Στιγμιότυπο από προωθητικό βίντεο για τις εσθονικές ταυτότηες από την κυβερνητική ιστοσελίδα e-Estonia.com.

Στις 4 Νοεμβρίου 2017, οι εσθονικές Αρχές απενεργοποίησαν τα πιστοποιητικά περισσότερων από 760.000 εθνικών ηλεκτρονικών δελτίων ταυτότητας λόγω ευπάθειας ασφαλείας, που θα μπορούσε να είχε θέσει σε κίνδυνο τις κάρτες, που εκδόθηκαν μεταξύ 16 Οκτωβρίου 2014 και 26 Οκτωβρίου 2017 και πιθανώς ακόμη νωρίτερα.

Περισσότερο από ό,τι οι περισσότερες άλλες χώρες, η Εσθονία βασίζεται στην ψηφιακή τεχνολογία για πολλές βασικές υπηρεσίες, όπως λήψη συνταγογραφούμενων φαρμάκων, εκλογές, τραπεζικές μεταφορές και ψηφιακές υπογραφές. Στην πραγματικότητα, το 98% των Εσθονών έχουν ταυτότητα, που μπορούν να χρησιμοποιήσουν ως έγκυρο ταξιδιωτικό έγγραφο ταυτότητας εντός της Ευρώπης, έχουν πρόσβαση σε υγειονομική ασφάλιση και πληρώνουν φόρους. Οι ψηφιακές κάρτες ταυτότητας εισήχθησαν το 2002 και έχουν γίνει ο ακρογωνιαίος λίθος των ηλεκτρονικών υπηρεσιών της χώρας. Η Εσθονία διαθέτει μία από τις ταχύτερες ευρυζωνικές υπηρεσίες στον κόσμο και έχει δημιουργήσει ισχυρό ψηφιακό γραμματισμό, ευρεία συνδεσιμότητα στο Διαδίκτυο και ηλεκτρονική διακυβέρνηση.

Το λογισμικό πιστοποίησης στις αποκλεισμένες ταυτότητες θα αντικατασταθεί με νέο, πιο ασφαλές, σε μια εθνική προσπάθεια αντιμετώπισης του κινδύνου παραβίασης της ιδιωτικότητας. Αυτά τα πιστοποιητικά απενεργοποιήθηκαν, αφού μια ομάδα ερευνητών από την Τσεχική Δημοκρατία εντόπισε ένα ελάττωμα ασφαλείας στα μικροτσίπ των καρτών, που θα μπορούσε να είχε οδηγήσει σε σημαντικές παραβιάσεις προσωπικών δεδομένων των πολιτών. Οι ερευνητές διαπίστωσαν ότι τα τσιπ, που είχαν εγκατασταθεί σε κάρτες ταυτότητας, που εκδόθηκαν μεταξύ 16 Οκτωβρίου 2014 και 26 Οκτωβρίου 2017 (αν και πιθανώς ήδη από το 2012), ήταν ευάλωτα σε διείσδυση ιδιωτικών και δημόσιων κλειδιών και σε πιθανή κλοπή ταυτότητας.

Τα τσιπ κατασκευάστηκαν από την Infineon, μια εταιρεία μικροηλεκτρονικής με έδρα στις ΗΠΑ και τη Γερμανία, η οποία παρέχει υπηρεσίες, όπως κυβερνητική αναγνώριση, ασφάλεια κινητής τηλεφωνίας και ενσωματωμένη ασφάλεια και αξιόπιστη πληροφορική.

Η εσθονική κυβέρνηση λέει ότι δεν έχει πραγματοποιηθεί ακόμη διείσδυση και ότι οι Αρχές απενεργοποίησαν τις πληγείσες ταυτότητες ως προληπτικό μέτρο για να διασφαλίσουν ότι δεν θα βλάψουν τα δεδομένα των πολιτών. Για να διασφαλιστεί ότι η ηλεκτρονική διακυβέρνηση συνέχισε να λειτουργεί, περίπου 35.000 άτομα, που χρησιμοποιούν την ταυτότητά τους για την εργασία τους, όπως κυβερνητικοί αξιωματούχοι και γιατροί, μετέβησαν πρώτα σε ασφαλέστερη έκδοση.

Στις 2 Νοεμβρίου 2017, ο πρωθυπουργός Γιούρι Ρατάς ανέφερε σε δήλωση:

E-riigi toimimine püsib usaldusel ning riik ei saa lubada Eesti ID-kaardi omaniku identiteedi vargust. Praeguse teadmise järgi ei ole e-identideedi vargust aset leidnud, kuid PPA ja RIA ohuhinnang näitab, et see oht on muutunud reaalseks.

