Estland: Vi har lukket sikkerhedshul på 330.000 id-kort

De estiske myndigheder oplyser, at man har lukket et sikkerhedshul i omkring 330.000 nationale id-kort.

En sårbarhed er nu blevet lukket på omkring 330.000 nationale id-kort i Estland. Det fremgår af en pressemeddelelse, der har henholdsvis den estiske Police and Border Guard Board (PBGB) og den estiske Information System Authority (RIA) som afsender.

De estiske myndigheder blev opmærksom på sårbarheden tilbage i august, hvor sikkerhedsfolk havde fundet frem til en svaghed i chips fra Infineon Technologies AG, som bliver anvendt i et hav af sammenhænge. De estiske myndigheder nævner i meddelelsen ikke sårbarheden ved navn, men der er efter alt at dømme tale om Roca (The Return of Coppersmith's Attack).

Myndighederne oplyser, at sårbarheden gør det muligt ud fra en offentlig nøgle, som alle i sagens natur kender, at regne sig frem til den tilhørende privat nøgle.

»For at omgå sikkerhedsrisikoen udviklede vi en softwareopdatering i samarbejde med SK ID Solutions og estiske it-selskaber,« siger leder af eID ved RIA Margus Arm ifølge pressemeddelelsen.

Sårbarheden fra august påvirker næsten 800.000 id-kort i Estland, som mere end halvdelen af befolkningen på samlet set 1,3 mio. er i besiddelse af. De estiske myndigheder har valgt at lukke ned for sårbare kort 3. november.

Stadig masser af sårbare kort

Og af disse næsten 800.000 kort er omkring 330.000 altså nu opdaterede. I den forbindelse har software til fornyelse af certifikater på de sårbare kort været involveret i processen.

»Denne opdatering og softwaren til fornyelse af ID-kort gjorde os i stand til at omgå sikkerhedsrisikoen uden at udskifte alle sikkerheds-risiko-påvirkede kort. Med fornyelse-softwaren er kortholdere i stand til at forny deres ID-kort enten på afstand via deres egne personlige computere eller ved et af politi-service stederne,« lyder det videre fra Margus Arm ifølge meddelelsen.

Processen med at opdatere kort gik i gang 31. oktober.

»Vi begyndte med opdateringsprocessen 31. oktober og opdagede omgående adskillige tekniske problemer,« fortæller leder af Identity and Status Bureau ved Police and Border Guard Board (PBGB) ifølge meddelelsen og fortsætter:

»Det lykkedes os at overkomme disse problemer og blot en måned senere er næsten halvdelen af de sikkerheds-risiko-påvirkede ID-kort blevet opdateret og folk kan fortsætte med at bruge de digitale tjenester med deres id-kort. Estere er vant til at bruge vores digitale tjenester og id-kort er hjørnestenen i vores digitale samfund.«

De estiske myndigheder vurderede ifølge pressemeddelelsen, at risikoen for at nogen ville udnytte sårbarheden på id-kortene, ville blive større over tid. I det lys valgte PBGB at lukke ned for certifikater på sårbare kort tilbage i november.

Det vil sige, at borgere først har skullet opdatere deres kort, før de kan bruges igen.

Certifikater for ID-kort, der endnu ikke er blevet opdaterede, når kalenderen viser 1. april 2018, bliver endeligt tilbagekaldt (eng. revoked).

Også sårbart ID i Danmark

Herhjemme er NemID er en slags pendant til det estiske id-kort. Det danske system har også vist sig at være påvirket af Roca-sårbarheden. Det drejer sig nærmere bestemt om NemID på hardware. Relativt få anvender denne løsning, som NemID-leverandøren Nets er kontraktligt forpligtet til at levere.

Nets valgte at lukke ned for NemID på hardware, da det stod klart, at også den danske løsning så ud til at være sårbar. Nets har tidligere fortalt, at man arbejder på at finde en anden løsning.

I anledningen af den estiske udmelding om de opdaterede id-kort har vi spurgt Nets, hvordan det går med at finde en ny løsning, hvad NemID på hardware angår.

»Vi analyserer forskellige muligheder, og har kig på enkelte løsninger, som vi er rimelig langt med. Sagen har høj prioritet for os, men vi kan ikke sige noget om, hvornår vi er klar med den rigtige løsning,« oplyser Jens Jacob Larsen, chef for NemID product and delivery hos Nets via mail.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder