Avaleht
uus teema   vasta Uudised »  Pressiteated »  ID-kaardi kiibis avastati turvarisk märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
mine lehele eelmine  1, 2, 3 ... 52, 53, 54, 55  järgmine
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale. Teata moderaatorile
otsing:  
sukelduja
HV Guru
sukelduja

liitunud: 14.06.2007




sõnum 19.04.2018 08:00:21 vasta tsitaadiga

jägaja kirjutas:
Uudise põhjal murti ID-kaart siiski lahti.
Tasuline artikkel: http://epl.delfi.ee/news/eesti/id-kaart-murti-lahti-ria-toestas-et-kara-id-kaardi-turvanorkuse-parast-polnud-asjata?id=81807683


tsitaat:
ID-kaart murti lahti. RIA tõestas, et kära ID-kaardi turvanõrkuse pärast polnud asjata

Tallinna tehnikaülikoolis äsja valminud raport toob esile Eesti e-riigi nõrgad kohad. Puudu jääb kompetentsi ja süvateadmistega spetsialiste.

tsitaat:
RIA ei avalda täpselt, kui palju arvutijõudu krüpteeritud dokumendi lahtimurmiseks rakendati, kuid seda tehti üsna tagasihoidliku mastaabiga.

Murti tagantjärgi, selleks hetkeks olid kõik vigased serdid ammu tühistatud.
Kommentaarid: 22 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 22
tagasi üles
vaata kasutaja infot saada privaatsõnum
jägaja
HV Guru
jägaja

liitunud: 06.08.2004




sõnum 19.04.2018 08:12:02 vasta tsitaadiga

sukelduja, Cybernetika tegi õnnestunud katse murdmiseks, tõestamaks probleemi reaalsust, enne vigadest teada saamist aga kasutasime neid vigaseid serte pool aastat rõõmsasti ja õndsas teadmatuses ju edasi doh.gif
_________________
" Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine."
Kommentaarid: 132 loe/lisa Kasutajad arvavad:  :: 1 :: 0 :: 119
tagasi üles
vaata kasutaja infot saada privaatsõnum
Tanel
HV Guru
Tanel

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 19.04.2018 08:17:25 vasta tsitaadiga

jägaja, möödunud aasta 3. novembril peatati serdid. Füüsilise kaardina kehtis jah edasi.

tsitaat:
Alates 2014. oktoobrist väljastatud ID-kaartidel on tuvastatud turvanõrkus ja kõik nendele kaartidele väljastatud sertifikaadid peatab riik 3. novembril kell 24.00. Peatatud sertifikaatidega ID-kaarti ei saa enam elektrooniliselt kasutada. See tähendab, et ID-kaart kehtib endiselt füüsilise isikutuvastusvahendina, aga sellega ei saa enam sisse logida internetipanka ja teistesse e-teenustesse ega anda digiallkirja.
ID-kaarte, mille sertifikaadid on peatatud saab kauguuendada oma arvutis või PPA teeninduses kuni 31.03.2018.

_________________
NordVPN tarkvara nüüd soodsamalt
HV valuutakalkulaator
Kommentaarid: 461 loe/lisa Kasutajad arvavad:  :: 12 :: 7 :: 356
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
jägaja
HV Guru
jägaja

liitunud: 06.08.2004




sõnum 19.04.2018 08:18:29 vasta tsitaadiga

Ma mõtlen, et Gemalto teadis millal, aasta alguses juba probleemist. Peale Tšehhi teadlaste teadis veel keegi, kel oli võimekus ja huvi murda süsteemi?
Aega ju selleks oli pool aastat vähemalt, kuniks Eesti ametnikud probleemist teada said, vastavad abinõud kasutusele võeti jne.

