Forskere finder sårbarhed i Estlands nationale ID-kort: Politikere vil have valg udskudt
Et internationalt hold sikkerhedsforskere har advaret Estlands regering om en sårbarhed, der berører landets tæt på 750.000 nationale ID-kort udstedt siden oktober 2014.
Det skriver Estonian World.
Sårbarheden blev i går bekræftet af estiske eksperter.
Taimar Peterkop, der er chef for Estlands Information System Authority, udtaler i en meddelelse, at myndigheden gør sit yderste for at garantere ID-kortets sikkerhed.
»De nuværende data viser, at risikoen er teoretisk, og der er ingen beviser på, at nogen digitale identitet er blevet misbrugt,« fastslår han og fortsætter:
»Alle ID-kortoperationer er stadig valide, og vi tager de passende foranstaltninger for at sikre funktionalitet af vores nationale infrastruktur til digital-ID.«
Ifølge estisk politi gør sårbarheden det muligt at bruge en digital-ID uden at have det fysiske kort eller de tilhørende PIN-koder.
Angrebet kræver den offentlige nøgle tilknyttet kortet og en masse computerkraft til at udregne den private nøgle, skriver politiet. For bare få år siden var angrebet langt mere usandsynligt. Men fordi prisen på computerkraft bliver ved med at falde, er sårbarheden signifikant, lyder det.
Værre end de siger
Fejlen findes dog ikke i kort udstedt før oktober 2014, da disse har en anden chip. Fejlen gælder heller ikke det såkaldte Mobil-ID – en version af den digitale ID, der gemmes på en telefon.
Peterkop oplyser desuden, at man har begrænset adgang til landets database over offentlige nøgler tilknyttet ID-kortet for at forhindre misbrug.
»Vi har ingen ide om, hvor slemt det her i virkeligheden er,« skriver den internationalt anerkendte sikkerhedsekspert Bruce Schneier i en blog.
»Mit gæt er, at det er værre, end politikerne siger.«
Valg afholdes stadig
Hændelsen har fået flere estiske politikere til at foreslå, at det kommende valg, der finder sted 16. oktober, bliver udskudt. Over en tredjedel af landets befolkning bruger netop det digitale ID-kort til at stemme online.
Estlands premierminister, Jüri Ratas, oplyser på et pressemøde, at valget ikke vil blive udskudt, men statsministeriet i det baltiske land vil overveje om, man skal lukke for online-afstemning med ID-kort.
»Det er netop sådan en situation, der bekymrer mig ved, at ID-systemer bliver mere udbredte og mere centraliserede,« skriver Bruce Schneier.
»Vil nogen vædde om, hvorvidt et fremmed land vil forsøge at hacke Estlands næste valg,« spørger sikkerhedseksperten retorisk.
Ifølge estiske myndigheder vil det tage omkring to måneder at fikse sårbarheden.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.