Estonske težave z e-osebnimi izkaznicami

Estonija se je pred skoraj dvema desetletjema odločila, da bo postala zgled e-države v Evropi, in tako leta 2002 uvedla osebne izkaznice s čipom, ki omogočajo uporabo e-storitev estonske državne uprave, bančno poslovanje itd. Kartice imajo dva para zasebnih in javnih ključev. Z enim je mogoče potrditi svojo istovetnost, z drugim je mogoče elektronsko podpisovati dokumente, ki imajo enako veljavo kakor ročno podpisani. Toda zaradi ranljivosti v certifikatih na karticah je Estonija onemogočila uporabo vseh kartic, ki so bile izdane med leti 2014 in 2017, zaradi česar mora sedaj več kot polovica Estoncev svoje kartice nadgraditi. Načeloma lahko to opravijo tudi prek interneta, a imajo ob tem nemalo težav.

Oktobra 2014 je Estonija za svoje e-osebne izkaznice začela uporabljati nove čipe nizozemskega proizvajalca Gemalto, ki so uporabljali novejšo tehnologijo in s tem bili hitrejši ter varnejši. Te čipe so uporabljale tudi številne druge države, zato ni bilo pričakovati večjih pretresov. Potem pa so avgusta letos češki raziskovalci ugotovili, da so Gemaltovi ključi zelo porozni. Z zadostno (praktično izvedljivo) računsko močno naj bi bilo mogoče iz javnega ključa izračunati zasebnega, s čimer bi lahko prevzeli identiteto določene osebe. Ker ima v Estoniji ranljive kartice 750.000 ljudi, je tako završalo. Toda estonska policija je tedaj zagotavljala, da je napad še vedno predrag za praktično rabo in da naj državljani preprosto počakajo, da jim bodo kartice potekle in potem bodo dobili nove, varnejše.

Kmalu pa je postalo jasno, da počakati 5 let ni rešitev. Estonija je onemogočila dostop do baze javnih ključev, hkrati pa so začeli reševati težavo. Sredi minulega meseca so češki raziskovalci objavili podroben članek, v katerem so opisali težave. Estonija je tedaj še vedno zagotavljala, da v praksi nevarnosti ni. So pa dejali, da bodo novembra začeli posodabljati kartice. Rešitev je bila nared 25. oktobra, ko so si Estonci lahko kartico posodobili prek interneta. Zgodilo se je pričakovano - zaradi prevelikega navala se je sistem sesul, in to večkrat. Posodobitve so bile skrajno počasne.

Zaradi tega se je Estonija 3. novembra letos odločila, da bo blokirala vse neposodobljene kartice. V hipu je pol milijona Estoncev ostalo brez delujočih e-osebnih izkaznic, ki jih na primer zdravniki uporabljajo pri svojem delu. Še vedno je bilo te kartice mogoče uporabljati za potovanje in identifikacijo, ni pa bi bilo mogoče z njimi ničesar podpisati. Potem so sprva dovolili posodobitev ljudem, ki jo nujno potrebujejo za svoj poklic, sedaj pa je končno steklo posodabljanje tudi za običajne državljane. V Estoniji se e-osebne izkaznice uporabljajo tudi za glasovanje na volitvah prek interneta, kjer so na zadnjih lokalnih volitvah prek interneta oddali tretjino vseh veljavnih glasov.

Estonija v resnici ni bila odgovorna za fiasko, ki ga je zakuhal Gemalto. Estonija niti ni edina, saj imajo podobne težave vsi uporabniki teh čipov. V Španiji je e-osebnih izkaznic 60 milijonov, a jih uporablja le 0,02 odstotka Špancev. So pa v Estoniji na krizo odreagirali dobro in za zdaj ni nobenih indicev, da bi ranljivost kdo tudi v praksi izkoristil, niti da bi bilo zaradi tega omajano zaupanje Estoncev v e-državo.