_________________
" Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine."
Kommentaarid: 132 loe/lisa Kasutajad arvavad:  :: 1 :: 0 :: 119
tagasi üles
vaata kasutaja infot saada privaatsõnum
bladerunner
HV Guru

liitunud: 17.01.2002



Autoriseeritud ID-kaardiga Online

sõnum 19.04.2018 08:30:44 vasta tsitaadiga

Sellegipoolest on kõik vanade sertidega krüpteeritud dokumendid (piisava huvi korral) avatavad ka võõraste poolt.
_________________
Experience is what you get when you don't get what you want.
Kommentaarid: 160 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 149
tagasi üles
vaata kasutaja infot saada privaatsõnum
Draqula
HV Guru

liitunud: 29.10.2004



Autoriseeritud ID-kaardiga

sõnum 19.04.2018 08:35:14 vasta tsitaadiga

bladerunner kirjutas:
Sellegipoolest on kõik vanade sertidega krüpteeritud dokumendid (piisava huvi korral) avatavad ka võõraste poolt.


Kas kõik või ainult "õnnetute" kaartide poolt krüpteeritud?
Kui õigesti mäletan siis nõrkus ei avaldunud kõikide kaartide puhul, mis kahtlusalusel perioodil välja antud olid.
Kommentaarid: 42 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 34
tagasi üles
vaata kasutaja infot saada privaatsõnum
tahanteada
Lõuapoolik
Lõuapoolik

liitunud: 04.04.2003




sõnum 19.04.2018 08:35:33 vasta tsitaadiga

jägaja kirjutas:
Ma mõtlen, et Gemalto teadis millal, aasta alguses juba probleemist. Peale Tšehhi teadlaste teadis veel keegi, kel oli võimekus ja huvi murda süsteemi?
Aega ju selleks oli pool aastat vähemalt, kuniks Eesti ametnikud probleemist teada said, vastavad abinõud kasutusele võeti jne.

Teatigi juba eelmise aasta alguses - täiesti kindel oli see info, ḿaailmas, juba veebruarikuus - lood pealkirja a la "miljonid ID-kaardid on ohustatud Chipi vea tõttu".

Ning üks riik, mille teadlased seda veebruaris hoiatasid, kandis igatahes nime Dutch. Aga oli veel ka paari teise riigi teadlased.
Teadlased on selline ühtehoidev icon_cool.gif rahvas, kui üks teadlane midagi avastab, siis teavad seda avastust kohe kõik tema tuttavad teadlased ning nende tuttavate-tuttavate teadlased.

Ja ei ole nii nagu on Eestis - et kui keegi midagi teada saab, siis igaks juhuks on "hiirvait" - äkki paneb keegi pahaks või viimaks vallandatakse... icon_smile.gif
Mingi jutt käib, et RIA olevat näinud hoiatust juba märtsikuus - kuid seda peeti "müraks" ning teema "pandi kalevi alla ja unustati".
Kommentaarid: 284 loe/lisa Kasutajad arvavad:  :: 2 :: 11 :: 211
tagasi üles
vaata kasutaja infot saada privaatsõnum
bladerunner
HV Guru

liitunud: 17.01.2002



Autoriseeritud ID-kaardiga Online

sõnum 19.04.2018 08:37:54 vasta tsitaadiga

Draqula kirjutas:
bladerunner kirjutas:
Sellegipoolest on kõik vanade sertidega krüpteeritud dokumendid (piisava huvi korral) avatavad ka võõraste poolt.


Kas kõik või ainult "õnnetute" kaartide poolt krüpteeritud?
Kui õigesti mäletan siis nõrkus ei avaldunud kõikide kaartide puhul, mis kahtlusalusel perioodil välja antud olid.
Korrektne vist oleks jah nii öelda.
_________________
Experience is what you get when you don't get what you want.
Kommentaarid: 160 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 149
tagasi üles
vaata kasutaja infot saada privaatsõnum
sukelduja
HV Guru
sukelduja

liitunud: 14.06.2007




sõnum 19.04.2018 08:47:49 vasta tsitaadiga

bladerunner kirjutas:
Sellegipoolest on kõik vanade sertidega krüpteeritud dokumendid (piisava huvi korral) avatavad ka võõraste poolt.

ID-kaardi krüpteerimine pole mitte mingis mõttes mõeldud säilitamiseks vaid transpordiks üle ebaturvalise kanali. See, et mingi šifreering tagantjärgi lahti murtakse on täiesti tavaline nähtus. Oluline on, et seda murdmise hetkel enam ei kasutata.
Kommentaarid: 22 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 22
tagasi üles
vaata kasutaja infot saada privaatsõnum
Fukiku
Kreisi kasutaja
Fukiku

liitunud: 06.11.2003




sõnum 19.04.2018 08:51:49 vasta tsitaadiga

sukelduja kirjutas:
bladerunner kirjutas:
Sellegipoolest on kõik vanade sertidega krüpteeritud dokumendid (piisava huvi korral) avatavad ka võõraste poolt.

ID-kaardi krüpteerimine pole mitte mingis mõttes mõeldud säilitamiseks vaid transpordiks üle ebaturvalise kanali. See, et mingi šifreering tagantjärgi lahti murtakse on täiesti tavaline nähtus. Oluline on, et seda murdmise hetkel enam ei kasutata.
+1

Ei tasu ära unustada, et kaotatud või kehtivuse kaotanud ID-kaardile krüpteeritud dokumendid on jäädavalt kadunud. Olen ise selle reha otsa juba korra astunud, õnneks suht vähekriitilise asjaga.

_________________
Foxic is just a simple fox
Enne kui sa küsid oma küsimuse - küsi seda vannipardilt! Rangelt soovitatav enne programmeerimise alafoorumisse uue teema tegemist.
Kommentaarid: 2 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 2
tagasi üles
vaata kasutaja infot saada privaatsõnum
Betamax
HV Guru
Betamax

liitunud: 29.05.2003



Autoriseeritud ID-kaardiga

sõnum 19.04.2018 09:05:16 vasta tsitaadiga

Krt, aga siis oleks ju jube hea seda nõrkust ära kasutada, et kogemata lukku jäänud krüptitud dokumente lahti saada thumbs_up.gif icon_lol.gif
Kommentaarid: 685 loe/lisa Kasutajad arvavad:  :: 1 :: 1 :: 531
tagasi üles
vaata kasutaja infot saada privaatsõnum
jägaja
HV Guru
jägaja

liitunud: 06.08.2004




sõnum 17.05.2018 13:08:29 vasta tsitaadiga

Et need jamad ka ei lõpe..
https://geenius.ee/uudis/id-kaartide-tootja-rikkus-tahtsaimat-turvapohimotet-12-500-tuleb-inimestel-valja-vahetada/
tsitaat:
Riigi infosüsteemi amet ja Eesti teadlased on avastanud, et ID-kaartide tarnija Gemalto on rikkunud kaartide puhul olulist aluspõhimõtet – firma on teinud isikutunnistuse aluseks olevaid privaatvõtmeid väljaspool kaarti. Kuigi otsest turvariski pole avastatud, vahetab riik 12 500 ID-kaarti garantiikorras välja.

tsitaat:
Rikkumise avastamisele eelnes aga üle aasta kestnud uurimistöö, kusjuures veel kaartide tarnija Gemalto eitab seda siiani: eile hilisõhtul saatis firma Eesti riigiasutustele vastuse, kus viga ei tunnista.

_________________
" Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine."


viimati muutis jägaja 17.05.2018 13:09:47, muudetud 1 kord
Kommentaarid: 132 loe/lisa Kasutajad arvavad:  :: 1 :: 0 :: 119
tagasi üles
vaata kasutaja infot saada privaatsõnum
sukelduja
HV Guru
sukelduja

liitunud: 14.06.2007




sõnum 17.05.2018 13:09:33 vasta tsitaadiga

No Gemalto saaga ei lõpe. Aga sellist lahendust ei oleks tohtinud mingil juhul PPA poolt kasutada. https://tehnika.postimees.ee/4489958/id-kaardi-uus-kriis-taas-tuleb-kaarte-valja-vahetada-taas-noue-gemaltole
Kommentaarid: 22 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 22
tagasi üles
vaata kasutaja infot saada privaatsõnum
jägaja
HV Guru
jägaja

liitunud: 06.08.2004




sõnum 17.05.2018 13:13:13 vasta tsitaadiga

tsitaat:
Kas privaatvõtmed on lekkinud?
RIA kinnitusel pole teada ühtegi intsidenti või kuritarvitust. Kõik seni tehtud tehingud ja kaardiga antud allkirjad on õiguspärased ja kehtivad.


