11月初旬、エストニア政府は数十万の国民IDカードを停止しました 。 これらは日常生活でIDカードとして使用できますが、これらのカードの所有者は電子リソースへのアクセスを拒否され、認証手順はカードのIDチップを使用して実行されます。 問題は、暗号化キーの脆弱性を悪用する場合、攻撃者がこのキーの所有者を偽装できることです。
3週間前に脆弱性が発見されたという事実にもかかわらず、エストニアは投票システムを含む電子システムの停止を延期することを決定しました。 地元メディアは、カードを使用して候補者に投票したため、問題なく選挙プロセスを完了するために行われたと主張しています。 国が選挙前に有効性を取り消した場合、後者は無効であると宣言する必要があり、国の政府は同意しませんでした。
3週間前に脆弱性を発見した情報セキュリティの専門家によると、その存在により、攻撃者はクラウドベースのインスタンスを使用してわずか25分で1024ビットの暗号化キーを解読できます。 この場合のハッキングの価格は38ドルです。 2048ビットキーのハッキングには、20,000ドルと9日間が必要です。
当初、エストニア当局は、脆弱性の利用は複雑で費用のかかるプロセスであるため、脆弱性はあまり危険ではないと述べました。 政府機関の代表者は次のように述べました。攻撃の高コストと秘密鍵を生成するための大量の計算能力のため、大規模攻撃はほとんど不可能です。
影響を受けるスマートカード会社Gemalto 、そのオフィスはスイスにあります。 そのカードは10年以上販売されており、Microsoft Corporationや他の企業の従業員による二要素認証に使用されています。 先日、エストニアのカードが停止する原因となった脆弱性が2008年以来存在していることが判明しました。
情報セキュリティの専門家であるダニエルバーンスタインとターニャランゲは 、以前に述べたよりも安価な方法で脆弱性を悪用できると述べました。 さらに、この方法は上記の方法よりもはるかに高速です。 判断できる限り、攻撃者は同じ方法を使用できます。多くの場合、最高クラスの専門家がサイバー犯罪者のチームで働いています。
エストニア政府によると、サイバーセキュリティの問題を回避するために、脆弱性のない新しいデジタル証明書を受け取るまで、市民と「電子居住者」の両方のすべてのデジタルIDを一時停止することが決定されました。 これは、潜在的な攻撃者による国の市民のデータの使用を回避する予防策です。
さらに、この脆弱性はエストニアだけでなく、前述のとおり、「デジタルID」カードと同じメーカーのカードを使用するマイクロソフトやその他の企業も証明書を変更します。 しかし、エストニアはどの企業よりも大きいため、ここでの問題はより深刻です。 「私たちが知る限り、電子IDの盗難の事例はありませんが、この脅威は現実のものです。 カード証明書をブロックすることにより、国は彼らの安全性を確信することができます」と首相ジュリ・ラタスの声明は述べました。 彼はまた、決定は容易ではなかったが、実際にはすべての可能な唯一のものであると付け加えた。
この問題は、すべてのデジタルIDに関係するのではなく、2014年10月16日から2017年10月25日の間に発行されたものにのみ関係します。新しいビジネスを開くために。
最悪なことに、この国の住民はデジタル証明書を使用して、医療サービスを受けたり、税務サービスとやり取りしたり、従業員やその他の同様の仕事をしたりしています。 カードを捨てることはできませんが、チップに含まれている電子証明書を更新するだけです。 しかし、それほど多くのセンターがないと考えると、同時に数十万の証明書を更新することは不可能です。
デジタルカードの運用を一時停止するという政府の決定は、特に会計サービスを提供する企業に影響を及ぼしました。 そして、これは賃金と年金の支払いの直前に起こりました。 同じ期間に、雇用主は利益税を財務省に移転します。 カードの問題により仕事が中断されている会社は不幸です。
「もちろん、自国のエストニア人が何をする必要があるのか理解できない場合、国家は責任を負います。 そして、州は単にIDカードの作業を停止する決定を下します」 と 、ライノネン会計事務所の会長であるラース・ペッター・ライノネンは述べています。
この問題は、2014年10月より前に発行されたmobiil-IDおよびカードには関係ありません。 エストニア人は2つの方法でカードを変更します-電子的または警察で。 国務省情報システム(RIA)によると、金曜日の夕方までにセキュリティリスクのあるIDカード証明書を更新したのはわずか62,000人でした。 警察署には巨大な列が並んでいます。 政府は7/7センターの体制を導入しなければなりませんでした。 つまり、センターは週7日稼働しています。
情報セキュリティの専門家によると、攻撃者はコードを解読するコストを削減し、この操作の実行にかかる時間を短縮できます。 サイバー犯罪者は、必要に応じて、GPU、プログラマー、専用チップを搭載した専用ハードウェアを購入し、カード所有者の非個人化システムを独自に作成できます。 また、同じ投票中にカード情報を使用できます。 現在、脆弱なカードの数は、攻撃者が10%以上の投票者のデータを使用できるほどです。
エストニアの首相Juri Ratasは、多くの人々がエストニアのIDカードの脆弱性を排除するために働いており、問題の解決策は日々近づいていると述べました。
しかし、エストニアは、全国地図がこの脆弱性に対して脆弱な唯一の国ではありません。 同様の問題はスロバキアにも関連しています。スロバキアでは、サイバーセキュリティの専門家が自分の電子国IDを確認しています。
実際、この脆弱性は多くのメーカーの多数のスマートカードに関連しています。 これらのカードのほとんどのチップはRSA暗号化プロトコルを使用しています。 解決策は、異なるプロトコルを使用することです。 エストニア政府は、eカードがまもなく楕円暗号で保護されると述べています。
楕円暗号の方法は、楕円曲線の代数的性質を使用することです。 1985年にニールコブリッツとビクターミラーによって提案されました。 この方法では、主な暗号操作の役割は、楕円曲線上の点の加算と倍加によって決定される、楕円曲線上の点と特定の整数のスカラー倍算の演算によって実行されます。 このタイプの暗号化は高速であり、短いキー長が使用されるため、情報技術の分野全体に対するこの方法の利点は議論の余地がありません。
RSAに関しては 、この暗号システムは非常に信頼性があります。複合数を素因数に組み込むのは非常に難しいからです。 しかし、エストニアのIDカードの場合のように、製造業者の間違いは、安全なキーを解読するタスクを単純化できます。 楕円曲線でアルゴリズムを使用する場合、アルゴリズムを使用してそれらの点のグループの離散対数問題を解決する可能性は除外されます。 ところで、NSAは楕円暗号アルゴリズムのみを使用し、比較的短い384ビットキーでドキュメントを保護します。 おそらく、RSAの代わりに楕円暗号方式が将来使用されるでしょう。
エストニアに関しては、政府は数日以内にすべてを取り戻すことを望んでいます。 特に、今週、IDカード証明書の更新が更新されました。 これは、マップセンターを訪問することを避けるための最速の方法です。