Forskere finder sårbarhed i Estlands nationale ID-kort: Politikere vil have valg udskudt

6. september 2017 kl. 10:593
Der er ingen tegn på misbrug, oplyser Estland. Det er formentlig værre, end politikerne vil sige, påpeger sikkerhedseksperten Bruce Schneier.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Et internationalt hold sikkerhedsforskere har advaret Estlands regering om en sårbarhed, der berører landets tæt på 750.000 nationale ID-kort udstedt siden oktober 2014.

Det skriver Estonian World.

Sårbarheden blev i går bekræftet af estiske eksperter.

Taimar Peterkop, der er chef for Estlands Information System Authority, udtaler i en meddelelse, at myndigheden gør sit yderste for at garantere ID-kortets sikkerhed.

Artiklen fortsætter efter annoncen

»De nuværende data viser, at risikoen er teoretisk, og der er ingen beviser på, at nogen digitale identitet er blevet misbrugt,« fastslår han og fortsætter:

»Alle ID-kortoperationer er stadig valide, og vi tager de passende foranstaltninger for at sikre funktionalitet af vores nationale infrastruktur til digital-ID.«

Ifølge estisk politi gør sårbarheden det muligt at bruge en digital-ID uden at have det fysiske kort eller de tilhørende PIN-koder.

Angrebet kræver den offentlige nøgle tilknyttet kortet og en masse computerkraft til at udregne den private nøgle, skriver politiet. For bare få år siden var angrebet langt mere usandsynligt. Men fordi prisen på computerkraft bliver ved med at falde, er sårbarheden signifikant, lyder det.

Værre end de siger

Fejlen findes dog ikke i kort udstedt før oktober 2014, da disse har en anden chip. Fejlen gælder heller ikke det såkaldte Mobil-ID – en version af den digitale ID, der gemmes på en telefon.

Peterkop oplyser desuden, at man har begrænset adgang til landets database over offentlige nøgler tilknyttet ID-kortet for at forhindre misbrug.

»Vi har ingen ide om, hvor slemt det her i virkeligheden er,« skriver den internationalt anerkendte sikkerhedsekspert Bruce Schneier i en blog.

»Mit gæt er, at det er værre, end politikerne siger.«

Valg afholdes stadig

Hændelsen har fået flere estiske politikere til at foreslå, at det kommende valg, der finder sted 16. oktober, bliver udskudt. Over en tredjedel af landets befolkning bruger netop det digitale ID-kort til at stemme online.

Estlands premierminister, Jüri Ratas, oplyser på et pressemøde, at valget ikke vil blive udskudt, men statsministeriet i det baltiske land vil overveje om, man skal lukke for online-afstemning med ID-kort.

»Det er netop sådan en situation, der bekymrer mig ved, at ID-systemer bliver mere udbredte og mere centraliserede,« skriver Bruce Schneier.

»Vil nogen vædde om, hvorvidt et fremmed land vil forsøge at hacke Estlands næste valg,« spørger sikkerhedseksperten retorisk.

Ifølge estiske myndigheder vil det tage omkring to måneder at fikse sårbarheden.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
22. oktober 2017 kl. 15:05

Fordelen ved online-afstemning er at det er meget nemmere at købe andres stemmer, eller evt. tvinge nogen til at stemme noget bestemt.

Det burde vi også have i Danmark.
2
6. september 2017 kl. 13:55

Må man gætte på at problemet er at de har brugt et kort med en krypteringsnøgle som er "for lille".

Nu er jeg på ingen måde krypteringsekspert, men kunne man ikke forestille sig at nøglerne er blevet genereret med den rette længde, men på en ikke-tilfældig måde, og det derfor er muligt at brute-force. Det passer måske også bedre med, at de tidligere udstedte kort ikke har sårbarheden. Man er vel næppe gået fra lang til kort nøgle.

1
6. september 2017 kl. 11:46

"Ifølge estiske myndigheder vil det tage omkring to måneder at fikse sårbarheden."

Hvordan fikser man lige et brute force attack ? (Altså udover at skifte alle kortene til nogen med en bedre beskyttet nøgle).

Ja, de kan måske begrænse eller fjerne adgangen til den offentlige nøgle, men så forsvinder hele ideen i "offentlig" nok.

Må man gætte på at problemet er at de har brugt et kort med en krypteringsnøgle som er "for lille".