tsitaat:
Kui Gemalto mingil sisemise vea, hooletuse või muu põhjuse tõttu protseduurireegleid rikkus ja krüptovõtmeid väljaspoolt kaarti tegi, siis on teoreetiliselt võimalik, et firmal on koopia Eesti ID-kaartide privaatvõtmetest.


lihtsalt tore

_________________
" Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine."
Kommentaarid: 132 loe/lisa Kasutajad arvavad:  :: 1 :: 0 :: 119
tagasi üles
vaata kasutaja infot saada privaatsõnum
Tanel
HV Guru
Tanel

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 17.05.2018 13:41:29 vasta tsitaadiga

Täiesti pekkis. Selline jama läheb Gemaltole kalliks maksma.
Suhtutakse Eestisse nagu külkakolkasse.

_________________
NordVPN tarkvara nüüd soodsamalt
HV valuutakalkulaator
Kommentaarid: 461 loe/lisa Kasutajad arvavad:  :: 12 :: 7 :: 356
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
napoleon
Unknown virus
napoleon

liitunud: 08.12.2008



Autoriseeritud ID-kaardiga

sõnum 17.05.2018 13:51:30 vasta tsitaadiga

Huvitav kas pankadel ka kaartide tarnijatega selliseid jamasid on olnud, pangakaart on ju oma olemuselt samasugune kiipkaart.
Ma millegipärast arvan, et nii ID kaardi kui üldisemalt avaliku sektori hädad algavad sellest, et nad peavad võtma riigihankega kõige odavama pakkuja.
Kommentaarid: 76 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 59
tagasi üles
vaata kasutaja infot saada privaatsõnum
netcat
Kreisi kasutaja
netcat

liitunud: 13.01.2010



Autoriseeritud ID-kaardiga

sõnum 17.05.2018 13:54:58 vasta tsitaadiga

jägaja kirjutas:
tsitaat:
Kas privaatvõtmed on lekkinud?
RIA kinnitusel pole teada ühtegi intsidenti või kuritarvitust. Kõik seni tehtud tehingud ja kaardiga antud allkirjad on õiguspärased ja kehtivad.


tsitaat:
Kui Gemalto mingil sisemise vea, hooletuse või muu põhjuse tõttu protseduurireegleid rikkus ja krüptovõtmeid väljaspoolt kaarti tegi, siis on teoreetiliselt võimalik, et firmal on koopia Eesti ID-kaartide privaatvõtmetest.


lihtsalt tore


Kommentaarid: 6 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 6
tagasi üles
vaata kasutaja infot saada privaatsõnum
Magic
HV Guru
Magic

liitunud: 28.12.2001




sõnum 17.05.2018 14:33:30 vasta tsitaadiga

Jeesti IT ime icon_lol.gif
Kommentaarid: 234 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 200
tagasi üles
vaata kasutaja infot saada privaatsõnum
dex
HV veteran
dex

liitunud: 06.09.2004




sõnum 17.05.2018 15:15:40 vasta tsitaadiga

Mis sellel gemaltol Eestiga pistmist on icon_smile.gif? Minu arusaamist mööda on praegu eestlased need, kes gemalto tegelasi ninapidi loiku pistavad.
_________________
Süümi, juumi, makkami ja kui tüüle nakkami...
Kommentaarid: 90 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 80
tagasi üles
vaata kasutaja infot saada privaatsõnum
jägaja
HV Guru
jägaja

liitunud: 06.08.2004




sõnum 17.05.2018 15:17:35 vasta tsitaadiga

ega mis sel gemaltol eestist on, suurbritannias võitsid ju suure hanke teiste ees, ka inglis firmad jäid ukse taha
_________________
" Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine."
Kommentaarid: 132 loe/lisa Kasutajad arvavad:  :: 1 :: 0 :: 119
tagasi üles
vaata kasutaja infot saada privaatsõnum
Magic
HV Guru
Magic

liitunud: 28.12.2001




sõnum 17.05.2018 16:53:26 vasta tsitaadiga

Probleem on puudulikus järelvalves ja seda teeb kohalik pool.
Kommentaarid: 234 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 200
tagasi üles
vaata kasutaja infot saada privaatsõnum
netcat
Kreisi kasutaja
netcat

liitunud: 13.01.2010



Autoriseeritud ID-kaardiga

sõnum 17.05.2018 16:58:38 vasta tsitaadiga

Oleme nüüd ausad, PPA-l tegelikult puudub kompetents teha järelevalvet, millega see Gemaltolt tellitud tarkvara seal tegeleb. Selleks läks teadlast vaja, et üldse avastada probleemi, ja siis aasta otsa koordineeritud uurimist, et selgitada välja, milles probleem seisneb. Kuidas seda mingi PPA ametnik oleks pidanud avastama huvitav?
Kommentaarid: 6 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 6
tagasi üles
vaata kasutaja infot saada privaatsõnum
tonuj
HV vaatleja

liitunud: 01.10.2006




sõnum 17.05.2018 23:16:21 vasta tsitaadiga

netcat kirjutas:
Oleme nüüd ausad, PPA-l tegelikult puudub kompetents teha järelevalvet, millega see Gemaltolt tellitud tarkvara seal tegeleb. Selleks läks teadlast vaja, et üldse avastada probleemi, ja siis aasta otsa koordineeritud uurimist, et selgitada välja, milles probleem seisneb. Kuidas seda mingi PPA ametnik oleks pidanud avastama huvitav?


Viimase uuendusega oktoobris kirjutasin mina uuenduse sessiooni logi omale maha.

Kui ma nüüd uurin seda siis sealt puudub APDU cmd INS 46 mis on vastavalt iso 7816-8 statndardile võtmete paari genereerimise käsk. See standard on ka eestis kinnitatud. Küll on seal logis kõvasti kaardile kirjutamise käske.

Kas keegi teab kas need kaardid vastavad standardile?
Äkki on need uued ec võtmed ka gemalto poolt väljas genereeritud ja kaardile kirjutatud.
Kommentaarid: 2 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 2
tagasi üles
vaata kasutaja infot saada privaatsõnum
pisi
HV vaatleja
pisi

liitunud: 14.08.2003




sõnum 18.05.2018 14:06:58 vasta tsitaadiga

tonuj kirjutas:

Kui ma nüüd uurin seda siis sealt puudub APDU cmd INS 46 mis on vastavalt iso 7816-8 statndardile võtmete paari genereerimise käsk. See standard on ka eestis kinnitatud. Küll on seal logis kõvasti kaardile kirjutamise käske.

Kas keegi teab kas need kaardid vastavad standardile?
Äkki on need uued ec võtmed ka gemalto poolt väljas genereeritud ja kaardile kirjutatud.


Miks nad peaks *sellele* standardile vastama?

https://www.ria.ee/ee/eid-info-ja-juhendid.html#spetsifikatsioonid

_________________
pisi - maailmaparandaja ja muidumees
tagasi üles
vaata kasutaja infot saada privaatsõnum
DoS
HV veteran
DoS

liitunud: 18.08.2002




sõnum 18.05.2018 14:50:21 vasta tsitaadiga

pisi kirjutas:
tonuj kirjutas:

Kui ma nüüd uurin seda siis sealt puudub APDU cmd INS 46 mis on vastavalt iso 7816-8 statndardile võtmete paari genereerimise käsk. See standard on ka eestis kinnitatud. Küll on seal logis kõvasti kaardile kirjutamise käske.

Kas keegi teab kas need kaardid vastavad standardile?
Äkki on need uued ec võtmed ka gemalto poolt väljas genereeritud ja kaardile kirjutatud.


Miks nad peaks *sellele* standardile vastama?

https://www.ria.ee/ee/eid-info-ja-juhendid.html#spetsifikatsioonid


GENERATE KEY (SECURE) ehk 0C06 käsku igatahes uuenduse käigus ka kaardile ei saadetud. Küll aga muid huvitavaid 0C käske, mida specis kirjas ei ole.
Kommentaarid: 50 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 47
tagasi üles
vaata kasutaja infot saada privaatsõnum
näita postitusi alates eelmisest:   
uus teema   vasta Uudised »  Pressiteated »  ID-kaardi kiibis avastati turvarisk mine lehele eelmine  1, 2, 3 ... 52, 53, 54, 55  järgmine
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.