Noll
Video: Estland för att öppna världens första uppgifterna ambassaden i Luxemburg
Under de senaste två och en halv månader, Estland har varit inför den största säkerhet krisen sedan en våg av it-angrepp slå sina banker och kritisk nationell infrastruktur under 2007.
I hjärtat av den nuvarande krisen är den senaste versionen av sitt nationella ID-kortet, som har en obligatorisk id-handling för medborgarna i Estland sedan 2002 och fungerar som en hörnsten i Estlands e-stat.
Hårdvaran bakom ID-kort visade sig vara sårbara för attacker, vilket teoretiskt skulle kunna ha lett till identitet stölder av estniska medborgare och även e-invånare, något som i sin regeringen har förnekat att uppstå.
Att sätta en positiv prägel på den senaste tidens händelser, tidigare CIO, Taavi Kotka, menar att det sätt på vilket land har hanterat krisen är faktiskt positiva, eftersom han tror att det kommer att bli ett skolexempel för andra.
“Inget samhälle beror på tekniken så mycket [Estland]. Kommunikation och reaktioner [kommer att studeras],” sade han på nationella tv-bolaget FELA är Foorum.
Den estniska ID-kort, när den är ansluten med en smartcard-läsare och specifik programvara, ger sina ägare tillgång till webbportaler och e-tjänster, gör betalningar, bank transaktioner och digitala signaturer. Korthållare kan även använda den för att ta del i elektronisk röstning.
ID-kort används 2,048-lite öppen källkod public-key/privat-nyckel-kryptering, hålla två separata digitala certifikat: en för styrker innehavarens identitet, och den andra för att tillåta dem att underteckna ett dokument med en digital signatur.
Det finns två tillhörande privata nycklar på kortet, som är ordentligt skyddad av ett unikt användar-PIN. Användare kan ange en när du ombeds att bekräfta sin identitet på nätet och använda de andra när de vill signera något.
In i andra STIFT är motsvarande underteckna ett dokument i person, och det är bara vara rättsligt bindande i Estland.
I oktober 2014, ett nytt chip introducerades den estniska ID-kort, under förutsättning av Nederländerna chipmaker Gemalto. Enligt Estlands Information System Authority (ISA), denna nya generationens chip var snabbare, baserad på den senaste tekniken och därför anses vara ännu mer säker.
“Den franska och tyska säkerhetscertifikat för chips bekräfta deras överensstämmelse med alla krav på säkerhet. Samma chip används i id-kort i flera andra länder, liksom bankcards och få tillgång till dokument,” förklarade ISA.
I augusti i år en grupp tjeckiska forskare informerade om ISA för en säkerhetsrisk om de hade upptäckt, som är relaterade till Gemalto marker. Estniska experter började omedelbart att bedöma riskerna.
Den September 5, Estlands premiärminister, Jüri Ratas, kallas en speciell presskonferens för att informera allmänheten om de hot, som det visar sig gäller att närmare 750 000 Gemalto-baserade ID-kort som utfärdats under de senaste tre åren.
“Teoretiskt, den rapporterade sårbarheten kan underlätta användningen av digitala identitet för personlig identifiering och digital signering utan att ha ett fysiskt kort och relevant PIN-koder,” medgav ISA, och tillade att veta den publika nyckeln för certifikatet är inte tillräckligt för att låsa upp kortet.
Kraftfulla och dyra datorkraft för att beräkna den hemliga nyckeln och special program för att registrera behövs också.
“ID-kort programvara är inte lämplig eftersom den kräver ett ID-kort att placeras i kortläsaren,” tillade de i ett uttalande.
Som en försiktighetsåtgärd, Estland begränsad tillgång till estniska ID-kort public-key-databas för att förhindra olaglig användning, för utan den publika nyckeln för det är inte möjligt att använda denna säkerhetsbrist för att attackera kort.
Dussintals av IT-specialister började genast arbeta dygnet runt för att lösa problemet och skapa uppdateringar för certifikat, vilket skulle eliminera risken, och bygga ett system som kan uppdatera certifikat så snabbt som möjligt.
