Berta Sándor

Sebezhető az észt elektronikus azonosító­kártya

Egy hiba miatt PIN-kód nélkül is használható több százezer észt azonosító. Ezekkel bármilyen hivatalos ügyet el lehet intézni.

A sebezhetőségnek köszönhetően lehetőség van arra, hogy valaki a szükséges kapcsolódó PIN-kód nélkül alkalmazza az elektronikus azonosítókártyát. A hibával kapcsolatos további részleteket ősszel akarják nyilvánosságra hozni. Az észt kabinet ugyanakkor úgy vélte, hogy egyelőre még nincs ok a kártyák visszahívására. A probléma elvileg mintegy 750 000 olyan azonosítót érint, amelyeket 2014 óta adtak ki. A kártyát többek között a parlamenti választásokon lehet használni, emellett a segítségével létrehozható egy vállalat is vagy eladható egy autó.

A biztonsági problémával kapcsolatos Gyakran Ismételt Kérdésekben a kormány azt írta, hogy egy nemzetközi kutatócsapat lett figyelmes a problémára. Amint kiderült, elméletileg lehetséges hogy a kártyát személyes azonosításra és digitális aláírásra lehessen alkalmazni anélkül is, hogy valaki rendelkezne a kapcsolódó PIN-kóddal. A PIN-kód mellett egyébként szükség van egy felhasználói névre és egy jelszóra is. Azonban az azonosító zárolásához nem elegendő a használt tanúsítvány nyilvános kulcsának ismerete. A titkos kulcsok és a különleges szoftverek feltöréséhez nagy számítási teljesítmény szükséges. Éppen ezért nehéz és drága kihasználni a biztonsági hibát, s egyelőre egyetlen eset sem ismert, amikor erre sor került volna.

A sebezhetőség egyszerre szoftveres és hardveres hiba. Az azonosítókártyák visszahívása eddig nem merült fel, annak ellenére sem, hogy októberben parlamenti választások lesznek Észtországban.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • dchard #3
    Nem véletlen, hogy ilyen esetekben általában három dolgot használnak a jogosultság ellenőrzéséhez:

    1. Valami, amit birtokolsz (például kártya)
    2. Valami amit tudsz (pin kód)
    3. Valami ami az egyén elidegeníthetetlen része (ujjlenyomat, retina mintázat stb.)

    Ha bármelyik hiányzik, az azonosítás meghiúsul. Az ujjlenyomat kézenfekvő, mert ma már rengeteg telefonban van ilyen, egyre többen lesz, rengeteg touchpad is alkalmas erre, talán ez a legolcsóbb és legelterjedtebb mód.

    Az dicséretes, hogy nem letagadják, hanem elismerik a hibát és vizsgálják a lehetséges következményeit, de nem esnek rögtön pánikba és hívnak vissza minden kártyát. Ezt összehasonlítani a BKK e-jegy fiaskójával egyenesen nevetséges, különösen annak fényében, hogy a világon ez az egyik első, egyébként évek óta több millió polgár által használt ilyen rendszer, ami jól is működik.
  • Kara kán #2
    A Momentum Mozgalom épp most nyomatja az észt példát.
    Amúgy, persze, be kell vezetni az észt rendszerhez hasonlót, de okos ember mások hibájából tanul. Jól mondom?
  • Skylake #1
    Tökéletes implementáció! Csak nem a Tré-Systems ottani leányvállalata fejlesztette?