siis ei ole vist väga mõistlik sellise tegevusega tegeleda üldse sellises kohas või seltskonnas?
Aga jah, keskmise kasutaja kodune arvuti ei ole kuigi turvaline, nii et PIN-e vahetada võiks keyloggeri vm nuhk-tõhkvara kahtluse korral kusagil turvalisemas kohas. Ja täpselt nagu ei ole sellises kohas PIN-i vahetamine või sertide genereerimine turvaline (sest ikkagi PIN tuleb ju sisestada), on seal sel juhul igasugune PIN-i sisestamine täpselt sama ebaturvaline, nii et ma ei saa aru, mida sa selles uut avastasid? Sellises arvutis ei maksaks üldse panga ega eesti.ee tüüpi lehtedel käia ega dokumente allkirjastada. Parem seda üldse vältida.
Kõike eelnevat võib aga turvaliselt teha kohas, kus on kasutusel pinpadiga ID-kaardi lugeja, millel on PIN-i sisestamine arvuti klaviatuurilt (ja seega ka virtuaalselt klaviatuurilt) blokeeritud ning võimalik ainult pinpadi klahvidelt. Kahtlustavamatele ja arvutiturbes ennast ebakindlana tundvatele inimestele ning avalikus kasutuses olevatel arvutitel must-have seade, mis ei ole tänapäeva mõistes kuigi kallis: https://www.hinnavaatlus.ee/products/Arvutikomponendid/Kiipkaardilugejad/456217/
Sellise lugejaga arvutis on nii PIN-ide vahetus kui kaardi uuendamine turvaline sõltumata sinna istutatud nuhkvarast. Ka panga- jm lehtede kasutamine on suhteliselt turvaline.
Ja kuigi on juba korduvalt öeldud, et serte ei genereerita väljaspoolt kaarti, peab seda vist veelkord üle kordama? Serdid genereeritakse kaardi sees, kusjuures privaatvõti ei lahku kaardilt kunagi.
Ja ainult sertide genereerimisel uusi PIN-e ei genereerita ega ekraanil näidata, kasutatakse vanu. Uued PIN-id saad vaid juhul kui uuendatakse kaardil olevat tarkvara (mis küllap on teemaks oleva vea parandamiseks tõepoolest plaanis).
Olen mõlemad variandid korduvalt läbi teinud. Nii et ainult sertide genereerimisel ei oma koht mingit tähtsust, mingit tähtsust omab see ID-kaardil oleva tarkvara uuendamisel ja seejärel sertide genereerimisel. Ning kohal on vähem tähtsust, kui lugeja on turvaline, oma pinpadiga. _________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Hanso: ID-kaardi turvaprobleemid saavad uueks aastaks lahendatud
tsitaat:
Hanso lisas, et tegelikkuses ei ole keegi ID-kaardi turvalisust ohustanud. Ka tõi ta esile, et ID-kaardi turvaprobleemid ilmnesid testides, mida tehti neli korda nõrgema keerukusega turvakoodidega.
Kui vaadata github.com/open-eid-is toimuvat, siis paistab, et kas pakutavaks lahenduseks pole äkki asjassepuutuvate kaartide uute sertifikaatide genereerimisel RSA algoritmi väljavahetamine ECDSA vastu. Igatahes tekkisid sellealased uuendused kuidagi väga täpselt samal ajal, kui sellest turvariskist juttu tuli. Ju siis seal kiibi rauas on mingi RSA-sse puutuv nõrkus kogemata kombel sees, samas kui ECDSA on (teadaolevalt) korras.
27.09.2017 14:50:49
Turvariskiga ID-kaarte saab uuendama hakata novembris
Riigi Infosüsteemi Ameti eestvedamisel on välja töötatud tarkvara, mille abil saab turvariskiga ID-kaartide, elamisloa ja digi-ID elektroonilist osa uuendada alates novembrist.
„Praegu testime rakendust ning oleme andnud testkaardid ka pankadele, et nad saaksid proovida selle sobivust e-teenuste kasutamiseks. Uus tarkvara võimaldab inimestel kodust lahkumata oma ID-kaardi sertifikaadid ära uuendada ning kui kõik läheb plaani järgi, algab sertifikaatide uuendamise protsess selle aasta novembrist,“ ütles Riigi Infosüsteemi Ameti (RIA) eID valdkonna juht ning töögrupi vedaja Margus Arm.
ID-kaardi sertifikaate saab oma kodu- või tööarvutist kauguuendada kahe kuu jooksul ehk kuni detsembri lõpuni. Uuendamiseks tuleb arvutisse laadida alla ID-kaardi tarkvara uus versioon ja järgida ekraanil olevaid juhiseid. Jaanuarist kuni märtsi lõpuni saab sertifikaate uuendada vaid Politsei- ja Piirivalveameti teenindustes. Alates aprillist tühistatakse kõik turvanõrkust omavate kaartide sertifikaadid, mis on jäänud selleks ajaks uuendamata.
„Teeme juba praegu ettevalmistusi, et novembrist alates Politsei- ja Piirivalveameti teeninduste lahtiolekuaegu pikendada nii õhtuti kui ka nädalavahetusel ning selleks perioodiks avada täiendavaid teeninduskohti. Kõige mugavam on kauguuendus juhendmaterjali järgi ise ära teha, kuid oleme valmis teenindustes kohapeal täiendavate jõududega aitama ja nõu andma,“ ütles Politsei- ja Piirivalveameti identiteedi ja staatuste büroo juhataja Margit Ratnik.
