Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste prijsvergelijker en beste community. Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers!

Estland vernieuwt certificaten van 760.000 id-kaarten om kwetsbare rsa-sleutels

De Estse overheid heeft bekendgemaakt dat vrijdagavond de certificaten van 760.000 elektronische id-kaarten geblokkeerd zullen worden. Deze moeten vernieuwd worden omdat ze kwetsbaar zijn voor een aanval waarbij de privé-rsa-sleutel te achterhalen is.

In een bericht schrijft de overheid dat de id-kaarten bruikbaar blijven als traditionele identificatiemiddelen, maar dat de certificaten op speciale punten of online vernieuwd moeten worden. Dat proces zou ongeveer 15 minuten moeten duren, vermeldt een tweede bericht. Volgens de overheid zijn er tot nu toe nog geen gevallen van identiteitsdiefstal vastgesteld. Burgers en zogenaamde e-residents hebben tot eind maart de tijd om hun certificaten te vernieuwen.

De Estse premier Jüri Ratas schrijft: "Het functioneren van de e-staat is gebaseerd op vertrouwen en de staat kan zich niet veroorloven dat er identiteitsdiefstal plaatsvindt bij de eigenaar van een Estse id-kaart." Ondanks het feit dat dit nog niet is gebeurd, zou dat risico wel bestaan. Bij de de getroffen kaarten gaat het om id-kaarten die zijn uitgegeven tussen 16 oktober 2014 en 25 oktober 2017. Die kaarten werken niet meer met digitale diensten als een update uitblijft.

De overheid roept mensen op om niet allemaal tegelijk hun kaarten te updaten, omdat de systemen dit niet aankunnen. Alleen personen die afhankelijk zijn van een correcte werking, zoals dokters en overheidsfunctionarissen, kunnen dit weekend met de update aan de slag. Naar schatting gaat het om 35.000 personen.

De problemen zijn ontstaan nadat de onderzoekers achter de onlangs gepresenteerde Roca-aanval ontdekten dat Infineon-chips onveilige rsa-sleutels produceren, waardoor de privésleutel aan de hand van de publieke sleutel te achterhalen is. Dit is een probleem voor producten waarin de betreffende softwarebibliotheek van het Duitse Infineon wordt gebruikt. Naast de id-kaarten zijn tpm's van onder meer Microsoft, Google, Lenovo en HP getroffen. Ook bleek dat bepaalde Gemalto-smartcards kwetsbaar zijn.

Door Sander van Voorst

Nieuwsredacteur

03-11-2017 • 19:18

47 Linkedin Google+

Reacties (47)

Wijzig sortering
Allereerst vanuit gebruikersoogpunt was het gisteren een chaos. Server(-s) (domein eesti.ee) welke deze vernieuwing mogelijk maakt, lag plat van de hoeveelheid requesten.
Wel zijn er door heel Estland steunpunten opgezet om mensen te ondersteunen met de vernieuwing. (Dit was binnen 36 uur geregeld, Dutch Gov: Take notice?)

De techniek die gebruikt wordt voor het E-ID, wordt gedeeltelijk geleverd door het "Nederlandse" bedrijf Gemalto. Gemalto is een grote speler in de digitale authenticatiemarkt, naast RSA.

Security technisch is dit heel snel gegaan. Binnen 2 weken na publieke bekendmaking is er door het cyberteam van Estland besloten actie te ondernemen. Vanavond of dit weekend is het dan niet meer mogelijk om de oude digitale sleutel te gebruiken.

Verwachting is dat het ongemak nog ongeveer 1 a 2 weken gaat duren.
Chaos of niet, deze regering snapt het gewoon. Liever een korte chaos en dan weer verder dan mogelijk veel schade onder de radar, met name voor privé personen.
Den haag doet es ff afkijken!
Estland is enorm goed bezig op IT-gebied (zoals die e-residents). Veel landen mogen daar een voorbeeld aan nemen.
Voordat we weer gaan roepen dat ze het daar allemaal zo goed doen, lees ook even: https://estoniaevoting.org/ voor een gezond tegengeluid.
In Nederland krijgen we het niet eens voor elkaar om een pietluttigheid als OV te voorzien van chipkaarten...... natuurlijk zal niet alles rozengeur en maneschijn zijn maar vergeleken met een boel andere landen hebben ze een hoop écht wel goed op orde.

[Reactie gewijzigd door DigitalExcorcist op 5 november 2017 09:40]

Ze hebben in ieder geval het wegwuiven van kritiek in orde. Dat heb je goed.
Het hele e-residents gebeuren is een briljant idee. Kom daar ergens anders maar eens om.
Fijn dat ze dit op tijd aangeven. Maar waarvoor zijn de id-kaarten nodig online?
Estonia has by far the most highly-developed national ID card system in the world. Much more than a legal photo ID, the mandatory national card also provides digital access to all of Estonia’s secure e-services.

The chip on the card carries embedded files, and using 2048-bit public key encryption, it can be used as definitive proof of ID in an electronic environment.

