Turvanõuetele mittevastavad ID-kaardid

Turvanõuetele ei vasta need ID-kaardid ja elamisloakaardid, mis on välja antud enne 2014. aasta oktoobrit ning mida on uuendatud kaarditootja rakenduse kaudu Politsei- ja Piirivalveameti teeninduses. Politsei- ja Piirivalveamet (PPA) tunnistab nende kaartide sertifikaadid alates 1. juunist 2018 kehtetuks.

Kehtetute sertifikaatidega ID-kaarti ei saa enam elektrooniliselt kasutada ning e-teenustesse sisenemiseks või digiallkirja andmiseks tuleb taotleda kas uus kaart või kasutada mobiil-ID-d. Kehtetute sertifikaatidega ID-kaart kehtib jätkuvalt nii isikut tõendava kui ka reisidokumendina kuni kaardile märgitud kehtivusaja lõpuni. Samuti saab kaarti endiselt kasutada apteegis ja kliendikaardina.

Riik vahetab garantiikorras välja kõik turvanõuetele mitte vastavad ID-kaardid, mille kehtivusaeg on pikem kui kolm kuud alates dokumendi taotluse esitamisest. PPA võtab ID-kaartide kasutajatega ühendust ja annab infot ID-kaardi väljavahetamise kohta.

Turvariskiga kaardid

1.1.2011–16.10.2014 välja antud ID-kaardid ja 1.1.2011–17.12.2014 välja antud elamisloakaardid, mida on alates 2012. juulist kuni 2017. aasta juulini uuendatud PPA teenindusbüroodes.

Selliseid kaarte oli kokku üle 74 000, praeguseni kehtib selliseid kaarte ligikaudu 12 500.

Kontrolli veebilehelt www.eesti.ee, kas sinu kaart vastab turvanõuetele. 

Probleem ei puuduta kaarte:

  • - mis olid mõjutatud 2017. aasta turvariskist ja mida on uuendatud ajavahemikul oktoober 2017 kuni aprill 2018;
  • - mida on kauguuendatud;
  • - mida ei ole üldse uuendatud;
  • - mis on välja antud hiljem kui oktoober 2014 (elamisloakaart hiljem kui 17.12.2014).

  • Milles turvarisk seisneb?

    Riik on nõudnud, et ID-kaardi võtmed tuleb alati genereerida kiibis sees, et välistada võimalus, et kellelgi teisel on juurdepääs kaardi kasutaja privaatvõtmele ning seeläbi kaardi digitaalsele kasutamisele. Praeguseks on selgunud, et Eesti ID-kaardi tootja ei ole seda nõuet järginud ja on teatud dokumentide puhul genereerinud võtmed väljaspool kiipi.

  • Millised kaardid on mõjutatud?

    Mõjutatud kaardid on:

    1.01.2011 kuni 16.10.2014 välja antud ID-kaardid;
    1.01.2011 kuni 17.12.2014 välja antud elamisloakaardid,
    mida on alates 12.07.2012 kuni 30.06.2017 PPA teenindusbüroodes uuendatud.  

    Probleem ei puuduta kaarte: 

    • mis olid mõjutatud 2017. aasta turvariskist ja mida on uuendatud ajavahemikul oktoober 2017 kuni aprill 2018;
    • mida on kauguuendatud; 
    • mida ei ole üldse uuendatud; 
    • mis on välja antud hiljem kui oktoober 2014 (elamisloakaart hiljem kui 17.12.2014). 

    Aadressil https://www.eesti.ee/est/teenused/kodanik/document_check on võimalik kontrollida, kas dokument on mõjutatud.

  • Mis saab edasi?

    PPA peadirektori 16.05.2018 otsusega nr 15.2-9/91-1 tunnistatakse kõik veel kehtivate turvariskiga kaartide sertifikaadid alates 1.06.2018 kehtetuks ning kaardid, mille kehtivusaeg lõpeb rohkem kui kolme kuu pärast, vahetatakse garantii korras uute vastu välja. Garantii korras välja vahetatud dokument on sama kehtivusajaga, mis algne dokument.

  • Kui palju kaarte on mõjutatud?

    Kehtivaid kaarte on enam kui 12 000. Kokku oli sellest riskist mõjutatud kaarte umbes 74 000.

  • Kas on võimalik kuritarvitada ka juba kehtetuid kaarte?

