Forskere finder sårbarhed i Estlands nationale ID-kort: Politikere vil have valg udskudt

Der er ingen tegn på misbrug, oplyser Estland. Det er formentlig værre, end politikerne vil sige, påpeger sikkerhedseksperten Bruce Schneier.

Et internationalt hold sikkerhedsforskere har advaret Estlands regering om en sårbarhed, der berører landets tæt på 750.000 nationale ID-kort udstedt siden oktober 2014.

Det skriver Estonian World.

Læs også: Estlands it-boss: »Hvad du end studerer, skal du have undervisning i sikkerhed og kodning«

Sårbarheden blev i går bekræftet af estiske eksperter.

Taimar Peterkop, der er chef for Estlands Information System Authority, udtaler i en meddelelse, at myndigheden gør sit yderste for at garantere ID-kortets sikkerhed.

Læs også: Estland på vej til at blive verdens første cloud-baserede land

»De nuværende data viser, at risikoen er teoretisk, og der er ingen beviser på, at nogen digitale identitet er blevet misbrugt,« fastslår han og fortsætter:

»Alle ID-kortoperationer er stadig valide, og vi tager de passende foranstaltninger for at sikre funktionalitet af vores nationale infrastruktur til digital-ID.«

Læs også: Sådan bygger du en online-nation

Ifølge estisk politi gør sårbarheden det muligt at bruge en digital-ID uden at have det fysiske kort eller de tilhørende PIN-koder.

Angrebet kræver den offentlige nøgle tilknyttet kortet og en masse computerkraft til at udregne den private nøgle, skriver politiet. For bare få år siden var angrebet langt mere usandsynligt. Men fordi prisen på computerkraft bliver ved med at falde, er sårbarheden signifikant, lyder det.

Værre end de siger

Fejlen findes dog ikke i kort udstedt før oktober 2014, da disse har en anden chip. Fejlen gælder heller ikke det såkaldte Mobil-ID – en version af den digitale ID, der gemmes på en telefon.

Peterkop oplyser desuden, at man har begrænset adgang til landets database over offentlige nøgler tilknyttet ID-kortet for at forhindre misbrug.

Læs også: Estland vil otte-doble indbyggertallet med vidtgående digital rekrutteringsplan

»Vi har ingen ide om, hvor slemt det her i virkeligheden er,« skriver den internationalt anerkendte sikkerhedsekspert Bruce Schneier i en blog.

»Mit gæt er, at det er værre, end politikerne siger.«

Valg afholdes stadig

Hændelsen har fået flere estiske politikere til at foreslå, at det kommende valg, der finder sted 16. oktober, bliver udskudt. Over en tredjedel af landets befolkning bruger netop det digitale ID-kort til at stemme online.

Estlands premierminister, Jüri Ratas, oplyser på et pressemøde, at valget ikke vil blive udskudt, men statsministeriet i det baltiske land vil overveje om, man skal lukke for online-afstemning med ID-kort.

Læs også: Undersøgelse: Danskere klar til e-valg med NemID

»Det er netop sådan en situation, der bekymrer mig ved, at ID-systemer bliver mere udbredte og mere centraliserede,« skriver Bruce Schneier.

»Vil nogen vædde om, hvorvidt et fremmed land vil forsøge at hacke Estlands næste valg,« spørger sikkerhedseksperten retorisk.

Ifølge estiske myndigheder vil det tage omkring to måneder at fikse sårbarheden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
Henrik Madsen

"Ifølge estiske myndigheder vil det tage omkring to måneder at fikse sårbarheden."

Hvordan fikser man lige et brute force attack ? (Altså udover at skifte alle kortene til nogen med en bedre beskyttet nøgle).

Ja, de kan måske begrænse eller fjerne adgangen til den offentlige nøgle, men så forsvinder hele ideen i "offentlig" nok.

Må man gætte på at problemet er at de har brugt et kort med en krypteringsnøgle som er "for lille".

Palle Due Larsen

Må man gætte på at problemet er at de har brugt et kort med en krypteringsnøgle som er "for lille".


Nu er jeg på ingen måde krypteringsekspert, men kunne man ikke forestille sig at nøglerne er blevet genereret med den rette længde, men på en ikke-tilfældig måde, og det derfor er muligt at brute-force. Det passer måske også bedre med, at de tidligere udstedte kort ikke har sårbarheden. Man er vel næppe gået fra lang til kort nøgle.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017