5 days per year saved with digital signatures

Here are some examples of how the ID-card is regularly used in Estonia:
  • legal travel ID for Estonian citizens travelling within the EU
  • national health insurance card
  • proof of identification when logging into bank accounts
  • for digital signatures
  • for i-Voting
  • to check medical records, submit tax claims, etc.
  • to use e-Prescriptions
https://e-estonia.com/solutions/e-identity/id-card/
Estonia has by far the most highly-developed national ID card system in the world. Much more than a legal photo ID, the mandatory national card also provides digital access to all of Estonia’s secure e-services.

The chip on the card carries embedded files, and using 2048-bit public key encryption, it can be used as definitive proof of ID in an electronic environment.

5 days per year saved with digital signatures

Here are some examples of how the ID-card is regularly used in Estonia:
  • legal travel ID for Estonian citizens travelling within the EU
  • national health insurance card
  • proof of identification when logging into bank accounts
  • for digital signatures
  • for i-Voting
  • to check medical records, submit tax claims, etc.
  • to use e-Prescriptions
https://e-estonia.com/solutions/e-identity/id-card/
Het enige waar ik jaloers op ben in dat rijtje is "national health insurance".

Online medical records en i-voting? Met de Nederlandse geschiedenis in overheids-ICT moet ik er niet aan denken. Alhoewel, onze medische gegevens zijn sinds vorig jaar natuurlijk ook in te zien door alle zorg verzekeraars. Die kunnen er makkelijker bij dan wij zelf... hmmm....

Binnenkort zijn onze medische gegevens dus te koop voor 10 EUR op darknet.

[Reactie gewijzigd door GeoBeo op 3 november 2017 19:40]

Het idee van het systeem is dat het veilig is doordat het transparant is. Dus als iemand jouw medische records opvraagt of je wordt staande gehouden door een agent dan kun je zien wie op welk moment naar jouw gegevens heeft gekeken. Het is daarnaast natuurlijk niet zo dat jouw buurman toegang heeft tot jouw medische gegevens. Overigens kun je ook cijfers van je kinderen inzien via dat systeem.
Het idee van het systeem is dat het veilig is doordat het transparant is. Dus als iemand jouw medische records opvraagt of je wordt staande gehouden door een agent dan kun je zien wie op welk moment naar jouw gegevens heeft gekeken. Het is daarnaast natuurlijk niet zo dat jouw buurman toegang heeft tot jouw medische gegevens. Overigens kun je ook cijfers van je kinderen inzien via dat systeem.
Het is WEL zo dat je buurman toegang heeft tot het systeem, wanneer het systeem gecrackt is en de data op darknet staat.

Zoals heel heel veel werkende credit cards en paspoort kopieën van de oneindig vele databases die constant gehackt worden. Om maar wat te noemen.
Klinkt leuk wat he nu zegt maar onze gegevens staan allemaal allang in online systemen van de overheid. Enige verschil lijkt het erop dat Estland er wat transparanter en verantwoorder mee om gaat.
Je bedoelt te koop voor een tientje bij je eigen verzekeraar? ;)
Maar dit is Estland, geen Nederland. Ze hebben hun zaakjes best aardig op orde op IT gebied.
I-Voting is ook erg handig, zo kunnen burgers van Estland ook stemmen als ze op dat moment niet aanwezig zijn. Toch wel belangrijk als het om je toekomst gaat.
Waarom is stemmen nog zo belangrijk? Als het om het entertainment gehalte gaat kan ik je begrijpen. Als het om democratie gaat..... de echte macht zit allang in Brussel, in niet door de burger gekozen parlement, die tevens ook niet huisgestuurd kunnen worden.

Daarnaast schreeuwen NL politici voor de overgebleven kruimels hard in de oppositie, en swiepen weer de andere kant op zodra ze in het kabinet zitten.

Ze willen wel de mensen kunnen afluisteren (sleepwet). Alleen niet naar ze luisteren (raadgevend referenda)
Een dictator kan natuurlijk ook gewoon de stemtelling beďnvloeden bij de fysieke manier waarop wij dit nu doen en een mannetje naast je zetten als je gaat stemmen....
Een dictator kan natuurlijk ook gewoon de stemtelling beďnvloeden bij de fysieke manier waarop wij dit nu doen en een mannetje naast je zetten als je gaat stemmen....
Inderdaad, maar dat is net even wat lastiger in het geheim te organiseren, zonder dat iemand het door heeft, dan in een computer systeem 1 cijfer veranderen.

[Reactie gewijzigd door GeoBeo op 5 november 2017 19:29]

Want die aanpassing is natuurlijk door niemand te zien behalve de dictator? Right...
Want die aanpassing is natuurlijk door niemand te zien behalve de dictator? Right...
Uhm ja? Als hij de software even laat herschrijven kan het inderdaad vrij makkelijk zonder dat iemand het door heeft. Hoezo niet?
Ah ja even herschrijven. Niemand die dat opvalt?
Ah ja even herschrijven. Niemand die dat opvalt?
Mijn punt is, dat het lastiger is 1000'en mensen te regelen voor de stemlokalen die allemaal aan jou zijde staan en ongemerkt ineens burgers weigeren het tellen te laten observeren (potentieel dus 100.000'en burger observanten weren uit de stemlokalen).