    Kehtetute kaartide puhul on võimalik võtmeid teades avada nendele kaartidele krüpteeritud dokumente. Muid toiminguid (digiallkirjastamine, e-teenustesse logimine) kehtetute kaartidega teha ei saa.

  • Kas turvarisk on realiseerinud?

    Seni puudub Politsei- ja Piirivalveametil ning Riigi Infosüsteemi Ametil info selle kohta, et kellegi ID-kaarti oleks elektroonselt väärkasutatud.

  • Kuidas see alles praegu välja tuli?

    RIA-le laekus info võimalikust nõuete rikkumise avastusest eelmisel veebruaril. Seda infot tuli aga põhjalikult kontrollida ning leida väidetele tõestust.

  • Kas PPA on algatanud menetluse?

    PPA viis läbi teenistusliku kontrolli asjaolude selgitamiseks. Sellest selgus, et PPA-l puudus info selle kohta, et ID-kaardi tootja genereerib privaatvõtmeid väljaspool kiipi.

    PPA on esitanud ID-kaardi tootjale (Gemalto AG) nõude kahjude hüvitamiseks.

  • Kas ID-kaardi kasutamine on turvaline?

    Riik maandab riski alates 1. juunist, mil mõjutatud kaarte, mida on suurusjärgus 12 000, ei saa enam elektrooniliselt kasutada. Kõik ülejäänud kaardid on turvalised ja neid tasub julgesti kasutada. Ka ei ole meil täna ühtegi põhjust arvata, et mõjutatud kaarte oleks kuritarvitatud või kellelgi oleks nende kaartide privaatsetele võtmetele ligipääsu. See on küll teoreetiliselt võimalik, kuid reaalselt ei ole täna intsidendist ühtegi märki.

    ID-kaart isikut tõendava dokumendina on täiesti turvaline.

  • Kuidas ma turvariskiga ID-kaarti kasutada saan?

    Turvariskiga ID-kaart kehtib jätkuvalt nii isikut tõendava kui ka reisidokumendina kuni kaardile märgitud kehtivusaja lõpuni. Samuti saab kaarti endiselt kasutada apteegis ja kliendikaardina.

    Turvariskiga kaarte ei ole võimalik alates 1.06.2018 e-teenustes ja digiallkirjastamiseks kasutada.

    PPA vahetab garantiikorras välja kaardid, mis kehtivad kauem kui kolm kuud alates PPA poole pöördumise hetkest. E-teenuste kasutamiseks võib sõlmida mobiil-ID lepingu.

  • Kas ma pean taotlema uue ID-kaardi?

    Kui kaarti kasutatakse ainult isikut tõendava dokumendina, ei ole tarvis kaarti välja vahetada.

    Juhul, kui kaart kehtib kauem kui 1.09.2018, vahetatakse kaart sama kehtivusajaga garantii korras tasuta välja. ID-kaardi kasutajad, kelle sertifikaadid tunnistatakse kehtetuks, said eesti.ee e-posti aadressile kirja juhendiga, kuidas uut dokumenti garantii korras saada. Lisainfot garantii korras dokumendi taotlemise kohta saab samuti PPA infotelefonilt 612 3000.

    ID-kaardi kasutajad, kelle dokument aegub hiljemalt 31.08.2018, peavad taotlema uue dokumendi PPA e-taotluskeskkonnas või teeninduses. Pärast 1.09.2018 vahetatakse dokumendid garantii korras välja vaid juhul kui dokumendi kehtivusaja lõpuni on jäänud rohkem kui 3 kuud.

    Dokumendi numbri alusel saab lehel https://www.eesti.ee/est/teenused/kodanik/document_check kontrollida, mida dokumendiga tegema peab.

  • Kes mind nõustab?

    Uue dokumendi taotlemise kohta saab infot PPA infotelefonilt 612 3000 või id.ee lehelt. 

    Mobiil-ID osas saab nõu mobiilioperaatorilt, ka operaatori infotelefoni ja veebiteeninduse kaudu.

  • Mis juhul võib riik tunnistada kehtetuks minu sertifikaadid?
    Riik võib isikut tõendava dokumendi sertifikaadid kehtetuks tunnistada seaduses sätestatud juhtudel ja üks neist juhtudes on see, et kaardile kantud privaatvõtit on võimalik kasutada ilma dokumendi kasutaja nõusolekuta (ehk teisisõnu – dokumenti saab või on saanud digitaalselt kasutada ilma dokumendi kasutaja nõusolekuta). Kuna käesoleval juhul on tegemist turvariskiga, kus riigil on alust arvata, et dokumendi kasutaja privaatvõtit on olnud võimalik ilma dokumendi kasutaja teadmata kasutada, on riik teinud otsuse kõik vastava riskiga sertifikaadid kehtetuks tunnistada. 
     
