De Estse overheid heeft bekendgemaakt dat vrijdagavond de certificaten van 760.000 elektronische id-kaarten geblokkeerd zullen worden omdat ze kwetsbaar zijn voor een aanval waarbij de privé-rsa-sleutel te achterhalen is.

In een bericht schrijft de overheid dat de id-kaarten bruikbaar blijven als traditionele identificatiemiddelen, maar dat de certificaten op speciale punten of online vernieuwd moeten worden. Dat proces zou ongeveer 15 minuten moeten duren, vermeldt een tweede bericht. Volgens de overheid zijn er tot nu toe nog geen gevallen van identiteitsdiefstal vastgesteld. Burgers en zogenaamde e-residents hebben tot eind maart de tijd om hun certificaten te vernieuwen.

De Estse premier Jüri Ratas schrijft: "Het functioneren van de e-staat is gebaseerd op vertrouwen en de staat kan zich niet veroorloven dat er identiteitsdiefstal plaatsvindt bij de eigenaar van een Estse id-kaart." Ondanks het feit dat dit nog niet is gebeurd, zou dat risico wel bestaan. Bij de de getroffen kaarten gaat het om id-kaarten die zijn uitgegeven tussen 16 oktober 2014 en 25 oktober 2017. Die kaarten werken niet meer met digitale diensten als een update uitblijft.

De problemen zijn ontstaan nadat de onderzoekers achter de onlangs gepresenteerde Roca-aanval ontdekten dat Infineon-chips onveilige rsa-sleutels produceren, waardoor de privésleutel aan de hand van de publieke sleutel te achterhalen is. Dit is een probleem voor producten waarin de betreffende softwarebibliotheek van het Duitse Infineon wordt gebruikt. Naast de id-kaarten zijn tpm's van onder meer Microsoft, Google, Lenovo en HP getroffen. Ook bleek dat bepaalde Gemalto-smartcards kwetsbaar zijn.

Alles bij de bron; Tweakers