Dat. Is dus waarschijnlijk lastiger dan de stem app/website aanpassen om (bijna) alle stemmen die naar de tegenstanders gaan naar jou te laten gaan. Dat red je met een relatief klein team aan goedbetaalde programmeurs ook wel. Een heel ander verhaal dus en veel makkelijker om op te schalen en ongemerkt te doen, want digitaal.
In Estland zijn de overheidsdiensten super vergaand gedigitaliseerd. Ze zijn daarin veel verder dan wij. De NOS heeft er onlangs meerdere keren aandacht aan besteed, bijv. hier:

https://nos.nl/nieuwsuur/...g-in-estland-kan-het.html
Hebben ze ook de paswoorden van de administrators van de stemburos getoond op TV en de andere zaken (security staat niet erg hoog in het vaandel ook al lopen ze voorop).
Een privacy hel. Ik hoop dat wij nooit zo "ver" komen.
Heb je ook hun argumenten gehoord? Onder het Sofjetbewind waren er niet dit soort systemen en toen werd men echt onderdrukt. Wat privacy te maken heeft met digitale overheidsdiensten is me een raadsel.

Zegt degene die weigert z'n mijn overheid mailbox aan te maken... ;-) Ddww.
Heb je ook hun argumenten gehoord? Onder het Sofjetbewind waren er niet dit soort systemen en toen werd men echt onderdrukt. Wat privacy te maken heeft met digitale overheidsdiensten is me een raadsel.
Onder het Soviet bewind waren er alleen maar van dit soort systemen. Het enige verschil is dat ze toen niet digitaal waren.

Het systeem zoals het er nu staat aldaar is de natte droom van elke dictator natuurlijk. Ze kunnen nog veel meer controle uitoefenen dan de Soviets al konden en dan ook nog eens op een oneindig veel makkelijkere manier.

Stel je eens voor. I-Vote in een Soviet staat. Mijn god. Niet alleen kun je (live) de stemmen manipuleren zoals je zelf wilt, je weet ook nog eens precies wie er voor de oppositie aan het stemmen is en bij wie je dus even een knokploeg langs de deur moet laten gaan. Begrijp je nu nog steeds niet waarom privacy belangrijk is?

Misschien toch nog maar eens een lesje middelbare school geschiedenis nemen.

[Reactie gewijzigd door GeoBeo op 4 november 2017 08:39]

Ik moest ook even zoeken, maar het is "dat dan weer wel". Ik dacht, laat ik 't maar even hier neerzetten.
Mooi ook, denk je het goed te doen door een HSM te gebruiken of door een gerenommeerde partij gemaakte cryptografische hardware aan te schaffen, blijkt dit ook gewoon een drama te zijn.

You just can't win lijkt het.
Sommige van de Yubikeys zijn ook vatbaar, maar ze bieden de mogelijkheid deze gratis te vervangen. Op deze pagina geven ze een overzicht van de getroffen producten, staat een link naar de blog post en een link naar het vervangingsprogramma.
Goed om te zien dat een overheid die wel transparant ingrijpt hier op Tweakers gewoon geen reacties krijgt. Zo hoort het immers, gewoon je problemen oplossen. Jammer dat het hier in NL niet zo kan :(
Ik mis blockchain in dit verhaal. Kan het überhaupt wel echt veilig, online gebruik maken van je identiteit zonder gebruik te maken van blockchain technologie?
blockchain is niet een magisch iets wat voor alles nodig is hoor. Gewone public/private key technologie werkt al jaren vrij goed voor authenticatie en wordt daarom ook erg veel gebruikt.
Werkt vrij goed? Dat kun je niet menen. Vandaar dat er in Estland zo’n 760.000 id kaarten onveilig zijn?
Moeten we accepteren dat er risico’s zijn, hoe klein ook? Ik vind van niet.
Dat zijn allemaal implementatie fouten. PGP en dergelijke, TLS (op zetten van de verbinding) werken allemaal prima.
En een blockchain is wel veilig tegen implementatie fouten? TIkje naief, vooral ook omdat blockchain nog volop in de hype cycle zit en een groot deel van zijn beloftes niet waar gaat maken.
We moeten altijd risico's accepteren.

Een systeem dat 100% veilig is, met 0% risico, bestaat niet, en kan nooit bestaan.
Dit krijg je dus als ieder land voor zichzelf gaat zitten uitvinden hoe electronische legitimatie moet. Waarom de fak is dit niet op EU-niveau geregeld?!
Dan hadden we nu 500 miljoen certificaten moeten updaten :P .
Dat weet je niet. Het hadden er dus net zo goed 0 kunnen zijn. Met meer knappe koppen bij elkaar, komt er in theorie een beter product. Een product waar niet iedereen last van heeft (AHUM OV-CHIPKAART) maar waar iedereen juist profijt van heeft.
Die kunnen het nog niet eens regelen dat vluchtelingen goed opgevangen worden, laat ze alsjeblieft niet met moderne dingen als “computers” bezig gaan houden, dan wordt het helemáál een bende..

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True