  • Kas ja kui kiiresti saab vigase ID-kaardi uue vastu vahetada?

    PPA vahetab garantiikorras välja kaardid, mis kehtivad kauem kui kolm kuud alates PPA poole pöördumise hetkest. Kuni 31.05.2018 saab olemasolevat ID-kaarti kasutada e-teenustes ja digitaalallkirja andmiseks.

    Füüsilise isikut tõendava dokumendina on ID-kaart endiselt kehtiv kuni dokumendil märgitud kuupäevani.

  • Kas viga saab veebi kaudu parandada?

    Seda turvariski ei saa parandada ei veebi kaudu ega PPA teeninduses, vajalik on uue dokumendi taotlemine.

  • Kas ja kuidas saan kontrollida, kas keegi on minu kaarti/identiteeti kuritarvitanud?

    ID-kaardi elektroonilise kuritarvitamise kahtluse korral pöördu politsei poole ja teavita RIA infoturbeintsidentide käsitlemise osakonda (cert@cert.ee).

  • Kas ja millised tehtud toimingud saab kahtluse alla saada? Kas ma pean need uuesti tegema?

    RIA-le ega PPA-le ei ole teada ühtegi kuritarvitamise juhtumit. Kõik kaardiga antud allkirjad ja tehingud kehtivad.

  • Kas riik on jätnud kontrollimata, mida tootja teeb?

    ID-kaardi turvalisuse tagamise üks baasnõuetest on see, et võtmeid võib genereerida vaid kiibis sees. Samuti on turvavõtmete kiibis sees genereerimise põhimõte selgelt sätestatud sertifitseerimise protsessis, mis on ka auditeeritud. Ükski audiitor ei ole seda viga tuvastanud. Varasemalt on Gemalto PPAle kinnitanud, et võtmed genereeritakse kiibis sees.

  • Kas olete ise teadlaste väiteid kontrollinud?

    RIA on väiteid kontrollinud ning tellinud ka eraldiseisva analüüsi, mis kinnitab, et osade ID-kaartide sertifikaatide võtmeid genereeriti väljaspool kiipi.

  • Mida te seni teinud olete?

    RIA analüüsis antud infot ning edastas uurimistöös kirja pandud hüpoteesi PPAle, kes palus sellekohast selgitust oma lepingupartnerilt, kes toodab Eestile ID-kaarte. Eesti riigi poolt kehtestatud nõuete kohaselt tohib ID-kaardi võtmeid genereerida ainult kaardil. Väljaspool kiipi võtmete genereerimine loob võimaluse kasutada ID-kaarti füüsiliselt kaarti omamata ja PIN-koodi teadmata.

    RIA palvel analüüsis võtmete genereerimise väidet täiendavalt AS Cybernetica. Spetsialistide grupp, kes tegi ka koostööd TÜ teadlasega, jõudis analüüsi tulemusel järeldusele, et 2012. aasta juulist kuni 2017. aasta 30. juunini on PPA teenindustes ID-kaartide sertifikaatide uuendamise käigus genereeritud võtmed väljaspool kiipi 74 583 ID-kaardi puhul. Kehtivaid kaarte on enam kui 12 000. Kõik need dokumendid on välja antud enne 2014. aasta 16. oktoobrit. Kaardid, mida on inimesed uuendanud kodus kauguuendamise teel, või mis on väljastatud pärast 16. oktoobrit 2014, sealhulgas kaardid, mis on alates sellest kuupäevast uuendatud PPA teenindusbüroodes, vastavad nõuetele. 

    RIA on AS Cybernetica ja teadlase järeldustele tuginedes koostanud ohuhinnangu ning esitanud selle PPAle soovitusega tunnistada kirjeldatud ID-kaartide sertifikaadid kehtetuks.


KÜSI ABI

Kui sa ei leidnud oma küsimusele vastust, kirjuta meie meeskonnale.



  • Vaata juhendit
  • Hinda oma arvutikasutusoskust, et saaksime anda paremaid juhiseid

         

  • Kontroll ebaõnnestus

Kuidas saame artiklit parandada, et sellest rohkem abi oleks?
Saada Sulge