爱沙尼亚因加密缺陷紧急取消76万张电子身份证

Change 新闻 2017年11月10日发布

导语:爱沙尼亚政府目前决定取消760,000张电子身份证,原因是这其中存在一个加密漏洞,攻击者可以克隆身份证并伪造身份。

Estionia.jpg

爱沙尼亚政府目前决定取消760,000张电子身份证,原因是这其中存在一个加密漏洞,攻击者可以克隆身份证并伪造身份。

这个漏洞是在10月16日曝出,此前就被命名为ROCA,这个漏洞影响了英飞凌生产的TPM芯片组。英飞凌 TPM 芯片上存在不安全的 RSA 密钥,可能会导致设备存在遭受攻击的可能。英飞凌当时发布了公告表示其产品中产生了一系列弱 RSA 密钥。影响的产品是 TCG 系列的 1.2 和 2.0 版本,攻击者可以获取私钥,攻破 RSA1024 和 RSA2048 加密的信息。诸如笔记本电脑,路由器,嵌入式设备和物联网设备之类的产品,而且还包含颁发爱沙尼亚电子国家标识的设备(常规标识),但内置电子芯片,可允许用户以加密方式签署各种操作等。

爱沙尼亚当局早就开始通知

当捷克共和国的研究人员发现这个漏洞后,他们立即联系了英飞凌和使用英飞凌芯片的公司。

其中之一是金马拓公司(Gemalto AG),这是一家瑞士公司,曾收购了Trub AG,该公司所提供的系统可用来管理爱沙尼亚的第一个电子国民身份证系统。

进一步的调查显示,自2014年10月16日至2017年10月26日之前所发放的爱沙尼亚身份证都是通过使用弱密钥来保护身份证持有人的数据。

自九月中旬以来,爱沙尼亚当局已先后向公众公布电子身份证所存在的漏洞,并告知他们需要更新自己的身份证[ 123 ]。

昨晚,爱沙尼亚当局封锁了76万张身份证

11月3日星期五晚上,爱沙尼亚警方封锁了所有易受攻击的身份证件,并将其销毁作废。

爱沙尼亚当局从他们的系统中删除了超过76万份的证件,这意味着爱沙尼亚用户目前将无法使用身份证缴纳税款,管理医疗保健信息或其他需要身份证加密钥匙进行身份验证的操作。

但爱沙尼亚人可以使用以前的“电子”身份证作为经典的身份证明文件来证明自己的身份。

EST2011IDcard.png

当局更换易损卡(约占所有卡的58%)

从星期一到接下来的几周,爱沙尼亚人将需要访问相关网站并用新卡替换他们的卡密码证书。

大概有35000多在司法领域工作的医生,政府官员以及事业单位的工作人员,因工作所需,可以优先更新身份证。

爱沙尼亚总理JüriRatas说:“据我们所知,目前没有发生电子身份盗窃的事件。通过封锁有风险的身份证件,来确保全国身份证的安全性。”

昨天,爱沙尼亚政府的身份证门户网站列出了近1300万个有效的电子身份证。所以,最终得出的结论是,大约有58%的卡被认为是脆弱的。

本文翻译自:https://www.bleepingcomputer.com/news/government/estonia-cancels-760-000-electronic-id-cards-because-of-crypto-flaw/,如若转载,请注明原文地址: http://www.4hou.com/info/news/8388.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论