I mitten av oktober, när den tjeckiska forskare publicerade ett papper med deras resultat, Estland fortfarande var övertygad om att risken var minimal.
“Resultaten publiceras… inte ge Polisen och gränsbevakningsväsendet Styrelsen anledning att upphäva eller återkalla aktuella certifikat, och vi går nu vidare med planerna på att börja uppdatera den drabbade ID-kort i November”, sa Margit Ratnik, chef för Identitet och Status Presidium av den estniska Polisen och gränsbevakningsväsendet sedan Styrelsen.
Se även: dataintrång belysa hur Social Security number att fasas ut för blockchain, biometri & Executive ‘ s guide för att genomföra blockchain teknik
Den 25 oktober, ISA meddelade att lösningen för att uppdatera certifikat var redo att använda. Estniska ID-kort ägare skyndade sig att uppdatera sina certifikat online, lämnar Polisen och gränsbevakningsväsendet kontor över Estland med långa rader av människor som väntar på att få sina fläckar.
Men systemet inte kunde hantera den höga nivå av förfrågningar och kraschat flera gånger, vilket gör att graden av uppdateringar långsammare än ISA hade hoppats.
Estland plan för vem som helst att vara en medborgare, digitalt: Här är varför tusentals registrerar dig
Med massor av nya e-medborgare och hundratals nya företag, Estlands e-residency-projektet har överträffat förväntningarna under det första året.
Läs Mer
Så dagarna gick och fara för att få attacker som utnyttjar säkerhetshål skymtade större, en drastiska beslut fattades av regeringen.
Det godkändes förslaget av den estniska Polisen och gränsbevakningsväsendet Styrelsen och informationssystem för Myndigheten att blockera intyg om ID-kort riskerar den 3 November.
Det beslutet innebar att 760,000 ID-kort utfärdade efter den 16 oktober 2014 kan bara användas för identifiering och resor. Tillgång till e-tjänster som hälso-registret, bank-eller skattesystem var begränsat fram bevis hade uppdaterats.
För att garantera att e-förvaltning har fortsatt att fungera, om 35 000 människor som måste använda sina ID-kort för sitt arbete, till exempel läkare, rättvisa tjänstemän och offentligt anställda, var att uppdateras först.
ISA meddelade den 6 November för att processen för att avlägsna uppdatering och förnyelse hade äntligen börjat att löpa smidigt.
“Ytterligare en tid och en lugn inställning är fortfarande behövs för att uppdatera både val,” sade Margus Arm, chef för e-LEGITIMATION på ISA.
Mellan den 25 oktober och 6 November, cirka 120.000 människor hade uppdaterat sina ID-kort, 92,000 av dem på distans.
Även om en större krisen har avvärjts, och enligt ISA, inga instanser av e-identitet stöld har inträffat, det är svårt att bedöma skador på rykte Estlands e-stat.
Men trots att de ID-kort krisen, estniska medborgares förtroende i deras land s e-statliga tydligen är fortsatt stark.
I början av oktober, en månad efter den teoretiska sårbarhet tillkännagavs av regeringen, ett nytt rekord sattes i kommunala val i Estland. Av totalt 582,542 röster, 186,034 kastades på nätet.
En estnisk smarta ID-kort.
Bild: Wikipedia
Tidigare och relaterade täckning
Android, iOS secure ID: Estland säger att det är med digital autentisering till nya nivåer
I början av nästa år, Estland rullar ut sin nya Smart-ID digitala identitet system, som inte är beroende av SIM-kort och kan användas runt om i världen.
Estland har 1,3 miljoner människor: Här är hur det planer på att få 10 miljoner e-invånare 2025
Drygt två år in i sin plan för att erbjuda människor som inte är estniska medborgare eller invånare i en digital identitet, Estland ser fintech och blockchain tjänster som ett sätt att uppnå sina ambitiösa mål.
DET leader ‘ s guide för att minska insider säkerhetshot [Tech Pro Forskning]
Denna bok erbjuder en titt på om de risker som är lögn och vad du kan göra för att minska dem.
Relaterade Ämnen:
Bank
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0