ID-карта может таить сюрпризы

С января 2019 года в стране начнется выдача удостоверений личности нового образца, куда будут встроены чипы-носители биометрических данных от швейцарской компании Trüb Trading (International) AG, известной на просторах бывшего Союза аналогичным проектом по производству и персонализации ID-карт для правительства Эстонии. Надо отметить, что проект швейцарской компании в этой стране увенчался громким скандалом, связанным с подозрениями в уязвимости чипов официальных документов.

Тем временем Министерство экономического развития Азербайджана уже выбрало компанию-поставщика конвертов с PIN/PUK-кодами, необходимыми для внедрения электронной подписи в удостоверения личности нового поколения, говорится в сообщении ведомства. Поставщиком конвертов в количестве 600 тысяч единиц (на тендерной основе) выбрана упомянута швейцарская компания, контракт с которой был подписан 12 октября сего года.

На чип новых удостоверений наших граждан будут записаны персональные сведения о владельце и данные двух сертификатов: первый - сертификат аутентификации, второй - для е-подписи. Для обеспечения защиты в чипах применен сертификат безопасности EAL6+. Поскольку главное в этом деле позаботиться о рисках, сообщается, что технические предложения Trüb по производству и персонализации биометрических паспортов были изучены на соответствие современным требованиям безопасности. Испытания столь высокого уровня, осуществляемые Федеральным ведомством по информационной безопасности (BSI) Германии, предусматривают доскональное тестирование всей архитектуры безопасности на устойчивость к разнообразным агрессивным, полуагрессивным и неагрессивным атакам, то есть формальную проверку самой концепции обеспечения безопасности.

Кстати: Эстония решила-таки сменить поставщика чипов, со второй попытки (первый тендер 2016 года был оспорен в суде) сделав в апреле 2017 года выбор в пользу французской Oberthur Technologies.

"Обнаружение уязвимости эстонских ID-карт и других электронных документов стало болезненным ударом по национальной системе электронных выборов и банковской онлайн-системе, а имидж страны передовых IT-технологий подорван как раз накануне заявленных Эстонией крупных киберучений стран ЕС", - считают авторы британской Financial Times. Как ранее сообщило эстонское издание Postimees, известная компания Gemalto AG (ранее - TRÜB AG), начиная с 2001 года, поставлявшая Эстонии карточки с чипами, в частности, для обеспечения жителей страны ID-картами.

"Признанные эксперты кибербезопасности более сдержанны в оценке произошедшего, но сомневаются в намерении властей Эстонии откровенно рассказать о проблеме и ее последствиях. Гуру компьютерной безопасности, американский криптограф и писатель Брюс Шнайер пишет, что на самом деле у экспертов нет представления о том, насколько "все плохо". Эксперт цитирует официальные сообщения о том, что 30 августа некая "международная команда исследователей" информировала Департамент государственных инфосистем Эстонии об обнаружении "уязвимости", создающей потенциальную опасность для "цифрового использования" примерно 750 тысяч ID-удостоверений личности и карточек э-резидентства", - цитируют СМИ.

Как пишут местные издания, новость о найденной уязвимости в считавшейся надежной системе существенно подорвала имидж Эстонии как страны передовых IT-технологий и стала причиной споров относительно безопасности электронных выборов. Сообщается, что проведенное эстонскими властями расследование выявило -уязвимости подвержены все ID, выпущенные в период с 14 октября 2014 года по 26 октября 2017 года. B итоге еще в сентябре 2017 года власти страны уведомлять владельцев ID и проблеме и необходимости обновления удостоверений личности.

B итоге на прошлой неделе правительство Эстонии поддержало решение Департамента полиции и погранохраны и Департамента государственных информационных систем, которые предложили остановить действие сертификатов ID-карт из группы риска 24:00 часов 3 ноября 2017 года. Сообщается, что все карты продолжат действовать в качестве удостоверения личности, но их невозможно будет использовать, к примеру, для покупки лекарств по электронным рецептам, работы с налогами, и для осуществления других операций, в которых задействуется криптографический ключ.

Примечательно, что ранее руководитель Государственной службы по организации выборов Прийт Bинкель заявлял, что выявленная в эстонских ID-картах уязвимость может повлечь за собой отмену электронного голосования на предстоящих 15 октября муниципальных выборах. "Правительство Эстонской Республики и Департамент государственной инфосистемы действительно уведомили Республиканскую избирательную комиссию и Госслужбу по организации выборов о возможных рисках при использовании ИД-карт", - цитирует портал новостей вещания ERR.ee.

Напомним, что ID удостоверения личности в Эстонии признаны необходимым и достаточным документом. Они обеспечивают доступ ко всей личной информации владельца, позволяют подписывать документы, включая финансовые, и используются в системе "электронного государства", в частности при электронном голосовании .Иными словами, массовый взлом защиты карточек означал бы если не крах, то невосполнимый ущерб всей системе электронного государства и деятельности коммерческих банков.

Упомянутые обстоятельства не означают угрозы безопасности внедряемых в Азербайджане паспортов нового образца, однако опыт Эстонии может показаться интересным. --0--