image

Digitale identiteitskaart Estland krijgt beveiligingsupdate

vrijdag 3 november 2017, 14:37 door Redactie, 9 reacties

De digitale identiteitskaart van Estland krijgt vanwege een recent ontdekte kwetsbaarheid een beveiligingsupdate en burgers moeten die installeren, anders kunnen ze hun identiteitskaart niet meer gebruiken, zo heeft Kaspar Korjus, algemeen directeur van het e-Residency-programma van de Estse overheid, in een blogpost op Medium laten weten. De digitale identiteitskaart speelt een belangrijke rol in Estland. Burgers kunnen zich ermee online identificeren en zo allerlei zaken regelen, waaronder stemmen en bankzaken.

De chip op de identiteitskaart bevat informatie over de gebruiker, waaronder zijn naam, geslacht, nationale identificatienummer en cryptografische sleutels en publieke sleutelcertificaten. De kwetsbaarheid maakt het in theorie mogelijk om een identiteitskaart voor persoonlijke identificatie en digitale handtekeningen te gebruiken, zonder over de kaart en pincode te beschikken.

Vanwege de kwetsbaarheid, die zich in de software op de chip van de identiteitskaart bevindt, is er een certificaat-update ontwikkeld, die gebaseerd is op elliptische-kromme-encryptie. Volgens Korjus is dit veiliger en sneller dan het ssl-certificaat dat voorheen werd gebruikt. Alle digitale identiteitskaarten die voor 25 oktober 2017 zijn uitgegeven moeten nu worden geüpdatet via de identiteitskaartsoftware die Estse burgers op hun computer hebben.

De software wijst Estse burgers er automatisch op dat een update beschikbaar is. De certificaat-update is nodig om de chip in de identiteitskaart te herprogrammeren. Een proces dat 15 minuten in beslag kan nemen. Voordat Estse burgers hun identiteitskaart gaan updaten krijgen ze het advies om met de certificaten versleutelde documenten eerst te ontsleutelen, aangezien het niet mogelijk is om ze met de nieuwe certificaten te ontsleutelen.

Alle oude certificaten zullen waarschijnlijk begin november worden uitgeschakeld. De digitale identiteitskaart zal dan niet meer werken, tenzij burgers hun certificaten updaten, aldus Korjus. Het updaten van de certificaten is mogelijk tot 31 maart 2018. Daarna moeten Estse burgers die hun certificaten niet hebben geüpdatet een nieuwe digitale identiteitskaart aanvragen.

Image

Reacties (9)
03-11-2017, 16:53 door Anoniem
Het lijkt iets te maken te hebben met vulnerability CVE-2017-15361 Zie ook:
https://www.helpnetsecurity.com/2017/10/17/work-out-private-rsa-keys/
03-11-2017, 17:25 door Anoniem
Dat betekent dat de RSA kwetsbaarheid al meer dan een maand terug bekend was. Zie:
https://cybersec.ee/category/electronic-identity/
https://cert.lv/uploads/pasakumi/liisapastkaurvirunurm.pdf (Slide 14 en 15)

De Digitale identiteitskaart Estland is gemaakt door het Zwitserse bedrijf Trub AG, wat later overgenomen is door Gemalto
03-11-2017, 20:15 door karma4
Ter vergelijk Estland heeft tenminste nog iets van een controle.
In Nederland neemt men genoegen met het noemen vaan een bsn of zelfs nog minder.
03-11-2017, 23:26 door Anoniem
Handig, je ID kaart is daar dus meteen een private/public key voor het ondertekenen/versleutelen van bestanden/e-mail. Maar wat als malware het certificaat steelt: wie is dan verantwoordelijk voor het intrekken van de en het opnieuw uitgeven? Speelt de overheid voor CA?

Beetje vreemd, ook om voor de update van een kaart te vertrouwen op een privé computer die besmet kan zijn met van alle en nog wat.
04-11-2017, 10:51 door Anoniem
Door Anoniem: Beetje vreemd, ook om voor de update van een kaart te vertrouwen op een privé computer die besmet kan zijn met van alle en nog wat.
De kaart is zelf een computertje. Upgrades worden niet door de pc waar die op aangesloten wordt aangebracht, ze worden alleen doorgegeven aan software op de kaart zelf en die brengt ze aan. Alleen zal die software controleren of de aangeboden upgrades digitaal ondertekend zijn met de juiste handtekening. Als ermee gesjoemeld is klopt die handtekening niet en wordt de upgrade geweigerd.
04-11-2017, 12:37 door karma4
Door Anoniem: Handig, je ID kaart is daar dus meteen een private/public key voor het ondertekenen/versleutelen van bestanden/e-mail. Maar wat als malware het certificaat steelt: wie is dan verantwoordelijk voor het intrekken van de en het opnieuw uitgeven? Speelt de overheid voor CA?

Beetje vreemd, ook om voor de update van een kaart te vertrouwen op een privé computer die besmet kan zijn met van alle en nog wat.
Risico impact met A/B foutenkans weloverwogen doen is beter dan overal spijkers te gaan zoeken en feitelijk niets doen met alle risico impact van dien. Zie de Nederlandse aanpak van gods water over gods akker laten lopen.
06-11-2017, 07:42 door Anoniem
Grappig. Ik MOET dus een computer met internetverbinding hebben om in de maatschappij daar nog *iets* te kunnen.
Daarnaast MOET die kaart dus ook met die computer kletsen - lekker als daar windows op draait.
07-11-2017, 10:41 door [Account Verwijderd]
[Verwijderd]
07-11-2017, 15:14 door Anoniem
Door Anoniem: Grappig. Ik MOET dus een computer met internetverbinding hebben om in de maatschappij daar nog *iets* te kunnen.
Daarnaast MOET die kaart dus ook met die computer kletsen - lekker als daar windows op draait.

Tenzij je in Estland woont, hoef je nog even helemaal niks.

En wie geen computer met internetaansluiting tot zijn beschikking heeft (in welke vorm dan ook) heeft inderdaad een probleem. Vervelend, maar zo is het nu eenmaal. Het is nog veel lastiger als je statenloos bent, adresloos, geen BSN hebt of voortvluchtig bent. Soms valt het gewoon niet mee.

Misschien kun je je ook druk maken over mensen die dit treft zonder dat het jou eerst hoeft te raken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.