Sertifikaatide uuendamisega tuleb kindlasti kiirustada neil, kellel ei ole mobiil-ID-d, ent kasutavad ID-kaarti regulaarselt e-teenustesse sisenemiseks. „Novembri alguses, kui kauguuendamise protsess käivitub, piirame uuendamata ID-kaartide kasutusvõimalusi. See tähendab, et ID-kaarti ei saa enne digitaalselt kasutada, kui selle sertifikaadid on uuendatud. Selleks, et e-teenuste kasutamine sujuks novembri alguses tõrgeteta, soovitan aktiivsetel kasutajatel endale oktoobri jooksul mobiil-ID võtta. Arvestades uuendamist vajavate kaartide hulka ning tehnilisi piiranguid, võib esimestel päevadel uuendamise koormus olla väga suur,“ toonitas Margus Arm.
Inimesed, kes ei kasuta ID-kaarti elektrooniliselt, ei pea tingimata sertifikaate uuendama, sest kaart kui isikut tõendav dokument kehtib sellel märgitud kuupäevani. Ka ei puuduta sertifikaatide uuendamine neid, kelle ID-kaart on väljastatud enne 2014. aasta oktoobrit.
RIA peadirektor Taimar Peterkop ütles, et Eesti ID-kaart ja selle digitaalsed lahendused on jätkuvalt turvalised, ent turvalisuse säilitamiseks tuleb teha pingutusi. „Täna ei ole teateid ühestki digitaalse identiteedi vargusest, ent me ei jää seda ootama, vaid teeme kõik selleks, et oht võimalikult kiiresti likvideerida.“
ID-kaardi sertifikaatide uuendamise käivitamisest ning konkreetsetest juhistest annab RIA teada enne tarkvara avalikustamist hiljemalt oktoobri lõpus või novembri alguses.
Taust:
30. augustil informeeris rahvusvaheline teadlaste grupp Riigi Infosüsteemi Ametit (RIA), et nad avastasid turvariski, mis mõjutab Eestis alates 2014. aasta oktoobrist välja antud ID-kaarte (sealhulgas e-residentidele väljastatud kaarte) ehk kokku ligi 750 000 kaarti. Enne 2014. aasta 16. oktoobrit väljastatud ID-kaartidel oli kasutusel teine kiip ning neid see risk ei mõjuta. Samuti ei puuduta antud turvarisk mobiil-ID-d.
Mnator, kuni ID kaardi ülaloleva teema lahenduseni on vaja ju mingit vaidlustamata turvalisusega lahendust pakkuda.
WäntWõll, tavainimene ID kaarti kasutades ja kuni 10 allkirja andes teenuse eest igakuiselt ei maksa. Väljastamise eest küll maksab, aga kuutasu pole. Lisaks on isikutunnistus seaduse järgi kohustuslik dokument, mis tähendab, et see pole valikuline väljaminek.
Mnator, ID-kaart on ka tasuline vähemalt tänase seisuga
On ikka väga suur vahe kas maksan 12 eurot aastas või 5 eurot aastas _________________ Every version of the garment appears to be sold out online, with prospective shoppers given the opportunity to join a waitlist.
Draqula, Tean seda ja üsna detailselt
Alati võib passiga teha Smart-ID Swedis, mis tasuta ja läbi pangalingi saad ligi 99% e-teenustele
siis teadvusta lõpuks ometi endale, et mid on kalleim lahendus ja et pole vähimatki põhjust teda niimoodi peale pressida söögi alla ja söögi peale
vägisi püsib kahtlus, et see paanika on esile kutsutud teadlikult mid levitamiseks.......
lisaks miskipärast pole vähimatki juttu, et vigaste kiipidega kaartide eest oleks tootjafirmalt kahjutasu nõutud.... nagu oleks mõtlemisainet....
Mis mõtlemisainet? Gemalto on ju esinenud ametlikult teatega, et tunnistab viga ja teeb koostööd. Kui seda koostööd üliväga vajatakse, siis mõjuks kohe kahjutasuga vehkimine pisut jalga tulistamisena, või mis? Kahjutasu saab siis ka nõuda, kui kahjud on kokku loetud.
Mis mõtlemisainet? Gemalto on ju esinenud ametlikult teatega, et tunnistab viga ja teeb koostööd. Kui seda koostööd üliväga vajatakse, siis mõjuks kohe kahjutasuga vehkimine pisut jalga tulistamisena, või mis? Kahjutasu saab siis ka nõuda, kui kahjud on kokku loetud.
firma loomulikult üritab teha paipoisi nägu pähe, et kui selle eest kahjutasu "ära unustatakse", siis omanikud hõõruvad rõõmsalt käsi kasumi peale ja irvitavad tagaselja
Draqula, Tean seda ja üsna detailselt
Alati võib passiga teha Smart-ID Swedis, mis tasuta ja läbi pangalingi saad ligi 99% e-teenustele
Kui juba detaili läks siis...
Pass on vabatahtlik reisidokument, mida läheb vaja vaid väljaspool EU'd ning mille maksumus isikutunnistuse omast omajagu kallim 25EUR vs 40EUR (mõlemad koos 50EUR).
Huvitav kas juhiloaga saab ka pangas Smart-ID teha...
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.