Kaardiga on seotud kaks võtit: avalik ja salajane. See on maailmas väga levinud ja laialt kasutatav süsteem, millel ongi nimeks “Avaliku võtme krüptograafia” ja mis tähendab, et sõnumi saatja šifreerib sõnumi kasutades vastuvõtja avalikku võtit, vastuvõtja dešifreerib sõnumi enda salajase võtmega. Need kaks võtit on üksteisega seotud ning salajane võti, nagu nimigi ütleb, on salajane ja avalik on avalik. Salajane võti elab ID-kaardi kiibi peal väga kaitstud olekus ning avalik elab igal pool internetis, muuhulgas SK avalike võtmete andmebaasis.

Sealt sai kuni viimase ajani igaüks teha kasvõi oma internetibrauseri kaudu päringuid: sisestad otsitava inimese isikukoodi ja saad tema avaliku võtme vastu. Isikukoodid on ka Eestis avalikud, nii et näiteks kõigi firmade juhatuse liikmete isikukoodide andmebaas kokku panna ning selle abil kõigi nende inimeste avalikud võtmed oma arvutisse laadida oli mitte ainult triviaalne, vaid ka täiesti seaduslik ja normaalne tegevus. Avalik võti peabki avalik olema, see on kogu avaliku võtme krüptograafia süsteemi aluspõhimõte. Ilma avalike võtmeteta see lihtsalt ei töötaks.

Avaliku võtme krüptograafia toimib aga eeldusel, et avalikku võtit teades ei ole mitte mingil juhul võimalik sellest tuletada salajast võtit. Selleks peavad võtmed olema piisavalt pikad ja kasutatavad algoritmid piisavalt head, et see oleks inimkonnale praegu ja nähtavas tulevikus kättesaadavate arvutusvõimsuste juures sama hästi kui võimatu. Päris võimatu ta niikuinii ei ole, aga kui kogu maailma arvutusvõimsust korraga kasutusele võttes kuluks ühe parooli murdmiseks ikkagi kümneid või sadu aastaid, võime öelda, et see on sama hästi kui võimatu. Kui tehnika areneb, saab kasutusele võtta uued ja paremad algoritmid ja seda ka tehakse.

Asjaolu, et Eestis pandi probleemi ilmnedes kohe avalike võtmete server kinni, annab Geeniusega konsulteerinud IT-spetsialistide sõnul loogilise aluse eeldada, et mingil põhjusel on võimatu osutunud võimalikuks: Eesti ID-kaartide avalikke võtmeid teades on neist võimalik tuletada salajased võtmed ehk meie elektroonilist identiteeti ja digiallkirju võltsida.

Kas keegi tegi vea?

Hea küsimus on see, miks selline asi üldse võimalik on, kui kogu süsteem on üles ehitatud eeldusel, et see ei ole võimalik. See on sama hull ja arusaamatu olukord, nagu oleks see, kui päike hakkaks ühel päeval Läänest tõusma ja Itta loojuma. Me kõik teame, et see pole võimalik, aga ometi ühel hetkel selgub, et on. Aga erinevalt päikese teistpidi käima hakkamisest on siin võimalikud loogilised seletused olemas.

Riigi esindajad näitasid teispäevasel pressikonverentsil üsna ühemõtteliselt kaartide tootja, rahvusvahelise suurfirma Gemalto peale. See pole ainult Eesti ID-kaartidega seotud probleem, vaid ligi miljardit kogu maailmas välja antud kaarti puudutav mure. Järelikult on Gemaltos kaartide tootmisel juhtunud midagi, mis teeb salajaste võtmete tuletamise avalikest võtmetest võimalikuks. Mis see on, võime ainult spekuleerida. Näiteks on võimalik, et kuigi kogu süsteem põhineb eeldusel, et salajased võtmed genereeritakse täiesti juhuslikest arvudest, siis võib-olla on selgunud, et need juhuslikud olema pidanud arvud tegelikult polnud nii väga juhuslikud.