Tänase seisuga on Eestis kasutusel pea 12 500 turvanõuetele mittevastavat ID-kaarti, mille sertifikaadid tunnistatakse 1. juunist kehtetuks.
PPA vahetab välja ligikaudu 12 500 turvanõuetele mittevastavat ID-kaarti
Kehtetute sertifikaatidega ID-kaarti ei saa enam elektrooniliselt kasutada ja e-teenustesse sisenemiseks või digiallkirja andmiseks tuleb taotleda kas uus kaart või kasutada mobiil-IDd. Riik vahetab garantiikorras välja kõik turvanõuetele mittevastavad ID-kaardid, mille kehtivusaeg on üle kolme kuu alates dokumendi taotluse esitamisest.
„Saadame kõigile turvanõuetele mittevastavate ID-kaardi omanikele teavituse Eesti.ee portaali kaudu ja anname ID-kaardi väljavahetamise kohta infot personaalselt,“ ütles politsei- ja piirivalveameti (PPA) dokumendiekspert Kaija Kirch.
PPA esitas ID-kaardi tootjale nõude turvanõuete rikkumise kohta, tootja eitab rikkumist. „PPA-le on oluline kindlustunne, et ID-kaardi omanike privaatvõtmeid ei saa olla kuskil mujal kui ainult kaardi kiibis. Kui seda turvanõuet on lepingupartner rikkunud, peame kaartide sertifikaadid kehtetuks tunnistama,“ selgitas Kirch.
Turvanõuetele ei vasta need ID-kaardid ja elamisloakaardid, mis on välja antud enne 2014. aasta oktoobrit ja mida on uuendatud kaarditootja rakenduse kaudu PPA teeninduses. ID-kaardi tootja ei järginud kõiki turvanõudeid ja genereeris osal ID-kaartidest privaatvõtmed väljaspool kiipi. Väljaspool kiipi võtmete genereerimine annab võtmete genereerijale võimaluse kasutada ID-kaarti kaarti omamata ja PIN-koodi teadmata. Selle riski maandamiseks tunnistab PPA nende kaartide sertifikaadid kehtetuks.
„Meile ei ole teada ühtegi kuritarvitamise juhtumit. Kõik seni tehtud tehingud ja kaardiga antud allkirjad on õiguspärased ja kehtivad, kaasa arvatud e-hääletamine,“ kinnitas RIA eID valdkonna juht Margus Arm.
Turvanõuete rikkumise avastamiseni viis koostöö Tartu ülikooli teadlasega ja eelmisel nädalal valminud AS Cybernetica ekspertide analüüs. „Avastatud rikkumine näitab selgelt, kui oluline on koostöö valdkonna teadlaste ja ekspertidega, kelle abil saame digitaalset maailma turvalisemaks muuta,“ ütles Arm.
Turvariskiga kaardid on
2011. aastast 16. oktoobrini 2014 väljastatud ID-kaardid ja 2011. aastast 17. detsembrini 2014 välja antud elamisloakaardid, mida 2012. aasta juulist 2017. aasta juulini on PPA teenindusbüroos uuendatud.
Selliseid kaarte oli üle 74 000, praeguseni kehtib selliseid kaarte umbes 12 500.
Probleem ei puuduta kaarte:
- mis olid mõjutatud 2017. aasta turvariskist ja mida on uuendatud oktoobrist 2017 aprillini 2018;
- mida on kauguuendatud;
- mida ei ole üldse uuendatud;
- mis on välja antud pärast oktoobrit 2014 (elamisloakaardi puhul alates 17.12.2014).