Η λειτουργία ενός ηλεκτρονικού κράτους βασίζεται στην εμπιστοσύνη και το κράτος δεν μπορεί να ανεχτεί κλοπή ταυτότητας στον κάτοχο μιας εσθονικής ταυτότητας. Από ό,τι γνωρίζουμε σήμερα, δεν υπήρξαν περιπτώσεις κλοπής ηλεκτρονικής ταυτότητας, αλλά η εκτίμηση απειλής του Συμβουλίου Αστυνομίας και Συνοριοφυλακής και της Αρχής του Συστήματος Πληροφοριών δείχνει ότι αυτή η απειλή έχει γίνει πραγματική.

Η απειλή ασφάλειας, που αποκαλύφθηκε από Τσέχους ερευνητές, δεν περιορίζεται μόνο στις εσθονικές ταυτότητες. Προφανώς, όλα τα chipset, που παράγονται από την Infineon κατά τη διάρκεια αυτής της περιόδου, έχουν το ίδιο ελάττωμα. Επομένως, τα συστήματα υπολογιστών σε όλο τον κόσμο, που χρησιμοποιούν chipset Infineon, διατρέχουν επίσης κίνδυνο διείσδυσης. Η ευπάθεια φωτίζει τις σοβαρές προκλήσεις ασφάλειας, που μπορούν να προκύψουν, με την ψηφιοποίηση των εθνικών δελτίων ταυτότητας και συστημάτων.

Οι συζητήσεις στα μέσα κοινωνικής δικτύωσης για αυτό το ζήτημα περιελάμβαναν σχόλια στο Twitter από τον Τόμας Χέντρικ Ίλβες, πρώην Πρόεδρο της Δημοκρατίας της Εσθονίας (2006-2016), που δήλωσε ότι η “πραγματική είδηση” αφορά την Gemalto, την κατασκευάστρια εταιρεία των καρτών, που φαίνεται να είχε μάθει σχετικά με την ευπάθεια τον Φεβρουάριο, αλλά δεν είχαν μοιραστεί αυτές τις πληροφορίες με τους πελάτες. Από το 2001, οι ηλεκτρονικές κάρτες ταυτότητας της Εσθονίας κατασκευάζονται από την Trub AG και τον διάδοχό της, Gemalto AG, ελβετικές εταιρείες που χρησιμοποιούν τεχνολογίες Infineon.

Ο πρώην Πρόεδρος Ίλβες ισχυρίστηκε ότι η ολλανδική εταιρεία “ενημέρωσε τους εμπορικούς χρήστες, αλλά όχι τους πελάτες του δημόσιου τομέα, προτρέποντας τους δημοσιογράφους να εξετάσουν σε βάθος το θέμα.

Estonian ID is not the only one made by Gemalto. However, no other govt made any noise. Probably because the cards are issued but never used.

— Giulio (@dullboy) November 8, 2017

Η εσθονική ταυτότητα δεν είναι η μόνη, που κατασκευάζεται από την Gemalto. Ωστόσο, καμία άλλη κυβέρνηση δεν έκανε φασαρία. Πιθανώς επειδή οι κάρτες εκδίδονται, αλλά δεν χρησιμοποιούνται ποτέ.

Or perhaps the story is a tech-empathetic gov't that responded quickly and measuredly to a crypto security vulnerability. That is news!

— Andres Jaan Tack (@ajtack) November 8, 2017

Ή ίσως η είδηση να είναι ότι μια τεχνο-ενσυναισθητική κυβέρνηση ανταποκρίθηκε γρήγορα και με μέτρα σε μια ευπάθεια ασφάλειας κρυπτογράφησης. Αυτά είναι νέα!

Η κίνηση της Εσθονίας να αντικαταστήσει τα πιστοποιητικά των καρτών προσέλκυσε επίσης την προσοχή από τους λάτρεις της κοινωνίας της πληροφορίας σε ολόκληρη την περιοχή της Ανατολικής και Κεντρικής Ευρώπης. Σε μια συζήτηση στο Facebook, ένας Σέρβος ειδικός πληροφορικής, που ζει στην Εσθονία, εξήγησε την προοπτική του τελικού χρήστη μέσω σχολίων:

Obavestili su nas pre nekoliko meseci (dok je rizik bio samo teoretski), a pre par nedelja su pustili update sertifikata kroz zvaničnu app (ne mora da se menja ID). Trenutno ume da štuca autorizacija, ali imamo i rezervni način autorizovanja (preko mobilne app) tako da nismo blokirani.

Ειδοποιηθήκαμε πριν από αρκετούς μήνες (ενώ ο κίνδυνος ήταν μόνο θεωρητικός) και πριν από μερικές εβδομάδες κυκλοφόρησαν ενημερώσεις των πιστοποιητικών μέσω μιας επίσημης εφαρμογής (οπότε δεν χρειάζεται να αλλάξει το αναγνωριστικό). Προς το παρόν, η διαδικασία εξουσιοδότησης έχει μερικές φορές κάποιες δυσκολίες, αλλά υπάρχει μια εφεδρική μέθοδος εξουσιοδότησης μέσω εφαρμογής για κινητά τηλέφωνα, επομένως δεν έχουμε μπλοκαριστεί καθόλου.