Estonian electronic identity card and its security challenges

dc.contributor.advisorWillemson, Jan, juhendaja
dc.contributor.advisorUnruh, Dominique, juhendaja
dc.contributor.authorParsovs, Arnis
dc.contributor.otherTartu Ülikool. Loodus- ja täppisteaduste valdkondet
dc.date.accessioned2021-03-03T08:49:46Z
dc.date.available2021-03-03T08:49:46Z
dc.date.issued2021-03-03
dc.description.abstractEesti elektrooniline isikutunnistust (ID-kaart) on üle 18 aasta pakkunud turvalist elektroonilist identiteeti Eesti kodanikele. Avaliku võtme krüptograafia ja kaardile talletatud privaatvõti võimaldavad ID-kaardi omanikel juurde pääseda e-teenustele, anda juriidilist jõudu omavaid digiallkirju ning elektrooniliselt hääletada. Käesolevas töös uuritakse põhjalikult Eesti ID-kaarti ning sellega seotud turvaväljakutseid. Me kirjeldame Eesti ID-kaarti ja selle ökosüsteemi, seotud osapooli ja protsesse, ID-kaardi elektroonilist baasfunktsionaalsust, seotud tehnilisi ja juriidilisi kontseptsioone ning muid seotud küsimusi. Me tutvustame kõiki kasutatud kiipkaardiplatforme ja nende abil väljastatud isikutunnistuste tüüpe. Iga platformi kohta esitame me detailse analüüsi kasutatava asümmeetrilise krüptograafia funktsionaalsusest ning kirjeldame ja analüüsime ID-kaardi kauguuendamise lahendusi. Lisaks esitame me süstemaatilise uurimuse ID-kaardiga seotud turvaintsidentidest ning muudest sarnastest probleemidest läbi aastate. Me kirjeldame probleemide tehnilist olemust, kasutatud leevendusmeetmeid ning kajastust ajakirjanduses. Käesoleva uurimustöö käigus avastati mitmeid varem teadmata olevaid turvaprobleeme ning teavitati nendest seotud osapooli. Käesolev töö põhineb avalikult kättesaadaval dokumentatsioonil, kogutud ID-kaartide sertifikaatide andmebaasil, ajakirjandusel,otsesuhtlusel seotud osapooltega ning töö autori analüüsil ja eksperimentidel.et
dc.description.abstractFor more than 18 years, the Estonian electronic identity card (ID card) has provided a secure electronic identity for Estonian residents. The public-key cryptography and private keys stored on the card enable Estonian ID card holders to access e-services, give legally binding digital signatures and even cast an i-vote in national elections. This work provides a comprehensive study on the Estonian ID card and its security challenges. We introduce the Estonian ID card and its ecosystem by describing the involved parties and processes, the core electronic functionality of the ID card, related technical and legal concepts, and the related issues. We describe the ID card smart card chip platforms used over the years and the identity document types that have been issued using these platforms. We present a detailed analysis of the asymmetric cryptography functionality provided by each ID card platform and present a description and security analysis of the ID card remote update solutions that have been provided for each ID card platform. As yet another contribution of this work, we present a systematic study of security incidents and similar issues the Estonian ID card has experienced over the years. We describe the technical nature of the issue, mitigation measures applied and the reflections on the media. In the course of this research, several previously unknown security issues were discovered and reported to the involved parties. The research has been based on publicly available documentation, collection of ID card certificates in circulation, information reflected in media, information from the involved parties, and our own analysis and experiments performed in the field.en
dc.description.urihttps://www.ester.ee/record=b5414163et
dc.identifier.isbn978-9949-03-570-0
dc.identifier.isbn978-9949-03-571-7 (pdf)
dc.identifier.issn2613-5906
dc.identifier.urihttp://hdl.handle.net/10062/71481
dc.language.isoenget
dc.relation.ispartofseriesDissertationes informaticae Universitatis Tartuensis;24
dc.rightsopenAccesset
dc.rightsAttribution-NonCommercial-NoDerivatives 4.0 International*
dc.rights.urihttp://creativecommons.org/licenses/by-nc-nd/4.0/*
dc.subjectID cardsen
dc.subjectinformation securityen
dc.subjectcyber securityen
dc.subjectcryptographyen
dc.subjectrisk managementen
dc.subjectEstoniaen
dc.subject.otherdissertatsioonidet
dc.subject.otherETDet
dc.subject.otherdissertationset
dc.subject.otherväitekirjadet
dc.subject.otherD-kaardidet
dc.subject.otherinfoturveet
dc.subject.otherküberturveet
dc.subject.otherkrüptograafiaet
dc.subject.otherriskihalduset
dc.subject.otherEestiet
dc.titleEstonian electronic identity card and its security challengeset
dc.title.alternativeEesti elektrooniline ID-kaart ja selle turvaväljakutsedet
dc.typeThesiset

Failid

Originaal pakett

Nüüd näidatakse 1 - 1 1
Laen...
Pisipilt
Nimi:
parsovs_arnis.pdf
Suurus:
10.75 MB
Formaat:
Adobe Portable Document Format
Kirjeldus:

Litsentsi pakett

Nüüd näidatakse 1 - 1 1
Pisipilt ei ole saadaval
Nimi:
license.txt
Suurus:
1 B
Formaat:
Item-specific license agreed upon to submission
Kirjeldus: